top of page

Betrug: Risiken erkennen, gezielt handeln

  • klauskilvinger
  • 9. Mai
  • 3 Min. Lesezeit

Ein Unternehmen kam zu uns, es ist einer falschen Rechnung aufgesessen und hat 90.000 Euro an einen Fake-Account überwiesen. Das Geld hat man nie wieder gesehen. Was wurde versäumt?


Vereinfacht gesagt gab es Mängel in den Prozessen, daher ist man auf eine betrügerische Änderung des Bankkontos hereingefallen, man hat diese wesentliche Stammdaten-Änderung nicht mit einem Cross-Check geprüft!


Das wäre also leicht zu verhindern gewesen!


Was ist Fraud im Kontext der Informationssicherheit?


Unter "Fraud" (Betrug) versteht man die vorsätzliche Täuschung, um sich oder Dritten einen unrechtmäßigen Vorteil zu verschaffen – oft auf Kosten des Unternehmens oder seiner Kunden.


Das ist längst kein Randthema mehr im Informationssicherheitsmanagement – er ist eine reale und wachsende Bedrohung für Organisationen in allen Branchen. Angesichts der Risiken und regulatorischen Anforderungen und Normen wie ISO/IEC 27001, TISAX, DORA oder NIS2 ist es für Unternehmen entscheidend, Fraud-Risiken systematisch zu erkennen und zu adressieren.


Typische Fraud-Szenarien im Informationssicherheitskontext sind:


  • CEO Fraud / Business Email Compromise (BEC): Angreifer geben sich per Social Engineering als Geschäftsführung aus und veranlassen Überweisungen.

  • Manipulation von ERP- oder Buchungssystemen: Z. B. durch Insider, die Rechnungen oder Zahlungsempfänger ändern.

  • Gefälschte Lieferantenrechnungen / Zahlungsumlenkung

  • Zugangsmissbrauch durch (Ex-)Mitarbeiter

  • Data Leakage zur persönlichen Bereicherung

  • Betrug über kompromittierte Drittsysteme (Lieferkette)


Warum ist Fraud ein Thema im ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001, TISAX oder die Regulatorik gem. NIS2 / DORA betrachtet Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.


Fraud zielt in vielen Fällen genau auf:

  • Integrität (z. B. manipulierte Daten)

  • Vertraulichkeit (z. B. gestohlene Kundendaten)


Somit gehört Fraud zwingend zur Risikoanalyse sowie zum Vorfallmanagement und Business Continuity.


Interner Betrug

Interner Fraud ist ein hochrelevantes, aber oft tabuisiertes Thema. Wer frühzeitig vorbeugt, schützt sich wirksam gegen eine der realistischsten Quellen für Informationssicherheitsvorfälle.


Denn rund 50–70 % aller Betrugsfälle in Unternehmen haben ihren Ursprung im Inneren der Organisation. Aktive oder ehemalige Mitarbeiter sowie externe Dienstleister mit Systemzugriff stellen ein erhebliches Risiko dar, das wird häufig unterschätzt.


Typische Risiken durch Insider sind aktive Mitarbeiter:


  • Unautorisierte Überweisungen oder Rechnungsmanipulation

  • Datendiebstahl oder Weitergabe an Dritte

  • Missbrauch administrativer Rechte

  • Manipulation von Geschäftsdaten (z. B. Kundenstammdaten, Buchungssätze)


Relevant sind auch ehemalige Mitarbeiter:


  • Nutzung nicht gesperrter Konten

  • Zugriff auf Cloudsysteme (z. B. Google Drive, Dropbox)

  • Vergeltungshandlungen (Sabotage, Löschung, Rufschädigung)


Auch Externe mit Zugriff können Risiken bergen:


  • Dienstleister oder Lieferanten mit unkontrolliertem Zugang

  • Shared Accounts oder unzureichende Logging-Maßnahmen


Gegenmaßnahmen

Technisch:


  • Sofortige Sperrung von Zugängen beim Offboarding

  • Privilegierte Nutzer regelmäßig überwachen

  • Rollentrennung und Least-Privilege-Prinzip umsetzen

  • Logging und SIEM-Integration für administrative Tätigkeiten


Organisatorisch:


  • On-/Offboarding-Checklisten mit IT-Fokus

  • Quartalsweise Rechte-Reviews

  • Schulungen zu Insider-Bedrohungen und Vertraulichkeit

  • Vertraulichkeitserklärungen mit rechtlichen Konsequenzen



Wichtig: Interne Bedrohungsszenarien in der Risikoanalyse berücksichtigen!

Daher empfiehlt sich eine regelmäßige Sensibilisierung in kritischen Abteilungen (Finanzen, IT, Einkauf) und Durchführung einer jährlichen "Insider Threat Simulation".



Allgemeine Lösungsansätze und Maßnahmen zur Betrugsprävention

Ein wirksames Fraud-Risikomanagement erfordert je nach Risikoeinschätzung einen Mix aus einem Bündel technischer, organisatorischer und prozessualer Maßnahmen:


Starke Zugriffskontrollen

  • Mehr-Faktor-Authentifizierung (MFA)

  • Trennung von Rollen (z. B. Vier-Augen-Prinzip bei Zahlungen)

  • Begrenzung von Admin-Rechten (Least Privilege)

Security Awareness & Schulung

  • Regelmäßige Schulungen zu Social Engineering

  • Simulierte Phishing-Kampagnen

  • Awareness zu Lieferantenbetrug und CEO-Fraud


Monitoring & Anomalieerkennung

  • Einführung eines Security Information and Event Management (SIEM)

  • Echtzeit-Erkennung auffälliger Transaktionen

  • Machine-Learning-basierte Fraud Detection Tools


Richtlinien & Verfahren

  • Klare Anti-Fraud Policy

  • Verfahren für Whistleblowing und anonyme Hinweise

  • Interne Kontrollsysteme (IKS) auch im IT-Bereich

  • Klare Regeln für Zahlungsverkehr, z. B. besondere Checks bei Änderung von Kontoverbindungen und wichtigen Stammdaten sowie Kommunikationskanälen


Lieferanten & Partner

  • Vertragsklauseln mit Fraud-Vorbeugung (z. B. bei Cloud-Diensten)

  • Drittrisikoanalyse (Third-Party Risk Management)

  • TISAX- oder ISO-Zertifizierungen als Anforderung an Lieferanten


Vorfallmanagement und Forensik

  • Klar definierter Incident-Response-Prozess

  • Sofortmaßnahmen-Richtlinien bei Verdacht auf Fraud (z. B. Kontensperrung)

  • IT-forensische Beweissicherung


Fazit

Fraud ist kein reines Finanzthema mehr – es ist ein zentrales Risiko des Unternehmens und auch der Informationssicherheit. Unternehmen, die auf ISO 27001, TISAX, NIS2 oder DORA setzen, müssen Fraud in ihre Sicherheitsstrategie integrieren.

Die gute Nachricht: Viele Maßnahmen gegen Fraud lassen sich in bestehende ISMS-Strukturen integrieren – mit überschaubarem Aufwand und klar messbarem Mehrwert.


Unser Angebot

Fraud Risk Assessment Workshop inkl. Bewertung typischer Fraud-Szenarien, Prüfkatalog und Maßnahmenplan.

 
 
 

Comments

bottom of page