Gefälschte PDF-Rechnungen verursachen Millionenschaden - Wie kann ich mich schützen?

Unternehmen erhalten immer wieder falsche oder manipulierte Rechnungen. Wie Sie Ihr Unternehmen davor schützen können, zeigen wir Ihnen. 

Die Bedrohung durch Hacker und Malware nimmt weiterhin zu. So verzeichnete das National Cyber Security Center (NCSC) der Schweiz auch 2022 und 2023 wieder bis zu 954 wöchentliche Schadensmeldungen. Rund 2/3 dieser Meldungen gehören allein zur Kategorie Betrugsversuch. 

Das höchste Schadenspotenzial wurde neben Ransomware bei der Rechnungsmanipulation (Business-E-Mail-Compromise) festgestellt. Im ersten Halbjahr 2022 erhielt das NCSC allein 47 Meldungen mit einer Schadenssumme von insgesamt 2,3 Mio. Schweizer Franken.

Aber auch beim Investment-Betrug wurden Schäden von insgesamt mehr als 3 Mio. Schweizer Franken gemeldet.

Wie können Unternehmen sich effizient schützen?

Die erste Regel lautet immer: Vertrauen Sie niemandem! Auch wenn Ihr Unternehmen bereits seit Jahren mit bestimmten Partnern und Lieferanten zusammenarbeitet, ist Vorsicht geboten. 

So könnten Hacker, die z. B. in den Account eines Lieferanten eingedrungen sind, Rechnungen an Ihr Unternehmen kopieren und verändern. So stellte das NCSC 2023 bereits etliche Rechnungsmanipulationen mit QR-Codes fest. Meistens werden IBAN-Nummer und QR-Code gleichzeitig geändert. Die Rechnung sieht täuschend echt aus. Mit einer fadenscheinigen Begründung wird dann begründet, dass sich das Empfängerkonto geändert hätte. Dabei kann sich das angegebene Konto sogar in der Schweiz befinden – was es noch schwerer macht, den Betrugsversuch zu entdecken. 

Wie lassen sich Rechnungsmanipulationen erkennen. Wir haben bei Banken und bei Finanzexperten nachgefragt:

1.    Verwenden Sie immer Auftrags- und Lieferantennummern.
2.    Das Vier-Augen-Prinzip kann helfen, mögliche Manipulationen zu entdecken. Wenn die Zahlungen im E-Banking               erfasst werden, sollte eine Zweitperson diese kontrollieren und freigeben. 
3.    Keine Zahlungen ohne Rechnungsbeleg – selbst dann, wenn der CEO am Wochenende das per E-Mail oder                         telefonisch veranlasst.
4.    Neue Bankverbindungen sollten immer noch einmal vom Partner oder Lieferanten verifiziert werden.
5.    Alle Mitarbeitenden vor allem in den Finanzabteilungen sollten für diese möglichen Angriffsweisen sensibilisiert                 werden.
6.    Bei verdächtigen Rechnungen oder Aufforderungen lieber telefonische Rücksprache halten.
7.    Prozesse, die den Zahlungsverkehr betreffen, müssen firmenintern klar geregelt sein.
8.    Keine internen Informationen preisgeben. Seien Sie kritisch, wenn sich jemand per E-Mail oder telefonisch als                     Mitglied der Geschäftsleitung oder des Vorstands ausgibt. 

Vorsicht vor E-Banking-Schadsoftware

Viele Unternehmen erhalten regelmässig vermeintliche E-Mails von Kunden oder Partnern, in denen sie aufgefordert werden, eine Datei zu öffnen. Angeblich handelt es sich dabei um eine falsche Rechnung, die korrigiert werden müsste. Doch Vorsicht!

Auch das Öffnen des Anhangs oder des Links eines vermeintlichen Partners kann dazu führen, dass Schadsoftware installiert wird. Wenn festgestellt wird, dass es eine manipulierte Seite war oder etwas plötzlich heruntergeladen wurde, sollte sofort die IT informiert werden. So lange darf der Computer nicht mehr genutzt werden. Erst nach einem ausführlichen Schadsoftware-Scan und der Freigabe durch einen erfahren IT-Sicherheitsmitarbeiter, kann der Computer wieder eingesetzt werden. 

Und wenn doch etwas passiert ist?

Sollte eine Zahlung getätigt worden sein, die im Nachhinein Fragen aufwirft, wenden Sie sich umgehend an die Bank. Diese kann ggf. die Zahlung rückgängig machen. 

Darüber hinaus wird empfohlen, sich an die verantwortliche Kantonspolizei zu wenden und Strafanzeige zu erstatten. Natürlich sollte auch der Absender (wenn es ein Partner oder Dienstleister ist) darüber informiert werden, dass es zu manipulierten Rechnungen kam.

Wie lässt sich vorbeugen, damit Betrüger keine Chance haben?

Natürlich gibt es auch viele technische Massnahmen, die den Zahlungsprozess sicherer machen. Zu den wichtigsten gehören:

• Multi-Faktor-Authentifizierung für alle Nutzer
• Leuchter Secure Mail für sicher verschlüsselte E-Mails
• Leuchter CLOUD SpamGuard (Schutz vor Spam mit zentralem Management und Quarantäne-Funktion)
• Leuchter CLOUD Antivirus: Schutz vor Malware (für Clients und Server)
• Leuchter Cyber Security Operations Center (SOC) für proaktives Monitoring der IT-Infrastruktur und sofortige Benachrichtigung, Bearbeitung und Beseitigung bei Sicherheitsvorfällen. 
• Leuchter IT Cyber Security Audit Regelmässige umfängliche Security Audits inkl. Reporting
• Security Awareness Trainings zum Sensibilisieren der Mitarbeitenden

Doch ganz gleich, welche Sicherheitslösungen Sie einsetzen, um sich vor Rechnungsmanipulation zu schützen – der Faktor Mensch ist immer das schwächste Glied in der Kette. Selbst die besten IT-Security-Lösungen bringen nichts, wenn die Mitarbeitenden sich nicht daranhalten oder Vorgesetzte diese umgehen. 

Aus diesem Grund empfehlen wir neben einem Security Audit ein Security Awareness Training, um die Mitarbeitenden zu schulen und für dieses Thema zu sensibilisieren. Bei diesem Training werden den Teilnehmenden auch Rechnungsmanipulationen vorgelegt, die diese erkennen müssen. Auf diese Weise treffen Sie die besten Vorkehrungen, um sich gegen Betrugsversuche im Internet zu schützen. 

Um einen umfänglichen Schutz der IT-Infrastruktur zu bieten, empfehlen wir auch den Einsatz vom Leuchter IT Cyber Security Operations Center. Mithilfe diesem können Schwachstellen im Unternehmen minimiert und Angriffe rechtzeitig erkannt und beseitigt werden.