Auswirkungen von Cyberkriminalität im Rechnungswesen

INHALT

Inhalt

Abstract

Abkürzungsverzeichnis

Abbildungs- und Tabellenverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Methodologie

2 Begriffsabgrenzungen und -definitionen
2.1 Begriffe mit Bezug auf Cyberkriminalität
2.2 Begriffe der Unternehmensführung und des Risikomanagments

3 Cyberkriminalität
3.1 Definition.10
3.2 Erscheinungsformen von Cyberkriminalität

4 Risikomanagement
4.1 Definition Risiko
4.2 Einführung in das Risikomanagement.13
4.3 Risikomanagement-Prozess im Überblick
4.3.1 Risikoidentifikation
4.3.2 Risikoanalyse und Risikobewertung
4.3.3 Risikobewältigung, Risikosteuerung
4.3.4 Risikokontrolle
4.3.5 Risikomanagment via interne Kontrollysteme

5 Cyberkriminalität im Rechnungswesen
5.1 Das Rechnungswesen von Unternehmen
5.2 Cyberangriffe im Rechnungswesen
5.3 Malware oder Schadsoftware
5.4 Phishing oder Datendiebstahl
5.5 Zwischenmenschliche Beeinflussung oder Social Engineering

6 Das Riskomanagement von CyberRisiken
6.1 Risikomanagement von Cyberrisiken im Rechnungswesen
6.1.1 Risikoidentifikation
6.1.2 Risikoanalyse und -bewertung
6.2 Entwicklung und Umsetzung von Maßnahmen
6.2.1 Risikovermeidung, Erhöhung der Cybersicherheit
6.2.2 Risikotransfer
6.2.3 Risikoüberwachung und Überprüfung

7 Beantwortung der theoretischen Subfrage

8 Erhebung und Auswertung der empirischen Ergebnisse
8.1 Empirische Untersuchung
8.2 Methode zur Datenerhebung
8.3 Auswahl der Interviewpartner
8.4 Erstellung des Interviewleitfadens
8.5 Durchführung der Interviews
8.6 Methode zur Datenanalyse
8.7 Kategorienbildung
8.8 Auswertung der Interviews
8.8.1 Kategorie 1: Allgemeine Fragen zur Cyberkriminalität
8.8.2 Kategorie 2: Arten von Cyberkriminalität
8.8.3 Kategorie 3: Auswirkungen/Schäden von Cyberkriminalität
8.8.4 Kategorie 4: Ausgangssituation Risikomanagement
8.8.5 Kategorie 5: Maßnahmen im Risikomanagement
8.8.6 Kategorie 6: Faktor Mensch

9 Beantwortung der empirischen Subforschungsfragen

10 Conclusio und Ausblick

11 Literaturverzeichnis
11.1 Literaturquellen
11.2 Sonstige Quellen:

12 Anhang

ABSTRACT

Das Phänomen der Cyberkriminalität hat in den letzten Jahren einen exponentiellen Anstieg verzeichnet. Eine Vielzahl von Unternehmen hat bereits unangenehme Bekanntschaft mit Cyberattacken gemacht und dabei oftmals gravierende finanzielle Schäden davongetragen.

Die Anzahl der Opfer von Cyberkriminalität steigt an und stellt Unternehmen vor die schwierige und häufig auch kostenintensive Herausforderung neben der IT Infrastruktur auch das Risikomanagement sowie interne Prozesse aufzurüsten.

Oftmals ist das Rechnungswesen der bevorzugte Angriffspunkt von Cyberattacken, weil gerade in diesem Unternehmensbereich großer finanzieller Schaden damit verursacht werden kann.

Die vorliegende Arbeit widmet sich den Auswirkungen von Cyberkriminalität im Rechnungswesen auf das Risikomanagement von Unternehmen.

Neben den Begriffsabgrenzungen und Definitionen werden die Zusammenhänge von Cyberkriminalität im Hinblick auf das Rechnungswesen und Risikomanagement näher beleuchtet. Dabei wird eine Übersicht der in Literatur und Praxis vermehrt auftretenden Formen der Cyberkriminalität gegeben, sowie die Entwicklung und Umsetzung von Maßnahmen zur Vorbeugung, Verhinderung und Eindämmung von Cyberattacken erarbeitet.

Darüber hinaus wurde der theoretische Diskurs mittels einer umfangreichen empirischen Erhebung, die mittels Befragung von Expert/innen stattgefunden hat, auf seine Praxistauglichkeit im Unternehmensalltag geprüft.

Im Conclusio wurden der theoretische und der empirische Teil zusammengeführt. Dabei hat sich gezeigt, dass die Gefahren durch Cyberangriffe bereits Einzug gehalten haben in das Bewusstsein der Unternehmen. Als Ergebnis konnte festgestellt werden, dass ein adäquates Risikomanagement durchaus geeignet ist, um Cyberrisiken entgegen zu wirken.

Durch die ständige rasante Veränderung des Risikos ist es eine große Herausforderung für Unternehmen, dieses ins Risikomanagement einzubinden um das Risiko beherrschbar zu machen. Die Möglichkeiten dazu werden in dieser Arbeit vorgestellt.

ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

ABBILDUNGS- UND TABELLENVERZEICHNIS

Abbildungsverzeichnis

Abbildung 1: Risikomanagement-Prozess

Abbildung 2: Übersicht der Zusammensetzung des Rechnungswesens

Abbildung 3: Cyberrisiko als Teil des Gesamtrisikos

Abbildung 4: Exemplarische Risikomatrix am Beispiel Cyberrisiken

Tabellenverzeichnis

Tabelle 1: Übersicht der häufigsten Cyberangriffsarten 2017

Tabelle 2: Exemplarisches Cyberrisiken-Register

Tabelle 3: Exemplarische Darstellung von Cyberrisiken und ihrer Tragbarkeit

Tabelle 4: Liste an potentiellen Präventionsmaßnahmen für Cyberrisiken

Tabelle 5: Überblick über die Interviewpartner/innen

1 EINLEITUNG

1.1 Problemstellung

Durch die zur Normalität gewordene Nutzung des World Wide Web und die immer stärker werdende Abhängigkeit von Informationstechnologien entstehen zahlreiche Risiken. Die Komplexität und Anzahl von Cyberangriffen wächst kontinuierlich, jedes Unternehmen kann betroffen sein. Der Schutz gegen solche Angriffe entwickelt sich zu einer zentralen Herausforderung für Wirtschaftsbetriebe, denn sie sind bereits ein globales Phänomen geworden, dem sich kein Land weltweit entziehen kann.

Der vom World Economic Forum jährlich veröffentlichte „Global Risk Report“ für das Jahr 2017 weist bereits auf Platz 5 der fünf wichtigsten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit auf massive Auswirkungen von Cyberangriffen und Datendiebstahl hin (vgl. World Economic Forum 2017, S. 4). Es ist weltweit eine drastische Zunahme an Angriffen zu verzeichnen, die in den allgemeinen Medien stetig präsenter werden. Unternehmen aller Branchen und Größen sind immer öfter von Cyberattacken betroffen. Internetkriminalität ist zu einer alltäglichen Bedrohung avanciert. Laut einer aktuellen Studie der KPMG ist die Anzahl der betroffenen Unternehmen von 49 Prozent im Jahr 2016 auf 72 Prozent im Jahr 2017 gestiegen. Konkret waren drei von vier Unternehmen in Österreich im letzten Jahr Ziele eines Cyberangriffs. (vgl. KPMG Security Services 2017, S. 14)

Diese Gefahren stellen das Risikomanagement (RM) von Unternehmen vor neue Herausforderungen und finden nicht immer ausreichend Berücksichtigung. Der Umgang mit sämtlichen auftretenden Risiken, unabhängig von der Art und Qualifikation des Risikos,gehört zum RM eines Unternehmens. Die Aufgabe des RMs ist es Risiken zu identifizieren,zu bewerten und kontrollierbar zu machen. (vgl. Brühwiler 2016, S. 128) Das Risikomanagement ist eine geschäftliche und strategische Notwendigkeit geworden (vgl. Brühwiler 2007, S. 29). Um neue Risiken zu identifizieren ist eine regelmäßige, mindestens jährliche Überprüfung notwendig, damit die Erkennung neuer Risiken sichergestellt werden kann (vgl. Hunziker/Meissner 2017, S.2).

Diese Arbeit untersucht die Frage, wie sich die derzeitigen Cyberangriffe auf das Rechnungswesen(REWE) von Unternehmen im RM von Unternehmen auswirken. Welche Konzepte und Maßnahmen wurden aufgrund der Risiken abgeleitet und wie haben verschiedene Unternehmen auf die erkannten Gefahren reagiert?

1.2 Zielsetzung

Ziel dieser Masterthesis ist es, einerseits einen Überblick über die Herausforderungen zu schaffen, mit denen sich Unternehmen im Hinblick auf ihr REWE durch Cyberkriminalität konfrontiert sehen und andererseits festzustellen, welche Maßnahmen zur Vermeidung getroffen werden sollen, damit diese Risiken im RM Berücksichtigung finden.

In dieser Arbeit wird nicht nur das Bewusstsein für Cyberkriminalität gestärkt, sondern es wird auch untersucht, ob die derzeitigen Maßnahmen von Unternehmen ausreichen, um die respektiven Risiken zu beherrschen oder ob weitere Innovationen und Entwicklungen benötigt werden. Als Ergebnis entsteht ein Überblick über die verschiedenen Möglichkeiten der Risikohandhabung, vor allem im REWE, und es werden Handlungsempfehlung an Unternehmen für das RM von Cyberrisiken gegeben.

Die konkret behandelte Fragestellung lautet:

- In welcher Form findet Cyberkriminalität, die sich gegen das REWE eines Unternehmens richtet, im RM Berücksichtigung?

Auf Basis der Literatur sollen folgende Subforschungsfragen beantwortet werden:

- Welche Formen von Cyberkriminalität stellen eine Gefahr für das REWE eines Unternehmens dar?
- Welche Herausforderungen in der Gestaltung des RMs, im Hinblick auf das REWE von Unternehmen, entstehen durch Cyberkriminalität?

Aus den empirischen Daten der qualitativen Interviews werden folgende Subforschungsfragen beantwortet:

- Welche potentiellen Gefahren durch Cyberkriminalität für das REWE wurden vom Unternehmen erkannt?
- Welche Auswirkungen hatten bereits erfolgte Cyberangriffe auf das REWE?
- Wie wurde das RM angepasst um Schäden durch Cyberangriffe zu vermeiden?

1.3 Methodologie

Diese Masterthesis unterteilt sich in einen theoretischen und einen empirischen Teil.

Im theoretischen Teil werden auf Basis der Literaturrecherche Cyberrisiken, die auf das REWE von Unternehmen abzielen, identifiziert, definiert und die Begrifflichkeiten abgegrenzt. Anschließend werden die wesentlichen Aufgaben des RMs in Bezug auf das REWE eines Unternehmens vorgestellt.

Im darauffolgenden Abschnitt des theoretischen Teils, erfolgt eine Vorstellung der Empfehlungen für die Behandlung der Cyberrisiken im RM.

Im empirischen Teil wird eine qualitative Studie auf Basis von Expert/inneninterviews durchgeführt. Dafür wird das „problemzentrierte Interview“ nach Witzel als Technik herangezogen, die die/den Befragte/n möglichst frei zu Wort kommen lässt. Der Interviewleitfaden wird dabei strukturiert aufgebaut, gibt aber gleichzeitig den notwendigen Rahmen, um die/den Befragte/n möglichst frei, ohne vorgegebene Antwortalternativen, jedoch problemzentriert zu Wort kommen zu lassen. (vgl. Mayring 2016, S. 67 – 72)

Die Interviews werden mit Einverständnis der Beteiligten aufgezeichnet. Der Inhalt wird daraufhin transkribiert und bezüglich extrahierbarer Daten ausgewertet und zusammengefasst. Als Auswertungsmethode kommt die qualitative Inhaltanalyse nach Mayring zur Anwendung. Die Interviewfragen werden in Kategorien eingeteilt, im Anschluss daran die Daten auf wesentliche Inhalte reduziert und in weiterer Folge ausgewertet. Zusätzlich wird teilweise noch ein Interviewprotokoll verfasst, das persönliche Eindrücke und wichtige Informationen festhalten soll, die nach Ausschalten des Aufnahmegerätes noch ergänzt werden. Damit können noch zusätzliche relevante Informationen aufgenommen werden. (vgl. Mayring 2015, S.50 – 90)

Auf Basis der Auswertung der Interviews erfolgt die Beantwortung der empirischen Subforschungsfragen. In weiterer Folge erfolgt die Zusammenfassung aller Antworten in der Conclusio.

2 BEGRIFFSABGRENZUNGEN UND -DEFINITIONEN

2.1 Begriffe mit Bezug auf Cyberkriminalität

Cyberkriminalität:

Als Cybercrime bezeichnet man kriminelle Aktivitäten, die mit Hilfe des Internets ausgeführt werden und es als Werkzeug sowie als Ziel nutzen (vgl. Sowa 2017, S. 11).

DNS-Spoofing/Poisoning:

Unter Domain Name System-Spoofing (DNS-Spoofing) oder Poisoning versteht man eine Schadsoftware, die die Internetnutzer/innen vorwiegend beim Aufrufen von Bankseiten auf eine täuschend ähnliche, aber gefälschte Seite umleitet. Ziel ist es, Anmeldeinformationen zu erlangen, um Geschäfte zu tätigen oder einen TAN abzufangen, um damit vom jeweiligen Bankkonto Geld zu transferieren. (vgl. Halley 2008, S. 25)

Fake-President:

Der Fake-President-Betrug, auch bekannt als CEO-Fraud, bei dem mittels eines fingierten Mails oder Telefonanrufes Mitarbeiter/innen angewiesen werden, eine meist hohe Summe an eine ausländische Bank zu transferieren (vgl. Bartsch/Frey 2017, S.16).

Hacker:

In der Computersicherheit werden Personen als Hacker bezeichnet, die sich mit der Erstellung oder Umänderung von Software oder Hardware beschäftigen. Heute wird diese Bezeichnung meist für Personen verwendet, die sich mit Sicherheitsmechanismen in EDV-Systemen beschäftigen. Die Absicht eines kriminellen Hackers ist es, Sicherheitslücken in Systemen auszunutzen, um dort einzudringen und Schadsoftware zu platzieren.Mittels dieser wird dann Identitätsdiebstahl bzw. Informationsdiebstahl begangen. (vgl. http://wirtschaftslexikon.gabler.de 2018)

Malware bzw. Schadsoftware:

Ein Oberbegriff für alle Arten von bösartiger Software (vgl. Willems 2015, S. 1).

Man-in-the-middle:

Dieser Begriff bezeichnet das Ausnützen einer Sicherheitslücke im EDV-System, um schädliche Software zwischen dem Opfer und beispielsweise Bank-Webseiten zu platzieren. Diese Schadprogramme zeichnen im Hintergrund die Kommunikation zwischen dem Opfer und den Ziel-Webseiten auf und leiten diese an den Angreifer bzw.„Man-in- the-middle“ weiter. (vgl. https://www.kaspersky.de 2018)

Payment Diversion:

Dies ist eine Weiterentwicklung der Fake-President-Masche, bei der Mitarbeiter/innen von Unternehmen per Mail oder auch per Post vermeintlich vom Lieferanten aufgefordert werden, eine Bankverbindung für Überweisungen zu ändern. Die offenen Rechnungen werden daraufhin auf ein anderes Konto überwiesen. (vgl . https://www.finance-magazin. de 2018)

Phishing:

Der Begriff Phishing bezeichnet das „Fischen“ nach persönlichen Daten, wie z.B. Passwörtern,um unter anderem Identitätsdiebstahl zu begehen und diese Daten dann zum eigenen Vorteil zu verwenden. Dabei werden vor allem Massenmails an beliebige Empfänger versandt, in der Hoffnung, dass diese sich angesprochen fühlen und unvorsichtig reagieren. (vgl. APWG 2017, S. 2)

Ransomware:

Diese Form der Malware kann als Email-Anhang, Link oder durch eine infizierte Webseite auf den Computer gelangen. Ransomware verschlüsselt Dateien auf einem Computer,die sich ohne Schlüssel nicht mehr öffnen lassen. Um den Schlüssel zu erhalten wird im Normalfall eine Art Lösegeld verlangt. Wird nicht bezahlt, sind die Daten verloren. (vgl. Willems 2015, S. 85)

Social Engineering:

Beim Social Engineering verleitet man durch geschickte, psychologische Manipulation die Zielpersonen zu Handlungen, durch die Zugangsdaten preisgegeben oder deren Rechner infiziert werden. Potenzielle Opfer werden dabei gezielt kontaktiert. (vgl. Heartfiel/ Loukas 2016, S. 37)

Spam-Mail:

Als Spam-Mail werden unerwünschte Emails bezeichnet, die meist Werbung beinhalten.Als Anhang kann jedoch eine Schadsoftware mitgeschickt werden, die sich beim Öffnen installiert und in weiterer Folge für verschiedenste, kriminelle Aktivitäten genutzt wird.(vgl. Kersten, Klett 2015, S. 245)

Spyware:

Spyware ist eine Software, die Nutzungsdaten von Usern protokolliert und an den Hersteller oder an andere Quellen schickt, um es diesen zu ermöglichen, diese zu missbrauchen(vgl. Schmidt/Arnet 2005, S. 67 - 70).

Trojaner:

Einen Trojaner nennt man ein Computerprogramm, das versteckt unerwünschte Funktionen ausführt. Der Name stammt vom trojanischen Pferd in der griechischen Mythologie.(vgl. Schwenk 2010, S. 243)

Virus:

In der Computersprache ist ein Virus ein Programm, das unerkannt in ein System eindringt,um dort Schäden zu verursachen (vgl. Willems 2015, S. 2 f.).

Wurm:

Als Wurm bezeichnet man ein Schadprogramm, das sich nach der erstmaligen Ausführung selbst vervielfältig und verteilt. Durch seine rasante Verbreitung infiziert er eine große Anzahl an Computern. (vgl. Willems 2015, S. 2 f.)

2.2 Begriffe der Unternehmensführung und des Risikomanagments

Funktionstrennung:

Funktionen, die nicht miteinander vereinbar sind, dürfen nicht von einer Person gleichzeitig wahrgenommen werden. Aufgaben werden z.B. in bestellen, bearbeiten, kontrollieren und bezahlen aufgeteilt. Kein/e Mitarbeiter/in soll alleinverantwortlich sein. (vgl. Institut für Interne Revision IIA Austria 2009, S. 38)

Internes Kontrollsystem:

Das interne Kontrollsystem (IKS) ist die Gesamtheit aller Überwachungsmaßnahmen im Unternehmen. Es dient der Bewahrung des Unternehmensvermögens, der Gewährleistung der Richtigkeit und Zuverlässigkeit des Rechnungs- und Berichtswesens, der Verbesserung betrieblicher Abläufe und Einhaltung interner und externer Richtlinien und Vorschriften. (vgl. Löffler et al. 2011, S. 13)

Kryptografie:

Die Kryptografie dient dem Schutz von öffentlich zugänglichen Daten, damit diese von Unbefugten nicht verändert oder verwendet werden können. Die Daten werden dabei mittels Verschlüsselungsalgorithmen so verändert, dass nur durch einen digitalen Identifikationsschlüssel auf sie zugegriffen werden kann. (vgl. Schwenk 2010, S. 6)

Rechnungswesen:

Das REWE bzw. die Unternehmensrechnung ist ein Werkzeug zur Erfassung, Dokumentation,Verarbeitung, Nachdokumentation von Verarbeitetem und zur Abgabe von Informationen über alle von einem Unternehmen ausgehenden Geld und Leistungsströme(vgl. SevDesk 2018).

Return of Investment:

Hierbei handelt es sich um eine Kennzahl der Jahresabschlussanalyse, mit der die Rentabilität des Gesamtkapitals ermittelt wird (vgl. Wagenhofer 2015, S. 225).

Risiko:

Ein Risiko ist eine durch eine unvorhergesehene, „zufällige“ Störung verursachte Abweichung vom Erwartungs- oder Zielwert. Diese Abweichung kann sowohl positiv als auch negativ sein. (vgl. Gleißner/Romeike 2015, S. 22)

Risikomanagement:

Das Risikomanagement ist ein Prozess, um Einflüsse, die zu einem Problem führen könnten,zu erkennen und die wichtigsten Gefahren abzuschwächen. Risiken sollen behandelt und minimiert werden, bevor sie zum Problem werden oder zusätzliche Kosten erzeugen.(vgl. Ebert 2013, S. 11 f.)

Stakeholder:

Als Stakeholder (auch Anspruchsgruppen) werden alle Institutionen, Gruppen oder Personen bezeichnet, die ein Interesse an den Aktivitäten eines Unternehmens haben und davon direkt oder indirekt betroffen sind (vgl. Thommen et al. 2017, S. 14).

TAN:

TAN ist die Kurzbezeichnung für Transaktionsnummer. Es ist ein Einmalkennwort, dass hauptsächlich beim Online-Banking zur Freigabe von Überweisungen verwendet wird.Eine TAN wird von der Bank zur Verfügung gestellt und verliert nach einmaliger Nutzung ihre Gültigkeit. Als Weiterentwicklung hat sich die mobile TAN (mTAN) durchgesetzt, die per SMS an das jeweilige Handy gesandt wird. (vgl. Borges et al. 2011, S. 27, 36 f.)

Unternehmen:

Nach dem Unternehmensgesetzbuch ( 1897) für Österreich ist ein Unternehmen eine Organisation mit auf Dauer angelegter selbständiger wirtschaftlicher Tätigkeit, wobei nicht unbedingt Gewinn erzielt werden muss (vgl. §1 Abs. 2 Unternehmensgesetzbuch 1897) .

Vier-Augen-Prinzip:

Das Vier-Augen-Prinzip wird bei allen sicherheitsrelevanten Tätigkeiten angewandt. Es besagt, dass wichtige Entscheidungen oder kritische Tätigkeiten zwingend von mehr als einer Person freigegeben werden müssen. Diese Kontrolltechnik findet in verschiedensten Bereichen Anwendung, vor allem in Bereichen, in denen es um Bargeld geht. (vgl. Müller 2015, S. 220)

Zwei-Faktoren-Identifikation:

Die Zwei-Faktoren-Identifikation ist ein Sicherheitssystem, bei dem die Authentifizierungsmethode zwei verschiedene Faktoren benötigt, wie z.B. einen Namen und eine Karte, bzw. eine biometrische Messung, wie einen Fingerabdruck oder eine bestimmte Stimme. Sie verhindert z.B. das Phishing von Passwörtern (vgl. Grimes, 2017).

3 CYBERKRIMINALITÄT

3.1 Definition

Der Begriff Cyber leitet sich aus dem griechischen Wort „kubernētēs“ bzw. dem Englischen„cybernetics“ ab und ist gleichzusetzen mit der Steuermannskunst. Laut Duden beschreibt „Cyber-“ ein Wortbildungselement, das die von Computern erzeugte virtuelle Scheinwelt betrifft. (vgl . https://www.duden.de 2018) Das Wort Cyber bezeichnet also das Navigieren in der digitalen und vernetzten Welt (vgl. http://wirtschaftslexikon.gabler.de 2018).

Der Begriff Cyberkriminalität ist nicht eindeutig definiert und ist abhängig von dessen Verwendung.Im engeren Sinn wird für damit bezeichnete Straftaten ein Computer oder die Informations- und Kommunikationstechnik verwendet. Im weiteren Sinn umfasst Cyberkriminalität auch Straftaten, mit deren Hilfe Kriminaldelikte geplant, vorbereitet und ausgeführt werden. (vgl. Huber 2015, S. 16) Damit sind allerdings auch Straftaten erfasst,welche mit oder ohne Computer oder Internet ausgeführt werden können wie z. B.Steuerhinterziehung oder Betrugsdelikte (vgl. Bundeskriminalamt 2016, S. 10).

Mit der Cyber-Crime-Konvention, die am 01.10.2002 in Kraft getreten ist, wurden im Strafgesetzbuch bestehende Strafbestimmungen angepasst, bzw. neue Delikte geschaffen.(vgl. § 20 b STGB 2002).

3.2 Erscheinungsformen von Cyberkriminalität

In verschiedenen Studien wird jährlich die Art der Cyberbedrohung und die Häufigkeit des Auftretens festgestellt. In einer 2017 erfolgten Studie der KPMG Wirtschaftsprüfungsgesellschaft wurden die 6 häufigsten Angriffsformen in Österreich nach ihrer Bedrohung gereiht. Diese weist eine starke Übereinstimmung mit einer von der Europäische Agentur für Netz- und Informationssicherheit (ENISA) im Jänner 2018 herausgegebenen Studie auf, die Cyberbedrohungen 2017 in der Europäischen Union darstellt.

Die nachfolgende Tabelle zeigt einen Überblick über die in diesen Studien festgestellten Bedrohungen:

Tabelle 1: Übersicht der häufigsten Cyberangriffsarten 2017

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung in Anlehnung an den ENISA Threat Landscape Report 2017, S. 9 und den KPMG Security Services 2017, S. 14

4 RISIKOMANAGEMENT

Im nachfolgenden Kapitel erfolgt die Definition des Begriffes Risiko und die Erläuterung des Risikomanagementprozesses (RM-Prozess). Es werden die Grundlagen des RMProzesses und zwar die Identifikation, Analyse und Bewertung, Steuerung und Kontrolle sowie die Überwachung der Risiken dargestellt.

4.1 Definition Risiko

Es gibt eine Vielzahl von Definitionen für das Wort Risiko. Eine davon kommt vom frühitalienischen Wort „risco“ und wurde im Laufe der Zeit im deutschen Sprachraum mit RM, um Risiken abzuschwächen und zu kontrollieren. (vgl. Denk et al. 2008, S. 29)

In der chinesischen Schrift setzt sich das Wort Risiko ( ) aus zwei Elementen zusammen.Es handelt sich dabei um die Schriftzeichen „Wind“ ( ) und „Gefahr“ ( ) als Synonym für die Eintrittswahrscheinlichkeit und die Auswirkung des Eintretens einer Gefahr.Die Größe der Eintrittswahrscheinlichkeit bestimmt das Risiko. Ist sie gering, wird aus dem Risiko keine Gefahr. Steigt jedoch die Eintrittswahrscheinlichkeit, wird aus dem Risiko ein Problem, das Maßnahmen erfordert, um es abzuschwächen. (vgl. Ebert 2013,S. 8 - 9)

Der Risikobegriff beinhaltet 4 Charakteristiken:

- Ziele, wobei die Möglichkeit besteht, dass diese nicht erreicht werden
- Unsicherheit, die in Entscheidungen berücksichtigt werden sollte
- Auswirkungen, die gemessen und eingeschätzt werden sollten
- Chancen und Gefahren, Risiko ist deren Definition(vgl. Brühwiler 2007, S. 19)

Für Unternehmen kann daraus die folgende Definition des Risikobegriffes abgeleitet werden: Risiko ist die Gefahr einer Abweichung (positiv oder negativ) von den Unternehmenszielen. Die Größe der Gefahr hängt von ihrer Eintrittswahrscheinlichkeit sowie den daraus resultierenden Auswirkungen ab. (vgl. Brühwiler 2007, S. 23 f.)

4.2 Einführung in das Risikomanagement

Das RM ist ein zentrales Instrument, um das Management bei der Erreichung der Unter- nehmensziele zu unterstützen. Es ist ein System zur Handhabung von Risiken aller Art. (vgl. Brauweiler 2015, S. 1 f.)

RM ist grundsätzlich ein sich fortwährend wiederholender Prozess des strategischen Managements, der in eine strategische, eine operative und eine dispositive Ebene gegliedert wird.

Die strategische Ebene orientiert sich an Managemententscheidungen und definiert das Risiko als Möglichkeit einer Planabweichung (=Top-down-Ansatz). Das dispositive RM befasst sich hingegen mit der Umsetzung des RM-Prozesses und den organisatorischen Details der Systeme und Abläufe (=Bottom-up-Ansatz). Zwischen diesen beiden Ebenen befindet sich das operative RM, das das Risiko auf der operativen Unternehmensebene untersucht. (vgl. Brühwiler 2007, S. 30)

Im Rahmen des RM sollen alle Risiken erkannt, bewertet, abgeschwächt und kontrolliert werden. Durch gezieltes RM kann der Erfolg eines Unternehmens und damit der Unter- nehmenswert gesteigert und dadurch seine Existenz abgesichert werden. Die Senkung der Risiken führt im Idealfall zu geringeren Kapitalkosten und damit zu mehr Ertrag. (vgl. Wengert/Schittenhelm 2013, S. 3)

Im Hinblick auf die steigende Zahl der Gefährdungen für Unternehmen hat die Notwen- digkeit eines RM-Prozesses als Beitrag zum Unternehmenserfolg an Bedeutung gewon- nen. Ein funktionierendes RM ist ein unerlässlicher Eckpfeiler für eine wertorientierte Unternehmensführung. Durch die Möglichkeit bestandsgefährdende Risiken festzustel- len und Maßnahmen gegen sie zu ergreifen, wird damit ein klarer Beitrag zum Erfolg des Unternehmens geleistet. (vgl. Gleißner 2011, S. 1 – 3)

4.3 Risikomanagement-Prozess im Überblick

RM ist ein umfassender Prozess. Er hat zum Ziel, Risiken des Unternehmens frühzeitig zu erkennen, zu bewerten und aufzubereiten, damit relevante Informationen rechtzeitig an die Entscheidungsträger weitergeleitet werden können. Diese können dadurch zeitge- rechte Maßnahmen ergreifen, um die Erreichung der Unternehmensziele zu ermöglichen. (vgl. Wengert/Schittenhelm 2013, S. 2 f.)

Wie bereits erwähnt, stellt ein Risiko immer eine Abweichung von geplanten Zielen dar, wobei diese sowohl positiv als auch negativ sein kann. Zu Beginn des RM-Prozesses muss also das Ziel (das Soll) festgelegt werden. (vgl. Brühwiler 2007, S. 84)

Der typische RM-Prozess ist ein sich wiederholender Prozess und beinhaltet folgende
Prozessschritte:

¾ Risikoidentifikation
¾ Risikoanalyse und Risikobewertung
¾ Risikobewältigung, Risikosteuerung
¾ Risikokontrolle (vgl. Finke 2005, S. 24)

4.3.1 Risikoidentifikation

Die Risikoidentifikation nimmt eine Schlüsselrolle im RM Prozess ein. Um Risiken ab- schwächen zu können, muss man sie erst kennen. Ziel ist es daher, alle relevanten Chan- cen und Risiken, die Einfluss auf die Unternehmensziele haben, regelmäßig, zeitnah und vollständig zu erfassen. (vgl. Gleißner/Romeike 2015, S. 24)

Nicht erkannte Risiken finden keine Berücksichtigung und können das Erreichen der Unternehmensziele gefährden. Hinzu kommt, dass sich Risiken verändern oder dass neue Risiken auftreten. Daher muss der RM Prozess laufend angepasst werden. (vgl. Brühwiler 2007, S. 96)

4.3.2 Risikoanalyse und Risikobewertung

Der nächste Schritt des RM Prozesses ist die Risikoanalyse. Sie soll das Risiko bezeichnen und beschreiben. Gleichzeitig soll sie die Eintrittswahrscheinlichkeit und die Auswirkung auf das Unternehmen ermitteln. (vgl. Gleißner 2011, S. 57)

Die Einschätzung der Eintrittswahrscheinlichkeit setzt in der Regel quantitative Daten voraus. Es gibt jedoch viele Risiken, bei denen entweder keine Daten vorhanden, oder diese nur mit großem Aufwand ermittelbar sind. Man greift daher auf subjektive Schätzungen der Eintrittswahrscheinlichkeit zurück. Die Rede ist in diesem Fall von einer Wahrscheinlichkeits-Schätzung. (vgl. Brühwiler 2016, S. 158)

Die Einschätzung der Auswirkung erfolgt aufgrund der Risikokriterien. Die Bewertung kann mit Hilfe von Erwartungswerten erfolgen. Die quantitative Bewertung sollte dabei die Voraussetzungen der Objektivität, Vergleichbarkeit, Quantifizierung und Berücksichtigung von Interdependenzen erfüllen. Ist eine quantitative Bewertung nicht oder noch nicht möglich, sollte eine qualitative Risikobewertung erfolgen. (vgl. Denk et al. 2008, S 102 – 106)

Viele Unternehmensziele sind nicht nur finanzieller Natur. Einfache Aussagen oder Darstellungen sind daher nicht möglich oder sinnvoll. Jedes Unternehmen sollte jedoch so weit als möglich Risiken in finanzieller Hinsicht bewerten. Ebenso sollten Grenzwerte etabliert werden, die anzeigen, in welcher Höhe ein potentieller Schaden für ein Unternehmen tragbar ist. Für derlei Beurteilungen hat sich die Anwendung einer Risiko- Matrix bewährt. (vgl. Brauweiler 2015, S. 8 - 10)

Zusätzlich ist es sinnvoll, identifizierte Risiken in Einzelrisiken und Hauptrisiken zu unterteilen. Weitere relevante Informationen, wie beispielsweise die Häufigkeit des Auftretens oder das potenzielle Schadensausmaß, sollten auch festgehalten werden. Dadurch kann eine Auswahl vorgenommen werden, welche Risiken weiter verfolgt und welche bewusst als unbedeutend oder untergeordnet angesehen werden sollten. Diese Selektion soll das Kosten-Nutzen-Verhältnis und die Effektivität des RM-Prozesses gewährleisten. (vgl. Denk et al. 2008, S. 101 f.)

Als nächster Schritt erfolgt, durch die Beurteilung der Wirkung der Risiken auf die Unternehmensziele, die Feststellung, ob ein Risiko akzeptierbar, tolerierbar oder nicht akzeptabel ist. Diese Einteilung kann durch ein Risikoprofil erfolgen. Dabei können die Stufen von vernachlässigbar bis kritisch reichen. Je schwerwiegender die Stufe, desto mehr muss man dem Risiko Beachtung schenken, um es abzuschwächen oder zu eliminieren. (vgl. Wolke 2008, S. 5)

Diese Einteilung hat betriebswirtschaftlich eine hohe Bedeutung. Ohne sie können gefährliche Entwicklungen von Einzelrisiken oder Risikokombinationen zu spät erkannt werden. Durch verschiedene Planungsmodelle können eventuelle Auswirkungen prognostiziert und daraus Maßnahmen abgeleitet werden. (vgl. Gleißner 2017, S. 11)

Die Risikobewertung sollte möglichst einfach und nachvollziehbar gehalten werden, es geht grundsätzlich nur darum, dass die wesentlichen Risken abgeschwächt werden. Viele Prozesse scheitern daran, dass die Bewertung zu kompliziert ist, oder dass im Anschluss an die Bewertung keine weiteren Schritte mehr gesetzt werden. (vgl. Ebert 2013, S. 55)

4.3.3 Risikobewältigung, Risikosteuerung

Auf Basis der vorangegangenen RM Prozessschritte können nun Konzepte ausgearbeitet werden, um die Risiken tragbar und verantwortbar zu machen. Es gibt verschiedene Strategien, die sich mit der Risikobewältigung befassen, die grundsätzliche Systematik ist jedoch immer die Gleiche. Im Wesentlichen geht es dabei immer darum, das Risiko zu vermeiden, zu vermindern, zu transferieren oder tragbar zu machen. (vgl. Wolke 2008, S. 5)

Durch das Festlegen einer Risikostrategie wird definiert, welche Verhaltensweisen und Strategien das Unternehmen verfolgt. Sie hält fest, wo Risiken übernommen werden, welche Grenzwerte für den maximal tragbaren Betrag gelten und wer für welche Risiken zuständig ist. Eine Risikostrategie legt also fest, welche Risikobereitschaft vorherrscht. Sie ist eine Notwendigkeit zur langfristigen Absicherung des Unternehmenserfolges und zur optimalen Unternehmensssteuerung. Fehlt sie, ist der korrekte Umgang mit Risiken nicht gesichert. (vgl. Denk et al. 2008, S. 127)

4.3.4 Risikokontrolle

Als Abschluss des RM-Prozesses kann man die Überwachung der Risiken betrachten. Dadurch soll sichergestellt werden, dass sowohl neue Risiken, aber auch Veränderungen bereits identifizierter Risiken, frühzeitig erkannt werden. (vgl. Risk Management Associ- ation e.V. 2015, S. 73) Ein implementiertes Risikoberichtswesen schließt also den Kreis des RM Prozesses, um den Fortschritt der Risikoabschwächung zu ermitteln und das verbleibende Risiko ins Verhältnis zu neu auftretenden Risiken zu setzen (vgl. Denk et al. 2008, S. 32). Gravierende Veränderungen sind sofort zu melden, was wiederum zu neuem Handlungsbedarf führt. Der RM-Prozess ist somit, wie in Abbildung 3 dargestellt, ein kontinuierlicher Prozess, der immer wieder von neuem beginnt. (vgl. Risk Manage- ment Association e.V. 2015, S. 73)

Abbildung 1: Risikomanagement-Prozess

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Ebert 2013, S. 20

4.3.5 Risikomanagment via interne Kontrollysteme

Das interne Kontrollsystem (IKS) von Unternehmen ist ein von allen Instanzen praktizierter Prozess, der in alle betrieblichen Abläufe eines Unternehmens eingebettet ist, um die Erreichung von Unternehmenszielen zu ermöglichen (vgl. Rechnungshof Positionen 2016, S. 8 - 9). So regelt es z.B. auch die Vermögensverwaltung und das Formularwesen im REWE (vgl. Petzner 2008, S.17).

Es soll durch organisatorische Maßnahmen und Sicherheitssysteme gewährleisten, dass alle betriebsinternen Prozesse nach den entsprechenden Vorschriften durchgeführt und alle Regulierungen standardgerecht eingehalten werden. Die Aufgaben des IKS beinhalten die Vermögenssicherung, die Gestaltung und Optimisierung von Prozessen, die Etablierung und Einhaltung der Unternehmenspolitik und die korrekte Handhabung des REWE. (vgl. https://wien.arbeiterkammer.at 2018)

Das IKS dokumentiert und legt fest, welche Kontrollprinzipien eingeführt werden sollen und überprüft, ob sie eingehalten werden. Durch die Beschreibung von Risiken und entsprechende Maßnahmen ist das IKS auch ein Werkzeug der Risikoidentifikation und Handhabung. Eine unvollständige Liste an potenziellen Kontrollen des IKS inkludiert u.a.:

- Qualifiziertes Personal: Mitarbeiter/innen erfüllen nur Aufgaben, für die sie/er ausgebildet wurden
- Prozessbeschreibungen: allgemeine Prozesse sind dokumentiert
- Funktionstrennung: Kompetenzbereiche sind getrennt, einzeln
Mitarbeiter/innen dürfen nur Teile eines Prozesses ausführen
- Vier-Augen-Prinzip: wichtige Entscheidungen werden nicht von
Einzelpersonen getroffen
- Betragslimits: Mitarbeiter/innen können nur Entscheidungen über limitierte
Beträge treffen
- Zugangsbeschränkungen: Einzelne Mitarbeiter/innen haben nur Zugang zu beschränkten Bereichen
- Schlüsselkräfte kontrollieren: Testen, ob Kontrollmechanismen von höher gestellten Mitarbeiter/innen umgangen werden können
- Informationsteilungsmechanismen: Mitteilung über Sicherheitsstandarts (vgl. Rechnungshof Positionen 2016, S. 42 - 47)

5 CYBERKRIMINALITÄT IM RECHNUNGSWESEN

5.1 Das Rechnungswesen von Unternehmen

Das REWE dient der systematischen Erfassung, Überwachung und Information aller betrieblichen Geld- und Leistungsströme und ist äußerst komplex, wie anhand von Abbil- dung 2 erkenntlich ist.

Abbildung 2: Übersicht der Zusammensetzung des Rechnungswesens

Quelle: http://wirtschaftslexikon.gabler.de 2018

Es wird in ein internes REWE, das Daten zur Steuerung und Planung des Unternehmens liefert und in das externe REWE, auch Finanzbuchhaltung genannt, unterteilt. Im REWE erfolgt die zeitliche und sachliche Erfassung der Geschäftsvorgänge in Zahlen. Am Ende der Rechnungsperiode werden ein Jahresabschluss und sonstige gesetzliche Nachweise erstellt. Dadurch kann das Gesamtergebnis des Unternehmens ermittelt werden. (vgl. Thommen et al. 2017, S. 200) Eine Hauptfunktion des REWE liegt auch darin, bei Ent- scheidungen der Geschäftsleitung und des Managements anhand messbarer Faktoren und relevanter Informationen zu helfen (vgl. Lachnit und Müller, 2012, S. 1).

Das REWE unterliegt gesetzlichen Rechenschafts-, Buchführungs- und Aufbewahrungs- pflichten für die Erfassung steuerlicher Abgaben, deren Nichteinhaltung schwere Konse- quenzen mit sich bringen kann (vgl. https:// www . u sp.gv.at 2018).

5.2 Cyberangriffe im Rechnungswesen

Wie aus verschiedenen Untersuchungen hervorgeht, stellt Cyberkriminalität ein immer größer werdendes Problem dar. In der von der KPMG Security Services bereits zum zweiten Mal durchgeführten Studie, in der 236 Unternehmen in Österreich diesbezüglich befragt wurden, gaben 87% der Industrieunternehmen an, dass sie bereits Cyberangriffe verzeichnet haben. Obwohl von diesen betroffenen Unternehmen bereits 72% Opfer eines Cyberangriffs wurden, werden Cyberrisiken noch immer unterschätzt. (vgl. KPMG Security Services 2017, S. 8) Hinzu kommt, dass die Aufklärungsrate der erfassten Cyberattacken laut dem österreichischen Kriminalitätsbericht 2016 ohne Miteinbeziehung der Dunkelziffern nur unter 10% liegt (vgl. BMI: Kriminalitätsbericht - Statistik und Analyse 2016, S. B5).

Das REWE eines jeden Unternehmens ist aufgrund seiner Zusammensetzung aus wich- tigen, betrieblichen Daten und Informationen, u.a. über finanzielle Angelegenheiten, besonders anfällig für Cyberattacken. So kann der Verlust oder die Korruption sensibler Daten, wie z.B. über die Buchhaltung oder von Kund/innen und Partner/innen des Unter- nehmens, zu enormen Schäden führen. (vgl. Baumann, 2011, S.19) Eine Analyse der Risiken und entsprechende Maßnahmen gegen Cyberattacken sind daher ein wichtiger Faktor jeder Unternehmensführung (vgl. Computer Emergency Response Team Austria 2017, S. 6).

Die in dieser Studie festgestellten Hauptbedrohungsarten, die auch Auswirkungen auf das REWE im Unternehmen haben, sind im Wesentlichen:

¾ Schadsoftware (Malware/Ransomware)
¾ Datendiebstahl (Phishing)
¾ Zwischenmenschliche Beeinflussung (Social Engineering) (vgl. KPMG Security Services 2017, S. 17)

Diese drei Bedrohungsarten wurden auch in einer Analyse des Ponemon Institute LLC als die am häufigsten auftretenden Formen bestätigt, wobei bei Ransomware eine Ver- doppelung der Angriffe verzeichnet wurde. Gleichzeitig wurden die finanziellen Auswir- kungen ermittelt. Am teuersten sind Hackerangriffe die aus Schadsoftware/Malware resultieren, gefolgt von Phishing und Social Engineering (vgl. Ponemon Institute LLC 2017, S. 23, 36).

Im Bericht Cyber Sicherheit 2017 der Republik Österreich wurde die Motivation hinter diesen Cyberattacken zu 80% als monetär eingestuft (vgl. KPMG Security Services 2017, S. 14). Die Auswirkungen sind also vorherrschend finanzieller Natur und können exis- tenzbedrohend sein (vgl. Kerkmann/Nagel 2017).

Nachfolgend werden deshalb nun die drei in Österreich am häufigsten auftretenden Cyberattacken spezifisch erläutert, da diese eine besondere Gefahr für das hiesige REWE in Unternehmen darstellen können (vgl. KPMG Security Services 2017, S. 14).

5.3 Malware oder Schadsoftware

Die zunehmende Digitalisierung von Unternehmen bietet größere Angriffsflächen für Cyberattacken, wie z.B. für Malware, die zu gravierenden Schäden für ein Unternehmen führen können (vgl. Gadatsch/Mangiapane 2017, S. 26 f.). So kann auch das REWE von Unternehmen von verschiedenster Malware betroffen sein.

Der Begriff Malware setzt sich dabei aus den englischen Begriffen „malicious“ von bös- artig und „ware“ von Software zusammen (vgl. ht t p :// wi rtschaftslexikon.gabler.de 2018). Im Deutschen wird Malware auch als Schadsoftware bezeichnet. Darunter wird grund- sätzlich eine bösartige Software verstanden, die auch als Oberbegriff für Virus, Trojaner, Wurm, Spyware oder Ransomware verwendet wird. (vgl. Müller 2014, S. 414)

Der Hauptverbreitungsweg von Malware sind entweder Updates, die vom Nutzer nicht von echten zu unterscheiden sind, oder der Besuch von infizierten Webseiten (vgl. Schwenk 2010, S. 242).

Schadsoftware kann auch als Anhang in einer Spam-Mail mitgesandt werden und instal- liert sich beim Öffnen der Email oder beim Anwählen einer entsprechend vorbereiteten Internetseite. Dabei werden Sicherheitslücken in Betriebssystemen ausgenutzt. Installiert wird dann beispielsweise eine Software, die es der/dem Täter/in erlaubt, Zugang zum System zu erhalten und Informationen wie z.B. Kontodaten zu stehlen. (vgl. Klim- burg/Mirtl 2015, S. 36)

Unter diese Schadsoftware fällt auch das sogenannte DNS-Spoofing/Poisoning, auch bekannt als Man-in-the-middle-Angriff. Bei diesem Cyberangriff werden Internetnutzer /innen zumeist beim Aufrufen von Bankseiten auf eine dem Original täuschend ähnliche Seite umgeleitet. Die eingegebenen Anmeldeinformationen werden somit auf den Rech- ner des Täters übertragen. (vgl. Calvert et al. 2017, S. 2) In weiterer Folge werden auch die jeweiligen TAN abgefangen. Die Überweisung kann nun in gleicher Höhe auf ein anderes Konto erfolgen. Da der Betrag mit der vermeintlich getätigten Überweisung über- einstimmt, ist auch der von der Bank übermittelte TAN gültig. (vgl. Willems 2015, S. 96) Das Zielkonto des Hackers liegt dann zumeist in einem Land, in dem eine Rückholung nur schwer oder fast gar nicht möglich ist (vgl. Halley 2008, S. 25).

Banken haben dies nun durch Einführung eines sogenannten mTAN erschwert, der auf das Mobiltelefon von Kund/innen geschickt wird und nur kurze Zeit gültig ist (vgl. Borges et al. 2011, S. 36 f.). Diese Vorgehensweise wird mittlerweile aber auch gehackt, indem Bankkund/innen aufgefordert werden, auf einer gefälschten Seite ihre Mobiltelefon- nummer einzugeben, um ein notwendiges Zertifikat zu installieren. In Folge werden ein- gehende mTANs umgeleitet und stehen für kriminelle Überweisungen zur Verfügung. (vgl. https:// www . hei se.de 2018)

Diese Art des Betruges wurde in letzter Zeit auch sehr erfolgreich angewandt, indem sich die/der Kriminelle in den Email-Verkehr zwischen dem Unternehmen, meist der Buch- haltung, und den Kund/innen oder Lieferant/innen einhackt. So können gefälschte Rech- nungen geschickt werden mit dem Bestreben, dass diese bezahlt werden. (vgl. https:// www . kaspersky . d e 2018)