Über Lieferanten können Unternehmen sich Risiken ins Haus holen.

photoschmidt - stock.adobe.com

15.10.21
Risiko Management

Einfallstor Lieferkette

Drittparteien können wir Konzerne Risiken bergen, denn speziell bei den Lieferanten sind Kriminelle in der Lage, Schnittstellen anzugreifen. Besonders das Treasury sollte wachsam sein.

Die Gefahr durch Cybercrime wächst: Neun von zehn Unternehmen sind laut dem Digitalverband Bitkom in diesem oder im vergangenen Jahr Opfer einer Hackerattacke geworden. Doch selbst wenn Unternehmen ihre eigene IT-Sicherheit im Griff haben, kann es durch Drittparteien zu bösen Überraschungen kommen, denn sie haben Zugang zu wertvollen Daten und oft auch zum Firmennetzwerk: „Der Angriff geht dann über das schwächste Glied in der Kette“, sagt etwa Alexander Geschonnek, Partner bei KPMG. „Das gilt auch, wenn sich der Angreifer über den Umweg des Dienstleisters Zugang zum Firmennetzwerk verschafft, weil der direkte Weg zu stark abgesichert ist.“

Treasury muss eigene Richtlinien einhalten

Der KPMG-Berater sprach bei dem Digital Summit des Instituts der Wirtschaftsprüfer in Deutschland (IDW) vor wenigen Tagen ausführlich zu diesem Thema. Speziell Treasurer stünden im Fokus der Hacker, weil sie Systemberechtigungen haben, um Finanztransaktionen auszuführen, sagt Geschonnek. Kriminelle ändern gerne Kontodaten und leiten die eigentlich für Lieferanten gedachten Zahlungen auf ihre Konten um, auch bekannt als Payment Diversion. Umso wichtiger ist es, dass Treasury-Abteilungen Zugriffsberechtigungen einführen und auch auf das Vieraugenprinzip setzen.

Geschonnek mahnt aber, eingeführte Kontrollmechanismen auch wirklich nachzuhalten: „Die Frage ist, welche Kontrollen vorgeschaltet sind und ob das Vieraugenprinzip als wirksame Kontrolle gelebt oder nur als ,blindes Abhaken' gesehen wird“, sagt der Experte. „Es kann vorkommen, dass die täglichen 49 Kreditorenstammdatenänderungen ordentlich vorgenommen wurden und die letzte Änderungsanfrage per E-Mail am Freitagnachmittag dann doch ohne Nachkontrolle beziehungsweise Rückfrage beim Lieferanten noch schnell umgesetzt wurde, ohne auf den Schreibfehler in der Firmierung oder die fehlende Legitimation für eine solche Änderung zu achten.“

Ungewöhnliche Anfragen - auch am normalen Prozess vorbei - sollten stets kritisch hinterfragt werden. „Hierzu muss im Unternehmen eine Rückfrage möglich sein, und diese darf nicht zur Verärgerung führen.“

Notfalls zum CFO hocheskalieren

Treasurer, die Mängel bei sich in der Abteilung wähnen, sollten Druck auf obere Gremien ausüben. „Die Bedrohungen aus Cybercrime sollten von den Vorständen und Geschäftsführern ernst genommen werden“, sagt Melanie Sack, geschäftsführendes Vorstandsmitglied des IDW.

„Das Thema Cybersicherheit gehört dann regelmäßig auf die Tagesordnung einer Vorstandssitzung.“ Die Verantwortung für die Cybersicherheit sei eine höchstpersönliche Pflicht des Vorstands und Geschäftsführers, die auch nicht delegiert werden könne.

Eich[at]derTreasurer.de