Wie sich Unternehmen vor Betrügern und anderen Tätern in der Belegschaft oder der Führungsetage schützen können

Gastbeitrag von Marie-Christine Kragh, der Globalen Leiterin Vertrauensschadenversicherung bei Allianz Trade

Betrug und Untreue gehören zu den Top-Delikten der Wirtschaftskriminalität. Die Zahl Fälle in der polizeilichen Kriminalstatistik bei Betrug stieg 2024 mit 117 Prozent im Vorjahresvergleich deutlich – und oft waren Insider daran beteiligt. Auch in der Schadensstatistik der Allianz richteten Innentäter die meisten und die größten Schäden an. Denn es gibt mehr schwarze Schafe in den eigenen Mitarbeiter-Reihen als viele Unternehmen glauben. Und sie richten jedes Jahr große finanzielle Schäden an.

 

 

Das Erscheinungsbild der Täter: freundlich, angepasst und integriert

Sie zu identifizieren, ist allerdings oft schwer. Denn oft sind sie auffällig unauffällig, freundlich, gut angepasst und integriert. Viele durchaus erwünschte Eigenschaften von Leistungsträgern sind dieselben wie bei Betrügern: Durchsetzungswille, Risikobereitschaft, Ehrgeiz oder Aufstiegsorientierung beispielsweise.

Für die Unternehmen ist es deshalb wichtig, eine Balance zwischen Vertrauen und Unternehmenskultur einerseits und Vorsorge und Kontrolle andererseits zu finden. Zufriedene Mitarbeiter, die sich wohlfühlen, denen Kollegen und Vorgesetzte mit Respekt und Wertschätzung begegnen und die mit Aufgaben und Bezahlung sowie Aufstiegs- und Weiterbildungsmöglichkeiten zufrieden sind, identifizieren sich mit dem Unternehmen und sind in der Regel wesentlich loyaler als Mitarbeiter, die kein gutes Betriebsklima vorfinden. Mobbing, Frustration und Rache sind häufige Motive, die interne Täter antreiben.

Die Unternehmens- und Fehlerkultur sowie die offene und transparente Kommunikation spielen also eine entscheidende Rolle. Wenn Mitarbeiter sich trauen, Missstände anzusprechen, können Schwachstellen identifiziert, Sicherheitslücken geschlossen und Täter schneller identifiziert werden. Kontrollmechanismen, Richtlinien sowie regelmäßige Routineüberprüfungen sind für Unternehmen allerdings genauso wichtig, um sich zu schützen.

Dennoch: Der Faktor Mensch ist ein Risiko, schwarze Schafe finden immer Mittel und Wege. Viele Innentäter haben ein hohes Maß an krimineller Energie, sie nutzen Gelegenheiten umgehend und können die besten Kontrollsysteme aushebeln.

Deshalb sollten sich Unternehmen nicht auf ihre Kontrollsysteme verlassen oder in falscher Sicherheit wiegen.

 

Worauf Unternehmen achten sollten

Vertrauen und Kultur

• Offene, vertrauensvolle Unternehmenskultur mit möglichst flachen Hierarchien
• Gute, konstruktive Fehlerkultur und offene Kommunikation
• Klare Formulierung von Unternehmensrichtlinien und ethischen Werten sowie Integration in den Unternehmensalltag
• Kollegialer, demokratischer Führungsstil, Wertschätzung, Vertrauen und Respekt
• Gute Arbeitsbedingungen: Faire Bezahlung, finanzielle Anreize, Leistungsvergütung, interessante Aufgaben
• Gleichberechtigung, Diversität, faire Aufstiegschancen nach klar festgelegten, objektiven und für alle nachvollziehbaren Kriterien
• Talententwicklung und -förderung; Weiterbildung von Hard- und Softskills; Nachwuchsförderung
• Zufriedenheitsbefragungen von Mitarbeitenden; Implementierung von Maßnahmen zur Steigerung der Zufriedenheit
• Unterstützung von Beschäftigten in (persönlichen oder finanziellen) Notlagen durch entsprechende Hilfs- oder Beratungsangebote

 

Vorsorge und Kontrolle

• Implementieren von Kontroll- und Compliance-Systemen; insbesondere Vier- oder Mehr-Augen-Prinzip
• Sensibilisieren und Schulung der Mitarbeitenden für interne Richtlinien sowie kritische Situationen und Detektion von Auffälligkeiten
• Regelmäßige Routine-Kontrollen, Audits, Revisionen,gegebenenfalls. Prüfung durch externe Dritte
• Implementierung von geschützten internen (und gegebenenfalls externen) Whistleblowing-Kanälen (zum Beispiel Ombudsleute) und regelmäßige Information der Mitarbeiter
• Präventives Risikomanagement und regelmäßige Prozessoptimierung: Überprüfung und Verbesserung von eventuellen Systemschwachstellen inkl. Zugangs- und Zugriffskontrollen
• Wachsamkeit und Beobachten von Auffälligkeiten, zum Beispiel Anomalien in den Arbeitsstunden, Versuche, auf begrenzt zugängliche Daten zuzugreifen oder der Gebrauch von unautorisierten Datenträgern
• Umgehende, transparente und objektive Untersuchung bei Verdachtsmomenten
• Überprüfung von Bewerbern, zum Beispiel  Abgleich mit Sanktionslisten, Führungszeugnis, Schufa, Plausibilitäts- bzw. Background-Check, Referenzen

Für besonders sicherheitsrelevante Positionen gegebenenfalls Bestimmung von Personenfaktoren, zum Beispiel Hannoversche Korruptionsskala

 

Sicherheitslücken schließen

Trotz aller Vorsichtsmaßnahmen geschehen Fälle von Betrug und Veruntreuung. Bei Eintritt eines Schadens ist es für Unternehmen wichtig, schnell und richtig zu handeln und die Sicherheitslücken konsequent zu schließen. Zudem sollten Unternehmen die häufigsten Risikofaktoren am besten regelmäßig überprüfen.

Unternehmensstruktur und Governance

1. Sind die Arbeitsabläufe und -prozesse im Haus klar definiert und einsehbar?
2. Gibt es ein Berichtswesen zu notwendigen und möglichen Sicherheitsvorkehrungen sowie Vorfällen und Wirksamkeit der Kontrollen?
3. Gibt es definierte Eskalationswege bei Social‑Engineering‑Verdachtsmomenten?
4. Werden Out‑of‑Band‑Bestätigungen vorgeschrieben und dokumentiert?

Gibt es eine offene Unternehmenskultur mit aktiver Meldung von Verdachtsmomenten?

Zahlungsverkehr

1. Existiert ein technisch erzwungenes Vier‑ Augen‑Prinzip für Vermögensverfügungen?
2. Ist definiert, welche Zahlungen klärungsbedürftig sind?
3. Werden Bankdaten nur nach Out‑of‑Band‑ Rückbestätigung geändert?
4. Werden neue Bankverbindungen mit historischen Daten verglichen?
5. Sind BEC-Schutzmaßnahmen implementiert?
6. Gibt es Awareness‑Programme zu Social Engineering und Deepfakes?

E‑Mail‑Sicherheit

1. Werden E-Mail-Authentifizierungsprotokolle genutzt (SPF, DKIM, DMARC)?
2. Nutzen Sie DMARC mit Policy ‚reject‘ und Monitoring?
3. Gibt es einen Prozess zur Erkennung kompromittierter Konten (Identity-Protection)?
4. Werden Schulungen zu modernen Phishing‑Täuschungen angeboten (Deepfake-Audio/-Video)?

IT‑Sicherheit

1. Gibt es ein Sicherheitskonzept für das IT‑System?
2. Werden Phishing‑resistente MFA (Passkeys, Hardware‑Token) genutzt?
3. Existiert ein Business‑Continuity‑Plan für kompromittierte Accounts?
4. Erfolgt eine regelmäßige Prüfung auf Manipulationen an E‑Mail‑Konten?

 

Einkauf / Verkauf

1. Sind Zuständigkeiten klar getrennt?
2. Erfolgt eine unabhängige Prüfung der Inventarisierungsprozesse?
3. Werden Managementberichte zu Retouren und Stornierungen erstellt?
4. Gibt es eine Einkaufsrichtlinie und einen Code of Conduct?
5. Wird Lieferantenkommunikation auf Deepfake-/ BEC-Indikatoren geprüft?

 

Personal / Human Ressources

1. Werden auffällige Bewerbungsverläufe geprüft?
2. Erfolgen vertiefte Checks bei Schlüsselpositionen?
3. Werden alle Mitarbeitenden zur Geheimhaltung verpflichtet?
4. Erfolgen Pflichtschulungen zu Phishing, Social Engineering und KI‑Täuschungen?

 

Revision und Kontrollen

1. Existiert eine interne Revision?
2. Erfolgt eine regelmäßige Prüfung aller Bereiche?
3. Werden Remote‑Office‑Auswirkungen bewertet?
4. Prüft die Revision Out‑of‑Band‑Nachweise?
5. Erfolgt ein Audit auf Kontoübernahme-Indikatoren?
6. Werden BEC‑Abwehrprozesse auf ihre Wirksamkeit geprüft?

 

Moderne Angriffsszenarien

1. Gibt es Regeln für Zahlungsaufforderungen unter Zeitdruck (Fake‑President / CEO‑Fraud 2.0)?
2. Erfolgen Zahlungsfreigaben per Video-/ Sprachanruf nur mit Rückversicherung?
3. Gibt es eine Policy für Deepfake‑Erkennung?
4. Werden Warnsignale für ungewöhnliche Kommunikationsmuster erkannt?