Enterprise-Fraud-Management
Der Feind in meinem Bett
Sei es eine nicht gewährte Beförderung, eine Gehaltskürzung, Stunk mit dem Chef oder - auch das kommt nach Untersuchungen immer häufiger vor - einfach ein gutes ""Angebot"" von außen: Situationen, in denen Mitarbeiter bereit sind, zum Schaden für das Unternehmen in die eigene Tasche zu wirtschaften, nehmen dramatisch zu. Güter, auf die sich in irgendeiner Form elektronisch zugreifen lässt, müssen nachvollziehbar vor unrechtmäßiger Manipulation und Entwendung geschützt werden. Dies übernehmen Enterprise-Fraud-Management-?(EFM-)?Systeme.
Sei es eine nicht gewährte Beförderung, eine Gehaltskürzung, Stunk mit dem Chef oder – auch das kommt nach Untersuchungen immer häufiger vor – einfach ein gutes „“Angebot““ von außen: Situationen, in denen Mitarbeiter bereit sind, zum Schaden für das Unternehmen in die eigene Tasche zu wirtschaften, nehmen dramatisch zu. Güter, auf die sich in irgendeiner Form elektronisch zugreifen lässt, müssen nachvollziehbar vor unrechtmäßiger Manipulation und Entwendung geschützt werden. Dies übernehmen Enterprise-Fraud-Management-?(EFM-)?Systeme.
Die letzte Wirtschaftskrise hat vielleicht verschärft, was sich schon seit längerem als Trend abzeichnet. Die Loyalität von Mitarbeitern gegenüber ihrem Arbeitgeber nimmt immer weiter ab (was umgekehrt natürlich genauso zutrifft); die Bereitschaft hingegen, sich den privaten Säckel zu füllen, auch gegen die Interessen oder gar zum gezielten Schaden des Unternehmens, nimmt dramatisch zu. Das reflektieren auch die Kriminalstatistiken, wonach entsprechende Delikte in den letzten Jahren Zuwachsraten von über 20 Prozent verzeichneten.
Dabei sind es oft gerade gehobene Vertrauenspositionen, die bei den so genannten Insider-Delikten oder Enterprise Frauds (Betrug im Unternehmen) ganz oben stehen. Da werden Zahlungen manipuliert, geheime Informationen verscherbelt, Identitäten oder Benutzerkonten missbraucht und ganze Unternehmen sabotiert. Und wie – Stichwort Wikileaks – jüngste Beispiele zeigen, sind nicht einmal Regierungen, Hochsicherheitsorganisationen wie Geheimdienste und das Militär davor sicher. In Unternehmen gehen die Betrüger oft sehr subtil vor, so bleiben derartige Vorgänge in der Regel sehr lange unentdeckt. Untersuchungen zeigen, dass die Übeltäter oft länger als ein ganzes Jahr zugange sind, bevor ihr Treiben ans Licht kommt. Merkt das Unternehmen endlich, was gespielt wird, beginnt eine ebenso schwierige wie langwierige Spurensuche.
Die klassische Art und Weise, auf Insider-Delikte zu reagieren, leidet unter einem schweren Manko: Reaktionen gibt es erst im Nachhinein – wenn also das Kind schon in den Brunnen gefallen ist. Der Schaden – neben den direkten finanziellen Verlusten gehört dazu meist auch noch ein sehr nachhaltiger Image-Schaden – ist also bereits erlitten: Es geht im Grunde nur noch darum, den oder die Verantwortlichen dingfest zu machen und wenn möglich zur Rechenschaft zu ziehen. Hoch qualifizierte, teure Spezialisten versuchen in den Bitsümpfen der Festplatten und Speicher-Pools im Unternehmen herauszufinden, was eigentlich genau geschehen ist. Nur selten gelingt es nach so langer Zeit noch, hieb- und stichfeste Beweise zu sichern, die auch vor Gericht Bestand haben.
Handeln statt reagieren
EFM-Systeme verfolgen einen proaktiven Ansatz, zielen also darauf ab, Insider-Delikte von vornherein zu vermeiden. Dabei kann und darf es nicht darum gehen, die Mitarbeiter unter einen Generalverdacht zu stellen und alle ihre Tätigkeiten bis in jede Einzelheit zu verfolgen. Ein solches Vorgehen würde die Persönlichkeitsrechte aufs Schlimmste verletzen, und es gibt mit Sicherheit keinen Gesetzeshüter oder Betriebsrat, der das billigen würde. Der entscheidende Punkt ist, lediglich die relevanten Applikationen lückenlos zu überwachen – nicht die Mitarbeiter. Was etwa lokal an einem PC passiert, kann dem Unternehmen nicht schaden und bleibt daher außen vor. Startet ein Mitarbeiter jedoch eine Client-Server- oder Host-Applikation, die ihm den Zugriff auf Unternehmensdaten öffnet, wird jeder Schritt der Anwendung aufs Genaueste protokolliert. Gleiches gilt für Web-Sitzungen, wobei im EFM-System dabei Differenzierungen und Anpassungen an firmeninterne Regeln (zum Beispiel: privates Surfen erlaubt/verboten) möglich sein sollten. Beispielsweise könnte der Zugriff auf externe Server unüberwacht bleiben, während man Web-Sitzungen an Servern des Unternehmens aufzeichnet.
Ein entscheidendes Merkmal hochwertiger EFM-Systeme ist die technische Möglichkeit, auch Applikationen auf gängigen Mainframe- oder Midrange-Systemen mit in die Überwachung einzubinden. Wie aktuelle Marktstudien zeigen, liegen auch heute noch mehr als 80 Prozent der unternehmenskritischen Daten weltweit auf Mainframes. Die dort eingesetzten Applikationen sind zum Teil mehr als 20 Jahre alt und verfügen über keinerlei Auditing-Funktionen. Folglich bieten sie damit auch keine Hilfe für einen lückenlosen Nachweis aller Benutzerzugriffe auf sensible Informationen. Im Hinblick auf heutige Compliance-Anforderungen sollte eine EFM-Lösung dieses kritische Manko in besonderem Maße berücksichtigen.
Nicht ohne den Betriebsrat
Auch wenn hier nur relevante Applikationen und nicht Mitarbeiter überwacht werden, empfiehlt sich bei der geplanten Einführung eines EFM-Systems dringend die frühzeitige Einbindung des Betriebsrats. Dabei geht es nicht nur um eine Benachrichtigung, sondern tatsächlich um das Gewinnen dieser Institution als Mitstreiter in einem gemeinsamen Projekt. Eine aktive Rolle des Betriebsrats könnte etwa sein, die im EFM-System festgelegten Policies mitzubestimmen und zu überprüfen – ebenso wie die Implementierung hinsichtlich der protokollierten Applikationen regelmäßig zu überprüfen.
Wenn das EFM-System im Betrieb eine unerlaubte Aktion oder ein verdächtiges Verhaltensmuster erkennt, sollte der Betriebsrat sofort eingeschaltet werden. Hilfreich ist auch ein Satz an Standardregeln, deren Bruch immer sofort die Alarmglocken klingeln lassen. Verdächtige Ereignisse könnten beispielsweise sein, wenn ein Mitarbeiter seine eigenen Regeln oder Ansprüche ändert, sich mit der gleichen Nutzeridentität von verschiedenen Terminals aus anmeldet oder ein Sachbearbeiter eine Kundenadresse ändert, der diesen Kunden normalerweise nicht bearbeitet. Solche und eine Liste weiterer Aktionen sollte eine EFM-Lösung sofort erkennen, um mögliche Regelverstöße einkreisen zu können.
Zunächst protokolliert sie die Informationen nämlich nur anonymisiert. Die konkrete Zuordnung zu einer Person erfolgt erst während einer Auswertung. Und diese lässt sich über ein geteiltes Passwort vor Missbrauch schützen. Bleibt hier zum Beispiel der eine Teil bei der Geschäftsführung oder dem Aufsichtsrat, der andere beim Betriebsrat, lässt sich sicherstellen, dass bei jedem Vorfall die Interessen von Arbeitgebern und Arbeitnehmern gewahrt bleiben. Ein solches abgestuftes Berechtigungskonzept trägt dazu bei, Misstrauen auf der einen oder der anderen Seite zu zerstreuen.
Bei der Auswertung entdeckter Vorfälle zeigen EFM-Systeme ihre eigentliche Stärke. Relevante Aktionen müssen nicht erst in alten Datenbeständen oder Bit-für-Bit-Scans von Festplatten gesucht werden, sondern sind bereits identifiziert. Entsprechende Sessions lassen sich wie bei einem Videorecorder abspielen, einzelne Schritte damit haarklein nachvollziehen. In der Tat ist die Idee der EFM-Systeme von Videoüberwachungsanlagen sensibler Unternehmensbereiche inspiriert. Zum Beispiel gibt es in vielen Banken und Verkaufsläden überall dort, wo direkter Zugriff auf Geld erfolgt („“kritische Applikationen““), Kameras, während etwa der Gesellschaftsraum („“private Applikationen““) ohne Videoüberwachung bleibt.
Bei EFM-Systemen lassen sich zudem über ausgeklügelte Suchfunktionen weitere Ereignisse auch in älteren Aufzeichnungen oder Protokollen ausfindig machen und in Beziehung setzen, selbst wenn sie zum Zeitpunkt ihres Geschehens noch nicht als verdächtig eingestuft waren. Auswertungen kann der Zuständige per Knopfdruck als eindeutigen, rechtsfähigen Beweis speichern und ausdrucken.
Lesen Sie mehr zum Thema
