Der durchschnittliche Schaden wächst

Die Schweizer Gerichte schlossen im Jahr 2012 insgesamt 64 Fälle von Wirtschaftskriminalität ab. 7,3 Prozent weniger als 2011. Auch die Gesamtschadenshöhe ist gegenüber dem letzten Jahr um 4,3 Prozent auf 497,5 Millionen CHF leicht gesunken. Der durchschnittliche Schaden vergrösserte sich hingegen (7,5 Mio. CHF im Jahr 2011, 7,8 Mio. CHF im Jahr 2012). Die bevorzugten Delikte waren Veruntreuung (18 Fälle) und ungetreue Geschäftsbesorgung (11 Fälle).

Am häufigsten wurde die Wirtschaftskriminalität im Kanton Zürich verübt. Die Anzahl der Fälle der Region stieg im letzten Jahr gegenüber 2011 um 30,4 Prozent. Zürich belegt im Regionenvergleich auch bezüglich des Gesamtschadens (178,7 Mio. CHF) den ersten Platz. Während die Genferseeregion 2011 das höchste durchschnittliche Schadensvolumen verzeichnete, lag 2012 die Innerschweiz an erster Stelle. In dieser Region wurde auch der höchste Betrug, verbunden mit Geldwäscherei, verübt mit einem Gesamtschaden von 72,2 Mio. CHF.

Im Vergleich zu den Vorjahren stammten 2011 weniger Täter aus den Führungsetagen, nämlich nur 5. Im Jahr 2012 gab es in den Führungsetagen 24 Fälle. Auch die Schadenssumme, die die Führungskräfte verursachten, steigerte sich deutlich gegenüber 2011. Die Anzahl der für Wirtschaftsdelikte verurteilten Angestellten ohne Kaderfunktion sank demgegenüber 2012 deutlich um 45 Prozent. Verdoppelt hatte sich die Anzahl der Fälle in der Täterkategorie der gewerbsmässigen Betrüger von sechs auf zwölf Fälle.

Wie schon 2011 wurden auch 2012 Investoren und Finanzinstitute von der Wirtschaftskriminalität am meisten betroffen. In 22 Prozent aller erfassten abgeschlossenen Gerichtsfälle waren sie als Geschädigte vertreten und mussten eine durchschnittliche Schadenssumme von 22,3 Mio. CHF verkraften. Bei der öffentlichen Hand gab es einen deutlichen Rückgang in Bezug auf die Schadenshöhe. Es zeigt sich in der Praxis, dass die von Wirtschaftskriminalität betroffenen Unternehmen lange nicht alle Fälle vor Gericht bringen. KPMG geht deshalb von einer hohen Dunkelziffer aus. Es sei damit zu rechnen, dass die Anzahl Fälle wegen der Finanz- und Wirtschaftskrise insgesamt weiter steigen wird. Als häufigsten Verwendungszweck der kriminell erlangten Vermögenswerte nannten die Täter die Finanzierung eines kostspieligen Lebensstandards und die Überbrückung von Finanzierungslücken.

› Gegen Kriminalität im Unternehmen ist die Vorbildfunktion der Unternehmensleitung wichtig. Wenn die Führungskräfte sich korrekt verhalten, werden auch die Angestellten dazu motiviert.

› Die Unternehmensleitung sollte sich den Angestellten gegenüber loyal verhalten und ihre Arbeit anerkennen, so dass sich diese mit ihrem Unternehmen identifizieren. Dazu gehört auch ein gerechtes Lohnsystem. (Leider passiert es immer wieder, dass Führungskräfte, womöglich trotz Verlusten, grosse Boni erhalten. Verschärft wird das Problem, wenn den Angestellten Gehälter nicht erhöht oder sogar gekürzt werden. Dann muss man sich nicht wundern, wenn diese sich dann selber nehmen, was ihnen ihrer Ansicht nach zusteht.)

› Die Firmenleitung hat ein Konzept und Richtlinien mit einem ganzheitlichen Ansatz für alle Bereiche zu erarbeiten. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Die Angestellten sollten von Anfang an informiert und einbezogen werden.

› Die Angestellten muss man darauf hinweisen, dass sie für den Schaden verantwortlich sind, den sie absichtlich oder fahrlässig dem Arbeitgeber zufügen (OR Art. 321e).

› Neben technischen Massnahmen muss man die Mitarbeitenden überzeugen, dass sie in Bezug auf Unternehmensinformationen auch im sozialen Verhalten diskret sind. Wichtig ist die Information, dass Wirtschaftsspionage oft über scheinbar freundschaftliche Kontakte durchgeführt wird.

› Geheime Daten gehören nicht in Clouds und schon gar nicht in Privatgeräte von Mitarbeitenden. Papierunterlagen sind genauso zu sichern wie digitale Dokumente.

› Wenn BYOD möglich ist, sollten die Angestellten den Arbeitgeber darüber informieren, welche Privatgeräte sie nutzen. Nach Beendigung des Arbeitsverhältnisses müssen Angestellte die Daten des Arbeitgebers löschen.

› Ganz allgemein ist zu regeln, wer welche Firmensoftware nutzen kann.

› Finanzielle Transaktionen sollten nur mit Unterschriften von zwei oder mehreren Personen möglich sein.

› Geheimhaltungsklauseln mit Angestellten, Geschäftspartnern, Kunden und Lieferanten sind unerlässlich, wenn Wissen oder sonstige sensible Informationen ausgetauscht werden. Diese müssen auch nach Beendigung der Zusammenarbeit gelten.

› Verdächtige Mails oder Internetseiten meldet man am besten gleich der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK, www.cybercrime.admin.ch/content/kobik/de/home/meldeformular.html). «

Christian Schaaf, geschäftsführender Gesellschafter der Corporate Trust, Business Risk & Crisis Management GmbH in München, über die Entwicklung der Wirtschaftskriminalität, den Datenklau durch Mitarbeitende und komplexe Sicherheitsanforderungen.

Herr Schaaf, was hat sich in den letzten Jahren in Bezug auf Kriminalität im Unternehmen verändert, speziell für den Mittelstand?

Hier hat sich in der Tat einiges verändert. Zum einen sind die meisten Mittelständler immer mehr global unterwegs, sei es vertrieblich durch die Eroberung neuer Märkte oder sei es durch neue Produktionsstätten bzw. Lieferanten. Dies bedeutet, der Mittelstand ist zunehmend den Risiken der weltweiten politisch-kulturellen Veränderungen sowie von Naturereignissen ausgesetzt. Angeführt seien in diesem Zusammenhang die Gefahren durch politische Umbrüche im Rahmen des Arabischen Frühlings oder der Unruhen in Thailand, Terroranschläge in London, Madrid oder Moskau sowie Aschewolke durch den Vulkanausbruch in Island oder der Tsunami in Japan. Die Risiken durch Reisetätigkeit nehmen deutlich zu, seien es Gesundheits- oder Sicherheitsrisiken.

Zusätzlich steigt im Mittelstand deutlich das Risiko von Wirtschaftskriminalität durch eigene Mitarbeiter. Hier findet man vor allem Fälle von Korruption, meistens sogenannte Kick-back-Zahlungen, Manipulation in den Buchhaltungsdaten oder Diebstahl von Unternehmensdaten. Waren früher vor allem grosse Konzerne betroffen, gibt es zunehmend Fälle im Mittelstand. Dies vor allem daher, weil es auch hier immer öfter unzufriedene Mitarbeiter gibt bzw. weil allgemein die moralischen Wertevorstellungen sinken. Vor allem der Diebstahl von Unternehmensdaten scheint sich in den Augen der Mitarbeiter mehr und mehr zum Kavaliersdelikt zu entwickeln. Dies ist jedoch ein Trugschluss und fügt inzwischen auch mittelständischen Unternehmen horrende Schäden zu.

Als dritte Veränderung für den Mittelstand sehen wir die zunehmende Bedrohung durch Industriespionage. Die steigende Zahl von IT-Angriffen, häufig sogenannte APT’s (Advanced Persistent Threats), erfordern sehr viel Know-how und eine klare Sicherheitsstrategie bei der IT-Abteilung, um sich gegen diese umfassenden und fortwährenden Angriffe verteidigen zu können. Leider sind viele mittelständische Unternehmen im Bereich der IT-Sicherheit jedoch nicht ausreichend aufgestellt. Hier fehlen entweder qualifizierte Verantwortliche, zeitliche Res­sourcen, um sich einmal frei von Administrationsaufgaben mit den neuen Herausforderungen zu beschäftigen oder das finanzielle Budget, um die Hard- und Software entsprechend nachzurüsten.

Welche Strategien muss man anwenden, um sich davor zu schützen?

KMU benötigen vor allem einen Sicherheitsverantwortlichen, der sich umfassend um alle Sicherheitsthemen kümmert und übergreifend die Verantwortung für alle Bereiche trägt und diese koordiniert, also die klassische Sicherheit sowie die IT-Sicherheit. Die Sicherheitsanforderungen sind sehr komplex geworden. Daher ist es nötig, dass jemand mit Sachverstand die verschiedenen Sicherheitsdisziplinen so verknüpft, damit alle Massnahmen sinnvoll ineinandergreifen. Dies muss nicht immer ein im Unternehmen angestellter Sicherheitsverantwortlicher sein. In vielen Unternehmen ist es wirtschaftlich sinnvoller, einen externen Berater hinzuzuziehen, um zusammen mit dem Management die Strategie zu erarbeiten. Die Umsetzung kann dann in der Regel mit den eigenen Personal-Ressourcen durchgeführt werden. Sicherheit ist jedoch Chefsache und sollte im Unternehmen von oberster Stelle verantwortet und die Stra­tegie vorgegeben werden. Gerade für die oben beschriebenen Themen IT-Sicherheit, Prävention von Wirtschaftskriminalität und Reisesicherheit ist es heute wichtig, entsprechende Strukturen im Unternehmen einzuziehen, um sich professionell mit den Risiken auseinandersetzen zu können.

Wie bewerten Sie Clouds und BYOD?

Die Cloud ist grundsätzlich eine wirtschaftlich sinnvolle und manchmal auch sicherheitsrelevant vernünftige Lösung. Beispielhaft sei hier das Hosting eines Exchange-Servers für die E-Mail-Kommunikation durch einen Cloud-Dienstleister genannt. Ein professioneller Dienstleister kann die permanente Auseinandersetzung mit dem Thema und die regelmäs­sige Prüfung hinsichtlich der besten Konfigurationen, um Schaden durch IT-Angriffe abzuhalten, in den meisten Fällen besser bewerkstelligen als eine mit administrativen Aufgaben hoffnungslos überlastete interne IT-Abteilung. In dieser Hinsicht hat der Einsatz von Cloud absolut Sinn. Genauso ist es mit dem Einsatz von eigenen Kommunikationsgeräten der Mitarbeiter. Sicherlich erspart es der IT-Abteilung eine Menge Aufwand und Arbeit bzw. Kosten für das Unternehmen. Darüber hinaus weiss man aus Erfahrung, dass Mitarbeiter häufig auf eigene Geräte besser aufpassen und sorgsamer damit umgehen als mit Firmengeräten. Daher ist es eine vernünftige Option, damit Mitarbeiter auf modernsten Kommunikationsmitteln, die ihnen im Umgang sehr vertraut sind, auch Firmenkommunikation betreiben können.

Allerdings bergen beide Lösungen, Cloud und BYOD, das Risiko, dass Firmeninternas an unberechtigte Dritte abfliessen. Cloud-Dienstleister sind häufig in Ländern angesiedelt, deren Datenschutzrecht sich von Deutschland oder der Schweiz wesentlich unterscheiden. Der Zugriff auf die Daten ist für Behörden oder unberechtigte Dritte im Ausland oft sehr viel einfacher und ohne rechtliche Grundlage möglich. Bei Bring Your Own Device verhält es sich ähnlich. Ein privates Handy oder Tablet des Mitarbeiters kann niemals gleich stark kontrolliert oder abgesichert werden wie ein Firmengerät. Installiert der Mitarbeiter Schadsoftware, fängt sich einen Trojaner ein oder speichert allzu viele Unternehmensdaten darauf, können sensible Informationen schnell in falsche Hände geraten.

Daher ist bei beiden Lösungen vor allem eines gefragt: Klare Sicherheitsanweisungen, welche Daten in welcher Form auf welchen Geräten kommuniziert bzw. gespeichert werden dürfen. Dafür ist es vor allem nötig, durch eine Schutzbedarfsanalyse einmal das wichtige Know-how des Unternehmens zu identifizieren. In der Regel hat jedes Unternehmen nur etwa fünf bis zehn Prozent «Kronjuwelen», die es mit einem wirklich hohen Ansatz zu schützen gilt. Für dieses sensible Wissen sollten Cloud-Dienstleistungen oder die Kommunikation über eigene Geräte der Mitarbeiter untersagt sein. Hierfür sollten die Daten nur im eigenen Unternehmen auf eigenen Servern gespeichert sein und für die Kommunikation eine klare Vorgabe existieren.

Gibt es Unterschiede zwischen Deutschland und der Schweiz?

Im Rahmen unserer Studie wurden nur deutsche Unternehmen befragt. Bei der Häufigkeit von Vorfällen, die wir tagtäglich sehen, gibt es jedoch proportional gleich viele Fälle bei schweizerischen oder deutschen Unternehmen. Unsere Kunden kommen hauptsächlich aus dem deutschsprachigen Raum, also Deutschland, Schweiz und Österreich. Nichtsdestotrotz sehen wir eine Häufung von Korruptionsfällen in osteuropäischen Ländern. KMU zeichnen sich in der Regel durch langfristiges Management-Denken und Mitarbeiter mit überproportional hoher Verbundenheit zum Unternehmen aus. Dies ist jedoch aufgrund der Wirtschaftskrise europaweit rückläufig.

Durch das zunehmende globale Handeln von Unternehmen und die stetig steigenden Anforderungen an Mitarbeiter entwickeln sich die Strukturen von vielen KMU zusehends in Richtung Konzerndenken. Dies bringt auch einen Wandel bei der Mitarbeiter-Loyalität mit sich. Darüber hin­aus bestehen heute in sehr viel mehr Ländern Risiken bzw. können sich sehr viel schneller politische Instabilitäten ergeben, so dass Unternehmen heute oftmals sehr viel schneller reagieren müssen. Dies erfordert eine frühzeitige professionelle Vorbereitung und ein hohes Bewusstsein für die Anforderungen. Sicherheit ist in erster Linie Managementaufgabe und muss von dort verstanden, mitgetragen und vorgelebt werden.

Christian Schaaf ist Gründer und geschäftsführender Gesellschafter der Corporate Trust, Business Risk & Crisis Management GmbH in München. Der studierte Diplomverwaltungswirt (FH) arbeitete 19 Jahre im Polizeidienst. Nach seinem Ausscheiden war er Prokurist und Leiter der Bereiche Ermittlungen und Informa­tionsschutz bei einem international tätigen Business Risk Consulting-Unternehmen.