Bottomline: Cybersecurity – Lehren aus dem Angriff auf die Cosmos Bank
2019 ist noch jung – aber das Thema Cybersecurity hat es bereits in die Schlagzeilen geschafft. Als Unternehmen, das sich tagtäglich mit dem Thema Cybersecurity beschäftigt, ist mir beim Lesen der Artikel wieder der Cyberangriff auf die Cosmos Bank in Indien eingefallen. Ich erinnere mich, wie entmutigt und beunruhigt wir die Schlagzeile über den Cyberangriff auf die Cosmos Bank in Indien lasen: Indiens Cosmos Bank verliert 13.5 Millionen Dollar durch Cyberangriff.
Wann hat unsere Industrie ihre Sensibilität für diese Art von Enthüllung verloren? Vor noch nicht allzu langer Zeit hätten der Schock und die berechtigte Sorge, die eine solche Geschichte auslöst, für viel Aufruhr gesorgt. Heutzutage jedoch beobachte ich oft nicht viel mehr als ein Schulterzucken als Reaktion – was auf die fatalistische Grundhaltung hindeutet, dass Hacker immer gewinnen und es folglich wenig gibt, was man ihnen entgegensetzen kann.
Wie ich veranschaulichen werde, trifft diese Auffassung nicht zu. Zunächst einmal werfen wir aber einen weiteren Blick auf die Details des Raubüberfalls auf die Cosmos Bank:
- Die indische Cosmos Bank verlor fast 944 Millionen Rupien (13.5 Millionen Dollar) durch simultan ausgelöste Auszahlungen an Geldautomaten in 28 Ländern.
- Die Kundeninformationen wurden bei einem Malware-Angriff auf die Geldautomaten gestohlen (14’849 Transaktionen in etwas mehr als 2 Stunden).
- Ein Teil des Angriffs ereignete sich, als die Hacker 139 Millionen Rupien (1.9 Millionen Dollar) auf ein Konto in Hongkong überwiesen, indem sie unbefugte Transaktionen über das SWIFT-Netzwerk ausführten.
Diese Details sind an sich schon schlimm genug. Sie gesellen sich jedoch zu einem weiteren Fakt, der im jüngsten, von Bottomline Technologies gesponserten UK Business Payments Barometer aufgedeckt wurde: Von all dem Geld, das in den von den befragten Teilnehmern gemeldeten Betrugsfällen gestohlen wurde, erhielten die Betroffenen weniger als die Hälfte zurück.
Doch die Rückforderung der Mittel ist nur die halbe Herausforderung, vor der die Cosmos Bank steht. Eine noch grössere Hürde wird es sein, den erlittenen Reputationsschaden (was bei Betrugsangriffen gern und geflissentlich ignoriert wird) zu beheben. Für Cosmos wird das besonders schwierig, denn die Bank war bereits im Februar des letzten Jahres von drei betrügerischen Überweisungen in der Höhe von insgesamt fast 2 Millionen Dollar, die ebenfalls über das SWIFT-Netzwerk getätigt wurden, betroffen.
Es ist wirklich schwer nachvollziehbar, warum Unternehmen immer wieder in solche Situationen geraten. Sie machen sich unnötig zu Opfern.
Das ist auch deshalb erstaunlich, weil die Statistiken im «2018 Treasury Fraud and Controls Report» der renommierten Beratungsagentur «Strategic Treasurer» – einer Organisation, die im Rahmen ihrer Forschung regelmässig sowohl mit Banken, Regierungsinstitutionen, als auch mit Unternehmen zu tun hat – aufzeigen, dass einige wichtige Massnahmen zur Betrugsbekämpfung in die richtige Richtung gehen. Unternehmen nehmen die Bedrohung durch Betrug endlich nicht nur ernst, sondern ergreifen auch Massnahmen, um sich zu schützen. Im Vergleich zu 2017:
- waren 84% der Befragten der Ansicht, dass die Bedrohung durch Cyber- und Zahlungsbetrug zugenommen hat.
- Sahen sich 61% der Unternehmen aber besser für die Betrugsbekämpfung gerüstet.
Passt das zusammen? Einerseits erkennen Unternehmen die Bedrohung durch betrügerische Machenschaften und leiten Schritte zu deren Bekämpfung ein, andererseits geschehen Angriffe wie derjenige auf die Bangladesh Bank im Jahr 2016, auf die Banco de Chile Anfang 2018 und zuletzt auf die Cosmos Bank mit erschreckender Regelmässigkeit. Der folgende Kommentar von Strategic Treasurer passt da zweifellos ins Bild: «Trotz mehr Sensibilität und höheren Investitionen hat sich gezeigt, dass Unternehmen weitgehend unvorbereitet sind auf diese besser organisierte, strategisch durchdachtere und länger anhaltende Bedrohung.»
Sich selbst einzugestehen, ein mögliches Betrugsproblem zu haben, ist definitiv der erste Schritt zur Lösung dieses Problems. Aber das Eingeständnis allein ist noch keine Lösung. Es geht auch nicht einfach nur darum, Budget bereitzustellen. Zwar ist es ermutigend zu lesen, dass die Budgets für Betrugsbekämpfung gemäss dem 2018 AFP Survey von J.P. Morgan im Jahresvergleich konstant bleiben. Trotzdem ändert dies nichts an der Tatsache, dass 78% der Unternehmen 2017 von Zahlungsbetrug waren.
Noch beunruhigender ist, dass laut KPMG in vielen der Betrugsfälle interne Nutzer beteiligt waren. Dies verdeutlicht, dass die Gefahr von Betrug jederzeit und von allen Richtungen ausgehen kann.
Und weil falsche Ansätze verfolgt werden, bleibt Betrug eine unüberwindbare Gefahr.
Stellen Sie sich folgende Situation vor: Draussen ist es eiskalt. In Ihrem Holzofen brennt ein loderndes Feuer, der Thermostat ist hochgedreht und Sie tragen Ihren Lieblings-Skipullover. Scheinbar haben Sie bereits alles Mögliche versucht, aber Ihre Finger sind noch immer kalt. Was könnte das Problem sein? Die Fenster sind weit geöffnet – kein gutes Erfolgsrezept! Sie können sich natürlich unter all den Decken, die Sie finden können, verkriechen. Solange Sie aber die eigentliche Problemursache nicht beheben, scheint die drohende Unterkühlung unvermeidlich zu sein.
Dasselbe gilt für die Bekämpfung von Finanzbetrug. Das Bereitstellen von finanziellen Mitteln mag sich befriedigend anfühlen und produktiv erscheinen – und es könnte das Problem in einigen Bereichen unter Umständen sogar eindämmen. Aber solange Sie diese Mittel nicht dazu verwenden, alle Lücken zu schliessen und damit das eigentliche Problem anzugehen, wird kann Ihr Unternehmen weiterhin Opfer von Zahlungsbetrug werden.
Unternehmen können sich besser vor Betrug schützen, wenn sie ihn rechtzeitig erkennen und stoppen. Ermöglicht wird dies durch eine genaue Untersuchung potenzieller Schlupflöcher in Bezug auf ihre Mitarbeiter, ihre Prozesse und ihre Technologie. Durch das richtige Kombinieren von Technologie, einem stringenten Prozess und einer Kultur der Sorgfalt können Sie einen viel umfassenderen und proaktiveren Ansatz verfolgen.
Dies mag nach einer zwar einleuchtenden aber zugleich auch unrealistischen Taktik klingen. Doch mit den ausgeklügelten Verhaltens- und Transaktionsüberwachungslösungen, die heute verfügbar sind, ist dies durchaus möglich und einfach umzusetzen. Eine proaktive Verhaltensüberwachung in Kombination mit einer Transaktionsüberwachung ist zweifellos die beste Methode, um finanzielle Verluste und Reputationsschäden in Zusammenhang mit einem Betrugsfall zu vermeiden (ganz zu schweigen davon, dass diese Methode auch besser auf zukünftige Bedrohungen vorbereitet). Lösungen wie diese nutzen die neuste Technologie des maschinellen Lernens, um zu verstehen, welche Aktivitäten sicher und regulär sind und welche nicht, um sofort auf verdächtige Aktivitäten aufmerksam zu machen und um potenziell betrügerische Transaktionen zu stoppen, bevor diese überhaupt Schaden anrichten können.
Es liegt in der Verantwortung eines jeden Unternehmens, jede einzelne Zahlung, die durch die Hände seiner Mitarbeitenden geht, zu sichern – überlassen Sie nichts dem Zufall! Und denken Sie auf keinen Fall, dass Ihre Betrugsbekämpfung mit dem Versenden eines End-of-Day-Berichts erledigt ist – denn am Ende des Tages ist es bereits zu spät, die richtigen Schritte einzuleiten. Schliessen Sie diese Lücken und investieren Sie Ihr Budget im Bereich Betrugsschutz dort, wo es am meisten bringt. Indem Sie das Problem an der Wurzel packen und Betrug verhindern, bevor er geschieht. (Bottomline/mc/ps)
Über Bottomline Technologies
Bottomline Technologies (NASDAQ: EPAY) macht den komplexen geschäftlichen Zahlungsverkehr einfacher, smarter und sicherer. Tausende von Unternehmen und Banken auf der ganzen Welt vertrauen auf die Lösungen von Bottomline für den nationalen und internationalen Zahlungsverkehr, effizientes Cash-Management, automatisierte Workflows zur Zahlungsabwicklung und Rechnungsprüfung, modernste Betrugserkennung, Verhaltensanalyse und regulatorische Compliance-Lösungen. Das Unternehmen hat seinen Hauptsitz in Portsmouth, New Hampshire, USA. Es betreut seine Kunden über Niederlassungen in den Vereinigten Staaten, in Europa und in der Asien-Pazifik-Region. In der Schweiz unterstützt Bottomline seine Kunden mit einem engagierten, hochkompetenten Team aus Genf. Weitere Informationen finden Sie auf www.bottomline.com.
Firmeninformationen zu Bottomline Technlologies in der Schweiz bei monetas