Sicherheit im Zahlungsverkehr

(1)

Sicherheit im Zahlungsverkehr -

Risiken senken und Betrug verhindern

Benjamin Altmeyer,

REWE Zentralfinanz eG

Thomas Clemens,

REWE International Finance B.V.

Carsten von Kleist

Serrala

Referenten Gastgeber

(2)

RISIKEN SENKEN – BETRUG VERHINDERN

Thomas Clemens – REWE International Finance B.V.

Benjamin Altmeyer – REWE Zentralfinanz eG Stuttgart, 22.11.2018

RIF | bankingfactory

(3)

AGENDA

1 / WarmUp

a) Gute Stammdatenprozesse – unerlässlich b) Zentrales Bankaccount-Management

c) Payment-Strukturen & Systeme sowie Prozessdesign d) Kontoauszugsverarbeitung – zeitnah & gründlich e) Informationssicherheit / IT-Sicherheit

(4)

Ist Ihr Unternehmen schon einmal mit Betrug im Zahlungsverkehr konfrontiert worden?

November 2018 Sicherheit im Zahlungsverkehr 5

1. Ja, aber wir konnten es rechtzeitig feststellen

70,5%

2. Ja, und wir haben Geld verloren

13,1%

3. Nein

11,5%

4. Weiß nicht

4,9%

Vote Now

(5)

AGENDA

2 / REWE Group in a nutshell

(6)

DIE REWE GROUP – In Handel und Touristik zuhause

7

November 2018 Sicherheit im Zahlungsverkehr

Zahlen, Daten, Fakten

Als einer der führenden Handels- und Touristikkonzerne in Europa ist die REWE Group ein ständiger Begleiter im Leben – egal, ob es um den täglichen Einkauf von Lebensmitteln, den Heimwerker- und Gartenbedarf oder den nächsten Urlaub geht.

Zur REWE Group gehören Super- und Verbrauchermärkte der Marken REWE und BILLA, der Discounter PENNY, die Baumärkte von toom Baumarkt und die BIPA- Drogeriemärkte.

Die DER Touristik Group zählt als Touristiksparte der REWE Group zu den führen- den Reisekonzernen in Europa. Sie setzt auf Markenvielfalt, bedient die Wünsche der Kunden individuell und treibt die eigene Digitalisierungsstrategie voran.

(7)

DIE REWE GROUP – Auf einen Blick

(8)

Was denken Sie: Wie gut ist Ihr Unternehmen vor Fraud-Fällen geschützt?

1. Sehr gut

13,8%

2. Gut

47,7%

3. Mittelmäßig

33,8%

4. Schlecht

4,6%

Vote Now

(9)

AGENDA

3 / Alles beginnt im Kopf – Awareness ist der Anfang von Allem

(10)

ALLES BEGINNT IM KOPF

12

 Mitarbeiter sind aufgrund hierarchischer Einordnung anfällig für scheinbar

„vertrauliche“ und eilige Anweisungen aus dem Management.

 Der zunehmende Einsatz von Systemen bestärkt ein Gefühl von Sicherheit

& Professionalität und senkt das Risikobewusstsein aller Beteiligten.

 Betrugsmuster sind vielen Mitarbeitern nicht im Detail bekannt. Hinweise werden aus Unkenntnis oder aufgrund Arbeitsbelastung nicht erkannt.

Awareness ist der Anfang von Allem

(11)

ALLES BEGINNT IM KOPF

 Regelmäßige Sensibilisierung der Mitarbeiter zum Thema Fraud u.

Fraud-Muster (Info-Flyer, Intranet, Schulungen, Miterbeiterzeitung etc. – Infos über aktuelle Fälle). Keine „Einmalaktion“.

 Kommunikation sollte anhand von aktuellen Fällen erfolgen (anonymisiert), um Praxisbezug zum Arbeitsalltag herzustellen.

 Klarstellung durch Management, dass Mitarbeiter niemals mündlich oder

per Mail außerhalb der üblichen Prozesse aufgefordert werden, Zahlungsvorgänge auszulösen.

 Einrichtung einer zentralen Hotline und eines E-Mail Verteilers an die Verdachtsfälle gemeldet werden können.

(12)

ALLES BEGINNT IM KOPF

14

 Fraud Fälle werden in aller Regel recht gut vorbereitet.

Die Urheber beschaffen sich umfangreiche Informationen (Social Engineering) über

 Funktionen von möglichen Kandidaten und deren organisatorische und hierarchische Einordnung (Abhängigkeiten, „Opfer“)

 laufende oder geplante Projekte inkl. Details aus der Projektarbeit

 Strukturveränderungen im Unternehmen

 Details zu täglichen Arbeitsabläufen, Problemen, Termindruck, Frust, Freud u. Leid etc.

(13)

ALLES BEGINNT IM KOPF

 Sensibilisierung der Mitarbeiter hinsichtlich der Preisgabe von Informationen im Internet, insbesondere in Bezug auf

Einstellungen zur Privatsphäre, Posts u. Likes, Detaillierungsgrad von Business-Profilen (z.B. auf XING, LinkedIn, Facebook) etc..

 Schaffung von Awareness hinsichtlich der Offenlegung von Informationen gegenüber vermeintlichen „Headhuntern“. Mitarbeitern ist oft nicht bekannt, dass sie die vertragliche Verschwiegenheitspflicht verletzen.

(14)

AGENDA

4 / Design Systeme, Strukturen & Prozesse

(15)

Gute Stammdatenprozesse – unerlässlich

DESIGN SYSTEME, STRUKTUREN & PROZESSE

 Es droht zunehmend das Risiko falscher Informationen über Änderung der Stammdaten (insbesondere Bankverbindung) durch

 gefälschte E-Mail

 gefälschte Anschreiben (Brief) oder Rechnungen

 „lapidare“ Aufkleber auf Brief „neue Bankverbindung“

 mündliche Information

 Veränderung der erfassten Stammdaten durch unberechtigte Mitarbeiter (z.B. aus der IT) unterlaufen die Kontroll-Prozesse

(16)

Gute Stammdatenprozesse – unerlässlich

DESIGN SYSTEME, STRUKTUREN & PROZESSE

18

 Änderungsanforderungen nur schriftlich (auch bei Eilbedürftigkeit).

 Kritische Prüfung auf Herkunft und Echtheit (Mail-Absender, Aufmachung, Aufkleber etc.)

 Änderung von Stammdaten erst nach Rückbestätigung über bekannte / vorhandene Kommunikationswege (nicht Antwort-Button) und generell im Vier-Augen-Prinzip.

 Strikte Berechtigungsvergabe der Pflegerechte sowie Monitoring aller Änderungen

(17)

Zentrales Bankaccount & Payment Management

DESIGN SYSTEME, STRUKTUREN & PROZESSE

 Oftmals existieren in multinational tätigen Gruppen eine Vielzahl

von Beziehungen mit Konten zu lokalen Banken in dezentralen Einheiten, die auch dezentral gemanagt werden.

 Die Vielzahl von Bevollmächtigten sowie der relativ weite Umfang vieler Bankvollmachten stellen ein nicht zu unterschätzendes Risiko für Fraud (intern wie extern) dar.

(18)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

20

 Etablierung eines zentralen Bank Account Managements zur Pflege der Bankbeziehungen und Verwaltung von Konten und Mandaten (systemunterstützt  Serrala FS² eBAM).

 Reduzierung der externen Bankvollmachten auf ein absolutes Minimum durch Setup einer zentralen e-banking Plattform ( Serrala FS² Payments) und Abschaltung von lokalen e-banking Einzelinstallationen.

 Volle Integration der Payment-Plattform in die SAP-Systemlandschaft, keine Medienbrüche etc., kein unkontrollierter Zugriff auf Zahldateien.

(19)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

 Dezidiertes Setup von Benutzergruppen und Freigaberegeln zur Sicherstellung von (mind.) 4-Augen-Prinzip auch im Rahmen der Systemadministration (Bankstammdaten etc.).

 Abholung und Verteilung von Kontoauszügen in die entsprechenden Buchhaltungssysteme ausschließlich über die zentrale e-banking Plattform; Initiierung von Zahlvorgängen ebenso ausnahmslos hierüber.

 Regelmäßiges Monitoring über die initiierten Zahlvorgänge zur Sicherstellung der Einhaltung der Konzernvorgaben und Mindeststandards (wenn nicht ohnehin systemisch hart „verdrahtet“).

 Etablierung von „internen Embargo-Listen“ (ausgewählte Länder, Währungen) im Payment Management.

(20)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

22

Klar strukturierte Benutzergruppen u.

Freigaberegeln

Mehrstufiger, transparenter Freigabeprozess

(21)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

Konten zusammen mit Gültigkeitsstatus immer im Blick

Eingerichtete Bevollmächtigungen („Mandate“) auf Bank / Kontenbasis.

Diese Struktur wird auch zur Verwaltung von Online Accounts (z.B. PayPal) genutzt

(22)

Zentrale Überwachung der Änderungen von Bankverbindungen in SAP Geschäftspartnern

DESIGN SYSTEME, STRUKTUREN & PROZESSE

24

Oktober 2018 Sicherheit im Zahlungsverkehr

Ständige Überwachung kritischer Prozesse

(optischer u. akustischer Alert)

Drill-Down zur Analyse u.

Einleitung von Maßnahmen

(23)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

 Manuelle Zahlungen sind neben Schecks eine wesentliche Schwachstelle im Zahlungsverkehr. Typische Fraud-Muster sind immer

a) Eilbedürftigkeit einer Zahlung und

b) Zahlung an eine aktuell übermittelte Empfänger-Bankverbindung, die nicht im System hinterlegt ist.

 Diese Anforderungen können nur im Wege einer manuellen Zahlung oder via CpD-Kreditor und Sonderzahllauf erfüllt werden.

 Die Risiken bei diesen Zahlarten sind daher sehr hoch und bei der derzeit übermäßigen Nutzung dieser Medien ist eine Einzelfallkontrolle nur sehr aufwändig möglich.

(24)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

26

 Möglichst keine manuellen Zahlungen (Beschränkung auf Minimum, Kreditorische Verbuchung und Ausregulierung Regelfall). Sperrung der Nutzung des CpD-Kreditors.

 Etablierung eines 6-Augen-Prinzip (zwei Augen zusätzlich zentral)

bei manuellen Zahlungen ohne Nutzung von hinterlegten Stammdaten, ansonsten 4-Augen-Prinzip.

 Ablage eines Scans der freigezeichneten zahlungsauslösenden und Belege (Rechnung, Zahlungsanweisung etc.) als Anlage zur Zahlung ( Serrala FS² Payments)

(25)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

Scan des Zahlungsauslösenden

Beleges (Rechnung, Zahlungsanweisung…)

Zahlung an Kreditor (Stammdatennutzung)

(26)

Kontoauszugsverarbeitung – zeitnah & gründlich

DESIGN SYSTEME, STRUKTUREN & PROZESSE

28

Neben Zahlungen, die aufgrund von gefälschten Dokumenten, Mails oder Telefonaten initiiert wurden, häufen sich auch Lastschriftabbuchungen

durch Verwendung firmeneigener Kontonummern durch Unberechtigte im Internet.

Unberechtigte Belastungen oder Belastungen mit betrügerischem Hintergrund werden unter Umständen nicht sofort erkannt durch:

 nicht taggleiche Verarbeitung der Auszüge

 Vereinbarung von „Monatsauszügen“

 postalischer Auszugsversand wird „unterbunden“

Notwendige Maßnahmen können im Fraud-Fall nicht sofort eingeleitet werden.

(27)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

 Sicherstellung gegenüber den Banken

a) dass neben dem Papierauszug immer auch elektronischer Auszug geliefert wird. („Schläferkonten“)

b) Auszüge bei jeder Bewegung geliefert werden (Tagesauszüge, keine Monatsauszüge) u. idealerweise an umsatzlosen Tagen ein „Nullauszug“ bereitgestellt wird.

 Anweisung an die Rechnungswesen zur taggleichen, vollständigen Verarbeitung von Kontoauszügen.

Restantenverarbeitung reicht hier nicht aus (!). ( Serrala FS² AutoBank)

 Sperre (SEPA SSD-Blacklist) von bestimmten Lastschriftgläubigern (ebay, Amazon …)

(28)

Informationssicherheit / IT-Sicherheit

DESIGN SYSTEME, STRUKTUREN & PROZESSE

30

 Gefälschte Mails mit betrügerischer Absicht gelangen in Unternehmen

und werden als solche weder systemisch noch vom Empfänger– insbesondere aufgrund gezielter Ansteuerung anfälliger Adressaten sowie vermeintlicher

„Dringlichkeit“ – erkannt.

 Betrügerische Anweisungen z.B. aus dem vermeintlichen Management (CEO Fraud) werden für korrekt angesehen, es wird der Anweisung Folge geleistet und Zahlungen initiiert bzw. ausgelöst.

(29)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

 Systemseitige Identifikation und Separierung von Mails, die auf Fraud schließen lassen (Erkennung von Fraud-Mustern):

 Mails von bekannten betrügerischen Maildomains (@consult.com…).

 Mails mit Abweichungen zwischen Absender-Alias-Adresse und Response-Adresse

 Vermeintlich „Interne“ Mails; diese können zum Beispiel mit einer Kennzeichnung im Betreff klar gekennzeichnet werden

 Darüber hinaus Sensibilisierung der Mitarbeiter für Merkmale, die auf betrügerische Absicht des

Absenders schließen lassen. Gegenbestätigungen oder Antworten nie über „Reply-Funktion“ in Outlook.

(30)

Haben Sie Penetrationtests Ihrer Finanz-IT-Systeme durchgeführt?

1. Ja

37%

2. Noch nicht, aber in Planung

10%

3. Nein

53%

Vote Now

(31)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

 Systeme und Schnittstellen im Treasuryumfeld incl.

Zahlungsverkehr sind zunehmend von Fraud und Cybercrime betroffen.

 Analysen und Penetrationstests sind dringend angeraten(!).

(32)

AGENDA

5 / Fraud-Management Systeme – setzen da an, wo der Verstand aufhört

(33)

… setzen da an, wo der Verstand aufhört

FRAUD-MANAGEMENT SYSTEME

Bestimmte Fallkonstellationen sind so komplex, dass nur in

Kombination einzelner Sachverhalte ein Fraud-Muster erkennbar ist:

 Konsequentes Unterschreiten bestimmter Freigrenzen in Kontrollprozessen.

 Zahlungen an gleiches Konto mit unterschiedlichen Empfängern

 Empfängerland weicht vom Empfängerbankland ab

 Stammdatenänderung in Kombination mit ungewöhnlicher Zahlung

 Betragsausreißer bei regelmäßigen Zahlungen an Kreditor

Durch die Zergliederung von Prozessen erscheint jede einzelne Handlung nicht verdächtig. Kritische Kombinationen oder Fallkonstellationen zuverlässig zu erkennen ist im normalen Tagesgeschäft nur sehr schwer realisierbar.

(34)

… setzen da an, wo der Verstand aufhört

FRAUD-MANAGEMENT SYSTEME

37

 Setup einer Art „Overlay Screening“ über die komplette Prozess- kette ( Serrala Fraud Monitor).

 Definition verschiedener Kriterien und Kombinationen zur Erkennung bestimmter Fallkonstellationen.

 Whitelist, um bestimmte wiederkehrende spezielle Kombinationen im 4-Augen-Prinzip für einen bestimmten Zeitraum aus der Prüfung auszunehmen.

 Ausprägung von Mail-Alerts zur Initiierung einer detaillierten Prüfung sowie eines Workflows zur Ablehnung oder Freigabe von Zahlungen aus dem Alert Monitor.

 Testmodus mit Darstellung des Scorings im Test- und Produktionsbetrieb zur Verprobung der Fraud-Kriterien.

(35)

AGENDA

6 / Summary – todo‘s in Sachen Fraud

(36)

Todo‘s in Sachen Fraud

SUMMARY

39

 Es reicht nicht aus, sich ein einzelnes Tool in Sachen Fraud Management anzuschaffen.

Die Prozessketten müssen end-to-end betrachtet und über alle beteiligten Module gesichert werden.

 Zentralisierung hilft enorm(!). Bündelung in Shared Services, möglichst eine einheitliche Systemplattform mit aufeinander abgestimmten integrierten Komponenten, einheitliche Prozesse und eine zentrale Guideline schaffen Transparenz und Sicherheit.

 Bevor „high end systeme“ und „deep learning“ Ansätze zum Einsatz kommen, helfen als Basis einfache prozessuale und organisatorische Veränderungen und der normale Menschenverstand.

Zusätzlich stellen professionelle Fraud-Management Tools sicher, dass auch komplexere Fallkonstellationen erkannt und gestoppt werden.

 Und: … Sie sind nie fertig(!). Es bleibt ein „Hase und Igel Spiel“.

(37)

LAST BUT NOT LEAST …

Thomas Clemens

Managing Director

REWE International Finance B.V.

Telephone: +31 77 308 1741 mobile: +49 151 5512 1550

Benjamin Altmeyer

Head of

Tresaury Process & Application Management

REWE-ZENTRALFINANZ eG Telephone: +49 221 149 1575

Vielen Dank für Ihre Aufmerksamkeit!



Ihre Fragen gerne jetzt …

… oder später bilateral.

(38)

Mit welchen Maßnahmen schützen Sie sich vor Betrug im Zahlungsverkehr?

Vote for up to 7 choices

1. Vier-Augen-Prinzipien bei Zahlungsfreigaben

82,1%

2. Vier-Augen-Prinzipien bei Stammdatenänderungen

61,5%

3. Abschalten lokaler E-Banking-Systeme

28,2%

4. Tageslimits für Konten

17,9%

5. Reduzierung / Sicherung manueller Zahlungen

71,8%

6. Verbot beleghafter Zahlungen

48,7%

7. Mitarbeiterschulungen

82,1%

(% = Percentage of Voters)

Enter Number(s)

and Press Send

(39)

BACKUP

Backup

(40)

44

Die Finanzfunktion in Unternehmen verändert sich rasend schnell, wird zunehmend abstrakter und

komplexer …

… und gleichzeitig nehmen Möglichkeiten und konkrete Fraud-Angriffe

massiv zu.

(Quelle: KSta vom 23.07.18)

(41)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

Regulierte Dateien

[2017 – ohne Netzbetrieb]

5.800 Tsd

Kontoauszüge

[2017]

115 Tsd.

Regulierte Dateien

[2017 - Netzbetrieb]

284.000 Tsd

 

Buchungskreise

[24.05.18]

408 aktiv

Posten / Auszüge

[migriert - geschätzt]

ca. 90 % / 95 %

Umsatzvolumen

[2017 – ohne Netzbetrieb]

150.181 Mio

Umsatzvolumen

[2017- Netzbetrieb]

10.100 Mio

Nutzer Plattform

[September 2018]

>450 User

Angeschlossene Banken / Konten

[24.05.2018]

37 / 910





 

(42)

DESIGN SYSTEME, STRUKTUREN & PROZESSE

46

(43)

Interesse am weiteren Austausch

mit den Experten dieses Workshops?

Werfen Sie Ihre Visitenkarte in die dafür vorgesehene Box.

(44)

Sicherheit im Zahlungsverkehr - Risiken senken und Betrug verhindern