Anti-Kriminalitätsmanagement

Wirtschaftskriminalität stellt ein stetig wachsendes Risiko für Unternehmen dar und verursacht weltweit jährlich Schäden in Milliardenhöhe.

Obwohl die erfassten wirtschaftskriminellen Delikte in Deutschland nur 1 bis 2 Prozent aller Straftaten ausmachen, haben sie etwa 60 Prozent Anteil am Gesamtschaden. Die Dunkelziffer liegt noch weitaus höher. Man geht davon aus, dass der jährliche Schaden durch Informationskriminalität im Schnitt etwa 6 Prozent des Bruttosozialproduktes eines Landes beträgt. Dies entspricht in Deutschland für das Jahr 2005 einem tatsächlichen Schaden von etwa 120 Milliarden Euro.

Speziell Informationsabflüsse stellen eine wachsende Bedrohung dar und sind ein unternehmerisches Risiko, über das nur ungern gesprochen wird. Irrt Management ist es ein Tabuthema, weil es ein Risiko ist, das nur schwer zu greifen ist. Viele Delikte werden aus Angst vor Imageverlust mit Handschlag geregelt.

Eine der besonderen Stärken deutscher Unternehmen liegt in der Fähigkeit zu Innovationen. Das Know-how der Unternehmen und damit seiner Kollegen ist die Basis dieser Innovationsfähigkeit. Nicht zuletzt durch die Globalisierung mit einem unvorstellbaren Datenaustausch ist dieses Know-how immer mehr gefährdet.

Im Bereich der Wirtschaftskriminalität sind in den meisten Fällen Kollegen des eigenen Unternehmens beteiligt. In der IT-Sicherheit verursachen Angriffe durch Innentäter deutlich höhere Schäden als Angriffe durch Hacker von außerhalb des Unternehmens. Und im Bereich Know-how-Schutz können Kollegen mehr verraten, als fremde Nachrichtendienste oder Konkurrenten auf andere Weise je herauszufinden in der Lage wären.

Die meisten global tätigen Unternehmen haben Schutz vor Wirtschaftskriminalität durch Informationsabflüsse eingeleitet und Schutzmaßnahmen gegen den Verlust von Know-how implementiert. Mittelständler und kleine, aber sehr innovative Unternehmen unterschätzen ihre Bedeutung bei den Mitbewerbern und es bestehen hier große Defizite beim Schutz vor Wirtschaftskriminalität sowie in der Sensibilität bei der Sicherung von Firmen-Geheimnissen.

Bei den geschädigten Unternehmen waren 54 Prozent der Täter Mitarbeiter, 36 Prozent Führungskräfte und 4 Prozent aus dem Management. Dies zeigt sehr deutlich wie hoch die Gefahr ist, durch Innentäter geschädigt zu werden. Bei den meisten Unternehmen, die durch kriminelle Kollegen geschädigt wurden, gab es Auffälligkeiten im Unternehmen. Diese wurden in aller Regel von der Unternehmensleitung nicht beachtet oder falsch bewertet. So bemerkten 31 Prozent der geschädigten Unternehmen Frustration und Unzufriedenheit am Arbeitsplatz, 21 Prozent Anzeichen für Suchtverhalten sowie 17 Prozent Auffälligkeiten im persönlichen Umfeld bei ihren Mitarbeitern.

Der typische Wirtschaftsstraftäter ist männlich und sozial unauffällig, überdurchschnittlich gebildet, in der Regel nicht vorbestraft, zwischen 31 und 50 Jahre alt, schon länger im Unternehmen tätig und genießt dadurch einen hohen Vertrauensstatus. Private Situation und persönliche Konflikte des Mitarbeiters spielen eine große Rolle.

Geheimhaltungsverpflichtungen sind für die Unternehmen der wichtigste Baustein um sich gegen Informationsabflüsse zu schützen. 80 Prozent aller Unternehmen haben dies vertraglich mit ihren Kollegen geregelt. Bei 68 Prozent wird zumindest auf die Rückgabe aller betrieblichen Unterlagen nach Beendigung des Arbeitsverhältnisses geachtet.

Moderne Personaldiagnostiken vor der Einstellung von neuen Kollegen gehören hingegen nur bei 7 Prozent zum Standard, ein Background-Check bei Einstellung oder Umsetzung an eine sicherheitsrelevante Position sogar nur noch bei 4 Prozent aller Unternehmen.

Psychologische Integritätstests könnten innerhalb kurzer Zeit die tatsächliche Persönlichkeitsstruktur eines Bewerbers oder Mitarbeiters aufzeigen.

Bei dem weit größten Teil von Wirtschaftskriminalität geht es den Tätern um Selbstbereicherung. In 40 Prozent aller Fälle handelt es sich um Diebstahl oder Unterschlagung, bei 23 Prozent um Betrug und bei 17 Prozent um Untreue. Den nächsten großen Posten mit 8 Prozent macht bereits Spionage, Hacking, Informations- und Datendiebstahl aus, sowie in 5 Prozent eine Verletzung von Schutz- und Urheberrechten. Die Bereiche Spionage, Informationsdiebstahl und Hacking, sowie Verletzung von Schutz-und Urheberrechten, stellen für Unternehmen die größte Gefahr von Informationsabflüssen dar.

Viele Know-how-Schutzverletzungen durch die eigenen Kollegen erfolgen unbeabsichtigt. Die meisten Kollegen wissen überhaupt nicht, welche Informationen aus ihrem Untemehmensbereich schutzbedürftig sind. Es werden Kollegen auf Messen, Tagungen und Kongressen ausgehorcht, ohne dass sie Verdacht schöpfen. Ein anderer Teil an Know-how-Schutzverletzungen erfolgt vorsätzlich.

Ein ebenfalls unterschätztes Risiko gerade im FM stellen Diplomanden, Praktikanten und Leiharbeiter dar. Beim Einsatz von Leasing-Personal ist die Schadenshäufigkeiten im Unternehmen am höchsten. Bei Unternehmen, die kein externes Personal beschäftigten, sind nur relativ geringe 31 Prozent geschädigt.

Nur schwer zu beziffern ist der immaterielle Schaden, den ein Wirtschaftsdelikt anrichten kann. Der tatsächliche Schaden geht weit über die unmittelbar feststellbaren finanziellen Kosten hinaus. Das Image des Unternehmens wird nachhaltig beschädigt. Kunden und Belegschaft sind verunsichert. Der Schock, den die Kollegen erleiden, wirkt sich negativ auf das Arbeitsklima aus. Die Arbeitsmoral und das Vertrauen innerhalb des gesamten Betriebs sind angeschlagen. Diese Folgeschäden können in der Summe mitunter sogar schwerer wiegen als der finanzielle Verlust.

Heutzutage kommt selbst ein Ein-Mann-Betrieb kaum mehr ohne Computer aus. Die Elektronische Datenverarbeitung (EDV) beschleunigt und vereinfacht zweifellos viele Arbeitsabläufe. Andererseits birgt sie neue Risiken, die vor allem an der Schnittstelle von Maschine zu Mensch entstehen. So nutzen immer mehr Menschen mit kriminellerRisikomanagement im Facility Management

Energie die moderne Technik zu ihren Gunsten, indem sie sich Zugang zu vertraulichen Daten erschleichen, elektronische Formulare nutzen und Unterschriften per Knopfdruck fälschen.

Die eigenen Kollegen sind meistens gefährlicher für die EDV- Sicherheit einer Firma als Computerviren. Jeder vierte Angriff von Saboteuren und Hackem wird durch die Beschäftigten ermöglicht. So gibt es bei 29 Prozent der Unternehmen keine restriktive ITRechteverwaltung für den Zugriff auf Informationen. 23 Prozent der Unternehmen verzichten auf ein kontinuierliches Monitoring sämtlicher EDV-Daten und 10 Prozent lassen ihre Kollegen tatsächlich noch ohne Passwortschutz auf ihren Computern, Notebooks und sonstigen Kommunikationsgeräten arbeiten.

Je mehr ein Unternehmen auf die Kontrolle der Kollegen und Untemehmensprozesse achtet, desto öfter werden wirtschaftskriminelle Delikte aufgedeckt. Die dabei entstandenen Schäden sind aber meist deutlich geringer als jene, die bei Unternehmen mit wenigen Kontrollmaßnahmen ans Tageslicht kommen. Demnach steigt das Risiko im selben Maße, wie es unterschätzt wird. Unternehmen mit einem weitmaschigen Kontrollnetz täuschen sich leichter hinsichtlich des tatsächlichen Ausmaßes der unentdeckten Delikte und sehen deshalb nicht die Notwendigkeit von Maßnahmen.

Um dieses Restrisiko zu minimieren, gibt es verschiedene Maßnahmen im Rahmen eines Anti-Kriminalitätsmanagement, aber der Abschluss einer Vertrauensschadenversicherung ist möglich.

Bei einer Vertrauensschadenversicherung werden zum Beispiel sämtliche Beschäftigte und externe Dienstleister des Versicherten pauschal einbezogen. Sie ersetzt Schäden, die Arbeitnehmer vorsätzlich durch illegale Handlungen verursachen, insbesondere aus Unterschlagung, Diebstahl, Betrug, Veruntreuung und Informationsdiebstahl.

Das Leistungsspektrum dieser Versicherungen umfasst neben den vorsätzlichen Handlungen die Schäden durch Computerviren und Hackerangriffe, ohne dass der Täter das betreffende Unternehmen gezielt schädigen wollte. Gute Policen übernehmen in aller Regel neben dem Schaden die Kosten für die Ermittlungsmaßnahmen und präventive Beratungen bei den Unternehmen.

All diese Maßnahmen sollten im Rahmen eines effizienten Anti-Kriminalitätsmanagement integriert sein und runden ein ganzheitliches Risikomanagement-System ab.

Abschließend lassen sich bestimmt noch weitere sinnvolle und notwendige Teilmanagementaufgaben innerhalb eines ganzheitlichen Risikomanagement-System eines Unternehmens definieren beziehungsweise festlegen, sollte dieses immer Unternehmensabhängig erfolgen.

Jetzt wird als weiterer Baustein des Risikomanagement-Prozesses auf die Risikoanalyse und -Bewertung näher eingegangen, da nur durch eine exakte Analyse und Bewertung die richtigen Aufgaben und Prozesse etabliert werden können.