Deutsche Unternehmen treibt besonders die Sorge vor Datenkriminalität um. Dabei werden sie tatsächlich eher Opfer von Diebstahl und Unterschlagung. So oder so – zu oft begünstigen Wissensdefizite und laxe Kontrollen Straftaten.
Der Wirecard-Skandal hat das Thema Wirtschaftskriminalität voll ins Rampenlicht gerückt. Mit zweifelhaften Machenschaften hat sich der einstige Börsenstar in die Insolvenz manövriert und Ermittler wühlen sich nun durch die Firmenakten. Für massive Kritik sorgt zudem das Versagen aller Kontrollinstanzen, die die Geschäfte offenbar nicht durchschaut oder hinterfragt haben.
Wirtschaftskriminalität betrifft große Unternehmen häufiger
Dass es beim Thema Wirtschaftskriminalität sowohl gravierende Wissenslücken als auch Handlungsbedarf gibt, bestätigt die KPMG-Studie "Wirtschaftskriminalität in Deutschland 2020".
So belegen die Antworten von 1.000 im Herbst/Winter 2019/2020 befragten Unternehmen zunächst einmal, dass in den vergangenen zwei Jahren im Schnitt 30 Prozent der Unternehmen von Wirtschaftskriminalität betroffen waren. Dabei trifft es große Unternehmen mit 41 Prozent deutlich öfter als kleinere (23 Prozent).
Risikoeinschätzung und Realität klaffen auseinander
Die Untersuchung zeigt aber auch, wie sehr Risikoeinschätzung und wirkliche Betroffenheit auseinanderklaffen: 86 Prozent der Unternehmen sehen das größte Risiko darin, Opfer von Datendiebstahl und -missbrauch zu werden. Tatsächlich betroffen sind im Schnitt "nur" 31 Prozent. Die Studienautoren warnen daher: "Als vermeintliche Alltagsdelikte finden Betrug und Untreue, aber auch Diebstahl und Unterschlagung in der Risikowahrnehmung von Unternehmen wenig Beachtung – ein gefährlicher Trugschluss!"
Keine Ahnung von Embargos und Sanktionen
Angesichts vieler internationaler Konflikte stellen auch Embargo- und Sanktionsverstöße ein erhebliches Risiko für Unternehmen dar. Dennoch bekennt über die Hälfte der Befragten, nicht mit dem Thema Sanktionen und Embargos vertraut zu sein. Dabei glauben 79 Prozent, dass Verstöße dagegen enorme Reputationsschäden bedeuten. Vor allem große Unternehmen rechnen in solchen Fällen mit gravierenden Auswirkungen wie etwa hohen Bußgeldern. Derweil bemängeln 43 Prozent der kleineren Firmen, es fehle an Handreichungen und Richtlinien, die regelkonformes Verhalten erleichtern.
Deutlich weniger externe Täter
Die Studie gibt auch Auskunft über die Täterherkunft. Demnach ist der Anteil externer Wirtschaftskrimineller auf 47 Prozent gesunken (2018: 61 Prozent). Hingegen sind bei der Hälfte aller Vorfälle interne Täter beteiligt, und in jedem zehnten Fall gehen interne und externe Täter gemeinsam ans Werk.
Gerade bei der von Unternehmen so gefürchteten Datenkriminalität stehen vermehrt die Mitarbeiter im Fokus. So verweisen Kristin Weber, Andreas E. Schütz und Tobias Fertig in ihrem Fachbeitrag "Insider Threats - Der Feind in den eigenen Reihen" auf diverse Studien, denen zufolge 60 Prozent der Cyberangriffe auf Angestellte oder Dritte mit Systemzugriff (Insider im weiteren Sinne) zurückgehen und nur 40 Prozent auf Externe. Etwa ein Sechstel der Angriffe sei auf Anwenderfehler oder unbedachte Mitarbeiter zurückzuführen, fast die Hälfte jedoch auf sogenannte Malicious/Intentional Insider mit böswilligen Motiven. Dies können aktuelle oder ehemalige Mitarbeiter, Vertrags- oder Geschäftspartner mit Zugriff auf Netzwerk, Systeme oder Daten sein.
Wie tickt der Feind?
Weil in diesem Fall viele Sicherheitsmaßnahmen nicht greifen, ist es umso wichtiger, dass Organisationen die verschiedenen Typen von Malicious Insidern und ihre möglichen Motive kennen.
Motivation | Beschreibung | Insidertyp |
Finanzielle Notlage | Insider versuchen aufgrund finanzieller Probleme schnell an Geld zu kommen. | Datendiebstahl, Betrug, Enabling |
Anspruchsrecht | Manche Mitarbeiter denken, sie haben berechtigten Anspruch auf sensible Informationen oder geistiges Eigentum. | Datendiebstahl |
Verärgerte Mitarbeiter | Mitarbeiter, die sich schlecht behandelt fühlen, wollen sich an ihrem Arbeitgeber rächen. | Sabotage |
Ideologie | Politische oder religiöse Ansichten können Insider motivieren, böswillig zu handeln. | Whistleblowing, Spionage |
Äußerer Einfluss | Kriminelle Organisationen oder Geheimdienste rekrutieren Insider, motivieren sie finanziell oder setzen sie mit Drohungen unter Druck. | Spionage, Sabotage, Enabling |
Quelle: Kristin Weber, Andreas E. Schütz und Tobias Fertig, "Insider Threats - Der Feind in den eigenen Reihen" in HMD Praxis der Wirtschaftsinformatik, Ausgabe 3/2020, Seite 616 |
Erkennende, präventive und reaktive Maßnahmen orchestrieren
Dieses Wissen bildet die Basis, um böswillige Insider zu identifizieren und Gegenmaßnahmen zu ergreifen. Die Maßnahmen sollten Teil des übergeordneten Informationsmanagements sein und lassen sich laut Weber, Schütz und Fertig in erkennende, präaktive und reaktive Aktivitäten unterteilen (Seite 620ff):
- Potenzielle Indikatoren, um Malicious Insidern zu erkennen: Persönliche Eigenschaften, verdächtige Verhaltensweisen, besondere berufliche Ereignisse. Um von diesen Indikatoren auf eine potentielle interne Straftäter schließen zu können, sind leistungsfähige Computerprogramme, sensibilisierte Mitarbeiter und ein verantwortungsvoller Umgang mit Indikatoren und Hinweisen nötig.
- Organisatorische und technische Präventivmaßnahmen: Unternehmen koordinieren sie häufig in sogenannten Insider Threat Programmen, wobei die Maßnahmen auch in Zusammenhang mit dem Risikomanagement zu sehen sind.
- Auf IT-Angriffe reagieren: Vorgang analysieren und aufklären, Schaden beheben. Weber et al. warnen aber vor übereilten Antworten. "In vielen Fällen kann es durchaus sinnvoll sein, eine anhaltende Insider-Attacke zu dulden und zu beobachten. Oft ist es fataler, die Systeme wegen einer Insider-Attacke abzuschalten, als die Verluste zu akzeptieren und durch die gewonnenen Beweise den Angriff strafrechtlich zu verfolgen."
Wirtschaftskriminelle haben oft leichtes Spiel
Abgesehen von böswilligen Insidern gibt es eine Reihe weiterer Risikofaktoren, die Wirtschaftsstraftaten begünstigen. In der KPMG-Studie wurde am häufigsten Unachtsamkeit/Nachlässigkeit (51 Prozent) genannt. Knapp dahinter folgen mangelhafte Kontrollen (50 Prozent) und fehlendes Unrechtsbewusstsein (49 Prozent). Aufgedeckt werden wirtschaftskriminelle Handlungen überwiegend (55 Prozent) durch offene Hinweise von Unternehmensangehörigen. Doch 51 Prozent gaben auch an, dass Taten nur zufällig aufflogen.
Die Zahlen belegen, dass rund um wirtschaftskriminelle Handlungen einiger Handlungsbedarf besteht. "Neben der Einrichtung eines internen Meldesystems spielt die systematische Analyse der für Wirtschaftskriminalität anfälligen Prozesse und Geschäftsbereiche eine große Rolle“, erklärt Barbara Scheben, Leiterin Forensic bei KPMG Deutschland. Sehr hilfreich für Prävention, Aufdeckung und Aufklärung von Wirtschaftskriminalität sind dabei digitale Compliance-Werkzeuge, wie das digitale Vertragsmanagement, Compliance-Reportings und Tools zum Richtlinienmanagement.