- Anzeigen -

Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Ordnung ins Chaos bringen


Big Data und die Bedeutung in internationalen Ermittlungen
Die exponentiell wachsende Menge an Daten, die von Unternehmen erzeugt und gespeichert werden, muss in geeigneter Weise strukturiert werden, um eine schnelle Wiedergewinnung und Analyse zu gewährleisten

Autor Matthew Kinch
Autor Matthew Kinch Die fast vollständige Abhängigkeit der Wertschöpfungsprozesse von Technologien schafft neue Schadenpotenziale, die die Unternehmen verwundbar machen, Bild: Control Risks

Von Matthew Kinch, Senior Consultant, und Michael Müller, Leiter Consulting-Team - Control Risks Deutschland GmbH

(25.03.15) - Die Formen, die Betrug in Unternehmen heute annimmt, entwickeln sich ständig weiter und ebenso die Maßnahmen und Mittel, die zu ihrer Bekämpfung benötigt werden. Mit der Erschließung neuer Märkte und den sich ständig erweiternden internationalen Netzwerken an Lieferanten, Partnern und Kunden wachsen in gleichem Maße die operativen Risiken für Unternehmen. Eine veränderte Gesetzeslage und die verstärkte öffentliche Wahrnehmung, gepaart mit einem hohen medialen Interesse, führen dazu, dass Korruption und Bestechung nicht nur für multinationale Unternehmen, sondern auch für kleine und mittelständische Unternehmen ein stetig steigendes Reputations- und Finanzrisiko darstellen.

Die fast vollständige Abhängigkeit der Wertschöpfungsprozesse von Technologien schafft neue Schadenpotenziale, die die Unternehmen verwundbar machen. Die exponentiell wachsende Menge an Daten, die von Unternehmen erzeugt und gespeichert werden, muss in geeigneter Weise strukturiert werden, um eine schnelle Wiedergewinnung und Analyse zu gewährleisten. Dies ist insbesondere auch im Rahmen einer internen Ermittlung von erheblicher Bedeutung. Geschieht dies nicht, werden die Organisationen angreifbar und der Kampf gegen Betrug und Korruption wird erheblich erschwert.

Bei einer Ermittlung steht das Unternehmen in der Regel vor einer riesigen Datenmenge, die es zu analysieren gilt. Dabei handelt es sich nicht nur um unstrukturierte Daten wie E-Mails und Dokumente, sondern auch um Datenbankinformationen wie Buchhaltungs- und Bankaufzeichnungen, Kommunikationsaufzeichnungen und Interaktionen in sozialen Medien. Diese sind an unterschiedlichsten Orten und in unterschiedlichsten Formaten, zunehmend auch in der "Cloud", gespeichert.

Autor Michael Müller
Autor Michael Müller Wichtig, über klare Richtlinien zu verfügen, wie Arbeitnehmer Daten speichern und was sie mit ihren Geräten tun dürfen und was nicht, Bild: Control Risks

Im Falle einer Ermittlung hat dies erhebliche Auswirkungen. Für die Ermittler wird es schwierig, sich schnell und effektiv einen Überblick zu erschaffen und das Kernproblem zu erkennen. Dies verlangsamt den Untersuchungsprozess und das wiederum kann teuer werden - sowohl finanziell als auch in Hinblick auf die Reputation des Unternehmens. Wenn ein Betrugsfall aufgedeckt wird, sind eine rasche Feststellung der Quelle, des Betrugsmusters und das Eingrenzen der sich daraus ergebenden operativen und finanziellen Risiken von wesentlicher Bedeutung. Nur so können weitere Schäden vermieden werden.

Die Zunahme der Datenmengen hat eine Reihe tiefgreifender Auswirkungen auf die Arbeitsweise der involvierten Experten (wie Anwälte, IT-Forensiker und forensische Wirtschaftsprüfer), die mit der Untersuchung schwerer Betrugsfälle befasst sind, mit sich gebracht. Die erste Aufgabe besteht darin, die relevanten Daten ausfindig zu machen und herauszufinden, wer sie verwahrt werden und welches Format sie haben. Sobald die Daten zugeordnet und die relevanten Quellen ermittelt sind, müssen die Daten beweiskräftig und vertretbar gesichert werden. Erst dann kann die Analyse mit dem Ziel erfolgen, eine rasche und wirksame Konzentration auf die Schlüsselfragen zu ermöglichen und irrelevante Informationen herauszufiltern.

Infolgedessen hat die Rolle der forensischen Wirtschaftsprüfer an Bedeutung gewonnen und der Bedarf an Fachkenntnissen im Bereich der Computerforensik erheblich zugenommen. Die riesigen Datenmengen, die Organisationen heute erzeugen, können dazu führen, dass die Ermittlung der Beweise, die für die Einleitung eines Gerichts- oder Disziplinarverfahrens notwendig sind, viel schwieriger, zeitaufwendiger und teurer wird. Spezielle Software-Tools zur Durchführung der eDiscovery ermöglichen es, die beweiskräftigen Transaktionen, Korrespondenz oder sonstigen Belege rasch zu identifizieren und sich auf diese zu konzentrieren. Dabei können die Ermittler und forensischen Wirtschaftsprüfer auch alle Schwächen und Sicherheitslücken in internen Systemen und Kontrollen feststellen, die den Betrugsfall oder ein anderes Fehlverhalten erst ermöglicht haben.

Auch die Rolle anderer an der Untersuchung von Betrugsfällen beteiligter Berufsgruppen, insbesondere die der Rechtsanwälte, ist einem raschen Wandel unterworfen. Juristen sind jetzt an der gesamten Untersuchung vom Anfang bis zum Ende beteiligt, denn viele Geschäftsdaten sind inzwischen über eine Vielzahl von Gerichtsbarkeiten verteilt und die Datenschutzbestimmungen sind von Land zu Land entsprechend unterschiedlich. Während es beispielsweise in manchen Ländern eine Straftat sein kann, Daten ins Ausland zu transferieren, kann es in anderen Ländern rechtswidrig sein, ohne Gerichtsbeschluss Daten auf Geräten von Arbeitnehmern wiederherzustellen – selbst wenn sowohl das Gerät als auch die Daten, die sich darauf befinden, Eigentum des Unternehmens sind.

Daher ist zu Beginn einer Ermittlung eine rechtliche Beratung erforderlich, um sicherzustellen, dass die Untersuchungen rechtmäßig und korrekt durchgeführt werden, um ihre Integrität für Beweiszwecke zu gewährleisten.

Vorbereitung auf den Ernstfall
Dies alles hat seinen Preis. Je mehr Zeit von Fachleuten für die Untersuchung von Betrugsfällen aufgewendet werden muss, umso höher sind die anfallenden Kosten. Es gibt jedoch einiges, was Unternehmen tun können, damit die Untersuchungen in Betrugsfällen effizient erfolgen können.

Als erstes müssen die Unternehmen Erkenntnisse darüber erlangen, wo – und von wem – ihre Informationen bereitgehalten werden, und eine klare Vorstellung darüber haben, wie und wo neue Daten erzeugt und wie historische Daten gehandhabt werden. Unternehmen haben im Allgemeinen gute Kenntnisse über diese Dinge, doch die Geschwindigkeit, mit der die Informationsinfrastruktur sich weiterentwickelt, bedeutet, dass die Daten-Landkarte regelmäßig neu gezeichnet werden muss. Immer wieder passiert es, dass relevante Daten im Ernstfall nicht vorhanden sind, weil Backupdaten gelöscht worden sind, sich nicht mehr dort befinden, wo sie vermutet wurden, oder die um die Daten auszulesen benötigte Software nicht mehr im Unternehmen angewendet wird.

Zweitens ist es enorm wichtig, über klare Richtlinien zu verfügen, wie Arbeitnehmer Daten speichern und was sie mit ihren Geräten tun dürfen und was nicht. Wenn die Sammlung von Daten im Falle einer Untersuchung effizient erfolgen soll, kommt es nicht nur darauf an, dass solche Richtlinien vorhanden sind, sondern auch darauf, dass die Arbeitnehmer die Richtlinien kennen und ihnen bewusst zugestimmt haben.

Bei multinationalen Unternehmen müssen diese Richtlinien den jeweiligen Datenschutzbestimmungen und den Gesetzen zum Schutz von Persönlichkeitsrechten sowie des Arbeitsrechts der Rechtsordnungen, in denen sie tätig sind, entsprechen. In vielen Fällen ist zusätzlich die Nutzung privater Geräte für geschäftliche Zwecke zu berücksichtigen. In letzterer Hinsicht stehen technische Lösungen zur Trennung der privaten von den geschäftlichen Daten zur Verfügung, die eine Wiederherstellung der Unternehmensinformationen ermöglichen, ohne die Privatsphäre bezüglich privater Informationen zu verletzen.

Schließlich sollte man sich bewusst sein, dass Daten als kritisches Element im Rahmen des Krisenmanagements und der Notfallplanung eines Unternehmens zu betrachten sind. Indem die Informationsverwaltung als potenzielle Angelegenheit des "Krisenmanagements" behandelt wird, kann der durch Betrug und Korruption entstehende Reputations- und Finanzschaden erheblich reduziert werden. Wer den Überblick über seine Daten behält, kann zudem den erfreulichen Nebeneffekt verzeichnen, dass eine gute Informationsverwaltung zeitgleich das Betrugsrisiko wesentlich verringert. (Control Risks: ra)

Control Risks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.