Wirtschaftskriminalität in Deutschland: CEO-Fraud wird zum Massendelikt, obwohl Compliance Programme insgesamt Wirkung zeigen

CEO-Fraud – eine Betrugsmasche, bei der Mitarbeiter großer Firmen dazu gebracht werden, erhebliche Geldbeträge auf ausländische Konten zu überweisen – entwickelt sich hierzulande zum Massendelikt. Das zeigt die neunte Ausgabe der PwC-Studie „Wirtschaftskriminalität“, die auf einer repräsentativen Befragung von 500 deutschen Unternehmen beruht. So berichteten 40 Prozent der Firmen, sie seien innerhalb der vergangenen 24 Monate zumindest einmal Ziel einer CEO-Fraud-Attacke gewesen – in fünf Prozent der Fälle hatten die Kriminellen dabei Erfolg. Die durchschnittliche Schadenssumme lag deutlich höher als bei anderen Cyber-Delikten.

„Bislang herrscht in der Öffentlichkeit der Eindruck vor, bei CEO-Fraud gehe es nur um ein paar wenige spektakuläre Einzelfälle. Unsere Untersuchung zeigt jedoch, dass wir es mit einer systematisch angewandten Betrugsmethode zu tun haben, die für deutsche Unternehmen ein signifikantes Bedrohungspotenzial birgt“, sagt Steffen Salvenmoser, PwC Partner und Experte für Wirtschaftskriminalität. Dass sich viele Firmen noch immer schwertun, das Problem in den Griff zu bekommen, obwohl das Vorgehen bereits seit einiger Zeit angewendet wird und bekannt ist, liege auch daran, dass CEO-Fraud genau an der Schnittstelle von Cybercrime und herkömmlicher Kriminalität spiele, so Salvenmoser:

Auch jenseits von „CEO-Fraud“ bleibt Cybercrime ein beherrschendes Thema. So stellte in den vergangenen 24 Monaten fast jedes zweite deutsche Unternehmen (46 Prozent) mindestens eine Attacke fest – eine deutliche Zunahme im Vergleich zur Befragung von vor zwei Jahren (2016 - 36 Prozent). Gleichwohl betont Salvenmoser, dass der Anstieg eindeutig festgestellter Cyber-Delikte nicht zwingend ein schlechtes Zeichen sein muss. Denn: „Die Zahl der bloßen Verdachtsfälle ist im Vergleich zur letzten Umfrage mit 39 Prozent konstant geblieben. Darum könnte der Anstieg konkreter Fälle darauf hindeuten, dass viele Unternehmen sensibler für diese Risiken geworden sind und ihre IT-Sicherheitstechnik verbessert haben.

Weitere Ergebnisse der Studie im Überblick

• Deutsche Unternehmen gehen das Thema Wirtschaftskriminalität immer offensiver an: So verfügen jetzt drei Viertel aller deutschen Firmen mit mehr als 500 Mitarbeitern über ein Compliance-Programm. Darüber hinaus weiten die Unternehmen ihre Compliance Management Systeme (CMS) auf immer mehr Deliktfelder aus – zum Beispiel auf Vermögensdelikte (74 Prozent aller Unternehmen mit CMS), Geldwäsche (65 Prozent) und bei börsennotierten Unternehmen auch auf strafbaren Insiderhandel (76 Prozent).
• Die Fälle klassischer Wirtschaftskriminalität gehen zurück: Zeigten sich in der gleichen Umfrage von 2009 noch 61 Prozent der Unternehmen betroffen, so sind es jetzt nur noch 45 Prozent. Besonders gut ist diese langfristige Entwicklung bei Vermögensdelikten (von 42 Prozent auf 32 Prozent) und beim Diebstahl vertraulicher Unternehmens- und Kundendaten (von 21 Prozent auf 7 Prozent) zu beobachten.
• CMS-Programme werden zum Wettbewerbsvorteil: So zumindest sehen das 60 Prozent der befragten Unternehmen – während nur neun Prozent von gegenteiligen Erfahrungen berichten. Ebenfalls bemerkenswert: Sogar 62 Prozent haben festgestellt, dass ihre CMS-Programme Wettbewerbsvorteile auf ausländischen Märkten bringen.
• Korruption auf dem Rückzug: Der Erfolg von Compliance zeigt sich auch bei der Korruption, von der laut der Umfrage überhaupt nur noch 6 Prozent der Unternehmen direkt betroffen sind. Darüber hinaus nahmen die Verdachtsfälle im Vergleich zur Umfrage von 2015 signifikant von damals 19 Prozent auf nun nur noch 11 Prozent zurück.
• Hinweisgeber-Systeme sind längst Normalität: 79 Prozent der befragten Unternehmen haben die Rolle eines internen Ansprechpartners etabliert, an den sich Mitarbeiter wenden können, um strafbares Fehlverhalten von Kollegen zu melden – wiewohl es sich hierbei aufgrund der eingeschränkten Anonymität um kein Hinweisgeber-System im engeren Sinne handelt. Anders ist das bei telefonischen Hotlines (57 Prozent), webbasierten Meldesystemen (35 Prozent) und anonym zu kontaktierenden Ombudspersonen (29 Prozent).
• Verbesserungsbedarf bei externen „Whistleblowern“: Bislang sind nur 31 Prozent der Hinweisgeber-Systeme für Geschäftspartner und Subunternehmen zugänglich und sogar nur 23 Prozent für die Öffentlichkeit. „Und das“, so PwC-Experte Salvenmoser, „obwohl unseren empirischen Untersuchungen zufolge schon jetzt rund ein Fünftel der Hinweise von externen Tippgebern kommen.“