Banken sind nicht ausreichend gegen Betrug geschützt, das ist das Fazit aus einer Umfrage der Prüfungs- und Beratungsgesellschaft Ernst & Young unter 100 Geldinstituten in Deutschland. Ein Ergebnis, das erstaunt. Ist doch das Risiko, durch eigene Mitarbeiter geschädigt zu werden, in den vergangenen Jahren nachweislich gestiegen. Auch für die Zukunft erwarten die Institute eine weiter steigende Zahl an Betrugsversuchen. Jede neunte Bank berichtet von einem Betrugsfall in jüngster Zeit. Die Dunkelziffer dürfte deutlich höher liegen. Im Widerspruch dazu steht, dass in der Bewertung aller operativen Risiken die befragten Kreditinstitute das höchste Gefährdungspotenzial in der IT sehen.
Die zum Teil spektakulären Betrugsdelikte der vergangenen Jahre haben auch deutsche Bankmanager für das Thema „Betrug durch eigene Mitarbeiter“ sensibilisiert. 29 Prozent der Befragten können für die vergangenen Jahre eine leichte Zunahme dieses Risikos feststellen, weitere zehn Prozent erkennen eine deutliche Erhöhung. Nur fünf Prozent sehen hingegen ein gesunkenes Risiko.
„Die Furcht vor kriminellen Handlungen wächst. Wenn es einem einzelnen Mitarbeiter möglich ist, ein ganzes Institut in Turbulenzen zu bringen, klingeln in der gesamten Branche die Alarmglocken“, kommentiert Dirk Müller-Tronnier, Leiter Banking & Capital Markets bei Ernst & Young die Studienergebnisse.
Für die kommenden Jahre gehen die Institute von einem weiter steigenden Betrugsrisiko aus – trotz der zum Teil erheblichen Sicherheitsvorkehrungen, die die Banken inzwischen getroffen haben. Dazu zählen die mit viel Aufwand umgesetzten gesetzlichen Regelungen zur Betrugsverhinderung (Mindestanforderungen an das Risikomanagement, Geldwäschegesetz). Die Mehrzahl der Geldinstitute schreibt ihnen allerdings kaum nennenswerte Wirkung zu: Nur 15 Prozent der Befragten können deutlich positive Effekte dieser Vorgaben feststellen, weitere 46 Prozent sehen nur geringfügige Auswirkungen, 39 Prozent überhaupt keine.
Stefan Heißner, Leiter der Abteilung Fraud Investigation & Dispute Services bei Ernst & Young, bestätigt, dass die Wirkung regulatorischer Bestimmungen begrenzt ist: „Die Umsetzung gesetzlicher Vorgaben allein schützt nicht vor Betrug.“ Die Banken müssten Eigeninitiative zeigen und die Herausforderung in größeren Zusammenhängen sehen. Dazu zähle eine umfassende Betrugsvorbeugung und ein Überdenken der eigenen Geschäfts- und Personalkultur.
Jede neunte Bank geschädigt – hohe Dunkelziffer
Unter den befragten Geldinstituten hatte jedes neunte allein in den vergangenen zwei Jahren einen Betrugsversuch zu verzeichnen. Geschädigt wurden am häufigsten Kunden. Sie waren in 73 Prozent der Fälle betroffen, gefolgt von den Banken selbst mit 55 Prozent. Dritte wurden in 27 Prozent aller Betrugsdelikte geschädigt.
Stark von Betrugsfällen betroffen waren laut Studie das Transaktionsgeschäft und das Retail Banking mit jeweils 55 Prozent. Es folgten Wertpapierhandel und Firmenkundengeschäft mit jeweils 27 Prozent und das Investmentgeschäft mit 18 Prozent. Generell gelten der Wertpapierhandel (61 Prozent) sowie das Retail Banking (56 Prozent) in den Augen der befragten Institute als besonders gefährdet.
„Nicht jeder Betrug kommt ans Licht, oft bleiben die Machenschaften betrügerischer Mitarbeiter jahrelang unbemerkt“, stellt Heißner fest. Er geht von einer hohen Dunkelziffer aus: „Die tatsächliche Anzahl an Betrugsversuchen dürfte deutlich höher liegen.“ Von den genannten Betrugsversuchen konnten zwei Drittel aufgedeckt werden, bevor Schaden entstand, jeder dritte Versuch war allerdings erfolgreich.
Banken fürchten finanzielle Einbußen und Rufschädigung
Banken befürchten bei Bekanntwerden eines Betrugsfalls nicht nur finanzielle Einbußen, sondern auch negative Auswirkungen auf die eigene Reputation: 53 Prozent gehen von einer moderaten, 14 Prozent gar von einer beträchtlichen Rufschädigung aus. Dass sie einen solchen Fall völlig unbeschadet überstünden, glauben nur acht Prozent der Bankmanager.
Obwohl nahezu alle befragten Banken und Sparkassen Betrug und Fehler als schädlich für die eigene Reputation und damit den Markterfolg betrachten, sind ihre Risikomanagementkonzepte vielfach noch stark auf die klassischen Risikothemen Kredite und Kurse ausgerichtet. Auch im Gesamtaufsichtsrat werden operationelle Risiken bisher (zu) selten behandelt, stellt Ernst & Young fest.
Banken sind laut Studie nicht ausreichend gegen Betrug gerüstet
Bei der Betrugsverhinderung vertrauen die meisten Banken auf die Arbeit ihrer Innenrevision (87 Prozent), auch der Gesamtvorstand wird häufig beteiligt (72 Prozent). Auffällig ist jedoch, dass sich der Gesamtaufsichtsrat (25 Prozent) oder dessen Risikoausschüsse (37 Prozent) nur relativ selten mit Fragen der Betrugsverhinderung beschäftigen. „Betrugsverhinderung muss auch Sache des Aufsichtsrats sein“, fordert Müller-Tronnier. „Die Konsequenzen aus Betrugsvorfällen können so weitreichend sein, dass Aufsichtsräte sich diesem Thema verstärkt widmen müssen – die Kontrollbefugnisse dafür haben sie.“
Zur Vorkehrung verfolgen die Banken eine strikte Trennung zwischen Markt- und Marktfolgefunktionen (90 Prozent); Mitarbeiterschulungen werden bei 89 Prozent regelmäßig durchgeführt. Mit den Prüfungen durch die Innenrevision und Compliance-Prüfungen (82 Prozent) ist das Maßnahmenbündel jedoch meist komplett.
Weitere wichtige Instrumente fehlen laut Experte Heißner jedoch in dem Vorsorgekatalog. So haben nur 21 Prozent der Institute das eigene Entlohnungssystem im Hinblick auf die Betrugsvorbeugung überarbeitet. Banken müssten ihre Entlohnungs- und Bonusregelungen so gestalten, dass sie möglichst keinerlei Anreize für Betrugsversuche bieten.
Auch bieten nur 23 Prozent der Institute sogenannte Whistleblowing-Hotlines an, denen Mitarbeiter anonym Hinweise auf Betrug, Korruption oder sonstige Gesetzesverstöße geben können. „Aufmerksame Mitarbeiter, die etwas Verdächtiges bemerken, brauchen eine klar definierte Stelle, an die sie sich anonym wenden können. In der Angst um die eigene Position und angesichts der persönlichen Verflechtungen in den Abteilungen gehen sonst zu viele Hinweise verloren“, berichtet Heißner.
Im Kampf gegen Betrug spielen Mitarbeiter aktuell eine wichtige Rolle: 55 Prozent aller Betrugsversuche kommen mithilfe von Mitarbeitermeldungen ans Licht. Damit messen können sich lediglich IT-gestützte Monitoring-Systeme, die ebenfalls in über der Hälfte der Fälle zur Betrugsaufdeckung beitragen.
Geldinstitute setzen zur Aufklärung ungerne externe Experten ein
Etwaige Betrugsfälle möchten Banken vorrangig intern behandeln. 68 Prozent der Befragten haben eine zentrale Stelle für Betrugsfälle. Bei 58 Prozent der Institute ist die Innenrevision, bei 55 Prozent die Compliance-Abteilung zuständig. Das Risikomanagement spielt dagegen nur bei 27 Prozent eine Rolle bei der Aufklärung von Betrugsdelikten.
Die Ermittlungsbehörden wollen im Ernstfall lediglich 30 Prozent einschalten, ein aktives Kommunikationsmanagement gegenüber der Presse ist nur bei 24 Prozent der Befragten geplant. Eine Sonderuntersuchung durch externe Experten können sich gar nur vier Prozent vorstellen. Der auf die Beurteilung von Betrugsfragen spezialisierte Heißner sieht darin einen Fehler. Kaum eine Bank verfüge in den eigenen Reihen über das notwendige Know-how und die Unabhängigkeit, um Betrugsdelikte schnell und umfassend aufzuklären.
Banken bewerten ihre Sicherheitsvorkehrungen als gut
Die Banken selbst sehen sich der Studie zufolge jedoch ordentlich aufgestellt: 39 Prozent der Befragten bewerten die eigenen Vorkehrungen gegen Betrugsversuche als vorbildlich, 61 Prozent halten sie immerhin für durchschnittlich – kein einziger Befragter sah sich selbst als Nachzügler.