Frankfurt am Main, 17. April 2026: Mit dem Fortschreiten der Digitalisierung werden Rechnungen zunehmend elektronisch versendet oder direkt in Cloud-Portalen erfasst. Was die Effizienz und Geschwindigkeit steigert, eröffnet zugleich neue Angriffsflächen für Cyberkriminelle.
Insbesondere durch Cyberangriffe, Business Email Compromise (BEC) und Phishing-Attacken gelingt es Betrügern immer häufiger, Zahlungsprozesse gezielt zu manipulieren.
Payment Diversion: Umleitung von Zahlungsströmen
Der Fokus der Angreifer liegt dabei nicht primär auf der Erstellung gefälschter Rechnungen. Stattdessen manipulieren sie gezielt die Bankverbindungen bestehender Lieferanten, um Zahlungsströme umzuleiten.
Dies geschieht auf unterschiedlichen Wegen: Entweder verschaffen sich die Angreifer Zugriff auf die elektronischen Übertragungswege von Rechnungen und verändern dort die hinterlegten Bankdaten. In anderen Fällen gelingt es ihnen, in Lieferantennetzwerke, etwa cloudbasierte Beschaffungsplattformen, einzudringen und die Bankverbindung direkt zu ändern.
Die Folge: Zahlungen werden unbemerkt auf Konten der Betrüger umgeleitet. Einmal ausgelöste Überweisungen, etwa für Rechnungen oder Daueraufträge, lassen sich oft nur schwer oder gar nicht zurückholen.
Neben den unmittelbaren finanziellen Schäden entstehen zusätzlicher manueller Aufwand, Verzögerungen bei der Bezahlung der Lieferanten sowie erhebliche Reputationsrisiken.
Prävention: Bankverbindungen konsequent prüfen
Um dieser Entwicklung entgegenzuwirken, müssen Unternehmen, insbesondere im Bereich der Kreditorenbuchhaltung, ihre Kontrollmechanismen verschärfen. Entscheidend ist, Änderungen von Bankverbindungen unmittelbar zu verifizieren, bevor Zahlungen ausgeführt werden.
Der „Real-Time“ IBAN-Name-CheckMit der PreVOP-Lösung von alseda Consulting kann die Überprüfung von Bankverbindungen bereits zu Beginn des Zahlungsprozesses in Echtzeit erfolgen (Verification of Payee).
Hierbei werden IBAN und Kontoinhaber an die Bank des Zahlungsempfängers übermittelt und automatisiert abgeglichen. Das Ergebnis wird in Echtzeit zurückgegeben.
Im Betrugsfall stimmen die Angaben nicht überein, wodurch die Manipulation erkannt wird, bevor eine Zahlung erfolgt. So lässt sich sogenanntes Payment Diversion effektiv verhindern – schnell, einfach und kosteneffizient.
Frank Bergmann, Managing Director bei alseda Consulting, erklärt:
„Cyberangriffe auf Zahlungsprozesse nehmen im Zuge der Digitalisierung deutlich zu. Besonders manipulierte Bankverbindungen durch Phishing- oder BEC-Angriffe stellen ein erhebliches Risiko dar. Mit unserer Lösung ermöglichen wir eine frühzeitige Validierung von Bankdaten und unterstützen Finanz- und
Treasury-Teams dabei, ihre Zahlungsprozesse abzusichern.“
Fokus auf SAP-basierte Zahlungsprozesse
Die PreVOP-Lösung wurde speziell für Unternehmen mit SAP-basierten Zahlungsprozessen entwickelt. Sie lässt sich nahtlos in bestehende Procure-to-Pay- und Treasury-Prozesse integrieren, stärkt die Sicherheitsmechanismen im Zahlungsverkehr und beeinträchtigt dabei nicht die etablierten Abläufe.
Gerade bei Massenzahlungen, Lieferantenänderungen und zentralisierten Zahlungsstrukturen trägt die frühzeitige Validierung dazu bei, Risiken zu minimieren und für mehr Transparenz zu sorgen.
alseda Consulting ist spezialisiert auf SAP-basierte Lösungen für Zahlungsverkehr, Treasury und Finanzprozesse. Das Unternehmen unterstützt Banken und Unternehmen in Europa bei der Umsetzung sicherer, effizienter und regulatorisch konformer Zahlungsprozesse.
Firmenkontakt
alseda GmbH
Loredana Samban
Gerbermühlenstr. 9
60594 Frankfurt am Main
06926484680
http://www.alseda.com
Pressekontakt
alseda Consulting
Loredana Samban
Gerbermühlenstr. 9
60594 Frankfurt am Main
06926484680
http://www.alseda.com
- Cybersicherheit (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. - phishing (Wikipedia)
Unter dem Begriff Phishing (Neologismus und Kompositum von „fishing“, engl. für „angeln“ und „phreaking“ für „hacken“) versteht man Täuschungsversuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, z. B. an persönliche Daten eines Internet-Benutzers zu gelangen, etwa ihn zur Ausführung einer schädlichen Aktion wie das Anmelden bei einem gefälschten / nachgebauten Webauftritt zu bewegen, um die Zugangsdaten wie das Passwort und den Benutzernamen und gegebenenfalls auch einen 2. Faktor für die 2-Faktor-Identifizierung zu erschleichen. In der Folge werden dann beispielsweise Kontoplünderungen begangen, Bestellungen mit der Unterschlagung von Konsumgütern und der Verkauf dieser an Dritte getätigt, ein weitergehender Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Das englische Kunstwort verbildlicht das Angeln nach Passwörtern mit Ködern. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon (vgl. auch Phreaking). Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Anmelde-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern. Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel. Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der …
