Portsmouth – Unternehmen unterschätzen leicht, wie ernsthaft die Gefahr ist, dass ich mehrere ihrer Mitarbeiter dazu absprechen, ihren Arbeitgeber betrügerisch zu schädigen. Hier ein Leitfaden für Banken, der dabei helfen soll, betrügerische Absprachen von Mitarbeitern frühzeitig zu entdecken und ganz zu verhindern …
Laut der neuesten Studie der ‘Association of Certified Fraud Examiners’ haben betrügerische Absprachen von Mitarbeitern im vergangenen Jahr mehr als 7 Milliarden Dollar Schaden verursacht. 22% der Fälle sorgten für Verluste von mehr als einer Million US-Dollar, wobei die Medianwerte der Verlustzahlen weitaus grösser waren, wenn zwei oder mehr Mitarbeiter zusammenarbeiteten, um einen Betrug zu begehen – 339’000 US-Dollar im Vergleich zu 150’000 US-Dollar.
Die Möglichkeit in Betracht zu ziehen, dass in einem Unternehmen betrügerische Mitarbeiter zugange sind, ist immer unangenehm. Noch beunruhigender ist es, an die gemeinsame Verschwörung mehrerer Mitarbeiter zu denken. Trotzdem ist es eine unumstössliche Tatsache, dass betrügerische Absprachen von Mitarbeitern in jedem Unternehmen stattfinden können – und diese Tatsache zu ignorieren führt nicht dazu, dass sich die Möglichkeit in Luft auflöst. Das gilt umso mehr, als dass sich etwas gegen einen derartigen unglücklichen (und unnötigen) finanziellen Schaden tun lässt.
Hier sind 5 einfachen Schritte – die sie bei ihren Anstrengungen, die Gefahr von Mitarbeiterbetrug zu verhindern, einen grossen Sprung weiterbringen:
Schritt 1: Überwachung des Benutzerverhaltens
Die Überwachung des Benutzerverhaltens ist einfach – aber die Bedeutung als erster Schritt in einer umfassenden Sicherheitsstrategie kann nicht genug betont werden. Nur durch die Überwachung der Mitarbeiteraktivitäten ist es überhaupt möglich, ungewöhnliches Verhalten zu erkennen, das auf ein mögliches Sicherheitsproblem hinweist, wie z.B. unerwartete Änderungen an Informationssystemen.
Allerdings löst ein Überwachungssystem, das die Benutzeraktivität einfach verfolgt, nur die Hälfte des Problems: denn es erkennt Probleme erst, nachdem sie bereits aufgetreten sind. Um wirklich effektiv zu sein, sollte ein Überwachungssystem zum Beispiel bereits die Suche nach bestimmten Daten verfolgen, um frühzeitig zu erkennen, dass Mitarbeiter unangemessene Aktivitäten planen könnten. Ein Bankmitarbeiter, der beispielsweise daran interessiert ist, ein ruhendes Konto zu plündern, wird zunächst nach inaktiven Konten mit hohen Salden suchen, bevor er Massnahmen ergreift.
Mit einem Überwachungssystem, dass diese Aktivitäten erfasst, sind Sie auf dem besten Weg, Betrugsabsprachen im Unternehmen zu erkennen und zu beseitigen – aber Ihre Mission sollte nicht dort enden.
Schritt 2: Verstehen Sie den Kontext des Mitarbeiterverhaltens
Die Überwachung der Aktivitäten allein reicht nicht aus, denn Mitarbeiter, die einen Betrug begehen wollen, lernen schnell die Grenzen der eingerichteten Sicherheitskontrollen kennen und finden einen Weg, sie zu umgehen. So kennen beispielsweise Bankmitarbeiter die Transaktionsgrenze, die rote Flaggen über potenziell verdächtige Aktivitäten auslöst. Um eine Erkennung zu vermeiden, werden einfach kleinere Mengen über einen längeren Zeitraum abgeschöpft. Das ist tückisch und sehr gefährlich.
Um Betrugsversuche genauer zu identifizieren, ist es wichtig, einen Kontext zu haben – und genau hier setzt die Analytik an. Der Einsatz einer strukturierten Analyse (Analysis Engine) in Verbindung mit dem Monitoring, das Verhalten von Einzelnen am ‘normalen’ Verhalten anderer Mitarbeiter mit ähnlichen Rollen zu messen. Nehmen wir zum Beispiel einen Backoffice-Mitarbeiter, der eine Abfrage nach Konten macht, die 8-9 Monate lang inaktiv waren. An und für sich erscheint dieses Verhalten vernünftig genug. Erst wenn Sie ein breiteres Verständnis des typischen Netzwerkverkehrs haben, können Sie ihn als potenziell verdächtige Aktivität betrachten – weil zum Beispiel jemand in dieser Funktion eine solche Abfrage unter normalen Umständen nie durchführen würde.
Schritt 3: Verknüpfen Sie Aktivitäten in der gesamten Organisation
Während es für ein Unternehmen typisch ist, Funktionen zwischen Rollen zu trennen, um die Möglichkeiten der Absprache zu verringern (z.B. nur Backoffice-Sachbearbeitern zu erlauben, ruhende Konten zu reaktivieren, ihnen aber nicht zu ermöglichen, Gelder zu transferieren), sind diese Einschränkungen oft genug einfach zu überwinden, wenn sich mehrere Mitarbeiter mit betrügerischen Absichten zusammen tun. Der Backoffice-Sachbearbeiter müsste beispielsweise nur mit einem Kassierer zusammenarbeiten, der die Berechtigung zum Geldtransfer hat (aber selber nicht ein ruhendes Konto aktivieren kann), um inaktive Konten zu liquidieren. Eine solche Absprache würde nie aufgedeckt, wenn das Betrugsbekämpfungssystem nicht die Aktivitäten in Backoffice, Transaktionssystemen, Zweigstellen, E-Channels und allen anderen Systemen überwacht und korreliert.
Schritt 4: Aufdecken von Gemeinsamkeiten bei Mitarbeiteraktionen
An sich lässt sich auch eine einfache Regel des gesunden Menschenverstands bei der Verteidigung gegen Mitarbeiterbetrug einsetzen: «wenn etwas wirklich verdächtig erscheint, ist es das wahrscheinlich auch».
Wenn zwei Mitarbeiter eine übermässige Menge an Aktivitäten auf demselben Konto durchführen (besonders wenn sie die einzigen Mitarbeiter sind, die auf dieses Konto zugreifen), ist das klarer Hinweis darauf, dass hier eine gemeinsame Sache mit betrügerischem Ziel am Laufen ist, und dass die Aktivitäten besser von den hauseigenen Betrugsermittlern untersucht werden sollten.
Schritt 5: Alle Schritte miteinander verbinden
Falls Sie die Schritte 1 bis 4 umgesetzt haben, haben Sie zumindest ein solides Fundament gelegt. Mit diesem letzten Punkt machen Sie jedoch den entscheidenden Unterschied in der Umsetzung ihrer Sicherheitsstrategie aus: die Verbindung aller Schritte.
Da es sich in diesem Fall mehrere Mitarbeiter absprechen und verdächtige Ereignisse meist nicht als Einzelereignis auftreten, stellt eine visuelle Linkanalyse das beste Vorgehen dar, um selbst ausgeklügelten Szenarien aufzudecken – die sonst nicht zu erkennen wären. Dazu gibt es Werkzeuge, die Ereignisse clustern und mit visualisierten Dashboards arbeiten, und dadurch Trends erkennen und aufzeigen können. Dies beschleunigt nicht nur die Untersuchung eines möglichen Betrugsversuches, es führt auch schneller zu möglichen Lösungen, damit umzugehen.
Wenn Sie also über Ihre Sicherheitsstrategie für das kommende Jahr nachdenken, sollten Sie sicherstellen, dass Sie auch den Schutz vor Betrugsabsprachen der eigenen Mitarbeitenden einbeziehen. Es macht zwar nur einen kleinen Teil der gesamten Betrugslandschaft aus, ist aber dennoch eine einschneidende Bedrohung für die Sicherheit Ihres Unternehmens. (Bottomline Technologies/mc/ps)
Über Bottomline Technologies
Bottomline Technologies (NASDAQ: EPAY) macht den komplexen geschäftlichen Zahlungsverkehr einfacher, smarter und sicherer. Tausende von Unternehmen und Banken auf der ganzen Welt vertrauen auf die Lösungen von Bottomline für den nationalen und internationalen Zahlungsverkehr, effizientes Cash-Management, automatisierte Workflows zur Zahlungsabwicklung und Rechnungsprüfung, modernste Betrugserkennung, Verhaltensanalyse und regulatorische Compliance-Lösungen. Das Unternehmen hat seinen Hauptsitz in Portsmouth, New Hampshire, USA. Es betreut seine Kunden über Niederlassungen in den Vereinigten Staaten, in Europa und in der Asien-Pazifik-Region. In der Schweiz unterstützt Bottomline seine Kunden mit einem engagierten, hochkompetenten Team aus Genf. Weitere Informationen finden Sie auf www.bottomline.com.
