sebastianbrandt
Neues Mitglied
Hallo zusammen, wir generieren aktuell in Rewe Zahlungsdateien und speichern diese .xml Dateien in einem Verzeichnis mit eingeschränkten NTFS-Berechtigungen zwischen und importieren diese dann in das Bankprogramm SFIRM. Dies wird nun nach einer internen revision bemängelt. Den text füge ich in Auszügen unten an. Hat jemand eine ähnliche Konstellation bzw. eine Lösung dafür?Ich freue mich auf eure Antworten.
Auszug aus dem Report:
m Rahmen der Prüfung wurde der Zahlungsprozess über Sammelüberweisungen analysiert. Dabei
werden mehrere Zahlungen zunächst als Zahlungsdatei generiert und als XML-Datei
zwischengespeichert. Diese XML-Datei wird anschließend in das Bankprogramm (z. B. S-Firm)
importiert und nach Freigabe durch berechtigte Personen ausgeführt.
Die zwischengespeicherte XML-Datei kann jedoch vor dem Import in das Bankprogramm technisch
mit einem Editor geöffnet und verändert werden. Insbesondere könnten hierbei Bankverbindungen
oder Zahlungsbeträge angepasst werden, ohne dass diese Änderungen im Rahmen der
anschließenden Freigabe zwingend erkannt werden.
Im Rahmen der Prüfung wurde zudem diskutiert, ob durch neue regulatorische Anforderungen im
Zahlungsverkehr dieses Risiko reduziert wurde. Hintergrund ist die EU-Verordnung (EU) 2024/886 zur
10
Fälligkeitsdatum
30-Jun-26
Risk1
Risk2
Risk3
Aktivität
Kommentar hinzufügen
Apps
Office Editor
Einführung von Echtzeitüberweisungen, welche unter anderem die sogenannte Verification of Payee
(VoP) bzw. IBAN-Namensprüfung vorsieht. Banken müssen künftig prüfen, ob der angegebene
Empfängername zur IBAN passt, um Fehlüberweisungen und Betrug zu reduzieren. Diese
Empfängerprüfung wird im SEPA-Zahlungsverkehr verpflichtend eingeführt.
Diese Prüfung erfolgt jedoch auf Ebene der einzelnen Überweisung im Bankensystem und stellt keine
vollständige Absicherung gegen Manipulationen von Sammel- bzw. Zahlungsdateien (XML) dar.
Insbesondere bei Sammelüberweisungen mit mehreren Zahlungspositionen besteht weiterhin das
Risiko, dass Änderungen innerhalb der XML-Datei vor dem Import in das Bankprogramm
vorgenommen werden, ohne dass diese im Rahmen der Freigabe vollständig überprüft werden.
Darüber hinaus kann die Empfängerprüfung Warnhinweise liefern, die jedoch nicht zwingend zur
Ablehnung der Zahlung führen. In solchen Fällen bleibt das Risiko weiterhin beim zahlenden
Unternehmen bestehen.
Auszug aus dem Report:
m Rahmen der Prüfung wurde der Zahlungsprozess über Sammelüberweisungen analysiert. Dabei
werden mehrere Zahlungen zunächst als Zahlungsdatei generiert und als XML-Datei
zwischengespeichert. Diese XML-Datei wird anschließend in das Bankprogramm (z. B. S-Firm)
importiert und nach Freigabe durch berechtigte Personen ausgeführt.
Die zwischengespeicherte XML-Datei kann jedoch vor dem Import in das Bankprogramm technisch
mit einem Editor geöffnet und verändert werden. Insbesondere könnten hierbei Bankverbindungen
oder Zahlungsbeträge angepasst werden, ohne dass diese Änderungen im Rahmen der
anschließenden Freigabe zwingend erkannt werden.
Im Rahmen der Prüfung wurde zudem diskutiert, ob durch neue regulatorische Anforderungen im
Zahlungsverkehr dieses Risiko reduziert wurde. Hintergrund ist die EU-Verordnung (EU) 2024/886 zur
10
Fälligkeitsdatum
30-Jun-26
Risk1
Risk2
Risk3
Aktivität
Kommentar hinzufügen
Apps
Office Editor
Einführung von Echtzeitüberweisungen, welche unter anderem die sogenannte Verification of Payee
(VoP) bzw. IBAN-Namensprüfung vorsieht. Banken müssen künftig prüfen, ob der angegebene
Empfängername zur IBAN passt, um Fehlüberweisungen und Betrug zu reduzieren. Diese
Empfängerprüfung wird im SEPA-Zahlungsverkehr verpflichtend eingeführt.
Diese Prüfung erfolgt jedoch auf Ebene der einzelnen Überweisung im Bankensystem und stellt keine
vollständige Absicherung gegen Manipulationen von Sammel- bzw. Zahlungsdateien (XML) dar.
Insbesondere bei Sammelüberweisungen mit mehreren Zahlungspositionen besteht weiterhin das
Risiko, dass Änderungen innerhalb der XML-Datei vor dem Import in das Bankprogramm
vorgenommen werden, ohne dass diese im Rahmen der Freigabe vollständig überprüft werden.
Darüber hinaus kann die Empfängerprüfung Warnhinweise liefern, die jedoch nicht zwingend zur
Ablehnung der Zahlung führen. In solchen Fällen bleibt das Risiko weiterhin beim zahlenden
Unternehmen bestehen.
