Skip to content

30.1.2024 | Zuletzt aktualisert am 11.10.2024

7 min

4 Best Practices zur Verhinderung von Zahlungsbetrug

Neulich erhielt ich auf meinem persönlichen Gmail-Konto eine E-Mail von einem vermeitlichen CEO. Der Name war richtig, jedoch sah die aussenstehende URL etwas seltsam aus. Der Absender bat mich, ihm einen "kleinen Gefallen" zu tun, da er im Büro beschäftigt sei, ohne näher zu erläutern, worum es sich dabei handelte. Glücklicherweise war ich bereits mit derartigen Betrugsversuchen vertraut, sodass ich direkt an der Echtheit der E-Mail zweifelte. Ich teilte die E-Mail mit unserer IT-Abteilung zur Echtheitsprüfung. Es stellte sich tatsächlich heraus, dass es ein Betrugsversuch war. Für mich war es erschreckend, dass der Name des Empfängers in dieser betrügerischen E-Mail mit dem des echten Geschäftsführers übereinstimmte. Dieses Beispiel zeigt, wie raffiniert Betrugsversuche geworden sind.

 

Was bedeutet Betrug im B2B-Zahlungsverkehr?

In diesem Zusammenhang beziehen wir uns auf Zahlungen aus dem B2B-Bereich, einschließlich Gehälter, Steuern, externen Zahlungen, Zahlungen von Tochtergesellschaften usw. Vor allem in großen Unternehmen durchlaufen Zahlungen zuerst die Finanzabteiliung des Unternehmens, bevor sie auf dem Bankkonto des Empfängers landen. Die Aufgabe der Finanzabteilung ist es dabei, die Zahlungen zu prüfen und anschließend zu genehmigen. Dabei wird in der Regel das sogenannte Vier-Augen-Prinzip angewandt. Es gibt auch Unternehmen, die noch weiter gehen und noch mehr Parteien in den Genehmigungsprozess einbeziehen, bevor die Zahlungen an die Bank weitergeleitet werden.

Betrug im B2B-Zahlungsverkehr liegt dann vor, wenn Zahlungsmittel unbeabsichtigt oder mit krimineller Absicht auf dem Konto eines Dritten landen. Bei den betrügerischen Aktivitäten kann es sich sowohl um wiederkehrende als auch einmalige Vorgänge handeln.


Jedes Unternehmen sollte sich mit der Gefahr des Betrugs auseinandersetzen. Es ist unerlässlich, wachsam zu sein und proaktiv zu handeln, um Betrug frühzeitig zu erkennen.


Nicht alle Betrugsfälle werden von Kriminellen wie Hackern verursacht. Betrug kann auch durch unbeabsichtigte menschliche Fehler oder Systemfehler entstehen, die wiederum zu fehlerhaften Daten oder Doppel-Zahlungen führen können.

 

Welche Arten von Zahlungsbetrug gibt es?

Es gibt viele Arten von Zahlungsbetrug, die Sie kennen sollten, um sie wirksam zu verhindern. Stellen Sie sich die notwendigen Maßnahmen zur Betrugsprävention wie die jährliche Grippeschutzimpfung vor: Auch wenn sich nicht jeder mit Grippe ansteckt, ist es besser, sich präventiv dagegen zu schützen. Das Gleiche gilt für Betrug: Auch wenn Sie dieses Jahr nicht zur Zielscheibe werden, sollten Sie Ihr Bestes tun, auf mögliche Vorfälle vorbereitet zu sein.

 

Phishing

Phishing am Arbeitsplatz kann in Form von E-Mails oder Websites erfolgen, die Mitarbeitende dazu verleiten sollen, sensible Informationen wie Sozialversicherungsnummern, Passwörter, Kreditkartennummern, Bankkontodaten usw. preiszugeben. Bei Phishing-Versuchen erhöht der Täter die Dringlichkeit der Anfrage oder setzt sogar Drohungen ein, um die Mitarbeitenden zum Öffnen von Anhängen zu verleiten. Neben verdächtig aussehenden Anhängen in unprofessionellem Design deuten auch URLs und E-Mail-Adressen auf Betrug hin, da sie nicht mit der echten Domain des angeblichen Unternehmens übereinstimmen. In der Regel werden Mitarbeitende in Phishing-E-Mails nicht namentlich angesprochen, es sei denn, die E-Mails sind stark personalisiert.

Spear-Phishing ist eine Unterart von Phishing, bei denen es die Kriminellen in der Regel auf Führungspersonen von Unternehmen abgesehen haben. Finanzvorstände sind häufig das Ziel von Spear-Phishing-Angriffen, aber auch Mitarbeitende mit Rechten zur Ausführung von Zahlungen können betroffen sein. Diese Art von Phishing-Angriffen kann komplex und ausgeklügelt sein, was eine Prävention erschwert. Es überrascht daher nicht, dass Finanzfachleute häufig Opfer solcher Angriffe werden und Zahlungen an den Täter übermitteln.

 

Bestechung

Bestechung ist eine Form der Korruption, bei der ein Dritter, z. B. ein Konkurrent, illegal mit einem Mitarbeitenden eines anderen Unternehmens zusammenarbeitet, um Informationen oder (schlimmer noch) Gelder von von diesem Unternehmen zu erhalten.

 

Identitätsdiebstahl

Identitätsdiebstahl zeigt sich in Form eines Täters, der die persönlichen Daten eines Mitarbeitenden stiehlt und damit in die Unternehmens-Systeme eindringt, um Zugang zu vertraulichen Dokumenten, der Buchhaltungssoftware oder sensiblen Rechnungsdaten, Sozialversicherungsnummern, Adressen usw. zu erhalten. Hacker können beispielsweise veraltete Firewalls knacken oder sich über ein öffentliches WLAN Zugang zu Zugangsdaten verschaffen, um fehlerhafte Zahlungen und Gebühren zu genehmigen oder sogar Kreditlimits zu überschreiten.

 

Rückerstattungsbetrug

Unter Rückerstattungsbetrug versteht man die gefälschte Erstattung von Kosten, die innerhalb des Unternehmens eingereicht werden. Dies ist beispielsweise der Fall, wenn ein Mitarbeiter eine gefälschte Spesenabrechnung einreicht, um eine Erstattung zu erhalten, auf die er keinen Anspruch hat.

 

Malware

Malware ist eine schädlichen Software, die in Form von Viren, Spyware, Adware, Browser-Hijacking-Software und gefälschter Sicherheitssoftware auftreten kann.  Malware ist oft schwer zu erkennen, da sie wie eine gewöhnliche Datei aussehen oder in eine normale Datei eingebettet sein kann. Gute Anzeichen für Malware sind plötzlich auftretende Software-Updates oder aufdringliche Warnungen, dass Ihr System voller Viren ist und Sie schnellstmöglich einen System-Scan ausführen sollten.

 

Doppelte Zahlungen

Doppelzahlungen werden oft als eine Form des Betrugs übersehen. Es mag unbeabsichtigt sein, aber große Summen doppelter Zahlungen können Ihr Unternehmen viel Geld kosten. Vor allem bei großen Unternehmen kann es vorkommen, dass Doppelzahlungen übersehen und unbemerkt ausgeführt werden.

Es gibt zahlreiche Betrugsmaschen, um online an unbefugte oder illegale Informationen zu gelangen. Neben dem Versenden von E-Mails, SMS oder Telefonanrufen greifen die Betrüger auch zu raffinierteren Methoden wie z. B. das Umleiten des Datenverkehrs auf schädliche Websites oder sogar das Versenden von Schadsoftware an Smartphones. Auch wenn Sie sich nicht zu 100 % vor Betrug schützen können, gibt es viele Möglichkeiten, Ihren Schutz erheblich zu verbessern. Denken Sie daran, dass Finanzbetrug eine der profitabelsten Betrugsarten ist und dass viele Kriminelle Wochen oder sogar Monate mit der Planung und Durchführung von Angriffen verbringen

 

4 Strategien zum Schutz vor Zahlungsbetrug

Um vor all diesen Betrugsarten gewappnet zu sein, sollten Sie nicht nur Ihr Personal schulen und Verfahren zur Betrugsbekämpfung einführen, sondern auch Ihre Cyberabwehr verstärken. Transparenz in den Prozessen und Kommunikation zwischen den Mitarbeitenden sind der Schlüssel dazu.


Im schnelllebigen digitalen Zeitalter und mit der Entwicklung neuer Technologien nehmen die Betrugsarten rapide zu, und das Spektrum der potenziellen Schäden, die Ihrem Unternehmen durch Betrug entstehen können, erweitert sich. Deshalb sollten Sie Ihre Maßnahmen zur Betrugsbekämpfung im Auge behalten und regelmäßig anpassen. Seien Sie wachsam!

 

Personalschulung & Prozesse

Betrugsprävention sollte als unternehmensweite Anstrengung betrachtet werden und nicht nur als Aufgabe der IT-Abteilung. Betrugsprävention beginnt mit der Sensibilisierung der Mitarbeitenden für jegliche Art von Betrug. Die Mitarbeitenden sollten sich dabei nicht nur den verschiedenen Betrugsarten bewusst werden, sondern auch lernen, wie man diese erfolgreich erkennt. Des Weiteren sollten Sie dafür sorgen, dass die IT-Abteilung über die potenziellen Bedrohungen und Betrugsversuche informiert wird. Auf diese Weise kann die IT Informationen bereitstellen, um das Unternehmen in Zukunft besser auf solche Angriffe vorzubereiten.


Der Head of IT von Nomentia berichtet beispielsweise über neue Arten von Cyber-Bedrohungen in monatlich stattfindenen, unternehmensweiten Townhall-Meetings.


Die Mitarbeitenden sollten verpflichtet werden, ihre Anmeldedaten wie Passwörter in regelmäßigen Abständen zu ändern. Außerdem sollten die Mitarbeitenden darauf achten, dass sie die Betriebssysteme ihrer mobilen Endgeräte regelmäßig aktualisiert werden. Diese Updates enthalten in der Regel Security-Fixes. Jegliche Software, die im Unternehmen verwendet wird, sollte auf dem neuesten Stand sein. Darüber hinaus sollte nicht nur zur Betrugsprävention, sondern auch aus Compliance-Gründen für eine Zugangskontrolle gesorgt werden, z. B. durch erweiterte Regelungen für Systemadministratoren und Benutzer.

Um die Transparenz zu erhöhen und die Betrugswahrscheinlichkeit zu verringern, ist es ratsam, das Team, das die Zahlungen veranlasst, von dem Team zu trennen, das die Zahlungen genehmigt. Wenn ein Mitarbeiter für beides verantwortlich ist, besteht eine höhere Gefahr von Zahlungsbetrug. Zur Unterstützung dieser Aufgabentrennung gibt es auch Software, die das Personal in Benutzergruppen mit spezifischen Aufgaben einteilen kann. Entsprechende Software wird im Folgenden vorgestellt.

 

Payment Factory

Ein zuverlässiger Weg, um Maßnahmen zur Betrugsbekämpfung zu etablieren, ist die Einrichtung einer Payment Factory, die in der Regel über Funktionen zur Kontrolle von Zahlungsprozessen verfügt.


Payment Process Controls sind Maßnahmen zur Verhinderung von Zahlungsanomalien mithilfe sogenannter Smart Rules, um Zahlungsprozesse zu optimieren und eine hohe Datenqualität durch Validierungsprüfungen und Alogrithmen zu gewährleisten.


Die Payment Factory in Kombination mit Payment Process Controls kann Doppelzahlungen effektiv verhindern, indem Regeln definiert werden, die fehlerhafte Zahlungen identifizieren und blockieren, bevor sie zur Prüfung weitergeleitet werden. Das Aufspüren von Anomalien kann dank der Smart Rules automatisiert werden. Abgesehen von der Erkennung von Doppelzahlungen erfordern Payment Process Controls auch eine Multi-Faktor-Authentifizierung (MFA), wie z. B. ein Token und ein Passwort, automatische Textnachrichten und das Vier-Augen-Prinzip zur Genehmigung von Zahlungen, sowie ein Passwort bzw. PIN zur Überprüfung wichtiger Transaktionen..

 

Sanktionslistenprüfung

Eine weitere Möglichkeit, Ihr Unternehmen vor betrügerischen Zahlungen zu schützen, ist die Einrichtung einer Sanktionslistenprüfung. Sogenannte Blacklists enthalten Kontakte, Konten oder andere Parteien, mit denen man aufgrund interner oder externer Sanktionen keine Zahlungen tätigen sollte. Whitelists hingegen sind Kontaktlisten vertrauenswürdiger Empfänger. Die Sanktionslistenprüfung verhindert automatisch, dass Zahlungen an sanktionierte Empfänger gelangen, z. B. an Empfänger, die in Gebieten ansässig sind, die auf der konsolidierten Sanktionsliste des UN-Sicherheitsrats stehen. Die meisten modernen Payment Factories verfügen über eine Sanktionslistenprüfung, teilweise sogar mit der Möglichkeit, den Prozess zu automatisieren.

 

Regelmäßige Prüfungen

Die Treasury-Abteilung sollte regelmäßig die Zahlungslimits überprüfen, die pro Nutzer vorgesehen sind, und entsprechend die Zugriffsrechte für Zahlungsgenehmigungen aufteilen und einschränken. Die Aufgabe der internen Revision ist es, die Wirksamkeit der Betrugspräventionsmaßnahmen zu analysieren und festzustellen, ob es Verbesserungsmöglichkeiten gibt. Des Weiteren haben sie die Aufgabe, künftige potenzielle Fehler oder Betrugsfälle für die gesamte Organisation vorherzusagen und Trends und Muster zu bewerten, die auf Betrug oder Fehler hindeuten könnten. Wenn das interne Revisions-Team nicht in der Lage sein sollte, die Hauptursache von bereits stattgefundenen Betrugsfällen zu erkennen, sollte Ihr Unternehmen entweder externe Parteien mit einschlägiger Erfahrung hinzuziehen oder auf Zahlungsfunktionen setzen, die entsprechende Unterstützungen anbieten. Eine Payment Factory beispielsweise kann es internen und externen Prüfern ermöglichen, frühere Einträge, Archive und Fehlerprotokolle genau zu prüfen, um betrügerische Muster und Handlungen zu erkennen.

 

Wie Lösungen Ihr Unternehmen vor Zahlungsbetrug schützen

Mit einem jährlichen Zahlungsvolumen von über einer Billion Euro ist Nomentia eine zuverlässige Softwarelösung, die Ihr Unternehmen effektiv vor internen und externen Betrugsrisiken schützt. Hier können Sie mehr über Nomentia's Payment Process Controls erfahren.

Die Einrichtung geeigneter Prozesse ist wichtig für eine erfolgreiche Betrugsprävention in jeder Phase der Customer Journey, vom Backend bis zum Kundenkontakt. Leider gibt es keine Patentlösung gegen alle Arten von Betrug, daher sollten Unternehmen verschiedene Ansätze verfolgen, um auf alle möglichen Gefahren bestmöglich vorbereitet zu sein.