Ziel dieser Masterthesis ist es, einerseits einen Überblick über die Herausforderungen zu schaffen, mit denen sich Unternehmen im Hinblick auf ihr REWE durch Cyberkriminalität konfrontiert sehen und andererseits festzustellen, welche Maßnahmen zur Vermeidung getroffen werden sollen, damit diese Risiken im RM Berücksichtigung finden.
In dieser Arbeit wird nicht nur das Bewusstsein für Cyberkriminalität gestärkt, sondern es wird auch untersucht, ob die derzeitigen Maßnahmen von Unternehmen ausreichen, um die respektiven Risiken zu beherrschen oder ob weitere Innovationen und Entwicklungen benötigt werden. Als Ergebnis entsteht ein Überblick über die verschiedenen Möglichkeiten der Risikohandhabung, vor allem im REWE, und es werden Handlungsempfehlung an Unternehmen für das RM von Cyberrisiken gegeben.
Die konkret behandelte Fragestellung lautet: In welcher Form findet Cyberkriminalität, die sich gegen das REWE eines Unternehmens richtet, im RM Berücksichtigung?
Inhalt
1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Methodologie
2 Begriffsabgrenzungen und -definitionen
2.1 Begriffe mit Bezug auf Cyberkriminalität
2.2 Begriffe der Unternehmensführung und des Risikomanagments
3 Cyberkriminalität
3.1 Definition
3.2 Erscheinungsformen von Cyberkriminalität
4 Risikomanagement
4.1 Definition Risiko
4.2 Einführung in das Risikomanagement
4.3 Risikomanagement-Prozess im Überblick
4.3.1 Risikoidentifikation
4.3.2 Risikoanalyse und Risikobewertung
4.3.3 Risikobewältigung, Risikosteuerung
4.3.4 Risikokontrolle
4.3.5 Risikomanagment via interne Kontrollysteme
5 Cyberkriminalität im Rechnungswesen
5.1 Das Rechnungswesen von Unternehmen
5.2 Cyberangriffe im Rechnungswesen
5.3 Malware oder Schadsoftware
5.4 Phishing oder Datendiebstahl
5.5 Zwischenmenschliche Beeinflussung oder Social Engineering
6 Das Riskomanagement von CyberRisiken
6.1 Risikomanagement von Cyberrisiken im Rechnungswesen
6.1.1 Risikoidentifikation
6.1.2 Risikoanalyse und -bewertung
6.2 Entwicklung und Umsetzung von Maßnahmen
6.2.1 Risikovermeidung, Erhöhung der Cybersicherheit
6.2.2 Risikotransfer
6.2.3 Risikoüberwachung und Überprüfung
7 Beantwortung der theoretischen Subfragen
8 Erhebung und Auswertung der empirischen Ergebnisse
8.1 Empirische Untersuchung
8.2 Methode zur Datenerhebung
8.3 Auswahl der Interviewpartner
8.4 Erstellung des Interviewleitfadens
8.5 Durchführung der Interviews
8.6 Methode zur Datenanalyse
8.7 Kategorienbildung
8.8 Auswertung der Interviews
8.8.1 Kategorie 1: Allgemeine Fragen zur Cyberkriminalität
8.8.2 Kategorie 2: Arten von Cyberkriminalität
8.8.3 Kategorie 3: Auswirkungen/Schäden von Cyberkriminalität
8.8.4 Kategorie 4: Ausgangssituation Risikomanagement
8.8.5 Kategorie 5: Maßnahmen im Risikomanagement
8.8.6 Kategorie 6: Faktor Mensch
9 Beantwortung der empirischen Subforschungsfragen
10 Conclusio und Ausblick
Zielsetzung & Themen
Die vorliegende Arbeit untersucht, wie sich aktuelle Cyberangriffe auf das Rechnungswesen (REWE) von Unternehmen auswirken und welche Anforderungen dies an das Risikomanagement (RM) stellt, um solche Risiken effektiv zu beherrschen und Schäden zu vermeiden.
- Analyse der Bedrohungslage durch Cyberkriminalität im Rechnungswesen
- Identifikation und Kategorisierung von Cyberrisiken
- Evaluierung von Präventions- und Bewältigungsmaßnahmen im Risikomanagement
- Untersuchung der Bedeutung des Faktors Mensch als Sicherheitsrisiko
- Praxisnahe Überprüfung theoretischer Ansätze mittels Experteninterviews
Auszug aus dem Buch
5.5 Zwischenmenschliche Beeinflussung oder Social Engineering
Hierbei handelt es sich um alle Arten von Manipulation zur unterschwelligen Beeinflussung von Zielpersonen, mit dem Ziel sie für ihre Zwecke zu missbrauchen. Der Begriff Social Engineering, im Zusammenhang mit Informationssicherheitsattacken, stammt aus der Computersprache. Diese Angriffsmethode setzt auf die Neugier und Kontaktfreudigkeit des Menschen. Mitarbeiter/innen werden dabei zum Nachteil anderer, bzw. zum Nachteil des Unternehmens, mittels sozialer Kontakte zur Bekanntgabe von sensiblen Daten oder zu unbedachten Handlungen verleitet. (vgl. Meinert 2016, S. 49)
Die Kontaktaufnahme erfolgt entweder telefonisch, über Email oder über soziale Netzwerke mit dem Anliegen, dass u.a. Zugangsdaten zur Fehlerbehebung benötigt werden (vgl. Schaaf 2015, S. 534).
Diese Vorgehensweise erweist sich in der Praxis als eine der effektivsten Methoden. Durch den persönlichen Kontakt zeigen sich viele Menschen kooperativ und ignorieren Bedenken, aus Angst falsch zu reagieren. Um Konflikte zu vermeiden, werden kritische Handlungen wider besseren Wissens durchgeführt. (vgl. Meinert 2016, S. 49)
Zusammenfassung der Kapitel
1 Einleitung: Definiert die Problemstellung durch zunehmende Cyberangriffe und skizziert das Ziel sowie die methodische Vorgehensweise der Arbeit.
2 Begriffsabgrenzungen und -definitionen: Legt das notwendige theoretische Fundament durch die Definition zentraler Begriffe aus den Bereichen Cyberkriminalität, Unternehmensführung und Risikomanagement.
3 Cyberkriminalität: Analysiert den Begriff Cyberkriminalität und stellt eine Übersicht der häufigsten aktuellen Erscheinungsformen dar.
4 Risikomanagement: Erläutert die theoretischen Grundlagen des Risikomanagement-Prozesses, von der Identifikation über die Bewertung bis zur Steuerung und Kontrolle.
5 Cyberkriminalität im Rechnungswesen: Untersucht spezifisch die Angriffsflächen im Rechnungswesen und detailliert die Gefahren durch Malware, Phishing und Social Engineering.
6 Das Riskomanagement von CyberRisiken: Zeigt auf, wie ein Risikomanagement-Prozess speziell auf Cyberrisiken angewendet werden kann, einschließlich der Entwicklung von Schutzmaßnahmen.
7 Beantwortung der theoretischen Subfragen: Fasst die theoretischen Ergebnisse zusammen, um die zu Beginn gestellten Forschungsfragen zu beantworten.
8 Erhebung und Auswertung der empirischen Ergebnisse: Beschreibt das methodische Design der Experteninterviews und präsentiert die Ergebnisse der empirischen Analyse in thematischen Kategorien.
9 Beantwortung der empirischen Subforschungsfragen: Verknüpft die empirischen Daten mit den Forschungsfragen, um praxisorientierte Antworten zu generieren.
10 Conclusio und Ausblick: Führt theoretische und empirische Erkenntnisse zusammen und diskutiert die zukünftigen Herausforderungen für das Risikomanagement im Kontext der dynamischen Cyberbedrohung.
Schlüsselwörter
Cyberkriminalität, Rechnungswesen, Risikomanagement, Datensicherheit, IT-Sicherheit, Social Engineering, Phishing, Malware, Internes Kontrollsystem, Präventionsmaßnahmen, Risikobewertung, Compliance, Unternehmenskultur, Cyberrisiken, Informationsschutz.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit analysiert die Auswirkungen von Cyberkriminalität auf das Rechnungswesen und die damit verbundenen Herausforderungen für das Risikomanagement in Unternehmen.
Was sind die zentralen Themenfelder der Publikation?
Die Arbeit behandelt die Schnittstelle zwischen IT-Bedrohungen (wie Malware, Phishing, Social Engineering), betriebswirtschaftlichen Prozessen im Rechnungswesen und der Implementierung eines effektiven Risikomanagements und Internen Kontrollsystems.
Was ist das primäre Ziel der Forschungsarbeit?
Ziel ist es, einen Überblick über die Herausforderungen durch Cyberkriminalität zu schaffen, den Status quo der Maßnahmen in Unternehmen zu erheben und Handlungsempfehlungen für ein adäquates Risikomanagement abzuleiten.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit kombiniert eine umfassende Literaturrecherche (theoretischer Teil) mit einer qualitativen empirischen Studie, die auf problemzentrierten Experteninterviews mit Führungskräften aus verschiedenen Branchen basiert.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in eine theoretische fundierte Darstellung von Cyberrisiken und Risikomanagement-Prozessen sowie die Auswertung der empirischen Erhebung, in der die praktische Umsetzung und Erfahrungen der befragten Unternehmen dargestellt werden.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zentrale Begriffe sind unter anderem Cyberkriminalität, Rechnungswesen, Risikomanagement, Social Engineering, Phishing, Malware und Internes Kontrollsystem.
Welche Rolle spielt der Faktor Mensch bei Cyberangriffen?
Der Faktor Mensch wird als eine der größten Schwachstellen identifiziert, da Cyberkriminelle gezielt die Psyche, Neugier oder Hilfsbereitschaft von Mitarbeitern ausnutzen ("Human Hacking"), um unautorisierte Zugriffe oder Überweisungen zu provozieren.
Wie reagieren Unternehmen in der Praxis auf das Risiko von Fake-President-Betrug?
Unternehmen setzen vor allem auf organisatorische Kontrollen wie das Vier-Augen-Prinzip, strikte Vorgaben für Zahlungsfreigaben, regelmäßige Sensibilisierungsmaßnahmen für Mitarbeiter und die Implementierung klar definierter elektronischer Freigabeprozesse im Zahlungsverkehr.
- Arbeit zitieren
- Romana Wiesinger (Autor:in), 2018, Auswirkungen von Cyberkriminalität im Rechnungswesen, München, GRIN Verlag, https://www.grin.com/document/454758
