Siemens , Volkswagen , Infineon - derzeit erschüttert eine Korruptionsaffäre nach der nächsten die deutsche Wirtschaft. Für die betroffenen Unternehmen bedeuten schwarze Kassen und Schmiergeldskandale neben dem materiellen Verlust vor allem einen gewaltigen Image-Schaden, der nur schwer wieder zu reparieren ist. Viele Top-Manager stellen sich daher die Frage, wie solche illegalen Aktivitäten im eigenen Unternehmen von vorneherein verhindert werden können.
Die Lücke im Sicherheitswall des Konzerns findet sich häufig in der IT - schließlich ist die Veruntreuung von Geldern im Grunde genommen nichts anderes als die Fälschung von Daten. Wer sich ein wenig in den firmeneigenen Systemen auskennt, kann die Technik leicht zu seinem eigenen Vorteil nutzen. Dabei müssen Mitarbeiter noch nicht einmal ausgebuffte Hobby-Hacker sein.
Betrug ist ein Kinderspiel
Wer beispielsweise das Recht hat, die Zahlung einer Rechnung zu veranlassen, und gleichzeitig der Stellvertreter seines Chefs ist, kann zu einem günstigen Zeitpunkt das Vier-Augen-Prinzip austricksen. Sobald der Chef im Urlaub oder krank ist, kann der Mitarbeiter über das System die Zahlungsanweisung einmal in seiner Angestelltenfunktion freigeben und gleich danach in seiner Stellvertreterfunktion. Einem herkömmlichen IT-System fällt diese Unstimmigkeit nicht auf.
Foto: manager-magazin.de
Eine intelligente Benutzerverwaltung würde dagegen Alarm schlagen. Das sogenannte Identity-Management (IDM) prüft unter Einbeziehung gesetzlicher und unternehmensinterner Vorschriften fortlaufend, ob beantragte und automatisch zugewiesene Berechtigungen auch wirklich zulässig sind.
Das System verwaltet alle digitalen Identitäten von Mitarbeitern, Kunden und Lieferanten, mit denen der Zugriff auf verschiedene Programme wie SAP, Lotus Notes oder Peoplesoft ermöglicht wird. Je mehr digitale Identitäten eine Person besitzt und je mehr Nutzer insgesamt über Zugangsberechtigungen verfügen, desto komplizierter ist die Benutzerverwaltung und desto höher ist auch die Gefahr einer illegalen Manipulation.
Benutzerleichen verweilen im System
Gerade bei Anwendern, die nicht dem Unternehmen angehören, kommt es immer wieder zu Sicherheitsproblemen. Verlässt beispielsweise der Mitarbeiter eines Lieferanten, der vorher Zugriff auf bestimmte Daten des Kunden hatte, seine Firma, wird die Benutzerverwaltung des zu beliefernden Unternehmens in den wenigsten Fällen von der Personalverwaltung über die Auflösung des Vertragsverhältnisses informiert. Dadurch entstehen Benutzerleichen im System, die einen potenziellen Gefahrenherd darstellen.
Selbst wenn eigene Mitarbeiter das Unternehmen verlassen, werden die entsprechenden digitalen Identitäten nicht zwangsläufig gelöscht. In einer Umfrage der Fraunhofer-Ausgründung Deron, die Firmen bei der Auswahl und Implementierung von IDM-Systemen unterstützt, gaben 19 Prozent aller befragten Unternehmen an, ihre unbenötigten Zugänge nicht zu löschen.
IDM-Systeme verringern dieses Sicherheitsrisiko. "Sobald Daten an einer Stelle geändert werden, werden die digitalen Identitäten in allen anderen Bereichen angepasst", erklärt Deron-Geschäftsführer Klaus Scherrbacher.
Präventiv und reaktiv
Dabei arbeitet die Software nicht nur präventiv, sondern sie kann Unternehmen auch bei der Aufklärung bestimmter Ungereimtheiten helfen. Wenn beispielsweise vertrauliche Daten eines Prototyps, die an einen Autozulieferer zwecks Teilelieferung weitergegeben wurden, auf einmal bei dem ärgsten Konkurrenten des Automobilherstellers auftauchen, sieht es zunächst einmal schlecht aus für den Zulieferer. Er muss beweisen, dass die Daten nicht über ihn an den Wettbewerber gelangten. Zunächst liegt dieser Verdacht nahe, wenn er beide Unternehmen mit Autoteilen beliefert.
Mithilfe eines IDM-Systems kann der Zulieferer auch im Nachhinein belegen, welcher Mitarbeiter zu welchem Zeitpunkt Zugriff auf bestimmte Informationen hatte. "Die Daten werden in eine revisionssichere Datenbank geschrieben, die Bestand vor Wirtschaftsprüfern und rechtlichen Instanzen hat", erläutert Peter Weierich von dem Softwarehersteller Völcker Informatik.
Das Korruptionsrisiko stark verringern
Die Anschaffung eines IDM-Systems ist allerdings nicht gerade billig. "Ein Mittelständler mit 1.000 Mitarbeitern sollte mit etwa 70.000 Euro für die Software rechnen", so Weierich. Wer einen Berater wie Deron zurate ziehen will, der das Unternehmen auch bei der Auswahl und Implementierung eines geeigneten Systems unterstützt, muss dagegen den doppelten Betrag investieren. "Der Beratungspreis richtet sich nach der Anzahl der einzubindenden Applikationen und der Komplexität der Organisation", berichtet Deron-Geschäftsführer Scherrbacher.
Dementsprechend variiert auch die Zeit, die eine Integration in Anspruch nimmt. "Kleinere Projekte dauern nur 90 Tage, aber die Implementierung bei Infineon beispielsweise beschäftigte uns rund acht Monate", so der Deron-Geschäftsführer.
Trotz all des Aufwands und der Kosten kann allerdings auch Identity Management keinen hundertprozentigen Schutz vor Korruption gewährleisten. "IDM ist ein Mittel von vielen gegen Korruption, wichtig ist darüber hinaus auch die Kommunikation im eigenen Unternehmen", meint Jens Washausen, Geschäftsführer der Beratungsgesellschaft Trauboth Risk Management. Es sollte deutlich gemacht werden, dass Korruption und Bestechung unter keinen Umständen toleriert werden.
"Einen Fall wie bei Siemens hätte auch ein IDM-System nicht verhindern können", sagt auch Völcker-Sprecher Weierich. Hier hätten angeblich sogar Compliance-Verantwortliche mitgespielt, sodass dem System keine Ungereimtheiten aufgefallen wären.
Dennoch bleibt Identity Management ein wichtiger Faktor für Unternehmen im Kampf gegen Korruption. Schließlich lässt sich dadurch das Risiko zumindest verringern.