Prävention kann effizienter gestaltet werden, Teil 2 – Täteridentifizierung

Prävention kann effizienter gestaltet werden, Teil 2 – Täteridentifizierung

Dieser Artikel ist der zweite von drei Artikeln zu diesem Thema. Der erste Artikel thematisierte die Ermittlung eines Schadens, z.B. in Folge einer wirtschaftskriminellen Handlung. Dieser Artikel wird sich mit der präventiven Identifizierung der Täter befassen. Der dritte Artikel wird sich den Anwendungshinweisen widmen. Er kann als Leitfaden zur Umsetzung verstanden werden, denn er beleuchtet die oft gemachten handwerklichen Fehler in der Umsetzung und zeigt, wie sich diese vermeiden lassen.
Täter gibt es in (fast) jedem Unternehmen
Statistisch gesehen, kommen über 70% der Täter im Bereich der Wirtschaftskriminalität aus den eigenen Reihen des geschädigten Unternehmens.1 Dies bedeutet, dass von zehn geschädigten Unternehmen sieben Unternehmen durch einen Innentäter geschädigt wurden.
Da Unternehmen erst nach einem Vorfall wissen, ob sie zu den sieben betroffenen Unternehmen oder zu den drei nicht betroffenen Unternehmen gehören, sollten alle Unternehmen davon ausgehen, dass es Innentäter in jedem Unternehmen gibt. Diese Annahme soll aber keine pauschale Verdächtigung aller Mitarbeiter in einem Unternehmen sein. Vielmehr gilt es, diesen Punkt bei der Maßnahmenauswahl zur Reduzierung oder Vermeidung von Sicherheitsrisiken zu berücksichtigen anstatt auszuschießen.
Unternehmen stehen vor der Herausforderung, geeignete Maßnahmen zu installieren, die die Anzahl der Täter reduzieren.2 Dazu gibt es grundsätzlich zwei Wege. Es können erstens Maßnahmen zur Identifizierung von Tätern vor und zweitens Maßnahmen zur Identifizierung nach der Tat implementiert werden.
Die Maßnahmen zur Identifizierung nach der Tat werden üblicherweise dem Fachbegriff der Forensik zugeordnet. Dieser Begriff entstammt der Gerichtsmedizin und beschreibt die Interpretation von Verletzungen und Todesumständen. Im Allgemeinen kann unter der Forensik das Auswerten von Daten verstanden werden. Das Ziel der Forensik ist immer das (gerichtsfeste) Beweisen von Taten.3 Im Folgenden wird die Forensik nicht weiter thematisiert, denn sie ist kein Bestandteil der Prävention.4
Täteridentifizierung vor der Tat
Von zentraler Bedeutung ist die Frage, ob Täter identifiziert werden können, bevor sie eine Tat begehen werden?
Aus juristischer Sicht werden Taten in den Versuch und die Vollendung unterteilt.5 Im deutschen Strafgesetzbuch heißt es zum Versuch in §22 „Eine Straftat versucht, wer nach seiner Vorstellung von der Tat zur Verwirklichung des Tatbestandes unmittelbar ansetzt.“ Offen ist hier (ob bewusst oder unbewusst), wie weit die Verwirklichung der Tat vorangeschritten ist bzw. wo diese beginnt. Bedeutet „Verwirklichung“ die Planung oder gar erste vorbereitende Maßnahmen? Ist ein „was wäre, wenn…“ Gespräch ein Versuch? Da der Autor kein Jurist ist, werden im Folgenden nur sichtbare6 Verwirklichungsmaßnahmen berücksichtigt.
Unternehmen müssen nun Unsichtbares, hier den Versuch, sichtbar machen, wenn sie Täter vor der Verwirklichung der Tat identifizieren wollen. Denn nur dann kann die Eingangsfrage, ob Täter präventiv identifiziert werden können, positiv beantwortet werden.
Ausgangspunkt der Identifizierung ist die Risikoanalyse/Sicherheitsrisikoanalyse und deren Ergebnisse zu den Bedrohungen und Gefahren sowie zu den potentiellen Tätern (die Täteranalyse)7. Unter Anwendung der Szenariotechnik werden den identifizierten Bedrohungen potentielle Täter zugeordnet. Anschließend wird analysiert, unter welchen Rahmenbedingungen die potentiellen Täter erfolgreich sein können. Sollten die potentiellen Schäden, die sich aus einem erfolgreichen Ausnutzen dieser Rahmenbedingungen ergeben, über der Risikoakzeptanzgrenze des Unternehmens liegen, sind geeignete Sicherheitsmaßnahmen zu identifizieren. Wichtig: Sollten diese Rahmenbedingungen Straftaten ermöglichen, sind zwingend Sicherheitsmaßnahmen zu implementieren.
Das folgende praktische Beispiel (das Szenario) „Unerlaubter Datenabfluss an einen Wettbewerber durch Mitarbeiter in einem sensiblen Projekt“ zeigt kurz die Täteridentifizierung vor der Tat und zeigt mögliche präventive Sicherheitsmaßnahmen zur Vermeidung bzw. Erschwerung der Tat.
Juristisch handelt es sich um einen Diebstahl – der Versuch ist strafbar. Ob sich weitere Straftatbestände ergeben, hängt von den Rahmenbedingungen ab, die der Täter vorfindet.
Täteridentifizierung mit der Kernfrage „Was wäre, wenn…?“ unter Einsatz der Szenariotechnik:8
1. Identifizierung sensibler Daten im Projekt (unter Berücksichtigung der potentiellen Schadenshöhe nach unerlaubten Datenabfluss an den Wettbewerber).
2. Identifizierung der Personen (im Projektteam und außerhalb des Projektteams), die Zugriff auf die sensiblen Daten haben (oder sich verschaffen können)
3. Identifizierung der Personen, die einen Vorteil aus dem unerlaubten Besitz dieser Daten ziehen können
4. Identifizierung der möglichen Übermittlungswege, auf denen die sensiblen Daten das Unternehmen verlassen können und müssen (z.B. USB-Stick, Cloud, E-Mail, ausgedruckt auf Papier)9
5. Welche Personen können die identifizierten Wege ausnutzen/beeinflussen?
6. Welche Rahmenbedingungen erhöhen die Motivation eines potentiellen Täters?
7. Welchen technischen, finanziellen und zeitlichen Aufwand müssen potentielle Täter aufwenden bzw. über welche Fähigkeiten müssen sie verfügen?
8. Welche Maßnahmen senken die Motivation eines potentiellen Täters und erhöhen den Aufwand der potentiellen Täter?
9. Wie können diese Maßnahmen überwacht werden und wie kann die Überwachung überwacht werden?
10. Welche Übermittlungswege können nicht durch Sicherheitsmaßnahmen geschützt werden?
Mögliche Sicherheitsmaßnahmen:10
1. Den Zugriff auf die sensiblen Daten beschränken. Z.B. Mitarbeiter reduzieren (nur die Mitarbeiter beteiligen, die zwingend für den Projekterfolg notwendig sind); Merksätze: Kenntnis, nur wenn nötig. Nicht jeder Mitarbeiter muss alles wissen.
2. Projektbezogene Sicherheitsregeln erlassen (An wen dürfen Daten niemals weitergegeben werden? Was darf gesagt oder weitergegeben werden? Wer darf Weitergaben genehmigen [Vier-Augen-Prinzip sollte eingehalten werden]? Wer ist zentraler Ansprechpartner für die Regeln? Wer kontrolliert die Einhaltung der Regeln? Welche Konsequenzen hat ein Verstoß gegen die Regeln?)
3. Mitarbeiter einweisen (auch in die Sicherheitsmaßnahmen) und arbeitsrechtlich belehren, Dritte vertraglich binden (Abschreckungswirkung, da die Kompensation höher ausfallen muss)
4. Die sensiblen Daten verschlüsseln und den/die Schlüssel regelmäßig wechseln (diese Maßnahme verhindert nicht den unerlaubten Datenabfluss, erschwert jedoch die Datenverwendung für den Wettbewerber). Wenn eine Person gesicherte Daten entwendet, kann sie sich unter Umständen auch nach §202a StGB strafbar machen.
5. Zugriffserkennung installieren (Wichtig: ggf. Mitbestimmungsregeln beachten)
6. Veränderungserkennung installieren (Wichtig: ggf. Mitbestimmungsregeln beachten) Wenn eine Person unerlaubt Daten ändert, die eine beweiserhebliche Wirkung haben (z.B. Zugriffsprotokolle), macht sich diese Person unter Umständen nach §269 StGB und §303a StGB strafbar.
7. Konsequente Verfolgung von Verstößen (inkl. rechtlicher Schritte)
Grenzen und negative Auswirkungen
Externe Täter präventiv zu identifizieren und das Unternehmen vor diesen zu schützen, unterscheidet sich nicht von der Herangehensweise für Innentäter. Die Hauptunterschiede liegen in der Anzahl potentieller Täter und im Bekanntheitsgrad. Grundsätzlich kann unterstellt werden, dass das Unternehmen die eigenen Mitarbeiter kennt, während es über die potentiellen externen Täter nur ein abstraktes Bild hat. Dieses Bild wird umgangssprachlich Täterprofil genannt. Dieser Umstand begründet auch den Fakt, dass sich die Beweisführung nach einer Tat für externe Täter wesentlich schwieriger gestaltet, oder gar unmöglich ist.11
Professionelle Täter und staatliche Organisationen sind i.d.R. so gut in der Ausführung, dass Unternehmen keine Chance haben, diese Täter zu identifizieren. Oft ist es nicht einmal möglich, festzustellen, ob eine Tat ausgeführt wurde.
Eine permanente Beobachtung der Wettbewerber kann möglicherweise feststellen, ob sich ein Wettbewerber einen Vorteil mit illegalen Mitteln verschafft hat. Sollte solch ein Fall eingetreten sein, könnte die Forensik diese Tat beweisen.
Die präventive Täteridentifizierung kann auch negative Effekte haben. Werden bei der Täteridentifizierung rechtliche Grenzen überschritten (z.B. Nichteinhaltung des Datenschutzes, der Privatsphäre oder von Mitbestimmungsgesetzen), drohen den Verantwortlichen und den Durchführenden i.d.R. strafrechtliche Konsequenzen. Darüber hinaus kann die Unternehmenskultur negativ beeinflusst werden, wenn die Täteridentifizierung zu einer pauschalen Verdächtigung aller Mitarbeiter führt und einen Misstrauenskultur entsteht.
Fazit
Festzuhalten gilt: Eine Verhinderung der Tat ist nicht möglich und eine präventive Täteridentifizierung kann positive Effekte auf die Eintrittswahrscheinlichkeit haben.
Ein Unternehmen kann nur reduzierende Maßnahmen ergreifen. Im besten Fall werden diese Maßnahmen die Risiken so weit reduzieren, dass die verbleibenden Risiken bei Eintritt keine erheblichen wirtschaftlichen Schäden verursachen. Für die Herangehensweise ist es unerheblich, ob die zugrundeliegenden Taten von Internen oder Externen verursacht werden können, denn der präventive Lösungsansatz ist bei beiden identisch.

Posts Carousel

Leave a Comment

Your email address will not be published. Required fields are marked with *