Lastschriftbetrug, Fake-Shops, Phishing und Datenklau: Was sollten Steuerberater jetzt wissen?

Wirtschafskriminalität online ist kein neues Phänomen

Wissen ist das wichtigste Werkzeug, um finanzielle Schäden und Reputationsrisiken gezielt zu begrenzen. Wenn Sie Ihre Mandanten informieren und beraten, sollten Sie sich auch mit digitaler Wirtschaftskriminalität auskennen und dieses Wissen strategisch weitergeben können. Denn besonders gefährlich ist an den neuen Methoden der Online-Angreifer, dass sie nicht nur Websites hacken und missbrauchen, sondern in administrative Routinen eingreifen und über Online-Shops, den Zahlungsverkehr und andere scheinbar sichere und vertraute Wege vorgehen. Täter professionalisieren sich, haben klare Geschäftsmodelle des Kriminellen – wer nicht versteht, wie Lastschriftbetrug, Phishing und Fake-Shops funktionieren, kann keine fundierten Entscheidungen treffen.

Augen auf bei Lastschriften: Lastschriftbetrug nimmt zu

Es ist komfortabel und eine etablierte Methode. Doch das SEPA-Lastschriftverfahren kann gerade durch den routinierten Einsatz zum Angriffspunkt werden und da Firmenkunden für einen Rückruf der Lastschrift oft an andere vertragliche Bedingungen gebunden sind, kann ein Missbrauch zum unmittelbaren Liquiditätsrisiko werden:

Gestohlene oder erratene Kontodaten werden für Abbuchungen genutzt, die in automatisierten Prozessen zunächst durchrutschen. Dienstleister, die nur legitim wirken und es nicht sind, buchen in überhöhter oder unberechtigter Höhe ab – oft in kleinen Beträgen, um unterhalb der Wahrnehmungsschwelle zu bleiben und wiederkehrende Abbuchungen von „Abo-Fallen“ laufen über Monate weiter, wenn Kontoauszüge nur oberflächlich geprüft werden.

Wichtig: Banken erwarten im Normalfall von einem Geschäftskunden ein höheres Maß an Sorgfalt. Im Streitfall sieht es schlecht aus für den Unternehmer, der den Missbrauch erst nach Wochen oder Monaten bemerkt: In Kombination mit automatisierten Buchhaltungsprozessen können betrügerische Abbuchungen viel zu lange unbemerkt bleiben. Die engmaschige Überwachung aller Kontobewegungen ist nicht nur ein Buchhaltungsthema, sondern gehört zum Risikomanagement.

Vorne Täuschung, hinten Datenklau: Fake-Shops erkennen

Sie sehen leider täuschend echt aus und werden immer besser: Fake-Shops sind professionell aufgesetzt und missbrauchen durch täuschend echte Kopien etablierter Handelsmarken. Fatal für die Marken, fatal für die Käufer – denn Fake-Shops sammeln wertvolle vertrauliche Daten wie Kontoinformationen, Passwörter, Adressdaten in Kombination, Zahlungsdaten.

Statt verlockend günstiger Ware erwerben Käufer einen finanziellen Verlust und haben leider nebenbei Kriminellen wesentliche Daten geliefert. Besonders riskant immer dann, wenn bestimmte Mitarbeitende formlos mit dem Einkauf beauftragt sind. Besser ist ein Einkaufsprozess mit Prüfkriterien und dem Check, ob ein Anbieter vertrauenswürdig ist.

Auch Phishing hat leider eine Evolution durchlaufen

Es ist noch nicht sehr lange her, da waren Phishing-Mails daran zu erkennen, wie schlecht der Betrugsversuch war. Das macht es umso gefährlicher, dass sie inzwischen keine generischen Ansprachen und schlimme „Formfehler“ mehr enthalten, sondern klar und professionell wirken. Mehrere Millionen solche Angriffe landen jährlich in deutschen Posteingängen, täuschend echt aufbereitet und mit guten Zeitfenstern und handlungsauslösender Ansprache: „Bestätigen Sie jetzt, wenn Sie weiterhin …“. Die Hooks im Betreff üben geschickt Druck aus, denn man soll sofort überweisen, Vertragsstrafen vermeiden, einen Finanzzugang beibehalten und so weiter. Spamfilter fangen nur einen Bruchteil dieser Nachrichten ab.

Wichtig ist es, nie auf einen Link in einer Mail zu klicken, sondern jeweils direkt in die Banking-App oder übers eigene Login im Browser auf die Website zu gehen. Denn Links in Phishing Nachrichten sehen normal aus, führen aber auf Websites mit Schadsoftware oder Fake-Datenformularen.

Gestohlene Daten sind die wichtigste Währung der Cyberkriminellen

Die gestohlenen Daten der Fake-Shops und aus Phishing-Sites werden in kriminellen Netzwerken getauscht und verkauft. Solche Unternehmensdaten können für Erpressungsversuche, Wettbewerbs-Spionage oder zur Vorbereitung weiterer Angriffe genutzt werden. Gestohlene Zugangsdaten zu E-Mail- oder Cloud-Konten ermöglichen es, täuschend echte, interne Kommunikation zu erzeugen oder weitere Daten abzugreifen. Sind Kundendaten von so einem Datenleck betroffen, laufen Unternehmen auch noch Gefahr, wegen Verstößen gegen Datenschutzgesetze belangt zu werden.

Auf Phishing geklickt oder im Fake-Shop gekauft, aber es passiert ja nichts? Die Ruhe ist trügerisch und eine Datenbereinigung und Schutzmassnahmen wie Passwortwechsel, ausgelagerte Back-ups und engmaschine Kontenüberwachung sind jetzt wichtig. Denn die Hintertüre steht sonst offen.

Cyber-Sicherheit ist Führungsaufgabe: Was Sie Ihren Mandanten empfehlen sollten

Unabhängig von Unternehmensgröße und Branche hilft das Wissen um die Vorgehensweisen krimineller Elemente, kombiniert mit entsprechend präventivem Verhalten und den technischen Möglichkeiten, um Angriffe abzuwehren.

Checkliste: Was Ihre Mandanten prüfen sollten

1. Ist klar festgelegt, wer im Unternehmen fachlich für Cybersicherheit und Betrugsprävention verantwortlich ist, inklusive einer Vertretung?
2. Werden Kontoauszüge mindestens wöchentlich (besser noch täglich) systematisch geprüft, ganz ausdrücklich auch auf kleine, wiederkehrende Abbuchungen?
3. Gibt es ein Vier-Augen-Prinzip für ungewöhnliche Zahlungen, Änderungen von Bankverbindungen und neu freizugebende Lastschriftmandate?
4. Nutzen Sie bei Ihrer Bank technische Schutzoptionen wie die Obergrenzen für Lastschriften, Sperr- oder White-Lists für Zahlungsempfänger?
5. Sind Online-Einkäufe wie Hardware, Software, Bürobedarf über klare Prozesse und bevorzugte Anbieter geregelt, statt dass nach Bedarf spontan gekauft wird?
6. Werden Mitarbeitende regelmäßig, kurz und praxisnah zu Phishing, Fake-Shops und IT-Risiken geschult, inkl. der Erlaubnis, „nach oben“ nachzufragen?
7. Gibt es einen oder mehrere fest eingeplante IT-Ansprechpartner für verdächtige E-Mails, Webseiten oder Kontoabbuchungen?
8. Liegt ein klarer Notfallplan vor: Wer informiert Bank, IT-Dienstleister, Verbundzentrale, Polizei und ggf. Versicherer, wenn etwas passiert?
9. Werden Zugriffsrechte auf E-Mail-, Buchhaltungs- und Cloud-Systeme regelmäßig überprüft und nach Austritt/Wechsel von Mitarbeitenden konsequent angepasst?
10. Behandeln Geschäftsführung und Führungskräfte das Thema Sicherheit regelmäßig in Runden und Besprechungen – nicht nur nach einem Vorfall?

Fazit: Wissen und dessen Umsetzung sind die wichtigsten Sicherheitswerkzeuge

Menschen müssen wissen, wo die Arbeit mit Maschinen riskant werden kann, dann ist Cyberheit eine Kompetenzfrage und kein rein technisches Problem. Digitale Angriffe werden mehr, „besser“ und schädlicher werden und digitales Risikomanagement ist Teil jeder Unternehmensführung. Angefangen von einer sicheren Website bis hin zu einem informierten Team können auch kleine Firmen einiges dafür tun, der Cyberkriminalität nicht wehrlos ausgeliefert zu sein. Steuerberatende, die Ihre KMU-Mandate bei der Digitalisierung unterstützen, sollten diesen Faktor auf jeden Fall berücksichtigen.

Setzen Sie als Unternehmensberater auf sichere Systeme auf deutschen Servern für Ihre digitalisierungswilligen Mandanten. So wie Lexware Office:

• Serverstandort Deutschland: Ihre Daten werden ausschließlich in deutschen Hochsicherheitsrechenzentren gespeichert, die nach strengen europäischen Datenschutzrichtlinien (DSGVO) betrieben werden.
• Sicherheit auf Bankenniveau: Die Datenübertragung sowie der Speicherort sind mit einer 256-Bit-TLS-Verschlüsselung und Sicherheitsstandards gemäß DIN ISO 27001 abgesichert.
• Regelmäßige Prüfungen: Die Sicherheitsarchitektur und der Datenschutz werden kontinuierlich von unabhängigen Wirtschaftsprüfern überprüft (u. a. gemäß IDW PS 880 und GoBD).
• Automatische Backups: Ihre Daten in der Cloud werden täglich gesichert, sodass Sie im Ernstfall immer auf eine aktuelle Datensicherung zurückgreifen können.

Buchen Sie doch unser Starterpaket, um gemeinsam mit uns zu prüfen, wie Sie Lexware Office Mandate sinnvoll integrieren: