Forensische Datenanalyse: Der Betrüger mit der Alu-Krätze Keyfacts über Datenanalyse - Forensisches Know-How und Datenanalysen helfen bei der Betrugserkennung - Ethisches Handeln und Datenschutz ist geboten - Intelligente Algorithmen sorgen für Trennschärfe Die erste Grundannahme bei Wirtschaftskriminellen lautet im Normalfall: Sie wollen sich bereichern. Dabei stehen alle diese Fraudster vor derselben Herausforderung: Wie stellt man es an, dabei nicht erwischt zu werden? Da gibt es die plumpen Versuche: Ein Mitarbeiter mit Budgetzugriff überweist regelmäßig Summen auf das eigene Konto, das seines Schwagers oder anderweitig nicht näher bezeichnete Konten. Geht selten lange gut. Da gibt es die etwas besseren Versuche: Ein Mitarbeiter bestellt Waren und verschleiert, dass diese Waren weder benötigt wurden, noch jemals das Unternehmen erreichten. Diese Masche geht dank Process Mining mittlerweile auch nicht mehr lange gut. Und da gibt es die raffinierten Versuche wie bei dem Aluminiumunternehmen, das stetig Geld verlor und den Grund nicht kannte. Was war passiert? Beim Einschmelzen von Aluminium entsteht die sogenannte Kreislauf- Aluminium-Krätze grob gesagt: eine Mischung aus Aluminium und Schlacke, die in den Schmelztiegeln oben aufschwimmt. Die in dieser Krätze enthaltenen Aluminiumbestandteile werden nach einer entsprechenden Behandlung wieder eingespeist in den Verwertungskreislauf. Aluminiumkrätze hat nämlich durchaus einen nicht unerheblichen Wert 1/5
für das Unternehmen und an der Stelle lag das Problem. Die Daten des Schmelzprozesses zeigten zweifelsfrei an, dass kaum Aluminium in der Krätze vorhanden war. Also musste es irgendwo anders sein. Nur wo? Ein Rätsel. In Zeiten der Digitalisierung lassen sich solcherlei Rätsel mittlerweile immer schneller klären; an dieser Stelle kommen forensische Datenanalysen ins Spiel. Wirtschaftskriminelle Handlungen die nach unseren jüngsten Studien jedes dritte Unternehmen in Deutschland treffen hinterlassen Spuren. Fast Immer. Die entscheidende Frage für Daten-Forensiker ist folglich: Wie findet man diese Spuren? Da wirtschaftskriminelles Handeln eher die Ausnahme als der Regelfall ist, ist es auch diese Abweichung von der Routine, die mit Datenanalysen ermittelbar ist. Sucht man also die Unregelmäßigkeit im Spesenbeleg, in der Reisekostenabrechnung, im Einkaufsbeleg? Im Prinzip ja, besser gesagt: Man lässt den Algorithmus suchen, nachdem man definiert hat, was genau eine Abweichung sein könnte. Forensik: Die Nadel im Heuhaufen Die Dimensionen von Großunternehmen sind dabei so beschaffen, dass die erste Fragestellung häufig nicht besonders weit führt, als Anhaltspunkt aber dennoch wichtig ist. Wenn ein Großunternehmen rund 300 Millionen Datensätze im Hauptbuch vorhält, dann ist das heutzutage keine nicht-handhabbar große Menge. Wer hier zur Betrugsaufdeckung die Nadel im Heuhaufen sucht, sollte also eine grobe Vorstellung davon haben, wie eine Nadel (und damit das Betrugsmuster) grundsätzlich aussieht oder wissen, wie er Auffälligkeiten jenseits der Datenautobahn erkennen kann. Um beim Beispiel des Mitarbeiters zu bleiben, der hohe Summen überweisen kann: Von ihm gibt es in Großunternehmen eine große Anzahl. Die überwältigende Mehrzahl hegt keine bösen Absichten, wie ohnehin forensische Datenanalysen in den seltensten Fällen das Ergebnis eines grundsätzlichen Misstrauens der Unternehmensleitung sind. In den meisten Fällen ist das vorher entgegengebrachte Vertrauen missbraucht worden mit dem daraus resultierenden Vertrauensverlust bei Mitarbeitern, Stakeholdern und der interessierten Öffentlichkeit. 300 Millionen Datensätze sind für das Hauptbuch eines Großunternehmens keine Besonderheit Wer also anschließend einen datenanalytischen Blick auf alle Mitarbeiter mit hoher Budgetverantwortung wirft, der weiß, dass er damit zu viele falsche Verdachtsfälle sogenannte False Positives schafft. Der Grund: Das Suchkriterium ist nicht trennscharf genug. Genau hier geht die forensische Datenanalyse einen Schritt weiter: Die ständige Weiterentwicklung des Algorithmus, das Schärfen der Suchkriterien oder das fortwährende Trainieren des statistischen Lernverfahrens Stichwort Machine Learning. 2/5
Keine Datenanalyse ohne Ethik und Datenschutz Ebenfalls geschärft werden sollte auf diesem Weg auch das Bewusstsein für ein ethisch einwandfreies Handeln im Einklang mit dem Datenschutz. Die tägliche Praxis zeigt hier: Je transparenter ein Unternehmen seine Absichten kommuniziert, desto höher die Akzeptanz bei Beschäftigten und Stakeholdern. Das gilt auch für das eingangs erwähnte Aluminiumunternehmen. Als sämtliche Regelabgleichungen anhand der bestehenden IT keine Auffälligkeiten zeigten, warf man schließlich einen Blick in die Software selbst. Anders: Man baute die entscheidenden Teile des Backends datenanalytisch nach, mit denen der Schmelzprozess koordiniert und analysiert wurde und verglich deren Ergebnisse mit den bisherigen Ergebnissen des Unternehmens. Die Erkenntnis: Ein Mitarbeiter hatte sich Zugriff auf die Analyse-Software verschafft, fälschte Screenshots, Abläufe und letztlich auch die Angaben darüber, wie viel Aluminium in der Aluminiumkrätze enthalten war. Nach den Angaben des Betrügers: fast keine. Tatsächlich jedoch: durchaus viel. Ein extrem aufwendiges Verfahren, das am Ende eine Frage aufwarf: Gibt es nicht leichtere Möglichkeiten für einen Wirtschaftskriminellen, um sich zu bereichern? Kann schon sein. Allerdings ging es dem Betrüger mit der Alu-Krätze um etwas anderes. Er wollte einen geplanten Eigentümerwechsel verhindern und rechnete sein Unternehmen deshalb strategisch arm. Was wiederum bedeutet: Manchmal muss man bereit sein, auch die ersten Grundannahmen zu verwerfen. Mehr über forensische Datenanalysen lesen Sie hier. Zusammengefasst»Wenn ein Großunternehmen rund 300 Millionen Datensätze im Hauptbuch vorhält, dann ist das heutzutage keine nicht-handhabbare große Menge. Wer hier zur Betrugsaufdeckung die Nadel im Heuhaufen sucht, sollte also eine grobe Vorstellung davon haben, wie eine Nadel (und damit das Betrugsmuster) grundsätzlich aussieht oder wissen, wie er Auffälligkeiten jenseits der Datenautobahn erkennen kann.«wirtschaftskriminelle Handlungen die nach unseren jüngsten Studien jedes dritte Unternehmen in Deutschland betreffen hinterlassen Spuren. Fast immer. Die entscheidende Frage für Daten-Forensiker ist folglich: Wie findet man diese Spuren? 3/5
Michael Sauermann Partner, Forensic ÄHNLICHER ARTIKEL BLOG Angriff auf Herrn Mustermann: Wer stoppt den Datendieb? Zur Abwehr von Hacker-Angriffen setzen immer mehr Unternehmen auf die Unterstützung durch ein Security-Information-and-Event-Management-System (SIEM-System) und das damit verbundene Advanced Cyber Defense Center (ACDC). Der... MEHR 4/5
KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KMPG International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Recht vorbehalten. 5/5