Vertrauen ist nie gut, Kontrolle stets besser. 

Unternehmen, Behörden und Verbände arbeiten heute alle mit komplexen Datensystemen, nutzen selbstverständlich deren Vorteile. Was vor noch nicht langer Zeit einen erheblichen Aufwand an Manpower erfordert hätte, läuft heute in enormer Geschwindigkeit im Hintergrund weitgehend automatisiert ab. Aber diese dynamischen Systeme müssen permanent beobachtet bzw. kontrolliert werden. Das jedoch versäumen viele und setzen sich damit großen Risiken aus: Fehler passieren und werden zu spät bemerkt, Kriminelle nutzen Lücken für ihr Tun. Zu verhindern wäre das alles sehr leicht, die dazu notwendigen Tools sind vorhanden – man muss sie nur einsetzen. REVIDATA-Gründer von 1981 Erwin Jordan, seit Jahrzehnten Digital-Experte, beschreibt in diesem Beitrag die Probleme sowie die Versäumnisse und erklärt, was zu tun ist.

Das Risiko mangelnder Datenkontrollen fällt in der Regel immer erst dann auf, wenn etwas schiefgelaufen ist. Es kommt zu Untreue, Betrug, Unterschlagung – vor allem, wenn die Fälle spektakulär sind, wird auch Laien klar, um was es geht, welche Schäden drohen oder bereits entstanden sind.  

Drei Beispiele
 
1. Der Mitarbeiter des Bundesverwaltungsamtes fälscht reihenweise Beihilfeanträge. Mit fingierten Anfragen leitet er am Ende über 700 000 Euro auf das Konto eines Verwandten. Sein Motiv: Wegen seiner kranken Tochter gerät er in Finanznot, weiß sich – so seine Aussage – nicht anders zu helfen und betrügt die Behörde.

2. Vor ein paar Wochen machte ein junger US-Geheimdienstmitarbeiter weltweit Schlagzeilen, weil er brisante Verschlusssachen veröffentlichte und damit ein Beben in den internationalen Beziehungen der USA, vor allem mit Blick auf den Ukraine-Krieg, auslöste. Der Täter war knapp über 20 Jahre alt, und nicht nur in den USA fragte man sich, wie er es schaffte, an diese Informationen zu kommen. Wie sich später herausstellte, hatte man nicht kontrolliert, in welchem Umfang er die Berechtigung auf den Zugriff unterschiedlicher Daten hatte – ein auch in Deutschland nicht ungewöhnlicher Fehler.

3. Beim Wirecard-Skandal gelang es offenbar mühelos, Millionen von Euros auf Konten ins Ausland zu verschieben. Selbst beauftragten Prüfern einer Fachfirma fiel nichts auf. Weil sie nach Meinung von Experten nicht mit erforderlicher Gründlichkeit arbeiteten, d. h., die Kontrollen nicht angemessen sachgemäß, auf jeden Fall nicht ausreichend waren.

Allen Beispielen ist eins gemeinsam: Mangels regelmäßiger und angemessener Kontrollen wurde es den Tätern leicht gemacht, ihr kriminelles Tun umzusetzen. Für Laien verblüffend simpel kamen sie an sensible Daten und bewegten sich in Netzen, von denen man dachte, sie seien perfekt gesichert. Sie könnten es sein, aber sie waren und sind es häufig nicht.

Woran liegt das?
Immer wieder fällt das mangelnde Bewusstsein für die Anfälligkeit aller komplexen Datennetze gegen Cybercrime, unberechtigten Zugriff oder Missbrauch auf. Es gibt zu oft einen verblüffend arglosen Umgang mit den Fragen in diesem Bereich, und zwar bis hin zur höchsten Ebene. Dabei ist es sogar gesetzlich geregelt, also festgelegt, dass Kontrollen zu gewährleisten seien, nämlich im Ordnungswidrigkeiten-Gesetz (OWiG).

Das Gesetz ist in seiner Formulierung eindeutig. In § 130, Abs. 1 heißt es:

„Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen."

Ziemlich klar, oder?
In den genannten (zumindest deutschen) Beispielen ist offensichtlich, dass sie nicht hätten passieren können, wenn Verantwortliche im Sinne des OWiG ihren Pflichten nachgekommen wären, also „Aufsichtsmaßnahmen“, sprich Kontrollsysteme, installiert und eingesetzt hätten.

Das zu tun ist aufwendig, möglicherweise kostenintensiv, aber kein Hexenwerk. Vor allem ist es unabdingbar, um
- Schäden vom Unternehmen oder der Behörde fernzuhalten, nicht nur materieller Art, sondern auch die Beschädigung des Ansehens in der Außenwirkung
- sich selbst im Sinne des OWiG zu verhalten, sich also nicht selbst dem juristisch relevanten Vorwurf auszusetzen, fahrlässig oder gar grob fahrlässig die eigene Verantwortung zur Kontrolle verletzt zu haben.

Es ist also in ureigenem Interesse der Verantwortlichen, sich an die Regeln zu halten und die Dinge akribisch im Blick zu haben.

Um das umzusetzen, gibt es wie folgt zwei Möglichkeiten.

1. Sporadische, aber regelmäßige Auffälligkeitsanalysen und Kontrollen des Datenbestandes und der IT-gestützten Geschäftsprozesse

Zu dieser Lösung sind gängige, einfache und effiziente Standard-Analyse-Tools erhältlich. Für einen möglichst optimal funktionierenden Einsatz ist es erforderlich, sie vor Anwendung den jeweiligen unternehmens- und sachbezogenen Anforderungen programmtechnisch anzupassen, also ergänzende Makro-Befehle zu entwickeln und zu implementieren.

Wahlweise einmal in der Woche oder im Monat wird mit den angepassten Datenanalyse-Tools der Datenbestand durchleuchtet, und die erkannten Auffälligkeiten werden im Ergebnis analysiert. Sollten im zurückliegenden Zeitraum Auffälligkeiten wie z. B.

• Bankdatenveränderungen
• Datumsveränderungen
• Adressveränderungen
• Namens-, Anschrift-, Konto- oder Datum-Veränderungen im Lieferanten- oder Kundenstamm
• Lohnfortzahlungen für ausgeschiedene Mitarbeiter auf das eigene Konto oder das eines Verwandten
• nicht aktuelle Zugriffsberechtigungen der Mitarbeiter

erkannt werden, kann schnell, sicher und nachvollziehbar reagiert und ein Schaden verhindert werden. Aufsicht und Kontrolle ist gewährleistet, um Schaden vom Unternehmen abzuwehren bzw. möglichst zu erschweren.

2. Automatische Real-Time-Auffälligkeitsanalysen des Datenbestandes und der IT-gestützten Geschäftsprozesse

Auch für diesen Lösungsansatz sind Standard-Analyse-Tools, CAM (Continuous Audit Monitoring), erhältlich. Für einen möglichst optimal funktionierenden Einsatz ist es erforderlich, auch diese vor ihrem Einsatz den jeweiligen unternehmens- und sachbezogenen Anforderungen programmtechnisch anzupassen, das heißt, ergänzende Makro-Befehle zu entwickeln und zu implementieren. Im Gegensatz zur Lösung unter 1. werden diese Tools in den täglichen Programmablauf der unternehmerischen Informationstechnologie integriert und zeigen somit automatisiert und in Real-Time Auffälligkeiten an. Die Auffälligkeiten werden sofort an den Sachbearbeiter sowie an den fachlich, personell zuständigen bzw. verantwortlichen Leiter übertragen. Die Auffälligkeit wird also bei Erkennung ihrer Wirksamkeit umgehend zwecks Schadensbegrenzung als solche markiert und klar angezeigt. Die Analysekriterien und -techniken sind im Grunde die gleichen wie bei der Lösung 1. Neben größeren Kapazitäten bietet die Real-Time-Lösung Zeit- und Aktualitätsvorteile besonders bei der Analyse von Massendaten. Auch die Möglichkeit von Kettenanalysen ist gegeben.

Einen besonders sensiblen Überwachungssachverhalt bilden dabei die Zugriffsberechtigungen der Sachbearbeiter und auch der leitenden Angestellten. Oft wird die Löschung ausgeschiedener Mitarbeiter (i. S. v. Zugangssperre) vergessen. Solche vergessenen, aber noch vitalen Zugangsberechtigungen können in der Folge für Hacker oder andere clevere Personen verfügbar werden und leicht zu Unregelmäßigkeiten anregen oder eventuell sogar vom ehemaligen Mitarbeiter willentlich missbraucht werden. Auch wenn Mitarbeiter im Unternehmen verbleiben und in andere Aufgaben, Positionen oder Abteilungen wechseln, bleiben ihnen sehr oft die Zugriffberechtigungen der vorherigen Position erhalten, was ihre Möglichkeiten von unberechtigten Datenzugriffen erweitert.

Für welche Lösung man sich auch immer entscheidet, sie kann mit ihrem Einsatz Diebstahl und Unterschlagungen sehr sicher und effektiv verhindern bzw. auf jeden Fall sehr stark erschweren. Die Vorgehensweise und die Analyse mit ihren Ergebnissen sind nicht veränderbar, sondern nachvollziehbar dokumentiert (gerichtssicher). Darüber hinaus erfüllen die Unternehmensverantwortlichen eine gefordert weitere Gesetzespflicht im OWiG.

Zu den oben aufgeführten drei aktuellen Fällen nun kurz die Erklärung.

• Im Wirecard-Fall scheint es so, dass die langjährigen Wirtschaftsprüfer/-innen in ihren jährlichen Abschlussprüfungen keine oder keine ausreichenden Analysen gemäß dem Prüfungsstandard des Institutes der Wirtschaftsprüfer in Deutschland e. V. („IDW PS 210 zur Aufdeckung von Unregelmäßigkeiten im Rahmen der Abschlussprüfung Auffälligkeiten/ Besonderheiten“ ) durchgeführt hat. Sonst wären die fatalen Offshore-Steueroasen-Buchungen aufgefallen und die Unterschlagungen früher erkannt worden.
• Im Fall des jungen Geheimdienstmitarbeiters wurden offensichtlich keine kontinuierlichen Datenanalysen zum Schutz der Geheimdokumente durchgeführt.

Man hätte sonst merken müssen, dass der Mitarbeiter über zu viele sowie nicht berechtigte Zugriffsmöglichkeiten auf die streng geheimen Datenbestände hatte. Die Anzahl der normalerweise stets seiner Position und Tätigkeit entsprechend zugeordneten Pass-Wörter hatte sich bei jedem internen Wechsel zu einer neuen Aufgabe und Position vermehrt, weil die vorherigen Pass-Wörter nicht gelöscht wurden. So wurden seine Datenzugriffsmöglichkeiten auf geheime Dokumente immer umfangreicher und blieben dadurch weitgehend unkontrolliert, d. h. unentdeckt.

• Im Fall der reihenweisen Unterschlagung von Beihilfebeiträgen im Bundesverwaltungsamt wurde es dem Täter durch fehlende Kontrollen leicht gemacht. Auch dort fanden keine mitlaufenden oder wenigstens sporadische Analysen der Datenbestände statt, sonst hätte man in kurzer Zeit erkennen können, dass ein Mitarbeiter die Möglichkeit erkannte und ausgenutzte, Personaldaten zu manipulieren, zudem betrügerisch veranlasste Beihilfen auf sein eigenes Konto zu überweisen.

REVIDATA GmbH
Autor Erwin Jordan
Düsseldorf, den 19.05.2023