Erstmals seit 2014 wurden wieder mehr Unternehmen Opfer krimineller Taten. Die Zahl stieg auf 34 Prozent. Aber nur neun Prozent halten ihr Schutzniveau für schlecht. Das gibt zu denken.
Das Risiko, Opfer krimineller Machenschaften zu werden, halten die meisten Firmen bei anderen Unternehmen für deutlich höher als im eigenen Haus.
Andrii Yalanskyi / Getty Images / iStock
Trendumkehr bei der Wirtschaftskriminalität: Nachdem zwischen 2014 und 2020 die Zahlen der von Kriminalität betroffenen Unternehmen stetig sanken (2020: 30 Prozent), ist nun Schluss damit. In den Jahren 2021 und 2022 wurde in Deutschland gut jedes dritte Unternehmen (34 Prozent) Opfer krimineller Delikte wie Betrug, Korruption oder Cyber-Attacken. Das zeigen die Ergebnisse der KPMG-Studie "Wirtschaftskriminalität in Deutschland 2023: Gegen jede Regel", für die 1.001 repräsentativ ausgewählte Unternehmen verschiedenster Branchen und Größe im Jahr 2022 befragt wurden.
Große Konzerne öfter betroffen
Der Studie zufolge steigt die Betroffenheit mit der Unternehmensgröße. So gaben 30 Prozent der kleinen Unternehmen und 36 Prozent der mittleren Unternehmen an, in den letzten zwei Jahren von Wirtschaftskriminalität betroffen gewesen zu sein. Bei großen Unternehmen lag die Rate bei 45 Prozent.
Ein Grund könne die komplexere Unternehmensstruktur größerer Unternehmen sein, die häufiger Gelegenheiten für Wirtschaftskriminalität biete, so die Autoren. Eine weitere Erklärung: Je ausgeprägter das interne Kontrollsystem, desto höher die Zahl der entdeckten Verstöße. Insofern ist anzunehmen, dass die Dunkelziffer bei kleinen Unternehmen deutlich höher liegt. Denn sie verfügen seltener über umfassende Kontroll- und Monitoringmechanismen.
Womöglich hat aber auch die Corona-Pandemie zum Anstieg beigetragen. Mit der vermehrten Arbeit im Homeoffice - gerade in großen Unternehmen - ergaben sich neue wirtschaftskriminelle Möglichkeiten. Zudem könne die größere physische und emotionale Distanz der Mitarbeitenden eine Rolle gespielt haben, vermuten die KPMG-Experten.
Damoklesschwert Cyber-Kriminalität
Größte Sorge bereitet allen befragten Firmen das Thema Datendiebstahl und -missbrauch. Neun von zehn Unternehmen halten das Risiko, davon betroffen zu sein, für hoch bis sehr hoch. Tatsächlich betroffen von einem Datendiebstahl/-missbrauch waren in den vergangenen zwei Jahren 38 Prozent der Befragten: ein Anstieg um sieben Prozent gegenüber 2020.
Die große Diskrepanz zwischen Risikoeinschätzung und Betroffenheit von Cyber-Kriminalität lässt sich nicht zuletzt auf die mediale Präsenz des Themas zurückführen. Anfang des Jahres berichtete etwa die Tagesschau über eine globale Welle von Cyber-Attacken auf Unternehmen auch in Deutschland. Ende April informierte Bitmarck, ein IT-Dienstleister vieler Krankenkassen, über einen Hackerangriff. Und im Mai legte eine Cyber-Erpressung das Kosmetikunternehmen Maxim lahm.
Dessen ungeachtet findet sich das Delikt Datendiebstahl/-missbrauch in der "Betroffenheitsrealität" der Jahre 2021/2022 nur an zweiter Stelle hinter Diebstahl/Unterschlagung (39 Prozent). Am dritthäufigsten wurden Unternehmen Opfer von Betrug/Untreue (36 Prozent).
Kleine Unternehmen mit geringerem Risikobewusstsein
Wie die aktuelle Befragung zeigt, schätzen die befragten Unternehmen das Risiko, selbst von Wirtschaftskriminalität betroffen zu sein, deutlich seltener als hoch oder sehr hoch ein (34 Prozent) als bei anderen Unternehmen (81 Prozent). Dies kann ein fataler Irrtum mit erheblichem finanziellen Schaden sein.
Immerhin lag bei 31 Prozent der von Wirtschaftskriminalität betroffenen Firmen der Schaden zwischen 100.000 und 999.999 Euro. Bei fünf Prozent der Geschädigten überstieg der Schaden sogar eine Million Euro, so die Studie.
Angaben in Prozent
KPMG Deutschland | Studie „Wirtschaftskriminalität in Deutschland 2023“
Knapp die Hälfte der Täter kommen von außen
Auch auf die Frage nach den Tätern liefert die Untersuchung Antworten. Demnach kommen insgesamt 47 Prozent der Wirtschaftskriminellen nicht aus dem eigenen Unternehmen. Externe sind vor allem für Geldwäsche, Verletzung von Schutz- und Urheberrechten und Korruption verantwortlich. Hingegen werden Geschäftsgeheimnisse naheliegenderweise überwiegend von internen Tätern verraten. Bei Betrug/Untreue halten sich interne und externe Täter indessen fast die Waage.
Der geringste Anteil an Tätern insgesamt entfällt mit 6,5 Prozent auf das Top-Management. Bei der Manipulation von jahresabschlussrelevanten Informationen stammt jedoch die Hälfte aller Täter aus der obersten Führungsriege.
Die größte Gefahr ist Nachlässigkeit
Mit 58 Prozent werden Nachlässigkeit und Unachtsamkeit als häufigste Ursachen für wirtschaftskriminelle Handlungen genannt. Fehlende oder mangelhafte Kontrollen und mangelndes Unrechtsbewusstsein rangieren auf Platz zwei und drei. Vor allem an diesen Hauptursachen gilt es anzusetzen, um das Kriminalitätsrisiko im eigenen Unternehmen zu minimieren. Immerhin gaben fast alle befragten Unternehmen an, über etablierte Präventionsmaßnahmen zu verfügen.
Interessant ist in diesem Zusammenhang ein Blick auf Verhaltensweisen wie "Behavioral Finance" und "Fraud Behaviour" in der Finanzwelt. Sonia Stirnimann etwa sieht hier Parallelen zu Verhaltensmustern bei Cyber-Kriminalität, Wirtschaftsdelikten und Non-Compliance.
Motiv, Gelegenheit und Rechtfertigung sind entscheidend
Die Springer-Autorin verweist im Kapitel "Verhaltensökonomie – ihre Rolle im Kontext der Wirtschaftskriminalität" auf die Fraud-Dreieck-Hypothese von Donald R. Cressey, wonach vertrauenswürdige Menschen unter bestimmten Umständen zu Vertrauensverletzern werden. (Seite 177) Seien die drei Konditionen "Motiv", "Gelegenheit" und "Rechtfertigung" simultan erfüllt, stelle dies das größte von einem Individuum ausgehende Risiko für eine Organisation dar.
| Motiv | Gelegenheit | Rechtfertigung |
Hypothese Cressey | Unteilbare finanzielle Probleme | Geschenktes Vertrauen | Eigene Erklärung für das vertrauenswidrige Verhalten |
Gruppendenken: ein kritischer Faktor
Bei Wirtschaftsdelikten seien besonders die psychologischen Faktoren, die Entscheidungsprozesse beeinflussen, zu beachten. Hierzu zählen unter anderem die selektive Wahrnehmung von Informationen, kognitive Dissonanz sowie Befangenheit. "Essenziell ist, dass insbesondere das Gruppendenken ein wesentlicher Faktor entlang des Lebenszyklus wirtschaftskrimineller Handlungen, Non-Compliance und Cyber-Kriminalität ist", erklärt Stirnimann auf Seite 186.
So hätten Täter oft auch Helfer, um ihre Taten effektiv durchführen zu können. In den seltensten Fällen handelten die Täter ganz allein. Jedoch würden die Mittäter ihre Funktion gar nicht immer kennen. Hier spielt Stirnimann zufolge das Social Engineering eine wesentliche Rolle.
Lieferkette als Risiko
Eine neue Herausforderung für Unternehmen stellt das Lieferkettensorgfaltspflichtengesetz dar. Allerdings sehen nur 15 Prozent der Befragten hier ein hohes beziehungsweise sehr hohes Risiko für ihre Firma und 88 Prozent sind keine Missstände oder Verstöße in den Lieferketten bekannt.
Die Praxis zeigt indessen, dass sowohl das Ausmaß der Präventionsmaßnahmen als auch ethische Führungsprinzipien wesentlich dazu beitragen, dass Lieferkettendelikte entdeckt und verhindert werden.
Inwiefern das Gesetz greift, muss sich noch erweisen: Der Studie zufolge rechnet nur jedes fünfte Unternehmen mit gravierenden Bußgeldern im Falle von Verstößen. Eher werden Reputationsschäden und der Ausschluss von Vergabeverfahren oder die Aufnahme in Schwarze Listen befürchtet.