Der unterschätzte Angriffs­vektor: Warum Finance-Software ins Threat Model gehört

Wenn ein Spend-Management-Tool gehackt wird, sitzt nicht der Anbieter vor der BaFin, sondern ihr. Trotzdem kaufen viele Unternehmen Finance-Software wie Bürostühle: Hauptsache, der Preis stimmt und die Features passen. Security? Fragt kaum jemand.

von Sven Zehl, CI­SO bei Moss

Ich habe in den vergangenen Jahren dutzende Anbieter evaluiert, als Kunde und als CISO auf der anderen Seite des Tisches. Das Bild ist ernüchternd. Anbieter, die auf die Frage nach ihrem Incident-Response-Prozess mit „Was meinen Sie genau?“ antworten. Anbieter, deren Security-Dokumentation aus einem zweiseitigen PDF besteht, das seit 2019 nicht aktualisiert wurde. Anbieter, die ISO 27001 auf der Website führen, aber keinen aktuellen Audit-Report vorlegen können.
Diese Anbieter verkaufen Software, die direkt in euer ERP schreibt.

Die Breach-Statistik 2025/2026 zeigt, wie unterschiedlich die Angriffsvektoren sind, aber wie ähnlich die Ursache.“

Bei Wealthsimple kompromittierten Angreifer ein Software-Paket in der Lieferkette des Vendors, ein klassischer Supply-Chain-Angriff. Beim australischen Fintech youX war es banaler: eine ungesicherte MongoDB-Instanz, öffentlich erreichbar, 444.000 Kundendatensätze inklusive Führerscheinen und Gehaltsdaten. Bei SitusAMC führte ein Einbruch beim Mortgage-Tech-Dienstleister dazu, dass JPMorgan Chase, Citi und Morgan Stanley ihre Exposure bewerten mussten.

Drei verschiedene Angriffswege, ein gemeinsamer Nenner: Die Angriffe trafen nicht die Kerninfrastruktur der Finanzinstitute, sondern Plattformen, denen sie ihre Daten anvertraut hatten. Plattformen, die offensichtlich niemand ernsthaft geprüft hat.“

Der Markt ist zweigeteilt

Es gibt Anbieter, die Security als Kernkompetenz verstehen. Die haben ein dediziertes Security-Team, lassen sich jährlich unabhängig auditieren, teilen Pentest-Ergebnisse unter NDA mit Kunden und haben einen Incident-Response-Prozess mit definierten Runbooks und SLAs für Notification.
Und es gibt Anbieter, die schnell gewachsen sind, deren Sicherheitsarchitektur aber nicht mitgewachsen ist. Kein SOC 2, kein ISO 27001, keine öffentliche Security-Dokumentation. Auf Nachfrage bekommt man ausweichende Antworten oder die Aussage, man arbeite daran.
Beide Kategorien verkaufen das gleiche Produkt, mit den gleichen Features, oft zum gleichen Preis. Der Unterschied fällt erst auf, wenn ihr die richtigen Fragen stellt. Oder wenn es zu spät ist.

Fünf Fragen, die Anbieter nicht mögen

In jeder Vendor-Evaluation stelle ich dieselben Fragen. Die Reaktion darauf sagt mir mehr als jede Hochglanzpräsentation:

1. Zeigen Sie mir Ihren aktuellen SOC 2 Type II Report. Nicht die Zusammenfassung, den Report. Type II, nicht Type I. Ein SOC 2 ist kein Gütesiegel, das alle Probleme ausschließt. Er sagt euch, dass bestimmte Controls existieren und über einen Zeitraum funktioniert haben. Er sagt euch nicht, ob die Architektur sauber ist oder ob irgendwo eine Datenbank offen steht. Aber ein Anbieter, der keinen hat oder ausweicht, hat Security nicht priorisiert. Das ist ein Warnsignal.
2. Wo genau liegen meine Daten und wer hat Zugriff? Subprozessoren, Hosting-Regionen, Zugriffskontrollen. Seriöse Anbieter haben das dokumentiert und schicken es innerhalb von 24 Stunden. Wer erst intern nachfragen muss, hat seine eigene Infrastruktur nicht im Griff.
3. Welche API-Scopes fordert Ihre Integration an? Viele Finance-Tools brauchen Schreibzugriff, um Buchungen anzulegen oder Zahlungen zu initiieren. Das ist legitim. Die Frage ist: Sind die Scopes dokumentiert, auf das Notwendige beschränkt und gibt es eine Möglichkeit, sie weiter einzuschränken? Wer Vollzugriff verlangt, weil es einfacher zu implementieren ist, zeigt euch, wie Security bei ihm priorisiert wird.
4. Was passiert, wenn Sie gehackt werden? Wie schnell erfahre ich davon? Gibt es definierte SLAs für Notification? Eine dedizierte Security-Kontaktadresse? Einen Responsible-Disclosure-Prozess? Die Antworten zeigen, ob Security im Ernstfall funktioniert oder nur auf dem Papier existiert.
5. Arbeiten Sie in regulierten Umfeldern? Anbieter, die Kunden unter BaFin-Aufsicht, DORA oder vergleichbaren Regimes bedienen, haben Audit-Rechte, Exit-Klauseln und Incident-Reporting schon durchdacht. Die anderen fangen bei null an.

Unbequeme Wahrheit über Finance-Software

Die meisten Unternehmen stellen diese Fragen nicht. Finance-Software wird vom CFO ausgewählt, nicht vom CISO. Die Entscheidung fällt nach Demo, Preis und Implementierungszeit. Security landet bestenfalls als Checkbox am Ende des Prozesses, wenn der Vertrag schon fertig ist.
Das funktioniert, bis es nicht mehr funktioniert.
Die Vorfälle bei Wealthsimple, SitusAMC und youX sind keine Ausnahmen. Sie sind das, was passiert, wenn Vendor-Auswahl ohne Security-Beteiligung läuft. Wenn niemand fragt, wie die Datenbank abgesichert ist. Wenn ein SOC 2 Report nice to have ist statt Ausschlusskriterium.

Finance-Software gehört ins Threat Model.“

Nicht als abstraktes Risiko, sondern als konkrete Frage: Habt ihr den Anbieter geprüft, dem ihr Zugriff auf euren Zahlungsverkehr gebt?
Mein Vorschlag: Den wichtigsten Finance-Vendor nehmen und ihm diese fünf Fragen stellen. Die Antworten werden aufschlussreich sein. Sven Zehl, Moss