Es ist unbestritten, dass neue Technologien wie EBICS oder ISO 20022 einen erheblichen Mehrwert schaffen. Wie sieht Ihre Vorgehensweise aus, um sich vor Cyberattacken und Betrugsfällen zu schützen? Cyberattacken sind von Fall zu Fall sehr unterschiedlich und werden sich im Laufe der Jahre noch stark verändern. Allerdings haben alle diese Angriffe ein gemeinsames Ziel: Sie versuchen eine nicht erwünschte Zahlung zur Bank zu senden.
1. Durch eine falsche Organisation Ihrer Informatiksysteme
Sämtliche vertraulichen Zahlungsdateien werden durch Ihr Informatiksystem erstellt, verwaltet und zur Bank übermittelt. Aber können Sie die Sicherheit dieser Dateien gewährleisten? Können Sie sicherstellen, wer innerhalb oder sogar ausserhalb Ihres Netzwerks Zugriff auf diese Daten hat?
Um reibungslos und mit aller Sicherheit mit Ihren Banken zu kommunizieren, müssen Sie sicherstellen, dass Unbefugte weder eine Zahlung erfassen noch autorisieren und schon gar nicht versenden können. Dies können Sie nur durch die ganzheitliche Administration der verschiedenen Akteure. Für sämtliche Software (ERP, HR, Buchhaltung, Travel Expenses) müssen Berechtigungskonzepte vorliegen, die regeln, welcher Benutzer welche Tätigkeiten ausüben darf.
Ihr Netzwerk muss zumindest durch Virenscanner, Firewall, aktueller Software und zentralem Berechtigungsverzeichnis (Active Directory) geschützt werden. Eine unberechtigte Person sollte niemals Zugriff auf Ihr internes Netzwerk haben können. Jede Software, die mit Zahlungsströmen zu tun hat, muss ein sicheres Berechtigungskonzept enthalten, das anhand kollektiver Freigabe und Vier-Augen-Prinzip niemandem ermöglicht, eine Zahlung allein zur Bank zu versenden. Zusätzlich muss gewährleistet sein, dass eine Zahlungsdatei nie ausserhalb einer sicheren Payment Software automatisch oder manuell geändert oder gelöscht werden kann.
Ihre Bank kann Ihnen auch behilflich sein, indem sie Ihnen eine „Verteilte Elektronische Unterschrift“ (VEU) anbietet. Der Vorteil der VEU liegt darin, dass die Freigabe auf mehrere Geräte verteilt werden kann. Hierdurch lässt sich das Risiko einer Trojanerattacke deutlich senken. Die Wahrscheinlichkeit, dass ein Angreifer die Kontrolle über zwei verschiedene Geräte erlangt ist noch geringer, wenn sie sich nicht am selben Standort befinden.
Manche Software-Anbieter bieten heute nur interne Autorisierungen an. Die VEU ermöglicht Ihnen zusätzliche Sicherheitskontrollen zur Bank zu verlagern und somit den Risikofaktor mit einem Vertrauenspartner zu teilen. Ihre interne IT sicher zu machen ist natürlich der erste Meilenstein, den sie erreichen müssen. Aber reicht das, um Ihren Zahlungsverkehr zu sichern?
2. Mangelhafte Sensibilisierung der Mitarbeiter
Die zweite grosse Lücke liegt unmittelbar bei den Mitarbeitern, die einen möglichen Betrugsversuch sofort erkennen müssen. Vertrauenserschleichung, Identitätsdiebstahl, Lastschriftbetrug wie auch Phishing-Attacken sind Bedrohungen, wovor man durch regelmässige Ausbildungen schützen kann. Ein nicht ausreichend sensibilisierter Mitarbeiter kann ein grösseres Sicherheitsrisiko darstellen als ein ungenügend geschütztes Computer-System.
Neben technischen Massnahmen zur Erhöhung der Sicherheit eines Netzwerks ist vor allem das richtige Verhalten jedes einzelnen Benutzers von entscheidender Bedeutung. Dies umfasst beispielsweise Passwortrichtlinien, auf Vertrauenswürdigkeit der Emails und Webseiten zu achten, sich immer ordentlich aus Applikationen auszuloggen und den Computer zu sperren, wenn der Arbeitsplatz verlassen wird. Besonders wichtig ist dies beim Umgang mit Zahlungs-Software.
Reichen aber eine gut organisierte IT und geschulte Mitarbeiter aus?
3. Durch fehlende technische Sicherheitsfeatures
Sie haben Ihr Sicherheitskonzept durchdacht, Ihre Mitarbeiter sind dank qualitativer Schulungen auf Risiken sensibilisiert, aber benutzen Sie auch eine zeitgemässe Technologie? Eine starke Authentifizierung (zum Beispiel durch USB Token, Kartenleser usw.) kann Ihre IT-Systeme vor Identitätsdiebstahl schützen, da ohne entsprechende Hardware nicht auf das System zugegriffen werden kann. Diese Technologien können sowohl auf Betriebssystemebene als auch softwarespezifisch eingesetzt werden.
Unterstützt Ihr Software-Anbieter VEU? Mit Hilfe der verteilten elektronischen Unterschrift haben Sie die Möglichkeit das Risiko auf mehrere Geräte zu verteilen. Die Autorisierung von Zahlungsaufträgen mit einer Mobile-App, Zweitunterschrift(en) via E-Banking und sogar limitengesteuerte Freigabeberechtigungen können zu mehr Sicherheit beitragen.
Sind Ihre Zahlungsdateien im Netzwerk verschlüsselt und können sämtliche Änderungen nachverfolgt werden? Kryptographie, MD5-Algorithmen und dessen Hashwerte können dabei helfen, Dateien ausserhalb einer ZV-Software unbrauchbar zu machen. Dazu kann automatische Kopiersoftware behilflich sein, bei Schnittstellen eine Datei gar nicht auf einem Laufwerk hinterlegen zu müssen.
Der Markt bietet zahlreiche Lösungen, um sich vor Angriffen im Bereich Zahlungsverkehr zu schützen. Nicht jede Lösung ist aber die richtige.
Wir bei PPI Schweiz möchten Sie darauf aufmerksam machen, dass Sie für einen sicheren Zahlungsverkehr ein klares Bild Ihrer Prozessketten und Ihrer individuellen Architektur benötigen. Sie brauchen eine gute Organisation Ihrer Informatiksysteme, geschulte Mitarbeiter und den Einsatz der für Sie passenden Tools und Technologien.
Was sollte beim Security Check alles berücksichtigt werden? |
Hier finden Sie weitere Informationen zum Security Check.
Dieser Beitrag wurde von Julien Lacombe, PPI Schweiz, gepostet.
Julien ist Experte für Cash Management und Zahlungsverkehr. Er verfügt über weitreichende internationale Erfahrung und kennt die Bedürfnisse der Firmenkunden und Finanzinstitute.
Aktuell unterstützt er Kundenprojekte zur Harmonisierung des Zahlungsverkehrs, ISO20022 und EBICS.
#CyberCrime #SecurityCheck #Digitalisierung
0 Kommentare:
Kommentar veröffentlichen