Dolose Handlungen werden im Mittelstand sehr oft nur durch Zufall entdeckt. Nötig ist aber ein aktives Vorgehen zur Erkennung von Betrugsversuchen durch ein effektives internes Kontrollsystem.

Zunehmend berichten Unternehmen von immer neuen Tricks, mit denen kriminelle Dritte versuchen, sich an Unternehmen zu bereichern. So werden etwa falsche Identitäten angenommen („Trick des Vorstandsvorsitzenden“), durch die verantwortliche Mitarbeiter veranlasst werden, hohe Zahlungen zu leisten. Zwar dominieren im Mittelstand eher die klassischen Bereicherungsstraftaten wie Betrug, Untreue, Unterschlagung, Korruption, Falschbilanzierung, Geldwäsche, Insiderhandel, Produktpiraterie, Industriespionage und Insolvenzdelikte. Aber auch durch Internetkriminalität ist der Mittelstand vermehrt betroffen. Wie kann man sich dagegen schützen?

Gefahr droht nicht nur von außen

Unter den externen Bedrohungen stellt Ransomware, also Erpressungstrojaner, eine der größten Bedrohungen für Unternehmen dar. Sind die Unternehmensdaten erst einmal verschlüsselt und eventuell sogar noch Datensicherungen betroffen, drohen dem betroffenen Unternehmen nicht nur erhebliche wirtschaftliche Schäden. Denn externe Angriffe auf IT-Infrastruktur und der Diebstahl von vertraulichen Informationen, bspw. durch das sogenannte Phishing, sowie mögliche Verstöße gegen gesetzliche Auflagen, bspw. zur Datensicherheit, können zusätzlich noch empfindliche strafrechtliche Konsequenzen nach sich ziehen. 

Im Mittelstand wird Cybersicherheit oft immer noch als reiner Kostentreiber statt als wesentliche Investition in die Sicherheit des Unternehmens verstanden. Auch wenn Sensibilisierungsschulungen, Implementierung von Kontrollen und die Zusammenarbeit mit Experten erhebliche Investitionen erfordern, so zahlen sich diese Maßnahmen langfristig immer aus. 

Neben Cyberkriminalität drohen aber auch aus dem Unternehmen selbst oder vom näheren Umfeld wirtschaftliche und finanzielle Risiken. Im Falle von Wirtschaftskriminalität haben drei Faktoren einen entscheidenden Einfluss auf die Wahrscheinlichkeit, Opfer von Wirtschaftskriminalität zu werden: Gelegenheit, Druck und Rechtfertigung. Diese Wahrscheinlichkeit nimmt insbesondere bei ineffektiven oder nur schwach ausgeprägten internen Kontrollsystemen zu. Wenn dann bei einem der Stakeholder (bspw. Kunden, Lieferanten oder Mitarbeitern) finanzieller Druck vorhanden ist, dann kann dies zu Betrugshandlungen führen, weil sich das Unternehmen nicht geschützt hat.

Effektiver Schutz erfordert aktives Vorgehen

Damit bleibt jedoch die Frage, wie man Wirtschaftskriminalität rechtzeitig erkennt und wie man sich schützen kann. Untersuchungen haben nämlich ergeben, dass Unternehmen zur Verhinderung und Aufdeckung von Wirtschaftskriminalität oft allein auf die Abschlussprüfung vertrauen oder auf den Erfolg von Maßnahmen wie die Erstellung eines Code of Conduct

In der Praxis zeigt sich jedoch, dass dies nicht zwangsläufig die effektivsten Maßnahmen sind. Dolose Handlungen werden häufig zufällig, durch Tipps und Hinweise, im Zuge des Management Reviews oder durch die Interne Revision entdeckt.

Nötig ist aber ein aktives Vorgehen zur Erkennung von betrügerischen Handlungen. Dazu empfiehlt es sich, eine vertikale und horizontale Analyse von Verkaufskonten, Ratio-Analysen oder auch die Auswertung von Transaktions- und Stammdaten durchzuführen. Ein weiterer wesentlicher Faktor zur Prävention, und vom Gesetzgeber in der Regel gefordert, ist die Implementation eines effektiven internen Kontrollsystems (IKS). Bewusste Berechtigungsvergaben, das Einhalten der Funktionstrennung sowie aktuelle Notfall- und Back-up-Konzepte können das Risiko entscheidend senken, Opfer von betrügerischen Handlungen zu werden. 

Selbst wenn Unternehmen nur geringe Ressourcen zur Verfügung stehen, ist eine schrittweise Umsetzung geeigneter Maßnahmen und die sukzessive Verbesserung des internen Kontrollsystems immer zielführend. Ein IKS hilft dabei, potenzielle wirtschaftliche Risiken zu minimieren und den Fortbestand des Unternehmens im Krisenfall zu sichern. Die Einführung eines internen Kontrollsystems kann in drei Schritten erfolgen:

In einem ersten Schritt sollte man sich hierfür seiner Risiken bewusst werden und diese bewerten. Zweitens sollte man die bestehenden Schutzmaßnahmen bewerten und potenzielle Schwachstellen mittels Tools, Kontrollen und Expertise schützen. Drittens sollte man sich auf den Krisenfall vorbereiten und festlegen, welche Personen, Prozesse und Technologien aktiviert werden müssen, um Schaden zu begrenzen. Letztlich sollte man den Krisenfall analysieren und notwendige Maßnahmen ableiten.