Computerkriminalität - Das Millionending
Maximaler Gewinn bei minimalem Aufwand
Copyright (C) 07/1998 by Howard Fuhs
Sehen Sie auch gerne alte Filme? Dann kennen Sie sicher auch die Filmkomödie "Das Millionending" (GB, 1968; mit Peter Ustinov, Karl Malden, Maggie Smith; Regie: Eric Till), in dem ein Unternehmen mit dem neuesten Computersystem arbeitet, welches durch ein besonders gutes Sicherungssystem gegen Missbrauch geschützt ist. Der Chef des Unternehmens (Karl Malden) vertraut so sehr auf den modernen Computer samt Sicherheitssystem, dass er nicht im Traum daran denken würde, das ganze System in Frage zu stellen oder zusätzliche Kontrollen für die tägliche Arbeit einzuführen. Er vertraut einfach den Resultaten, die der Computer zur Verfügung stellt. Doch dann entdeckt ein Sachbearbeiter (Peter Ustinov) bei abendlichen Überstunden per Zufall, wie die Putzfrau mit einem simplen Griff das Sicherheitssystem ausschaltet, um auf dem warmen Computer ihr Teewasser zuzubereiten. Damit steht Peter Ustinov Tür und Tor offen um seinen Arbeitgeber auszuplündern. Bis man dann den Missbrauch des Computers und den entstandenen finanziellen Schaden entdeckt, sitzt Peter Ustinov mitsamt seiner Frau (Maggie Smith) bereits unter dem Zuckerhut und lässt es sich mit dem vielen Geld gut gehen.
Einmal davon abgesehen, dass es sich hierbei um eine gelungene Komödie mit dem genialen Peter Ustinov in der Hauptrolle handelt, war wohl keinem Beteiligten an diesem Film 1968 bewusst, wie zukunftsweisend dieser Film damals bereits war und wie aktuell der Film heute immer noch ist. Es stimmen alle Filmzutaten, die es in der heutigen Realität zu Computerkriminalität in Unternehmen kommen lassen.
- Ein technikgläubiges Management, welches einmal eingeführte Sicherheitsmechanismen weder in Frage stellt noch durch eine zuverlässige Audit-Prozedur regelmäßig auf ihre Wirksamkeit hin überprüfen lässt.
- Ein Angestellter mit dem gewissen Quäntchen krimineller Energie, der von dem entscheidenden Dreh weiß, um ein Sicherheitssystem zu umgehen und dies geschickt ausnutzt.
- Ein Sicherheitssystem, das in der Realität seinem Anspruch nicht gerecht wird.
- Eine Informationsquelle, die dem technisch unbedarften Mitarbeiter das "gewusst wie" verrät.
- Ein Happy End für den Täter (nicht nur im Film).
Computerkriminalität in Unternehmen stellt heute ein ernstzunehmendes Problem für die Firmen dar und ist weitestgehend eine Tat von Firmen-Insidern. Egal, ob es sich um Warendiebstahl aus einem Lager handelt, verschleiert durch Manipulationen am Warenwirtschaftssystem, oder um Geldtransfers auf Konten für Scheinfirmen (siehe Peter Ustinov) durch Manipulationen eines Buchahltungsprogramms.
Computerkriminalität bedeutet heute für ein Unternehmen:
- Schwer zu entdeckende Tat, da Beweismittel im Computer leicht manipuliert oder vernichtet werden können.
- Sehr hohe Dunkelziffer von Fällen, die erst gar nicht entdeckt werden.
- Schwer aufzuklärende Tat, da Beweismittel ..... (siehe Punkt 1)
- Imageschaden, wenn der Vorfall an die Öffentlichkeit kommt.
Sehen wir uns einen Fall aus der Praxis an. Ein Projektverantwortlicher in einem Unternehmen hat per Zufall das Passwort des Systemadministrators für das Firmennetzwert ausspähen können. Da es, verursacht durch eigene Inkompetenz, um seine eigenen Projekte nicht zum Besten stand, nutzte er sein Systemadministrator-Passwort, um die entsprechenden Berichtsdateien dahingehend zu manipulieren, dass jedes seiner Projekte entgegen der Realität "im grünen Bereich" war und entsprechenden Gewinn abwarf. Durch sein gutes bis hervorragendes Abschneiden bei verschiedenen Projektierungen avancierte der Verantwortliche schnell zum Liebling der Firmenleitung. Egal was dieser Mann anfasste, er verwandelte die Projekte in Gold für sein Unternehmen. Nicht dass Sie jetzt glauben, diese Manipulationen von Vorstandberichten, Datenbanken und Kalkulationen hätten nur kurze Zeit stattgefunden! Der Mitarbeiter konnte die Firmenleitung mit gefälschten Zahlen und Informationen fünf Jahre lang bedienen, ohne dass es jemandem auffiel.
Auch die Entdeckung seiner Taten verlief äußerst unspektakulär durch "Kommissar Zufall". Bei der Jagd nach einem sehr hartnäckigen und im Firmennetzwerk weit verbreiteten Computervirus fielen dem echten Systemadministrator einige Ungereimtheiten in seinem Netzwerk auf. Bei näherer Untersuchung schaltete er zu seiner eigenen Entlastung die Firmenleitung mit ein. Als die Ausmaße der Manipulation nur grob zu erahnen waren, zog die Firmenleitung externe Audit-Spezialisten zu Rate, die für die weitergehenden Tatsachenermittlungen verantwortlich zeichneten.
Nach einer zweiwöchigen Suche und Beweismittelsicherung ergab sich folgendes Schadenbild:
- Der Mitarbeiter konnte fünf Jahre lang unentdeckt Manipulationen an unternehmenswichtigen Daten vornehmen.
- Der geschätzte Schaden über den gesamten Zeitraum belief sich auf fast 18 Mio. DM.
- Über einen Zeitraum von fünf Jahren traf die Firmenleitung Entscheidungen, die auf total falschen Fakten beruhten.
Die Konsequenz für das Unternehmen war die Entlassung von 22 Mitarbeitern, verbunden mit der Schließung der unrentablen Abteilungen.
Aufgefallen war der Mitarbeiter nur deshalb, weil er nicht über genug technischen Sachverstand verfügte, um seine verräterischen Spuren in den Computern effektiv zu vernichten.
Weiterhin ergab das Audit der EDV-Anlage mitsamt aller im Unternehmen eingeführter Sicherheitsmaßnahmen folgende Tatsachen:
- Der Systemadministrator war nicht geschult zum Thema Datensicherheit.
- Es gab keine Datensicherheitsrichtlinien im Unternehmen, die den Systemadministrator z.B. gezwungen hätten, regelmäßig sein Passwort zu ändern.
- Die Rechtevergabe auf dem Netzwerk war de facto nicht vorhanden. 19% der Angestellten verfügten über Systemadministrator-Rechte.
- Passwörter waren zu leicht zu erraten oder waren öffentlich zugänglich (klebten am Monitor oder zur "allgemeinen Sicherheit" am "Schwarzen Brett").
- Es gab kein unabhängiges oder externes Audit der EDV-Anlage oder der hausinternen Arbeitsabläufe und Zahlungs- bzw. Verrechnungswege.
- Alle bereits existierenden Sicherheitsmaßnahmen waren nie auf ihre Wirksamkeit hin überprüft worden.
Und zu allem Überfluss hatte der Vorfall auch ein Happy End. Um einem eventuellen Imageschaden vorzubeugen, wurde der gesamte Vorgang firmenintern geregelt und keine Behörde zur weiteren Verfolgung eingeschaltet. Der Schadensverursacher bekam eine Abfindung von fast 80.000 DM und eine Aufhebungsvertrag für sein Arbeitsverhältnis gepaart mit einer Verschwiegenheitserklärung, was seine Zeit in dem Unternehmen anbelangt. In der gemeinsamen Presseerklärung lautete die Formulierung, dass der leitende Mitarbeiter das Unternehmen in beiderseitigem Einverständnis verlässt.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 07/1998 by Howard Fuhs