Eine verkürzte Geschichte der Finanzkontrollen

Seit Beginn des Handels haben Menschen einander betrogen. Die Verbreitung der doppelten Buchführung, die forensische Buchhaltung und Handelsregulierungen erzählen immer wieder dieselbe menschliche Geschichte: Es wird immer Menschen geben, die alles an sich reißen, was nicht festgeschraubt ist.

Im letzten Jahrhundert sind Buchführungssysteme durch Technologie, Globalisierung und eine komplexere Gesetzeslage enorm umfangreich geworden. Je komplexer das System wurde, desto vielfältiger wurden auch die Methoden, wie skrupellose Mitarbeitende Geld stehlen konnten. Die Buchhaltung und die zugehörigen Regulierungsbehörden reagierten mit der Entwicklung interner Kontrollmechanismen, die besonders seit den 60er-Jahren zu einem zentralen Bestandteil eines gut geführten Unternehmens wurden.

In den letzten 15 Jahren haben externe Bedrohungen drastisch zugenommen. Die zunehmende kriminelle Raffinesse, der wachsende Einfluss von Unternehmens-IT und die Umstellung auf schnelle elektronische Zahlungen haben zu dem weltweit steigenden Erfolg von Betrugsmaschen, Erpressungen und Diebstahl an Unternehmen beigetragen.

Der Anruf kam aus dem eigenen Haus

Die wirksamste Möglichkeit, diesen neuen externen Bedrohungen zu begegnen, besteht darin, die Kontrolle über die eigenen Mitarbeitenden zu verstärken – glauben Sie mir, die größte Gefahr lauert „im eigenen Haus“.

„Wollen Sie damit sagen, dass mein Team nicht vertrauenswürdig ist?“

Nein – nicht immer und nicht absichtlich.

Früher ergab sich das Risiko von Zahlungsbetrug hauptsächlich aus einer Kombination aus Gelegenheit, Bedarf und Zugang durch Mitarbeiter. Ein Mitarbeitender, der Zugang zu Unternehmensgeldern hat, ist eher versucht, dies auszunutzen, besonders, wenn es ein großes persönliches Problem für ihn löst. Betrügt er das Unternehmen und bleibt unerkannt, wird dies oft zu einer Gewohnheit, aus der er nicht mehr herauskommt.

Das Wachstum des externen Betrugs bringt einen neuen Faktor ins Spiel: die Anfälligkeit Ihrer grundsätzlich wohlmeinenden Mitarbeitenden, getäuscht zu werden. „Hacking“ ist keine magische Technik, mit der wie durch Zauberhand Geld vom Firmenkonto verschwindet; vielmehr erhält der bereits kriminelle Betrüger durch das Täuschen von Menschen oder Systemen Zugriff.

Sie können zwar Mitarbeitende sensibilisieren, Angriffe zu erkennen, aber der Ausbau finanzieller Kontrollmechanismen über deren Arbeit und Systeme ist eine der besten Methoden, sowohl internen als auch externen Betrug zu unterbinden.

Allgemeine Strategien

Mit der Entwicklung der Betrugstrends sind klassische und interne Kontrollmechanismen zu drei Hauptstrategien verschmolzen, um Zahlungsbetrug zu bekämpfen.

Wie bei jeder Investition sollten Sie mit einem soliden Risikomanagement beginnen: Welche Bedrohungen sind für Ihr Unternehmen am wahrscheinlichsten und wären am schädlichsten?

1. Einzelne Schwachstellen vermeiden

Das ist die technische Version des altbekannten Prinzips der Funktionstrennung (Segregation of Duties, SoD) und erweitert die Idee von Personen auf Systeme und Tools. Denken Sie an das klassische SoD-Beispiel: Wenn ein Mitarbeitender sowohl Zahlungen auslösen als auch Buchungen im Hauptbuch verändern kann, ist das riskant – er stellt eine einzelne Schwachstelle im Hinblick auf Zahlungsbetrug dar. Es müsste nur diese eine Person (und ihre Moral) ausfallen, damit Betrug gelingt.

Mit heutigen Bedrohungen wird alles, was diese Person nachahmt, ebenfalls zur Schwachstelle: ihr Passwort, ihr Laptop oder sogar die Übernahme ihres E-Mail-Kontos.

Beheben Sie einzelne Schwachstellen, indem Sie Verantwortungen im Team verteilen und zusätzliche Schritte einbauen.

Diese Disziplin reicht tief. Im Abschnitt über Taktiken weiter unten gehe ich auf häufige Schwachstellen und deren Lösungen detailliert ein.

2. Angriffsfläche reduzieren

Die Reduzierung der Angriffsfläche bei Zahlungsbetrug besteht aus zwei Hauptkomponenten: Quellen gezielt adressieren und das mögliche Schadensausmaß begrenzen. 

Die Bekämpfung der Bedrohungsquellen zielt darauf ab, die Wahrscheinlichkeit eines Angriffs zu verringern; die Begrenzung des Schadens minimiert die potenziellen Verluste, falls er dennoch eintritt. 

Betrachten Sie zwei klassische Beispiele aus der Betrugsbekämpfung: Genehmigungslimits reduzieren den potenziellen Verlust durch betrügerische Ausgaben (Auswirkung), und das Prinzip der minimalen Rechte reduziert die Wahrscheinlichkeit von Betrug, indem es die Anzahl der Personen begrenzt, die ihn initiieren könnten (Quellen).

Die Cyberbranche hat eine verwandte Idee, die als Angriffsfläche bezeichnet wird und normalerweise zur Beschreibung von Systemen verwendet wird. Sie ist eine Kombination daraus, wie verwundbar ein System ist und wie viele Dinge sich mit ihm verbinden – und es somit angreifen – können. Cyber-Teams wissen in der Regel am besten, wie Systeme typischerweise attackiert werden; ihre Herausforderung besteht meist darin, diese Idee mit tatsächlichen finanziellen Verlusten zu verknüpfen. In diesem Bereich gab es in den letzten zehn Jahren große Fortschritte.

Nach meiner Erfahrung ist die Umsetzung dieser Strategie oft die am einfachsten zu realisierende Möglichkeit für die meisten Organisationen, um die Sicherheit zu verbessern. Die meisten Betrugsmaschen bestehen aus mindestens fünf Schritten, und Betrüger müssen in jedem einzelnen erfolgreich sein, um zu gewinnen; Um sie zu vereiteln, müssen Sie sie nur in einem Schritt aufhalten. Für jeden Schritt eines potenziellen Betrugsszenarios sollte man überlegen, wie sich die Quellen und Auswirkungen verringern lassen. Meist gibt es in allen Prozessschritten mehrere (fast) kostenfreie Möglichkeiten.

Erfolg bei dieser Strategie erfordert Gründlichkeit (bei der Erfassung und Dokumentation der Prozesse) und Kreativität (beim Finden von Lösungen). Die Übung eignet sich bestens als moderiertes Teambuilding und bringt oft auch Effizienzgewinne hervor.

3. Umsetzbare Warnungen erstellen

Warnungen und Indikatoren in Prozesse und Systeme einzubauen, kann Betrug verhindern, bevor es zu spät ist. In gewissem Sinne ist dies der älteste Trick im Buch: Die doppelte Buchführung, der Dreiwege-Abgleich und die meisten GAAP nutzen unabhängige Aufzeichnungsmechanismen, um Probleme sichtbar zu machen.

Dieser Ansatz hat in vielen Branchen im letzten Jahrhundert zu monumentalen Veränderungen geführt – von Toyotas Produktionsrevolution bis zu modernem Produktmanagement. Vorreiter waren insbesondere Technologieunternehmen, die dieses Vorgehen in den letzten 15 Jahren vorangetrieben haben. Meiner Erfahrung nach und laut führenden Finanzexperten hat dieser Ansatz gerade erst den Mainstream erreicht. In den letzten fünf Jahren haben sich viele kleinere Unternehmen dem Management nach Kennzahlen verschrieben und dabei in der Regel den CFO als Verantwortlichen eingesetzt. Glückwunsch!

Doch Vorsicht ist geboten: Es gibt auch eine Schattenseite von Kennzahlen, Dashboards und Warnmeldungen. In der heutigen Geschäftswelt wimmelt es nur so von Daten. KPIs, SLAs und Statusberichte sind meist schon in hübschen Dashboards vorinstalliert. Aber wenn eine Kennzahl oder Warnung nicht direkt zu Maßnahmen führt (oder schlimmer noch, zu falschen Maßnahmen verleitet), ist sie schlimmer als nutzlos.

Dies kann auf zwei Arten passieren. Erstens: Wenn es zu viele Fehlalarme gibt, stumpfen Teams ab und ignorieren sie.

Zweitens: Es werden Kennzahlen gewählt, die keine direkten Handlungen auslösen. Diese werden oft "Eitelkeitskennzahlen" genannt und können im schlimmsten Fall ein trügerisches Sicherheitsgefühl vermitteln und von echten Problemen ablenken. Wie die Juristen sagen ...

Beim Erstellen von Warnungen sollten Sie auf Ereignisse setzen, die mit hoher Wahrscheinlichkeit ein echtes Problem anzeigen. Eine Faustregel: Messen und melden Sie nur solche Werte, bei denen alle Beteiligten zustimmen, dass das Risiko die Zeit für die Überprüfung wert ist.

Join our Community

Join North America’s most innovative collective of Tech CFOs.

Sign up with LinkedIn

Or sign up with email:

Instagram

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Taktiken zur Verhinderung von Zahlungsbetrug

Auch wenn bewährte konventionelle interne Kontrollen noch immer von großem Wert sind, sind einige davon nur für die größten Organisationen praktikabel. Die folgenden Methoden erweisen sich meiner Erfahrung nach als besonders effektiv beim Schutz kleinerer Unternehmen vor modernem Betrug – oft mit erstaunlich geringem Aufwand. Diese Kontrollen sind grob priorisiert, dennoch unterscheiden sich Nutzen und Aufwand je nach Unternehmen erheblich. 

1. Konten segmentieren

Strategie: Risiko verringern

Dies ist zwar etabliert, wird aber in wachsenden Unternehmen immer noch zu selten genutzt. Wenn Sie Bankkonten für Zahlungen isolieren, können Sie massive Verluste verhindern. Führen Sie ein separates Konto für Einzelzahlungen, ein weiteres für planbare monatliche Ausgaben und ein Treasury-Konto für andere Gelder. 

Halten Sie den Kontostand beim planbaren Konto niedrig, überweisen Sie manuell Mittel auf das Einzelkonto und zahlen Sie niemals vom Treasury-Konto aus. Jeder Betrug, der eines der Zahlungskonten trifft, führt nur zu minimalen Verlusten oder scheitert komplett.

Mit AP-Automatisierungsplattformen lässt sich diese Kontrolle leicht umsetzen.

2. Registrierung bei Wirtschaftsauskunfteien

Strategie: Risiko verringern

Dieser Punkt ist einfach und bezieht sich auf eine andere Art von Betrug: den Identitätsdiebstahl Ihres Unternehmens. Falsche Kredite können im Namen Ihres Unternehmens aufgenommen werden, und die Bereinigung kann sehr aufwendig sein. Wenn Sie Ihr Unternehmen zuerst bei Wirtschaftsauskunfteien registrieren, können Kriminelle auf diese Weise nur schwer von Ihnen profitieren.

3. Nicht mehr alles per E-Mail erledigen

Strategie: Einzelne Schwachstellen vermeiden

E-Mails ermöglichen eine große Menge an Betrug und Kriminalität. Das überrascht kaum, da viele Organisationen nahezu alles darüber abwickeln. Wenn das auch auf Ihr Unternehmen zutrifft, ist E-Mail vermutlich eine einzige Schwachstelle für Sie: Verschafft sich ein Betrüger Zugang zu Ihrem Postfach, kann er erheblichen Schaden anrichten und dabei seine Spuren verwischen.

Die Lösung ist einfach: Nutzen Sie für risikoreiche Aufgaben nur spezielle Systeme.

4. Single Sign-on und Multi-Faktor-Authentifizierung

Strategie: Einzelne Schwachstellen vermeiden

Dieser Punkt ist etwas technischer, lohnt sich aber sehr. Die beste Methode für Passwörter, Federation, eliminiert eine große Anzahl einzelner Schwachstellen für kriminelle Identitätsanmaßung in Ihren Systemen. Ziel ist ein modernes zentrales System, das als Identitätsanbieter für Ihre Mitarbeitenden fungiert; alle genutzten Systeme vertrauen dann diesem Identitätsdienst. Mitarbeitende melden sich beim Identitätsanbieter an und alles andere verbindet sich wie von selbst.

Wie gesagt, es ist technisch, daher muss Ihr IT-Team die Verbindungen einrichten.

Passwörter sind eine klassische Schwachstelle – wenn Sie verpflichtend auf eine starke Multi-Faktor-Authentifizierung (MFA) setzen, beseitigen Sie dieses Problem. Jeder seriöse Federation-Anbieter wird Ihnen ebenfalls dringend dazu raten.

5. Honeypots

Strategie: Handlungsfähige Benachrichtigungen

Honeypots (manchmal auch Canary Tokens genannt) sind eine Methode, um zu erkennen, ob es ein Cyberkrimineller durch all Ihre Schutzmaßnahmen geschafft hat und Zugriff auf etwas hat, das er nicht haben sollte. Honeypots sind Köder, die bei Verwendung automatisch eine Warnung erzeugen. Diese Methode wird besonders im Technologiebereich eingesetzt, lässt sich aber auch für Zahlungsdaten einrichten. Das funktioniert besonders gut mit automatisierten Finanzplattformen, wie ich in Taktik #10 erwähne.

Technische Honeypots sind leicht und sogar kostenlos einzurichten.

6. Auslagern an einen Dienstleister

Strategie: Einzelne Schwachstellen vermeiden

Ein externer Anbieter ist oft nicht nur günstiger als eine Inhouse-Lösung, sondern auch widerstandsfähiger. Outsourcing kann viele einzelne Schwachstellen beseitigen, indem es die Anforderungen Ihres Unternehmens auf ein größeres Team und System verteilt.

Viele Unternehmen stellen fest, dass ein Accounts-Payables-Dienst günstiger ist, sobald die Kreditorenbuchhaltung die Hälfte der Arbeitszeit einer Person einnimmt. Da diese Rechnung die Betrugskosten ausklammert, empfehle ich meist, dies schon deutlich früher zu prüfen. Mit manchen Automatisierungsplattformen kann ein Finanzteam das Arbeitsvolumen um das 100-fache steigern, ohne neue Mitarbeiter einzustellen oder die Kontrolle zu verlieren.

Auch das Auslagern Ihrer IT-Systeme auf eine Web-Plattform kann eine sehr effektive Methode sein, um einzelne Schwachstellen zu beseitigen. Anbieter sind hierbei meist deutlich besser beim Thema Verschlüsselung, Erkennung von Malware und Schwachstellen, Abwehr von Datenlecks und Phishing-Prävention aufgestellt, als Sie das intern abdecken könnten.

Das funktioniert allerdings nur, wenn die Outsourcing-Lösung selbst wenige oder keine einzelnen Schwachstellen aufweist. Viele Buchhaltungs-Outsourcer stellen einen einzelnen, vielseitigen Teilzeitbuchhalter, der in Ihrem System arbeitet und Ihre Prozesse übernimmt – keine gute Idee, wenn Sie Risiken reduzieren wollen. Ebenso bauen viele Web-Plattformen noch immer mit denselben fragilen Designs wie 2006, packen Cloud-Buzzwords ins Marketing und hoffen, dass niemand unter die Haube schaut. Beide Modelle bringen keine Sicherheitsvorteile.

7. Virtuelle Karten

Strategie: Reduzierung von Risiken

Die Nutzung eines Anbieters für virtuelle Karten erlaubt es Ihnen, genau zu kontrollieren, wen Sie mit welchem Höchstbetrag bezahlen. Ich habe virtuelle Karten bereits in meinem Beitrag zur Absicherung von B2B-Zahlungen erklärt. Die meisten automatisierten Kreditorenplattformen bieten virtuelle Karten an.

8. Lieferantenvalidierung und 3-Wege-Abgleich

Strategie: Reduzierung von Risiken

Zahlungen auf eine Liste autorisierter Lieferanten zu begrenzen, Zahlungsdaten zu validieren sowie Rechnungen mit Bestellungen abzugleichen, kann viele der weniger raffinierten Betrugsversuche abwehren. Viele Anbieter bieten den Abgleich mit geprüften Lieferanten an – das kann überraschend günstig sein.

9. Positive Pay

Strategie: Reduzierung von Risiken

Mit dieser Funktion können Sie Ihrer Bank jeden Monat eine Liste autorisierter Bestellungen übermitteln. Die Bank blockiert daraufhin ACH- und Scheckzahlungen, die nicht übereinstimmen, und benachrichtigt das Unternehmen darüber. Dieses Verfahren hatte vor 20 Jahren den Ruf, mit viel Aufwand verbunden zu sein, inzwischen wurden von zahlreichen Anbietern jedoch die meisten Schwachstellen behoben.

10. Automatisierte Finanzen

Strategie: Umsetzbare Warnmeldungen & Reduktion von Einzelpunkt-Versagen

Eine automatisierte Finanzplattform ermöglicht Ihnen eine äußerst detaillierte Kontrolle darüber, wie Geld in Ihrem Unternehmen bewegt wird – und das mit deutlich weniger Personal. Sie kann enorm wertvoll sein, ist aber meist ein kostenintensiver Übergang. Überlegen Sie sich dazu:

• Automatische Zahlungen an beständige, langfristige Lieferanten. In der Regel können Sie die Zahlungsdetails direkt im Lieferantenstamm einstellen.
• Automatische Rechnungsstellung und Mahnwesen
• Automatisierte Überweisungen und Forderungsmanagement
• Benachrichtigungen bei unerwarteten Buchungen und Salden
• Automatische Rechnungen sowie 3-Wege- oder 2-Wege-Abgleichsprozesse
• KI-/Anomalie-Erkennung (siehe unten für weitere Infos)

Einige Plattformen informieren Sie wie von Zauberhand über riskante Transaktionen – basierend auf aktuellen Bedrohungen der Branche und basierend darauf, was in Ihrer Geschäftsbuchhaltung als normal gilt. Mein Tipp? Wenn Sie ein Produkt hauptsächlich wegen seiner Anomalie-Erkennung in Erwägung ziehen, testen Sie es unbedingt vorher aus. KI-Produkte sind immer eine Blackbox, daher lässt sich die Qualität objektiv schwer messen. Die Wirksamkeit solcher Blackbox-Produkte tendiert zudem dazu, über die Jahre abzunehmen, während sich Bedrohungen und Bedingungen weiterentwickeln.

Technologieprodukte für Verbindlichkeiten (Accounts Payable)

Dies ist eine Auswahl neuer und etablierter AP-Plattformen mit Funktionen, die ich in diesem Artikel erwähnt habe. Auch Banken bieten ausgelagerte Kreditoren- (AP) und Debitorenbuchhaltungsdienste (AR) an (oft als Abrechnungsdienstleistungen bezeichnet), meist als White-Label-Lösungen von spezialisierten Anbietern.

Betrug ist vermeidbar

Sie können viele Schäden durch Internetkriminalität vermeiden, indem Sie starke interne Kontrollen für den Kreditorenbereich einführen. Auch wenn externe Bedrohungen im letzten Jahrzehnt stark zugenommen haben, sind auch die Werkzeuge zu ihrer Erkennung und Verhinderung gewachsen.

Weitere Tipps für Finanzverantwortliche – darunter, wie Sie Ihr Unternehmen vor Online-Bedrohungen schützen – erhalten Sie im The CFO Club Newsletter.

Ich freue mich auf Ihre Meinung: Welche Kontrollmaßnahmen waren bei Ihnen am effektivsten zur Betrugsprävention? Haben Sie einige davon umgesetzt? Lassen Sie es mich gern in den Kommentaren oder über soziale Medien wissen.