Sie können sich vor Identitätsdiebstahl schützen, indem Sie Ihre Sozialversicherungsnummer und andere sensible Dokumente schützen, Ihre Kreditauskünfte regelmäßig überprüfen, ein Darknet-Überwachungstool verwenden und ni...
Ein Großteil der kritischsten Geschäfts- und Mitarbeiterdaten eines Unternehmens wird von Finanz- und Buchhaltungsexperten bearbeitet.
Dies ist einer der Hauptgründe, warum Cyberbedrohungen ein erhebliches Risiko für Finanz- und Buchhaltungsteams darstellen – insbesondere für kleine Buchhaltungsfirmen, die direkt für ihre Sicherheit verantwortlich sind. In diesem Blog werfen wir einen Blick auf einige der Cyberrisiken, die für Finanz- und Buchhaltungsteams (F&A)-Unternehmen einzigartig sind, und welche Rolle die Informationssicherheit spielen kann, damit F&A-Teams und Unternehmen insgesamt sicher bleiben.
Die entscheidende Rolle des Finanz- und Rechnungswesens
Während der Standort und die Branche einer Organisation beeinflussen, wie eine Finanz- und Buchhaltungsabteilung arbeitet, bleibt ihre Mission, die Finanz- und Steuerinformationen eines Unternehmens zu verwalten, die gleiche. F&A arbeitet mit einer Reihe von externen und internen Stakeholdern zusammen, um sicherzustellen, dass Finanzunterlagen genau, konform und aktuell sind.
Ihre Arbeit ist wichtig, um eine aufschlussreiche Geschäftsplanung und Entscheidungsfindung zu ermöglichen. Neben anderen Verantwortlichkeiten nutzt F&A Finanzinformationen, um mit dem Management, dem Verwaltungsrat, Investoren und Aufsichtsbehörden zusammenzuarbeiten und Unternehmensaktivitäten wie Finanzierung, Compliance sowie Fusionen und Übernahmen zu unterstützen. F&A arbeitet oft auch mit internen Teams wie Marketing oder Human Resources (HR) zusammen, legt Budgets für sie fest und überwacht den Return-on-Investment, um die richtige Ressourcenzuweisung zu gewährleisten.
Von Finanz- und Buchhaltungsteams verarbeitete Daten
Um all diese Aktivitäten durchzuführen, ist F&A auf sensible Finanzinformationen angewiesen. Diese Daten können Folgendes enthalten:
- Bankkontonummern
- Geburtsdaten, Sozialversicherungsnummern, Informationen für Steuerzahler und Gehaltsabrechnung
- Namen von Unternehmensverantwortlichen
- Finanz- und Steuerunterlagen des Unternehmens
- Geistiges Eigentum
- Businesspläne
- Business-Zertifikate
- Compliance-Audits
- Kundendaten
Anfällige Anmeldeinformationen für F&A-Teams
Da alle oben genannten sensiblen Finanzdaten den vergangenen, aktuellen und zukünftigen Zustand eines Unternehmens widerspiegeln und diese Informationen regelmäßig in Buchhaltungssoftware gespeichert werden, wird diese Software zu einem Hauptziel für Cyberkriminelle. Diese sensiblen Informationen können aus einer Vielzahl von Quellen stammen, einschließlich Kunden, Mitarbeitern und Dritten. Dies macht einen sicheren und authentifizierten Zugriff zu einer kritischen Komponente der Unternehmenssicherheit.
Ohne die Möglichkeit, Anmeldeinformationen sicher zu speichern und zu verwenden, sind die Software und Daten der Finanz- und Buchhaltungsteams jedoch ungeschützt. Das Speichern von Passwörtern an unsicheren Orten – wie dem integrierten Password Manager eines Browsers, in einer Tabelle oder auf Papier – macht sensible Finanz- und Steuerdaten angreifbar für Cyberangriffe mit dem Ziel von Credential-Stuffing und Kontoübernahme. Und wenn Teammitglieder Anmeldeinformationen teilen müssen, sind diese durch unverschlüsselte Methoden wie E-Mail, SMS oder Instant Messaging anfällig für Attacken.
In den letzten Jahren haben Verstöße gegen gängige Buchhaltungssysteme Organisations- und Kundendaten im Darknet offengelegt. Selbst Organisationen, die mit Wirtschaftsprüfungsgesellschaften zusammenarbeiten, riskieren, dass ihre Informationen gestohlen werden.
Da über 80 % der Verletzungen auf schwache oder gestohlene Anmeldeinformationen zurückzuführen sind, sollten IT-Teams eine Lösung für die Passwortverwaltung für Unternehmen erstellen, um ihre F&A-Abteilung und den Rest der Organisation zu unterstützen.
Die Insider- (oder Auftragnehmer-)Bedrohung
F&A-Teams sind an interne Buchhaltungskontrollen gewöhnt, die sicherstellen, dass nur autorisiertes Personal Zugriff auf sensible Daten hat und dass Finanzinformationen gültig sind. Wie bei internen Buchhaltungskontrollen benötigen F&A-Teams eine Möglichkeit, den Zugriff auf das erforderliche Personal zu beschränken. Wenn es keinen Schutz gibt, können sich verärgerte Mitarbeiter Zugriff auf kritische Systeme verschaffen oder diese nutzen, um ein Unternehmen zu schädigen.
Unautorisierter Zugriff durch Mitarbeiter des Anbieters gefährdet auch Finanzdaten. Auftragnehmer oder Anbieter mit uneingeschränktem Zugriff auf kritische Informationen fügen dem Schutz von Anmeldeinformationen eine weitere Komplexitätsebene hinzu.
Berücksichtigung der Gesamtkosten von Cyberangriffen
Böswillige Akteure können nach einem Verstoß eine hohe Gebühr verlangen, betrügerische Bankkonten, Kreditlinien und den Verkauf gestohlener Daten im Darknet veranlassen.
Laut dem Bericht von IBM und dem Ponemon Institute „Kosten für einen Datenleck 2022“ können Organisationen nach einem Datenleck damit rechnen, durchschnittlich 4,35 Millionen US-Dollar zu zahlen. In einigen Branchen wie Gesundheitswesen und Finanzdienstleistungen sind die Kosten eines Datendiebstahls noch höher.
Ransomware-Angriffe, die durchschnittlich 4,62 Millionen US-Dollar pro Vorfall kosten, bevor sie überhaupt die Zahlung eines Lösegelds beinhalten, sind noch teurer als Datenverletzungen.
Im Jahr 2023 werden die durchschnittlichen Kosten eines Datendiebstahls wahrscheinlich die 5-Millionen-Dollar-Marke überschreiten. In dieser Zahl sind die steigenden Kosten für Strafen und Rechtsstreitigkeiten nach einem Verstoß gegen die Vorschriften enthalten. DSGVO, CCPA und ähnliche Datenschutzgesetze sehen hohe Geldstrafen für Verstöße und versehentliche Offenlegungen vor.
Neben den direkten geschäftlichen und regulatorischen Kosten kommen zu den Kosten eines Cyberangriffs – sei es durch Ransomware oder Sicherheitsverletzung – noch der Schaden für den Ruf und die entgangenen Geschäfte hinzu. Die genauen Kosten sind schwer einzuschätzen, aber die Ergebnisse sprechen für sich. Innerhalb von 6 Monaten nach einem Cyberangriff schließen 60 % der kleinen und mittelständischen Unternehmen (KMU) ihr Geschäft.
Segregation von Pflichten trifft auf rollenbasierte Zugriffskontrollen
Es gibt Ähnlichkeiten zwischen der Treuhandpflicht von Buchhaltern und der Verantwortung von Cybersicherheitsexperten, kritische Informationen und Systeme zu schützen. Die gemeinsame Denkweise findet in den Governance-, Risiko- und Compliance-Abteilungen vieler Organisationen praktische Resonanz.
Zum Beispiel verteilt die Aufgabentrennung (SOD) kritische Verantwortlichkeiten im Finanz- und Buchhaltungsbereich, um zu verhindern, dass Interessenkonflikte und ein Akteur übermäßigen Einfluss auf einen Buchhaltungsprozess hat.
Rollenbasierte Zugriffskontrolle (RBAC) im Keeper Password Manager stellt eine Organisation sowie speziell ein Finanz- oder Buchhaltungsteam zur Verfügung, um sicherzustellen, dass der Benutzerzugriff mit SOD kompatibel ist.
Wenn ein F&A- oder GRC-Team bestimmte Benutzer davon ausschließen muss, Informationen zu sehen, bietet Keeper administrative Funktionen, um Zugriffsberechtigungen zu beschränken. Die Durchsetzung von RBAC-Richtlinien, die in Keeper festgelegt sind, wie Multifaktor-Authentifizierung (MFA) oder IP-Auflistung, stellt sicher, dass nur verifizierte, autorisierte Benutzer auf kritische Buchhaltungsinformationen zugreifen können.
IT-Administratoren sowie delegierte Freigabe-Admins für einzelne Teams können die Durchsetzung der Anmeldung auch auf der Grundlage der Verantwortlichkeiten des Teams und der einzelnen Mitwirkenden anpassen. RBAC gilt auch für den Benutzerzugriff auf sensible Dateien oder Daten und stellt sicher, dass nur die Personen, die auf Informationen zugreifen müssen, dazu autorisiert sind.
Wie Keeper Finanz- und Buchhaltungsteams unterstützt
RBAC ist nur eine Funktion in Keeper Password Manager, die Finanz- und Buchhaltungsteams als wertvoll empfinden.
Obwohl die Kosten für Helpdesk-Tickets für Passwörter oft ein Problem des IT-Budgets sind, kann der Controller darauf zählen, dass Keeper sein IT-Team und die Produktivität des Rests seiner Organisation effizient unterstützt.
Benutzer müssen sich nur ein Passwort merken – ihr Master-Passwort. Sobald Benutzer mit Durchsetzungsrichtlinien wie MFA überprüft werden, kümmert sich Keeper um den Rest.
- Die Browser-Erweiterung KeeperFill® füllt Anmeldeinformationen auf jedem Gerät automatisch aus und ermöglicht so die Benutzerproduktivität, ohne die Sicherheit zu beeinträchtigen.
- Die Tresor-zu-Tresor-Freigabe ermöglicht es Finanz- und Buchhaltungsteams, Anmeldeinformationen für kritische Software zu senden und zu empfangen, einschließlich Gehaltsabrechnungssysteme, Abrechnungs- und Rechnungsstellungstools und ERP-Software (Enterprise-Resource-Planning).
- Einmalige Freigabe ist ein besonders beliebtes Tool, mit dem Finanz- und Buchhaltungsteams verschlüsselte Datensätze teilen können, ohne dass der Empfänger Keeper benötigt.
- Sichere Datenspeicherung verwendet Zero-Knowledge-Verschlüsselungsmethoden, die sicherstellen, dass nur der Benutzer auf Speicherdateien zugreifen und sie entschlüsseln kann. Finanz- und Buchhaltungsteams verwenden diese Funktion, um Finanzunterlagen, Steuerunterlagen, kritische Geschäftspläne, Bankkontoauszüge und andere sensible Dokumente zu schützen und zu speichern.
- Compliance-Berichte rationalisiert die Compliance-Berichterstattung mit HIPAA, Sarbanes-Oxley (SOX), PCI DSS und anderen Vorschriften, die Zugriffskontrollüberwachung und Ereignisprüfung erfordern. In Kombination mit dem Advanced Reporting and Alerts Module (ARAM) können InfoSec-Administratoren und GRC-Mitarbeiter verdächtige Benutzeraktivitäten verfolgen.
Testen Sie Keeper Password Manager kostenlos
Egal, ob Sie ein Finanz- und Buchhaltungsprofi sind und nach einer einfachen und sicheren Passwortverwaltung für Ihr Unternehmen suchen, oder ein IT-Administrator, der Passwortmanager auswertet, um die F&A-Abteilung zu decken: Keeper hat Lösungen, um die kritischen Passwörter, Geheimnisse und Informationen Ihres Unternehmens zu schützen.
Wir würden uns freuen, Sie mit einem unserer Cybersicherheitsexperten zu verbinden. Sie können Keeper auch 14 Tage lang kostenlos testen.