Fraud Management – vom Umgang mit IT-Betrug

Datensätze gestohlen, Konten geknackt – diesen Problemen kann man mit gutem Fraud Management begegnen. Aber die Kompetenzen müssen klar sein, auch für die Chefetage.

Gegen Einbruch und Betrug empfiehlt die Polizei Vermeidung von Schwachstellen. In der IT heißt das ‘Fraud Management’ und hat zunächst wenig mit dem Stopfen von Lücken und einer Verwaltung der Fehler, sondern viel mit gründlicher Analyse zu tun. Wie das geht, zeigen jetzt Berater und Marktforscher von Detecon, ehemals Diebold und T-Systems Unternehmensberatung, mit Kompetenz aus dem ehemaligen Debis Systemhaus.
Der englische Begriff Fraud (zu deutsch: Betrug) steht der Detecon-Definition nach für die “nicht legitimierte, wirtschaftsschädigende Nutzung der unternehmenseigenen Leistungspotentiale”. Er verringert also den Unternehmensgewinn, erzeugt großen verwaltungstechnischen Aufwand und zerstört nicht zuletzt auch das Vertrauen der Kunden. Doch die Berater warnen, dass die Angriffsflächen für IT-Betrug nicht nur die Summe aller Schwachstellen und damit leicht nacheinander abzuarbeiten sei. Sie setzen auf einen durchdachten “Fraud Management-Prozess”, um der schnell fortschreitenden, hoch technisierten Betrugsfront zu begegnen. Denn IT-gestützter Betrug verursacht weltweit Schäden in Milliarden-Höhe. Alleine aufgrund von Kreditkartenmissbrauch verloren Online-Händler im letzten Jahr rund 2 Milliarden Dollar, so die Berater.

Hier soll Fraud Management korrigieren, und zwar als Umsetzung eines Sicherheits- und Überwachungskonzeptes sowohl auf technischer und unternehmenspolitischer wie auch auf Business-Ebene. Doch mit dem Aufsetzen ist es natürlich nicht getan. Denn gerade die Tatsache, dass die wachsende Komplexität der IT mehr Daten- und Informationsflut zur Folge hat, ist demnach auch dafür verantwortlich, dass sich für die Betrüger und Schädiger mehr Möglichkeiten ergeben, unentdeckt zu bleiben.

Ein Unternehmen muss demzufolge kontinuierlich auf Schwachstellen untersucht werden, dessen sind sich die Experten sicher. Das heißt auch, dass die vereinbarten Sicherheitskonzepte permanent angepasst und die implementierten Überwachungsprozesse nachgebessert und verfeinert werden. “Jedes Unternehmen ist im Rahmen seiner Wertschöpfungs- und Leistungsprozesse darauf angewiesen, benötigte Ressourcen in ausreichender Qualität und Quantität bereitzustellen”, so Johannes Ewers, Managing Consultant der Arbeitsgruppe Application Infrastructure von Detecon. Schließlich seien sämtliche Ressourcen und daraus entstehenden Produkte und Dienstleistungen ausfallgefährdet, sofern sie nicht ausreichend überwacht würden.

Die Aspekte, denen umfassend begegnet werden soll, sind demnach sowohl das vorsätzliche, als auch das fahrlässig wirtschaftsschädigende Handeln. Daher, so Ewers, müssten auch die Gegenmaßnahmen und die Prävention entsprechend ausgestaltet werden. Er unterschiedet zwischen Antrags-Fraud – (Missbrauch von Identitäten und Bezahlvorgängen), technischen Fraud (Manipulation von technischer Infrastruktur und Kontrolleinrichtungen im Dienstleistungsbereich) und den großen Spielraum des internen Fraud.

Ewers zu dieser unter Umständen häufigsten Form von Betrug: “Das heißt, die Mitarbeiter eines Unternehmens bieten Informationen oder Dienstleistungen zur illegalen Nutzung zu Lasten des eigenen Unternehmens an oder nutzen diese selbst.” Dazu gehören demnach Diebstahl, Datenmanipulation und Datenmissbrauch. “Als potentielle Schwachstellen sind unzureichende interne Regelungen in Form von Arbeitsordnungen, organisatorischen Anweisungen, ungenügende Zutrittskontrollen und mehr zu sehen.”

Er empfiehlt die Ansiedlung eines eigenen Bereichs direkt unterhalb der Geschäftsführung. Hier muss das Team für das Fraud Management aus denkbar einfachen Gründen befinden, um volle Aktionsfreiheit im Rahmen der unternehmerischen Vorgaben zu erhalten. Dieses Team soll sich beispielsweise um die Analyse des Ist-Zustandes kümmern und diesen optimieren. Die Aufgaben des Teams sollen folgendes umfassen: die Entwicklung und Umsetzung einer entsprechenden Vermeidungsstrategie auf allen Ebenen, Prävention, Mitsprache bei der Auswahl von Präventionsprodukten, Erarbeitung und gegebenenfalls Durchführung eines Notfallplans für die Abwicklung der Gegenmaßnahmen, Beobachtung von Entwicklungen der Technik und in der Gesellschaft – also Gesetze wie auch Hackerszene. Und schließlich gehört laut dem Experten die Aus- und Weiterbildung der Mitarbeiter sowie eine transparente Arbeit hinzu. Oft ist die Abschreckung für potentiellen internen Fraud schließlich nicht zu unterschätzen.

Ewers rät aber dazu, die sorgfältige organisatorische Einbindung in das bestehende Management des Unternehmens dabei nicht zu unterschätzen. “Ergebnisse aus dem Fraud Management müssen die Unternehmensführung erreichen und Reaktionen provozieren”, sagt er. Dafür sei eine Integration des Fraud Management Teams in eine bestehende Abteilung höchst schädlich und mache die Aufgaben für niemand sichtbar, schon gar nicht für die Chefetage. Hier gebe es dann weder Wahrnehmung noch Akzeptanz.

Ewers warnt deshalb: “Kann sich das eigentliche Fraud Management nicht entfalten, so wird letztendlich nur noch der technische Rumpf bleiben, der die gewonnenen Erkenntnisse nicht auf die Ebene der Entscheidungsträger heben kann und damit zum Selbstzweck verkommt.” Besser sei, die dort tätigen Angestellten mit den entsprechenden Machtwerkzeugen auszustatten, also einer ganz konkreten Weisungsbefugnis und Informationspflicht. Nur dann kann Fraud Management eine echte langfristige Sicherung der Wertschöpfung im Unternehmen sein.