Identitätsdiebstahl entlarvt - Doch nicht immer ist das Erkennen so einfach!

Fraudster missachten Gesetze! So viel ist klar. Doch wie verhält es sich mit Definitionen, Abgrenzungen und Normen? Vermutlich ähnlich.

Ich frage mich, ob es bei der Prävention dieser Fälle primär darauf ankommt, dass wir jeden Vorfall perfekt definieren? D.h. ist es für die Sensibilisierung der Mitarbeiter:innen wichtig, ob es sich in dem enttarnten Betrugsfall von Martin Meng bei konfidal um einen Identitätsdiebstahl handelt oder ob es sich ausschließlich um die Vortäuschung einer falschen Tatsache handelt?

Aus meiner Sicht ist es viel wichtiger, dass die Mitarbeiter:innen sehr gut darüber informiert sind, dass sehr viel kriminelle Energie in die Täuschungen gesteckt wird und aufgeklärt wird, welche Szenarien aktuell verbreitet sind.

(Redaktioneller Hinweis: Abdruckgenehmigung liegt vor.)

Bei der reinen Sensibilisierung für Red Flags darf es aber nicht bleiben.

Die Menschen, die täglich hunderte von Vorgängen operativ bearbeiten, brauchen auch Unterstützung bei der Echtheitsprüfung.

Die Zwei-Faktor-Authentifizierung (2FA) kennen wir von Passwörtern als ein Sicherheitsverfahren, bei dem zwei unterschiedliche und voneinander unabhängige Komponenten zur Bestätigung der Identität einer Person benötigt werden.

Im Purchase to Pay Beschaffungsprozess lässt sich dies bei der Rechnungseingangsprüfung relativ einfach auf das Vorhandensein von Lieferanten, Bestellungen oder angelegten Wareneingängen übertragen.

Wie sieht es aber bei Rechnungen ohne Bestellung aus?
Prozessvorgaben verbieten häufig solche Vorgänge, aber die Realität zeigt, dass es viele Gründe und Ausnahmen dafür gibt. Und genau diese Sonderfälle nutzen Betrüger:innen aus.

Deshalb sollte für solche Vorgänge analog zur Zwei-Faktor-Authentifizierung darüber nachgedacht werden, welche Möglichkeiten implementiert werden können, um die Integrität der Absender:innen oder Zahlungsempfänger:innen sicherzustellen.

Relativ einfacher Prüfschritt: Überprüfung der Bankverbindung.
z.B. einfach auf der Homepage der jeweiligen Behörde nachschauen oder bei dem bekannten Kontakt der Geschäftspartner:innen nachfragen.

Reicht das aus? Sicher nicht!
Was genau benötigt wird, muss vielmehr für jedes Unternehmen bzw. Abteilung individuell festgelegt werden. Es muss aber nicht immer kompliziert und ausgefallen, sondern praktikabel sein.

Derzeit beschäftige ich mich intensiv mit CEO Fraud, einer Betrugsmasche, bei der es um Identitätsdiebstahl geht. Bei den Überlegungen zu Präventionsmaßnahmen fällt mir immer wieder auf, dass die Prüfmethoden auch vor anderen Betrugsmaschen schützen, und zwar unabhängig davon, ob Chef:in anruft oder das Finanzamt schreibt.

Weitere Leseempfehlung:

Wenn Sie mögen, dann schauen Sie gerne mal im CEO Fraud Blog vorbei.

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog