Mangelnde Kontrollkultur

Studien zu böswilligem Handeln durch eigene Mitarbeiter zeigen jedenfalls schon seit Jahren steigendes Gefahrenpotential. Beispiele dafür: Schon im Jahr 2013 verwiesen Ergebnisse der „US State of Cybercrime“-Umfrage von Pricewater-housecoopers (gemeinsam mit der Carnegie Mellon University, dem CSO Magazine und dem US Secret Service) darauf, dass rund 30 Prozent aller Cyber-Attacken von Innentätern stammten.

Die Resultate sind im Wesentlichen konstant seit 2004, jedoch mit dramatischem Anstieg der Schadenshöhen. Summa summarum werden Innentäter in den letzten Jahren vom Bedrohungspotential her in etwa gleich hoch eingeschätzt wie Hacker – mittlerweile bekannt gewordene Spionageaktivitäten diverser Geheimdienste ausgenommen.

Zum Innentäter kann ein derzeitiger oder ehemaliger Mitarbeiter oder auch Geschäftspartner werden, der noch Zugang zu Netzwerken, Systemen, Geheimnisträgern oder Daten hat, diesen Zugang böswillig missbraucht und dem Unternehmen Schaden zufügt.

Weltweit durchgeführte Tatanalysen der KMPG (Global profiles of the fraudster, 2011 bis 2013), aber auch andere Studien führen zu folgenden Charakteristika: Die meisten Täter sind männlich, zwischen Mitte 30 und Mitte 50 („Latecomers to Crime“, meist ohne vormals straffällig geworden zu sein), arbeiten schon einige Jahre im Unternehmen und sind in der Regel in einer gehobenen Position.

Eine pragmatische Sichtweise führt zu einem Kriminalitätsrisikomodell, dem Fraud Triangle von Donald R. Cressey. Zum ersten muss es eine Gelegenheit zur Tat geben. Gelegenheiten ergeben sich vorrangig aufgrund ineffektiver oder mangelnder interner Kontrollsysteme. Potentielle Täter haben in der Regel eine Vertrauensposition inne und Zugang zu unternehmenskritischen Informationen und Netzwerken.

Zum zweiten verspürt ein Täter einen Anreiz, einen Druck beziehungsweise hat eine spezifische Motivation. Druck kann beispielsweise entstehen, wenn Abteilungs- oder Gruppenboni in Kombination mit sehr hohen Zielvorgaben gewährt werden (starker Druck von Vorgesetzten und/oder von Kollegen). Anreize können jedoch auch schlicht persönliche Gier, finanzielle Bereicherung, ein zu exklusiver Lebensstil, Frustration, Verärgerung und Enttäuschung bei der Arbeit, aber auch eine persönliche Krise sein.

Zum dritten die Rechtfertigung oder Neutralisierung: Ein (potentieller) Täter neutralisiert eine Tat vor sich selbst, versucht kognitive Dissonanzen zu vermindern oder auszuschalten, durch Verneinung des Schadens, durch Leugnung der eigenen Verantwortung und des Unrechts („so ist das Business“) oder durch Abwertung des geschädigten Unternehmens („das ist nur gerecht“, „die haben es verdient“).

Wichtig ist jedoch auch das gelebte Wertesystem im Unternehmen. Diesbezüglich spielt das Vorleben von Vorgesetzten und die Unternehmenskultur in Abteilungen eine wichtige Rolle. Der Ketchum Leadership Communiation Monitor aus 2014, eine Umfrage in 13 Ländern, zeigt auf, dass mit 63 Prozent über die Hälfte der Mitarbeiter via Vorbildwirkung geführt werden wollen, jedoch nur 30 Prozent klare Werte erkennen.

Neuere Untersuchungen zum Fraud Triangle lassen den Schluss zu, dass die Gelegenheit, also mangelnde Kontrolle, eine zentrale Rolle spielt um eine Tat auszulösen.

Vor dem Hintergrund verschiedener Kriminalitätstheorien und Untersuchungen mit straffällig gewordenen Tätern können zusammenfassend folgende Risikofaktoren abgeleitet werden: negative Emotionen, unangemessener Lebensstil, persönliche Krisen und unzureichendes Wertesystem (eigenes und/oder im Arbeitsumfeld).

Generell kann unterschieden werden zwischen „Opportunity Takers“, also solchen, die eine Gelegenheit zur Tat nur ergreifen, so sie sich zufällig ergibt, und „Opportunity Seekers“, also aktiv nach Gelegenheiten Suchenden, die ihre Tat gegebenenfalls längerfristig planen und somit erhebliche kriminelle Energie an den Tag legen.

Potentielle Täter, die sich in einer persönlichen Krise befinden, spielen eine zentrale Rolle. Eine Krise kann unter anderem durch Sucht, Krankheiten, Angst vor Verlust des Arbeitsplatzes oder Ähnlichem ausgelöst werden. Aber auch spezifische Subkulturen amArbeitsplatz können dazu beitragen, dass durch negative Vorbildwirkung, oder auch durch eine Loslösung von der Familie oder vom Freundeskreis (zum Beispiel durch eine Krise wie eine Scheidung oder durch das Fehlen sozial regulierender Kontakte) Taten begünstigt werden.

Präventiv wichtig sind eine konsequente Aufklärung der Belegschaft (Stichwort Awareness-Schaffung), aber auch klare Regeln und deren Einhaltung, was die Kommunikation und Sanktionierung von Verstößen anbelangt. Awareness-Schaffung kann auf alle Mitarbeiter abzielen, wie ein Training zu Social-Engineering-Strategien, aber auch spezifisch auf Führungskräfte fokussieren, zum Beispiel zur Sensibilisierung für Krisen eigener Mitarbeiter und gegebenenfalls Einleitung von Hilfe für Betroffene.

Der Druck bei Krisentätern ist meist so groß, dass sie durch gängige Sensibilisierungsmaßnahmen wie Richtlinien oder Awareness-Trainings nicht erreicht werden und somit vor allem Vorgesetzte ihrer Führungsrolle nachkommen sollten.

Neben „Kommissar Zufall“, also dem zufälligen Entdecken von kriminellen Handlungen von böswilligen Innentätern, der laut zahlreichen Studien meist etwa ein Drittel aufdeckt, spielen jedoch auch Hinweise von Mitarbeitern eine wichtige Rolle (zum Beipiel ACFE Report to the Nations). Dies spricht durchaus für den Aufbau interner Whistleblower-Systeme.

Zusätzlich zu Instrumenten wie internen Audits, Anti-Fraud-Management und Ähnlichem verfügen viele Unternehmen auch über technische Schutzmaßnahmen im Bereich Informationssicherheit auf durchaus meist adäquatem Niveau.

Es gilt jedoch auch Ansatzpunkte im Bereich des schwächsten Glieds, dem Menschen, zu finden. Letzteres bedeutet – angepasst an die jeweiligen Gegebenheiten eines Unternehmens – geeignete Maßnahmen zu setzen. Dabei gilt es, unternehmensspezifisch eine Balance zwischen einer Vertrauens- und Misstrauenskultur zu schaffen.

Prof. Dr. Ulrike Hugl, Universität Innsbruck, Fakultät für Betriebswirtschaft