Betrug und Datenklau

Unternehmen unterschätzen Risiken massiv

30.12.2016 von Christoph Lixenfeld
Laut einer KPMG-Studie werden mehr als ein Drittel aller deutschen Unternehmen Opfer von Wirtschaftskriminalität. Größter Risikofaktor sind die eigenen Mitarbeiter.
  • Mehr als drei Viertel der Unternehmen in der Studie wähnen sich in trügerischer Sicherheit.
  • Größte Tätergruppe sind eigene Mitarbeiter mit 84 Prozent der Nennungen. Sie stecken sehr häufig mit Externen unter einer Decke.

Über Wirtschaftskriminalität zu schreiben ist insofern etwas kompliziert, als der Begriff zwei sehr unterschiedliche Phänomene bezeichnet. Zum einen geht es dabei um Straftaten, bei denen Unternehmen die Opfer sind, also etwa um Datendiebstahl in großen Stil durch Cyberangriffe Externer. Zum anderen dreht sich Wirtschaftskriminalität um Straftaten durch Unternehmen, wobei die Opfer sowohl der eigene Laden als auch Externe sein können.

Die Meinungsforscher von TNS Emnid haben jetzt im Auftrag von KPMG eine Befragung von 500 Unternehmen durchgeführt, um die Entwicklung von Art und Umfang solcher Straftaten in den zurückliegenden zwei Jahren zu ermitteln.

Untreue vor Diebstahl und Unterschlagung

45 Prozent der befragten Firmen, so ein zentrales Ergebnis, waren in dieser Zeit von Wirtschaftskriminalität betroffen, also entweder Täter oder Opfer solcher Taten.

Wirtschaftskriminalität wird nur selten von Dunkelmännern verübt, die agieren wie in Mafia-Filmen. Sie ist deutlich komplexer.
Foto: Photosani - shutterstock.com

Die häufigsten Deliktarten sind Betrug und Untreue (45 Prozent), dicht gefolgt von Diebstahl und Unterschlagung mit 43 Prozent. Letztere beiden kommen bei Großunternehmen mit 63 Prozent überdurchschnittlich häufig vor. Hier sind darüber hinaus Korruptionsdelikte auf dem Vormarsch, 45 Prozent der Befragten Großen hatten damit bereits zu tun. Das bedeutet, dass diese Art von Delikten im Vergleich zur Situation vor zwei Jahren - dem Zeitpunkt der vorigen Befragung - um 50 Prozent zugenommen hat.

Gefahren werden massiv unterschätzt

Bemerkenswert ist diese Zahl insofern, als gerade Großunternehmen das Risiko, angegriffen zu werden, massiv unterschätzen: Lediglich 23 Prozent von ihnen befürchten einen Angriff, mehr als drei Viertel wähnen sich also in (trügerischer) Sicherheit.

Autozulieferer Leoni um 40 Millionen Euro geprellt

Wie gefährlich solche Arglosigkeit sein kann, beweist ein aktueller prominenter Fall: Der große Autozulieferer Leoni aus Nürnberg gab im August bekannt, um 40 Millionen Euro geprellt worden zu sein. Nach Unternehmensangaben nutzten die Ganoven gefälschte Dokumente und Identitäten, um über "elektronische Kommunikationswege" an das Geld zu kommen.

Offensichtlich hatte sich jemand als Leoni-Mitarbeiter ausgegeben, behauptet, besondere Befugnisse zu haben und unter diesem Vorwand unterschiedliche Geschäftsvorgänge zum eigenen Nutzen ausführen lassen.

So binden Sie Ihre IT-Sicherheitsexperten
Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.

Die Masche erinnert ein wenig an den populären "Enkeltrick", bei der Betrüger alte Leute anrufen, sich als Verwandte ausgeben und anschließend Geld überweisen lassen. Nur dass der Leoni-Betrüger eben behauptet hat, statt Verwandter eine Art Chef zu sein, dessen Anweisungen Folge zu leisten sei.

Ein Leser von Spiegel Online schrieb zu diesem Fall sehr passend, die Masche ziehe nur, "wenn alle Mitarbeiter einschließlich Revision einen gepflegten Schlaf haben und niemand sich traut, den ‚Chef‘ gezielt anzusprechen, woher er seine Vollmachten hat."

Am gefährlichsten sind die eigenen Mitarbeiter

So skurril der Fall Leoni ist: Mehrheitlich entstehen die Schäden anders. Größte Tätergruppe sind laut KPMG-Studie die eigenen Mitarbeiter mit 84 Prozent der Nennungen. Diese stecken bei ihren Taten sehr häufig mit Externen unter einer Decke.

Die lieben Kollegen: Eigene Mitarbeiter sind bei Wirtschaftsstraftaten die bei weitem häufigsten Täter.
Foto: Rawpixel.com - shutterstock.com

Prominentestes Beispiel für ein solches Vorgehen ist der Fall des Sportbodenherstellers Balsam aus Steinhagen bei Bielefeld. Dessen Oberbuchhalter verschleierte mithilfe eines externen Finanzierungsdienstleisters die Überschuldung des Unternehmens durch Bilanzierungstricks so lange und so nachhaltig, dass bei der Eröffnung des Konkursverfahrens über die Balsam AG im Jahre 2009 dem Firmenvermögen von zehn Millionen Euro Forderungen von fast zwei Milliarden (!) Euro gegenüberstanden.

Typisch ist das - wenn auch nicht in diesem extremen Umfang - insofern, als laut KPMG zwar nur in sieben Prozent der Fälle von Wirtschaftskriminalität das Management involviert ist, die Schäden allerdings dann regelmäßig überdurchschnittlich hoch sind.

Angst bei Datendiebstahl größer als tatsächliche Betroffenheit

Gemessen an Deliktarten richten mit durchschnittlich 4,6 Millionen Euro Kartellrechtsverstöße die größten Schäden an, gefolgt von Korruption, Betrug und Untreue, wobei es bei Letztgenannten oft einzelne extrem teure Schadensfälle gibt.

Zu ihnen gehört beispielsweise die Causa Anton Schlecker: Der ehemalige Drogeriemarktkönig wird (unter anderem) wegen vorsätzlichem Bankrott angeklagt, seine Kinder Lars und Meike Schlecker wegen Untreue. Die Verfahren laufen noch.

Häufiger, aber finanziell in der Regel weniger folgenreich, sind Fälle von Datendiebstahl und -missbrauch. Jedes vierte Unternehmen musste sich damit schon einmal herumschlagen. Dabei fällt auf, dass die Angst in diesem Bereich deutlich größer ist als die tatsächliche Betroffenheit.

Fälle von Datendiebstahl und -missbrauch sind häufig, verursachen aber in der Regel nur vergleichsweise kleine Schäden.
Foto: Nomad_Soul - shutterstock.com

"Wirtschaftskriminalität ist ein Fluch für die Volkswirtschaft", sagt Alexander Geschonnek, Partner bei KPMG und Leiter des Bereichs Forensic. Nach seiner Schätzung beläuft sich der Gesamtschaden in Deutschland auf durchschnittlich ca. 100 Milliarden Euro pro Jahr. Wobei sich die Höhe nicht ganz genau berechnen lässt, weil der genaue Wert eines Schadens in Euro und Cent oft unklar bleibt.

Unternehmen geben viel zu wenig Geld für Sicherheit aus

Noch mehr gilt das für Reputationsrisiken, also die Folgen solcher Straftaten für das Renommee eines Unternehmens. 13 Prozent der von KPMG befragten Unternehmen gaben an, schon einmal einen Reputationsschaden erlitten zu haben. Für 77 Prozent davon - also mehr als drei Viertel - ergaben sich daraus spürbare negative Folgen, etwas nachlassende Identifikation der Mitarbeiter mit der Firma oder sogar zurückgehender Umsatz.

In vielen Fällen knüpften Kunden von Unternehmen, die schon einmal wegen Vergehen im Fokus der Öffentlichkeit standen, weitere Geschäftsbeziehungen mit diesen Unternehmen an Bedingungen. Mehr als jedes Dritte Unternehmen schließt sogar Kontakt zu Firmen, die an Wirtschaftskriminalität beteiligt waren, grundsätzlich aus.

Grund genug, mehr in Prävention zu investieren: 44 Prozent der Befragten investieren bisher nur cirka 10.000 Euro pro Jahr in die vorbeugende Verhütung von Wirtschaftsstraftagen, nach Ansicht von KPMG-Mann Alexander Geschonnek ein "sträflicher Leichtsinn."