Sicherheit im Zahlungsverkehr -
Risiken senken und Betrug verhindern
Benjamin Altmeyer,
REWE Zentralfinanz eG
Thomas Clemens,
REWE International Finance B.V.
Carsten von Kleist
Serrala
Referenten Gastgeber
SICHERHEIT IM ZAHLUNGSVERKEHR
RISIKEN SENKEN – BETRUG VERHINDERN
Thomas Clemens – REWE International Finance B.V.
Benjamin Altmeyer – REWE Zentralfinanz eG Stuttgart, 22.11.2018
RIF | bankingfactory
AGENDA
1 / WarmUp
a) Gute Stammdatenprozesse – unerlässlich b) Zentrales Bankaccount-Management
c) Payment-Strukturen & Systeme sowie Prozessdesign d) Kontoauszugsverarbeitung – zeitnah & gründlich e) Informationssicherheit / IT-Sicherheit
Ist Ihr Unternehmen schon einmal mit Betrug im Zahlungsverkehr konfrontiert worden?
November 2018 Sicherheit im Zahlungsverkehr 5
1. Ja, aber wir konnten es rechtzeitig feststellen
70,5%
2. Ja, und wir haben Geld verloren
13,1%
3. Nein
11,5%
4. Weiß nicht
4,9%
Vote Now
AGENDA
2 / REWE Group in a nutshell
a) Gute Stammdatenprozesse – unerlässlich b) Zentrales Bankaccount-Management
c) Payment-Strukturen & Systeme sowie Prozessdesign d) Kontoauszugsverarbeitung – zeitnah & gründlich e) Informationssicherheit / IT-Sicherheit
DIE REWE GROUP – In Handel und Touristik zuhause
7
November 2018 Sicherheit im Zahlungsverkehr
Zahlen, Daten, Fakten
Als einer der führenden Handels- und Touristikkonzerne in Europa ist die REWE Group ein ständiger Begleiter im Leben – egal, ob es um den täglichen Einkauf von Lebensmitteln, den Heimwerker- und Gartenbedarf oder den nächsten Urlaub geht.
Zur REWE Group gehören Super- und Verbrauchermärkte der Marken REWE und BILLA, der Discounter PENNY, die Baumärkte von toom Baumarkt und die BIPA- Drogeriemärkte.
Die DER Touristik Group zählt als Touristiksparte der REWE Group zu den führen- den Reisekonzernen in Europa. Sie setzt auf Markenvielfalt, bedient die Wünsche der Kunden individuell und treibt die eigene Digitalisierungsstrategie voran.
DIE REWE GROUP – Auf einen Blick
Was denken Sie: Wie gut ist Ihr Unternehmen vor Fraud-Fällen geschützt?
November 2018 Sicherheit im Zahlungsverkehr 10
1. Sehr gut
13,8%
2. Gut
47,7%
3. Mittelmäßig
33,8%
4. Schlecht
4,6%
Vote Now
AGENDA
3 / Alles beginnt im Kopf – Awareness ist der Anfang von Allem
a) Gute Stammdatenprozesse – unerlässlich b) Zentrales Bankaccount-Management
c) Payment-Strukturen & Systeme sowie Prozessdesign d) Kontoauszugsverarbeitung – zeitnah & gründlich e) Informationssicherheit / IT-Sicherheit
ALLES BEGINNT IM KOPF
12
November 2018 Sicherheit im Zahlungsverkehr
Mitarbeiter sind aufgrund hierarchischer Einordnung anfällig für scheinbar
„vertrauliche“ und eilige Anweisungen aus dem Management.
Der zunehmende Einsatz von Systemen bestärkt ein Gefühl von Sicherheit
& Professionalität und senkt das Risikobewusstsein aller Beteiligten.
Betrugsmuster sind vielen Mitarbeitern nicht im Detail bekannt. Hinweise werden aus Unkenntnis oder aufgrund Arbeitsbelastung nicht erkannt.
Awareness ist der Anfang von Allem
Awareness ist der Anfang von Allem
ALLES BEGINNT IM KOPF
Regelmäßige Sensibilisierung der Mitarbeiter zum Thema Fraud u.
Fraud-Muster (Info-Flyer, Intranet, Schulungen, Miterbeiterzeitung etc. – Infos über aktuelle Fälle). Keine „Einmalaktion“.
Kommunikation sollte anhand von aktuellen Fällen erfolgen (anonymisiert), um Praxisbezug zum Arbeitsalltag herzustellen.
Klarstellung durch Management, dass Mitarbeiter niemals mündlich oder
per Mail außerhalb der üblichen Prozesse aufgefordert werden, Zahlungsvorgänge auszulösen.
Einrichtung einer zentralen Hotline und eines E-Mail Verteilers an die Verdachtsfälle gemeldet werden können.
Awareness ist der Anfang von Allem
ALLES BEGINNT IM KOPF
14
November 2018 Sicherheit im Zahlungsverkehr
Fraud Fälle werden in aller Regel recht gut vorbereitet.
Die Urheber beschaffen sich umfangreiche Informationen (Social Engineering) über
Funktionen von möglichen Kandidaten und deren organisatorische und hierarchische Einordnung (Abhängigkeiten, „Opfer“)
laufende oder geplante Projekte inkl. Details aus der Projektarbeit
Strukturveränderungen im Unternehmen
Details zu täglichen Arbeitsabläufen, Problemen, Termindruck, Frust, Freud u. Leid etc.
Awareness ist der Anfang von Allem
ALLES BEGINNT IM KOPF
Sensibilisierung der Mitarbeiter hinsichtlich der Preisgabe von Informationen im Internet, insbesondere in Bezug auf
Einstellungen zur Privatsphäre, Posts u. Likes, Detaillierungsgrad von Business-Profilen (z.B. auf XING, LinkedIn, Facebook) etc..
Schaffung von Awareness hinsichtlich der Offenlegung von Informationen gegenüber vermeintlichen „Headhuntern“. Mitarbeitern ist oft nicht bekannt, dass sie die vertragliche Verschwiegenheitspflicht verletzen.
AGENDA
November 2018 Sicherheit im Zahlungsverkehr 16
4 / Design Systeme, Strukturen & Prozesse
a) Gute Stammdatenprozesse – unerlässlich b) Zentrales Bankaccount-Management
c) Payment-Strukturen & Systeme sowie Prozessdesign d) Kontoauszugsverarbeitung – zeitnah & gründlich e) Informationssicherheit / IT-Sicherheit
Gute Stammdatenprozesse – unerlässlich
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Es droht zunehmend das Risiko falscher Informationen über Änderung der Stammdaten (insbesondere Bankverbindung) durch
gefälschte E-Mail
gefälschte Anschreiben (Brief) oder Rechnungen
„lapidare“ Aufkleber auf Brief „neue Bankverbindung“
mündliche Information
Veränderung der erfassten Stammdaten durch unberechtigte Mitarbeiter (z.B. aus der IT) unterlaufen die Kontroll-Prozesse
Gute Stammdatenprozesse – unerlässlich
DESIGN SYSTEME, STRUKTUREN & PROZESSE
18
November 2018 Sicherheit im Zahlungsverkehr
Änderungsanforderungen nur schriftlich (auch bei Eilbedürftigkeit).
Kritische Prüfung auf Herkunft und Echtheit (Mail-Absender, Aufmachung, Aufkleber etc.)
Änderung von Stammdaten erst nach Rückbestätigung über bekannte / vorhandene Kommunikationswege (nicht Antwort-Button) und generell im Vier-Augen-Prinzip.
Strikte Berechtigungsvergabe der Pflegerechte sowie Monitoring aller Änderungen
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Oftmals existieren in multinational tätigen Gruppen eine Vielzahl
von Beziehungen mit Konten zu lokalen Banken in dezentralen Einheiten, die auch dezentral gemanagt werden.
Die Vielzahl von Bevollmächtigten sowie der relativ weite Umfang vieler Bankvollmachten stellen ein nicht zu unterschätzendes Risiko für Fraud (intern wie extern) dar.
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
20
November 2018 Sicherheit im Zahlungsverkehr
Etablierung eines zentralen Bank Account Managements zur Pflege der Bankbeziehungen und Verwaltung von Konten und Mandaten (systemunterstützt Serrala FS² eBAM).
Reduzierung der externen Bankvollmachten auf ein absolutes Minimum durch Setup einer zentralen e-banking Plattform ( Serrala FS² Payments) und Abschaltung von lokalen e-banking Einzelinstallationen.
Volle Integration der Payment-Plattform in die SAP-Systemlandschaft, keine Medienbrüche etc., kein unkontrollierter Zugriff auf Zahldateien.
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Dezidiertes Setup von Benutzergruppen und Freigaberegeln zur Sicherstellung von (mind.) 4-Augen-Prinzip auch im Rahmen der Systemadministration (Bankstammdaten etc.).
Abholung und Verteilung von Kontoauszügen in die entsprechenden Buchhaltungssysteme ausschließlich über die zentrale e-banking Plattform; Initiierung von Zahlvorgängen ebenso ausnahmslos hierüber.
Regelmäßiges Monitoring über die initiierten Zahlvorgänge zur Sicherstellung der Einhaltung der Konzernvorgaben und Mindeststandards (wenn nicht ohnehin systemisch hart „verdrahtet“).
Etablierung von „internen Embargo-Listen“ (ausgewählte Länder, Währungen) im Payment Management.
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
22
November 2018 Sicherheit im Zahlungsverkehr
Klar strukturierte Benutzergruppen u.
Freigaberegeln
Mehrstufiger, transparenter Freigabeprozess
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Konten zusammen mit Gültigkeitsstatus immer im Blick
Eingerichtete Bevollmächtigungen („Mandate“) auf Bank / Kontenbasis.
Diese Struktur wird auch zur Verwaltung von Online Accounts (z.B. PayPal) genutzt
Zentrale Überwachung der Änderungen von Bankverbindungen in SAP Geschäftspartnern
DESIGN SYSTEME, STRUKTUREN & PROZESSE
24
Oktober 2018 Sicherheit im Zahlungsverkehr
Ständige Überwachung kritischer Prozesse
(optischer u. akustischer Alert)
Drill-Down zur Analyse u.
Einleitung von Maßnahmen
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Manuelle Zahlungen sind neben Schecks eine wesentliche Schwachstelle im Zahlungsverkehr. Typische Fraud-Muster sind immer
a) Eilbedürftigkeit einer Zahlung und
b) Zahlung an eine aktuell übermittelte Empfänger-Bankverbindung, die nicht im System hinterlegt ist.
Diese Anforderungen können nur im Wege einer manuellen Zahlung oder via CpD-Kreditor und Sonderzahllauf erfüllt werden.
Die Risiken bei diesen Zahlarten sind daher sehr hoch und bei der derzeit übermäßigen Nutzung dieser Medien ist eine Einzelfallkontrolle nur sehr aufwändig möglich.
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
26
November 2018 Sicherheit im Zahlungsverkehr
Möglichst keine manuellen Zahlungen (Beschränkung auf Minimum, Kreditorische Verbuchung und Ausregulierung Regelfall). Sperrung der Nutzung des CpD-Kreditors.
Etablierung eines 6-Augen-Prinzip (zwei Augen zusätzlich zentral)
bei manuellen Zahlungen ohne Nutzung von hinterlegten Stammdaten, ansonsten 4-Augen-Prinzip.
Ablage eines Scans der freigezeichneten zahlungsauslösenden und Belege (Rechnung, Zahlungsanweisung etc.) als Anlage zur Zahlung ( Serrala FS² Payments)
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Scan des Zahlungsauslösenden
Beleges (Rechnung, Zahlungsanweisung…)
Zahlung an Kreditor (Stammdatennutzung)
Kontoauszugsverarbeitung – zeitnah & gründlich
DESIGN SYSTEME, STRUKTUREN & PROZESSE
28
November 2018 Sicherheit im Zahlungsverkehr
Neben Zahlungen, die aufgrund von gefälschten Dokumenten, Mails oder Telefonaten initiiert wurden, häufen sich auch Lastschriftabbuchungen
durch Verwendung firmeneigener Kontonummern durch Unberechtigte im Internet.
Unberechtigte Belastungen oder Belastungen mit betrügerischem Hintergrund werden unter Umständen nicht sofort erkannt durch:
nicht taggleiche Verarbeitung der Auszüge
Vereinbarung von „Monatsauszügen“
postalischer Auszugsversand wird „unterbunden“
Notwendige Maßnahmen können im Fraud-Fall nicht sofort eingeleitet werden.
Kontoauszugsverarbeitung – zeitnah & gründlich
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Sicherstellung gegenüber den Banken
a) dass neben dem Papierauszug immer auch elektronischer Auszug geliefert wird. („Schläferkonten“)
b) Auszüge bei jeder Bewegung geliefert werden (Tagesauszüge, keine Monatsauszüge) u. idealerweise an umsatzlosen Tagen ein „Nullauszug“ bereitgestellt wird.
Anweisung an die Rechnungswesen zur taggleichen, vollständigen Verarbeitung von Kontoauszügen.
Restantenverarbeitung reicht hier nicht aus (!). ( Serrala FS² AutoBank)
Sperre (SEPA SSD-Blacklist) von bestimmten Lastschriftgläubigern (ebay, Amazon …)
Informationssicherheit / IT-Sicherheit
DESIGN SYSTEME, STRUKTUREN & PROZESSE
30
November 2018 Sicherheit im Zahlungsverkehr
Gefälschte Mails mit betrügerischer Absicht gelangen in Unternehmen
und werden als solche weder systemisch noch vom Empfänger– insbesondere aufgrund gezielter Ansteuerung anfälliger Adressaten sowie vermeintlicher
„Dringlichkeit“ – erkannt.
Betrügerische Anweisungen z.B. aus dem vermeintlichen Management (CEO Fraud) werden für korrekt angesehen, es wird der Anweisung Folge geleistet und Zahlungen initiiert bzw. ausgelöst.
Informationssicherheit / IT-Sicherheit
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Systemseitige Identifikation und Separierung von Mails, die auf Fraud schließen lassen (Erkennung von Fraud-Mustern):
Mails von bekannten betrügerischen Maildomains (@consult.com…).
Mails mit Abweichungen zwischen Absender-Alias-Adresse und Response-Adresse
Vermeintlich „Interne“ Mails; diese können zum Beispiel mit einer Kennzeichnung im Betreff klar gekennzeichnet werden
Darüber hinaus Sensibilisierung der Mitarbeiter für Merkmale, die auf betrügerische Absicht des
Absenders schließen lassen. Gegenbestätigungen oder Antworten nie über „Reply-Funktion“ in Outlook.
Haben Sie Penetrationtests Ihrer Finanz-IT-Systeme durchgeführt?
November 2018 Sicherheit im Zahlungsverkehr 33
1. Ja
37%
2. Noch nicht, aber in Planung
10%
3. Nein
53%
Vote Now
Informationssicherheit / IT-Sicherheit
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Systeme und Schnittstellen im Treasuryumfeld incl.
Zahlungsverkehr sind zunehmend von Fraud und Cybercrime betroffen.
Analysen und Penetrationstests sind dringend angeraten(!).
AGENDA
November 2018 Sicherheit im Zahlungsverkehr 35
a) Gute Stammdatenprozesse – unerlässlich b) Zentrales Bankaccount-Management
c) Payment-Strukturen & Systeme sowie Prozessdesign d) Kontoauszugsverarbeitung – zeitnah & gründlich e) Informationssicherheit / IT-Sicherheit
5 / Fraud-Management Systeme – setzen da an, wo der Verstand aufhört
… setzen da an, wo der Verstand aufhört
FRAUD-MANAGEMENT SYSTEME
Bestimmte Fallkonstellationen sind so komplex, dass nur in
Kombination einzelner Sachverhalte ein Fraud-Muster erkennbar ist:
Konsequentes Unterschreiten bestimmter Freigrenzen in Kontrollprozessen.
Zahlungen an gleiches Konto mit unterschiedlichen Empfängern
Empfängerland weicht vom Empfängerbankland ab
Stammdatenänderung in Kombination mit ungewöhnlicher Zahlung
Betragsausreißer bei regelmäßigen Zahlungen an Kreditor
Durch die Zergliederung von Prozessen erscheint jede einzelne Handlung nicht verdächtig. Kritische Kombinationen oder Fallkonstellationen zuverlässig zu erkennen ist im normalen Tagesgeschäft nur sehr schwer realisierbar.
… setzen da an, wo der Verstand aufhört
FRAUD-MANAGEMENT SYSTEME
37
November 2018 Sicherheit im Zahlungsverkehr
Setup einer Art „Overlay Screening“ über die komplette Prozess- kette ( Serrala Fraud Monitor).
Definition verschiedener Kriterien und Kombinationen zur Erkennung bestimmter Fallkonstellationen.
Whitelist, um bestimmte wiederkehrende spezielle Kombinationen im 4-Augen-Prinzip für einen bestimmten Zeitraum aus der Prüfung auszunehmen.
Ausprägung von Mail-Alerts zur Initiierung einer detaillierten Prüfung sowie eines Workflows zur Ablehnung oder Freigabe von Zahlungen aus dem Alert Monitor.
Testmodus mit Darstellung des Scorings im Test- und Produktionsbetrieb zur Verprobung der Fraud-Kriterien.
AGENDA
a) Gute Stammdatenprozesse – unerlässlich b) Zentrales Bankaccount-Management
c) Payment-Strukturen & Systeme sowie Prozessdesign d) Kontoauszugsverarbeitung – zeitnah & gründlich e) Informationssicherheit / IT-Sicherheit
6 / Summary – todo‘s in Sachen Fraud
Todo‘s in Sachen Fraud
SUMMARY
39
November 2018 Sicherheit im Zahlungsverkehr
Es reicht nicht aus, sich ein einzelnes Tool in Sachen Fraud Management anzuschaffen.
Die Prozessketten müssen end-to-end betrachtet und über alle beteiligten Module gesichert werden.
Zentralisierung hilft enorm(!). Bündelung in Shared Services, möglichst eine einheitliche Systemplattform mit aufeinander abgestimmten integrierten Komponenten, einheitliche Prozesse und eine zentrale Guideline schaffen Transparenz und Sicherheit.
Bevor „high end systeme“ und „deep learning“ Ansätze zum Einsatz kommen, helfen als Basis einfache prozessuale und organisatorische Veränderungen und der normale Menschenverstand.
Zusätzlich stellen professionelle Fraud-Management Tools sicher, dass auch komplexere Fallkonstellationen erkannt und gestoppt werden.
Und: … Sie sind nie fertig(!). Es bleibt ein „Hase und Igel Spiel“.
LAST BUT NOT LEAST …
Thomas Clemens
Managing Director
REWE International Finance B.V.
Telephone: +31 77 308 1741 mobile: +49 151 5512 1550
Benjamin Altmeyer
Head of
Tresaury Process & Application Management
REWE-ZENTRALFINANZ eG Telephone: +49 221 149 1575
Vielen Dank für Ihre Aufmerksamkeit!
Ihre Fragen gerne jetzt …
… oder später bilateral.
Mit welchen Maßnahmen schützen Sie sich vor Betrug im Zahlungsverkehr?
November 2018 Sicherheit im Zahlungsverkehr 42
Vote for up to 7 choices
1. Vier-Augen-Prinzipien bei Zahlungsfreigaben
82,1%
2. Vier-Augen-Prinzipien bei Stammdatenänderungen
61,5%
3. Abschalten lokaler E-Banking-Systeme
28,2%
4. Tageslimits für Konten
17,9%
5. Reduzierung / Sicherung manueller Zahlungen
71,8%
6. Verbot beleghafter Zahlungen
48,7%
7. Mitarbeiterschulungen
82,1%
(% = Percentage of Voters)
Enter Number(s)
and Press Send
BACKUP
Backup
44
Oktober 2018 Sicherheit im Zahlungsverkehr
Die Finanzfunktion in Unternehmen verändert sich rasend schnell, wird zunehmend abstrakter und
komplexer …
… und gleichzeitig nehmen Möglichkeiten und konkrete Fraud-Angriffe
massiv zu.
(Quelle: KSta vom 23.07.18)
Zentrales Bankaccount & Payment Management
DESIGN SYSTEME, STRUKTUREN & PROZESSE
Regulierte Dateien
[2017 – ohne Netzbetrieb]
5.800 Tsd
Kontoauszüge
[2017]
115 Tsd.
Regulierte Dateien
[2017 - Netzbetrieb]
284.000 Tsd
Buchungskreise
[24.05.18]
408 aktiv
Posten / Auszüge
[migriert - geschätzt]
ca. 90 % / 95 %
Umsatzvolumen
[2017 – ohne Netzbetrieb]
150.181 Mio
Umsatzvolumen
[2017- Netzbetrieb]
10.100 Mio
Nutzer Plattform
[September 2018]
>450 User
Angeschlossene Banken / Konten
[24.05.2018]
37 / 910
Kontoauszugsverarbeitung – zeitnah & gründlich
DESIGN SYSTEME, STRUKTUREN & PROZESSE
46
Oktober 2018 Sicherheit im Zahlungsverkehr