Von Sonja Stirnimann

Für Unternehmen ist der Mensch der grösste Erfolgsfaktor – und der grösste Risikofaktor zugleich.

Mitarbeitende, die durch kriminelle Handlungen Unternehmen schädigen, gibt es immer wieder. Im besten Fall fliegen sie auf, bevor sie Schaden anrichten konnten. Im schlechtesten Fall haben die Medien wochenlang Stoff für Schlagzeilen und das Unternehmen nebst dem finanziellen Schaden einen enormen Imageverlust. Der beste Fall kommt jedoch selten zum Tragen. Die Frühwarnhinweise werden oft übersehen – bewusst oder unbewusst. Denn unsere Wahrnehmungs- und Entscheidungsfähigkeit ist geprägt durch unsere Stereotypen und Biases. Tagtäglich.

Damit Schwachstellen sowie Frühwarnindikatoren rechtzeitig erkannt werden, ist professionelle Skepsis auf allen Stufen in der Unternehmung notwendig. Es braucht sie, um überhaupt erkennen zu können, was alles schief laufen könnte im Unternehmen und entlang der verschiedenen Prozesse. Diese Fähigkeiten hat jeder Mensch – von Natur aus. Wie er oder sie diese nutzt,  steht in einem anderen Kapitel. Schon unsere Vorfahren in der Steinzeit hatten diesen Instinkt, mit der lebensversichernden Komponente der sogenannten «Risikointelligenz». Sie gingen beispielsweise nur mit jemandem auf die Jagd, von dem sie überzeugt waren, dass er oder sie ihnen den Rücken freihalten würde. Und was tun wir?

Leider ist die professionelle Skepsis vielerorts verloren gegangen. Sie wird nicht oder viel zu wenig kultiviert. Wir neigen zu Stereotypen und Biases. Wenn beispielsweise neun von zehn Geschäftsleitungsmitgliedern etwas befürworten, fällt es dem zehnten schwer, nein zu sagen. Der Gruppendruck und das Herdenverhalten – auch bekannt aus der Theorie des «Behavioral Finance» – nimmt überhand. Dies, weil die meisten sich vor möglichen – kurzfristigen – Konsequenzen fürchten, wenn sie gegen die Masse reden. Der langfristige Aspekt geht augenblicklich verloren, obwohl die Konsequenzen einiges gravierender sein könnten als der kurzfristige «Gesichtsverlust» aufgrund der «anderen Meinung».

Wenn ein Unternehmen wegen krimineller Handlungen eines oder mehrerer Mitarbeiter in die Schlagzeilen kommt, dauert es nicht lange, bis bekannt wird, dass es Mitarbeitende gab, die Verdacht schöpften, aber sich nicht trauten, es zu melden. Oder es taten, aber kein Gehör fanden. Einige künden dann, andere schweigen, weil sie Angst um ihren Job haben. In der heutigen Zeit, wo Whistleblower nach wie vor keinen ausreichenden Schutz geniessen, erstaunt es auch nicht.

Social Engineering – Hacking without a Code – geschickte Manipulatoren

Menschen wollen  Teil einer Gruppe sein und helfen. Insbesondere in der westlichen Welt ist die Hilfsbereitschaft – auch im Sinne der Serviceorientiertheit – ein hoher Wert. Diese Eigenschaften nutzen Manipulatoren geschickt aus. Was professionelles Social Engineering anrichten kann, sehe ich immer wieder in Fällen aus meiner Praxis.

Ich habe mich intensiv mit dem Fall Felix Vossen beschäftigt. Ein faszinierender Fall – das alt bekannte Ponzi-Schema funktioniert nach wie vor. Felix Vossen hat wirklich sein gesamtes privates und geschäftliches Umfeld äusserst gekonnt manipuliert. Noch heute verstehen die Geschädigten, professionelle Investoren, nicht, wie sie auf ihn hereinfallen konnten. Vossen ist ein charmanter Mensch, er hat zugehört, sich auf die Menschen eingelassen. Er war so vereinnahmend, wie es nur ein Social Engineer sein kann.

Und die Hintergangenen?

Man kann ohne die nötige Distanz kognitiv das Negative nicht sehen. Social Engineering spielt ja auch mit der Nähe. Je näher man jemandem ist, desto weniger traut man dem anderen etwas Böses zu. Man will dann auch die Beziehung nicht gefährden. Tagtäglich verfallen wir genau diesem Muster.

Wie kann ein Unternehmen sich dagegen schützen?

Am effizientesten ist es, bei Mitarbeitenden durch Sensibilisierung und professionell angeleitete Rollenspiele, im Sinne des «Thinking like a Fraudster», die gesunde, professionelle Skepsis zu fördern. Lernen, die Verletzlichkeit des Unternehmens aus den internen Reihen zu identifizieren – bevor es jemand tut, der das Unternehmen schädigen will.

Bei der Sensibilisierung der Mitarbeitenden sind Fallbeispiele aus der eigenen Branche am hilfreichsten. Es macht wenig Sinn, wenn ich in einem KMU erzähle, wie es im Grosskonzern XY läuft.

Es bringt auch nichts, wenn nur das Management sensibilisiert wird. Die Mitarbeitenden im Kundendienst und am Empfang sind genauso wichtig. Denn sie haben am meisten Kontakt nach aussen. Sie sind die Eintrittsschwellen, die Social Engineers am meisten nutzen.

Spannend finde ich auch, wie unterschiedlich Generationen auf Social Engineering reagieren. Ein geübter Social Engineer weiss, auf welchen Kanälen die verschiedenen Generationen zu erreichen sind. Generell gesprochen schätzt ein Babyboomer nach wie vor ein 1:1 Gespräch und falls das nicht möglich ist, ein Telefonat. Die Generation Y erreicht man schnell via Instant-Messaging Kanäle, Emails sind da eher lästig und werden weniger rasch beantwortet. Diese Vorlieben zu kennen verschafft dem Social Engineer den notwendigen Vorsprung. Dieses Wissen innerhalb des Unternehmens zu vermitteln, verringert oder eliminiert diesen Vorsprung bereits.

Ein Social Engineer beobachtet das Unternehmen über mehrere Monate, späht oft auch über ein eingeschleustes Programm das Zielsubjekt (z.B. den CEO oder dessen Assistenz) aus, weiss nachher genau, welche sprachlichen Umgangsformen innerhalb des Unternehmens gepflegt werden. Basierend darauf werden gefälschte Emails zur Informationsgewinnung oder Auslösung von Transaktionen (CEO-Fraud) an Mitarbeitende im Unternehmen geschickt. Früher waren in den Mails noch Schreibfehler und Ungenauigkeiten. Heute sind Mails, die angeblich vom CEO kommen, oft täuschend echt.

Mit der gezielten Sensibilisierung und dem Wiedergewinnen einer professionellen Skepsis, kann man das Risiko stark minimieren. Im steten Bewusstsein, dass es nie möglich sein wird, alle Risiken zu eliminieren. Unternehmertum heisst, Risiken erkennen und diese zu managen. Das Erkennen und Sensibilisieren als erster Schritt ist Teil der effektivsten präventiven Massnahme.

Autorin: Sonja Stirnimann

Sonja Stirnimann hält einen internationalen Executive MBA in Financial Services & Insurance, ist Wirtschaftsprüferin, Certified Fraud Examiner und Wirtschaftsmediatorin. Sie verfügt über mehr als 25 Jahre Berufserfahrung in verschiedenen Branchen. Mit der Firma Structuul unterstützt Sonja Stirnimann Verantwortungsträger präventiv und reaktiv bei der Behandlung von Non-Compliance, Wirtschafts- und Cyberkriminalität, fokussierend auf die Sicherstellung der Handlungsfähigkeit und Reputation der Betroffenen Parteien. Sie lehrt an verschiedenen Instituten, sensibilisiert als Rednerin zu ihren Expertenthemen und übernimmt Verantwortung als mehrfache Verwaltungsrätin. Ihr Fachbuch “Der Mensch als Risikofaktor bei Wirtschaftskriminalität. Handlungsfähig bei Non-Compliance und Cyberkriminalität” ist im Sommer 2018 im Springer Verlag erschienen.