05.11.2012, 14:00 Uhr
Angriff von Innen
Vor Angriffen auf IT-Systeme von aussen sind die meisten Unternehmen einigermassen gut geschützt. Doch oft kommen die Täter aus den eigenen Reihen. Diese vor einer Straftat zu erkennen ist oft schwierig und die Mittel zur Strafverfolgung sind sehr begrenzt.
Industriespionage, Diebstahl vertraulicher, sensibler Daten, Veruntreuung: Der Schaden, den Mitarbeiter weltweit ihren Unternehmen jährlich durch Fraud, also Betrug zufügen, liegt im hohen dreistelligen Milliardenbereich. Laut einer Studie der Beratungsgesellschaft PricewaterhouseCoopers wurde im vergangenen Jahr jedes zweite deutsche Unternehmen Opfer von Wirtschaftskriminalität. Allerdings hielt es nur jedes fünfte für realistisch, Opfer derartiger Vergehen zu werden. Globalisierte Märkte, Expansionen in Schwellenländern und manipulierte Kommunikationstaktiken bieten aber auch organisierten Tätergruppen ein geradezu ideales Umfeld für eine Schattenwirtschaft, die ein jährliches Schadensausmass in tausendfacher Milliardenhöhe verursacht. Am Scalaris ECI Day, der Economic- Crime-Intelligence-Konferenz, trafen sich Experten für die Bekämpfung von Wirtschaftskriminalität in Wien.
Ob Nachrichtendienst oder Unternehmensleitung, das A und O bei Verdacht auf Betrug, Spionage oder ähnlichem ist die Strukturierung des Problems, sagt Oberst a.D. Paul Krüger von der Consulting GmbH in Bern. Der ehemalige Leiter der Abteilung Armeeplanung der Schweizer Armee und internationaler Experte für die Entwicklung militärischer Führungs- und Nachrichtenbeschaffungskonzepte empfiehlt, sich zuerst einmal klar darüber zu werden, worum es in der aktuellen Situation geht und in welchem Zeitrahmen gehandelt werden muss. Hier kristallisiere sich schnell heraus, welche Informationen noch fehlen und auf welchem Wege beschafft werden müssen. «Mit Googeln kommen Sie der Wahrheit aber nicht näher», warnt Krüger. «Grundlage für die Lösungsfindung ist zudem eine Einigung darüber, was Problem und Aufgabe sind», so der ehemalige Oberst. Als Negativbeispiel aus der Schweiz nennt Dr. Michael Alkalay, CEO vom Neeracher Unternehmen AySEC Services, die CD-Datenklau-Affären der jüngsten Vergangenheit: «Hier hat die Problemerfassung definitiv nicht rechtzeitig stattgefunden.» Ist das Problem klar, müsse in einem nächsten Schritt ein überschaubares Netz von Teilproblemen geschaffen sowie die organisatorische Zuständigkeit, Bedeutung und Dringlichkeit festgelegt werden, sagt Krüger. Lesen Sie auf der nächsten Seite: Gründe für Wirtschaftskriminalität
Ob Nachrichtendienst oder Unternehmensleitung, das A und O bei Verdacht auf Betrug, Spionage oder ähnlichem ist die Strukturierung des Problems, sagt Oberst a.D. Paul Krüger von der Consulting GmbH in Bern. Der ehemalige Leiter der Abteilung Armeeplanung der Schweizer Armee und internationaler Experte für die Entwicklung militärischer Führungs- und Nachrichtenbeschaffungskonzepte empfiehlt, sich zuerst einmal klar darüber zu werden, worum es in der aktuellen Situation geht und in welchem Zeitrahmen gehandelt werden muss. Hier kristallisiere sich schnell heraus, welche Informationen noch fehlen und auf welchem Wege beschafft werden müssen. «Mit Googeln kommen Sie der Wahrheit aber nicht näher», warnt Krüger. «Grundlage für die Lösungsfindung ist zudem eine Einigung darüber, was Problem und Aufgabe sind», so der ehemalige Oberst. Als Negativbeispiel aus der Schweiz nennt Dr. Michael Alkalay, CEO vom Neeracher Unternehmen AySEC Services, die CD-Datenklau-Affären der jüngsten Vergangenheit: «Hier hat die Problemerfassung definitiv nicht rechtzeitig stattgefunden.» Ist das Problem klar, müsse in einem nächsten Schritt ein überschaubares Netz von Teilproblemen geschaffen sowie die organisatorische Zuständigkeit, Bedeutung und Dringlichkeit festgelegt werden, sagt Krüger. Lesen Sie auf der nächsten Seite: Gründe für Wirtschaftskriminalität
Gründe für Wirtschaftskriminalität
Die Beweggründe für wirtschaftskriminelles Verhalten sind vielschichtig. Oft wird der potentielle Verbrecher aber durch Gier, Neid, Furcht, Hass oder Rache getrieben. Geeignete Personen seien vor allem Menschen, deren Kulturverständnis den Zugriff auf fremdes Leben und Eigentum erlaubt. Ferner wurde durch die jüngsten finanziellen Entlohnungen von Verbrechen durch ausländische staatliche Stellen zum Beispiel in Deutschland das Unrechtsbewusstsein und der Anreiz zur Delinquenz weiter erhöht. Teile der Gesellschaft und der Politik halten den Datenklau und Verkauf an den ausländischen Staat für gerechtfertigt, weshalb sich Datendiebe heute sogar als eine Art Robin Hood hochstilisieren können. Weit grösser als durch Diebstahl ist der Informationsverlust aber durch Nachlässigkeit und noch mehr durch Manipulation, weiss Krüger. Der grösste Schaden entstehe heute durch Informationsmanipulation zur Tarnung und Täuschung und durch Fehlinterpretation der Sachlage durch Individuen oder automatisierte Prozesse.
Zur Bedrohungsabwehr und Sicherheitsregulierung müsse neben klaren Regelwerken grosses Augenmerk auf das soziale Umfeld im Unternehmen gerichtet werden. So sei es äusserst wichtig ein positives Betriebsklima und materielle Anreize (Gerechtigkeit) zu schaffen und kulturelle Werte (Religion, Ethik, Recht) zu respektieren oder zu akzeptieren. Krüger empfiehlt im besten Falle Contingency Planning, also Eventualplanung, sprich schon einmal durchzuspielen, was passiert wenn... Denn: «Die Mittel zur Strafverfolgung sind sehr begrenzt und machen leider oft an den nationalen Schranken halt», sagt Alkalay. Der ehemalige Polizeioffizier und Studienleiter für Forensik und Wirtschaftskriminalität an der Hochschule Luzern weiss aus seiner Berufserfahrung, wovon er spricht. Lesen Sie auf der nächsten Seite: Tipps fürs Risk Management
Zur Bedrohungsabwehr und Sicherheitsregulierung müsse neben klaren Regelwerken grosses Augenmerk auf das soziale Umfeld im Unternehmen gerichtet werden. So sei es äusserst wichtig ein positives Betriebsklima und materielle Anreize (Gerechtigkeit) zu schaffen und kulturelle Werte (Religion, Ethik, Recht) zu respektieren oder zu akzeptieren. Krüger empfiehlt im besten Falle Contingency Planning, also Eventualplanung, sprich schon einmal durchzuspielen, was passiert wenn... Denn: «Die Mittel zur Strafverfolgung sind sehr begrenzt und machen leider oft an den nationalen Schranken halt», sagt Alkalay. Der ehemalige Polizeioffizier und Studienleiter für Forensik und Wirtschaftskriminalität an der Hochschule Luzern weiss aus seiner Berufserfahrung, wovon er spricht. Lesen Sie auf der nächsten Seite: Tipps fürs Risk Management
Tipps fürs Risk Management
«Doch passen Sie auf mit technischen Systemen zur Überwachung, die machen Sie blind!», warnt Rolf Schatzmann, Chief Risk & Compliance Officer der Zürcher Renova Management AG. «Es gibt heute beispielsweise relativ wenige brauchbare elektronische Tools für Risk-Management.» Er empfiehlt ehrlich und kritisch die drei realen Top-Risiken fürs eigene Unternehmen herauszukristallisieren. «Nehmen Sie den Querdenker Ihres Unternehmens, insofern Sie ihn nicht schon entlassen haben - denn das sind, auch wenn sie stören, die wertvollsten Mitarbeiter - und lassen Sie ihn die Risiken definieren.» Grundsätzlich stehe der Mensch im Mittelpunkt und somit jedem im Wege, so Schatzmann. Risiken bieten beispielsweise Lebensstil und Schwächen von Personen in Schlüsselpositionen. Das müsse nicht zwangsläufig jemand aus dem Management sein. Auch der Nachtwächter, der Nachts allein anwesend und Herr über die Alarmanlagen ist oder der Buchhalter bekleiden Schlüsselpositionen: «Wenn Ihr Buchhalter Montagmorgen mit dem Ferrari vorfährt, müssen Sie sich fragen, ob seine Schwiegermutter gestorben ist oder ob es sich nicht eventuell um einen Firmenwagen handelt, von dem Sie nichts wissen», scherzt Schatzmann.
Weitere Risiken, die zum Betrug motivieren können sind zudem Frustration, unrealistische Zielsetzungen, häufiger oder gar kein Personalwechsel, schlechte Führung, viele Überstunden, kein oder zu wenig Ferienbezug oder hohe Performanceabhängigkeit. Vorsicht sei auch beim IT-Angestellten angebracht, sagt Schatzmann: «Ein IT-ler ist in der Regel nicht unternehmens- sondern system- und anwendungstreu. Punkt.» Und auch die Chefetage kritisiert er und stellt die Frage, welcher Unternehmer sich heute noch schützend vor seine Mitarbeiter stellt und zu seiner Verantwortung stehe. Nicht selten müssten Mitarbeiter als Sündenbock herhalten und über die Klinge springen. Unternehmensleiter sollten daher nie vergessen: «Es gibt nicht nur eine Loyalität von unten nach oben, sondern auch von oben nach unten!»
Mehr zum Thema Fraud Protection: Betrügereien im eigenen Unternehmen unterbinden lesen Sie in unserer Print-Spezialausgabe «Swiss Leader», die am 7. Dezember erscheint.
Weitere Risiken, die zum Betrug motivieren können sind zudem Frustration, unrealistische Zielsetzungen, häufiger oder gar kein Personalwechsel, schlechte Führung, viele Überstunden, kein oder zu wenig Ferienbezug oder hohe Performanceabhängigkeit. Vorsicht sei auch beim IT-Angestellten angebracht, sagt Schatzmann: «Ein IT-ler ist in der Regel nicht unternehmens- sondern system- und anwendungstreu. Punkt.» Und auch die Chefetage kritisiert er und stellt die Frage, welcher Unternehmer sich heute noch schützend vor seine Mitarbeiter stellt und zu seiner Verantwortung stehe. Nicht selten müssten Mitarbeiter als Sündenbock herhalten und über die Klinge springen. Unternehmensleiter sollten daher nie vergessen: «Es gibt nicht nur eine Loyalität von unten nach oben, sondern auch von oben nach unten!»
Mehr zum Thema Fraud Protection: Betrügereien im eigenen Unternehmen unterbinden lesen Sie in unserer Print-Spezialausgabe «Swiss Leader», die am 7. Dezember erscheint.