Mitarbeiter schaden immer häufiger bewusst ihrem Unternehmen. Um dem entgegenzuwirken, sollten Verantwortliche sich sensible Stellen besonders genau betrachten. Außerdem sollten sie zur Bekämpfung der Mitarbeiterkriminalität die Loyalität fördern und Awareness-Maßnahmen umsetzen.
Von Christian Schaaf, München
Korruption, Unterschlagung, Manipulation und Datendiebstahl sind ernst zu nehmende Probleme für die deutsche Wirtschaft. Beinahe täglich finden sich in den Medien Berichte über Mitarbeiter, die ihre Arbeitgeber schädigten, indem sie Geld abzweigten, korrupt waren oder Daten an einen gut zahlenden Konkurrenten verkauften. Wenn Mitarbeiter vor dem Ausscheiden Unternehmensdaten auf einen USB-Stick kopieren, wird das heute beinahe schon als Kavaliersdelikt gesehen, "das macht doch jeder".
Auch wenn es viele bereits als normal betrachten, beim Ausscheiden Firmen-Know-how für private Zwecke mitzunehmen oder sich finanziell im Unternehmen zu bedienen, richtig ist es nicht. Die Motivation für solches Verhalten kann sehr unterschiedlich sein: die Verärgerung über einen Vorgesetzten oder eine entgangene Beförderung, eine private finanzielle Schieflage, Datensammelwut ohne Hintergedanken oder die vorsätzliche Schädigungsabsicht.
Im Strafgesetzbuch (StGB) findet man eine Reihe von Tatbeständen für Wirtschaftskriminalität, die bei Delikten eigener Mitarbeiter zum Tragen kommen. So zum Beispiel § 299 StGB (Bestechlichkeit und Bestechung im geschäftlichen Verkehr), § 246 StGB (Unterschlagung), § 242 ff StGB (Diebstahl) oder § 263a StGB (Computerbetrug). Darüber hinaus regelt § 17 UWG (Gesetz gegen den unlauteren Wettbewerb) absolut unmissverständlich die Bereiche Geheimnisverrat, Geheimnishehlerei beziehungsweise Betriebsspionage durch Beschäftigte. Dieser Paragraf soll Unternehmen, deren geschäftlichen Betrieb und vor allem die Betriebs- und Geschäftsgeheimnisse nicht nur vor unlauteren Mitteln der Wettbewerber schützen, sondern auch vor dem Eingriff durch eigene Beschäftigte. Der Schutz ist jedoch nicht nur auf den Einsatz dieses Know-hows zu Wettbewerbszwecken beschränkt. Es reicht aus, dass der Täter aus Eigennutz, zugunsten eines Dritten oder in Schädigungsabsicht gehandelt hat. Geschütztes Rechtsgut ist der gesamte Geheimnisbereich eines geschäftlichen Betriebs.
Fehlende Awareness und mangelnde Loyalität
Schädigende Ereignisse für Unternehmen, bei denen der Faktor Mensch eine Rolle spielt, können zwei Gründe haben: fehlende Awareness oder mangelnde Loyalität bei den Mitarbeitern. Fehlende Awareness kommt häufig dann zum Tragen, wenn es sich um gezielte Angriffe von außen handelt, bei denen zum Beispiel mittels eines technischen Angriffs versucht wird einen Trojaner einzuschleusen oder Mitarbeiter durch Social-Engineering ausgefragt werden sollen. Hier ist es maßgeblich davon abhängig, wie sensibilisiert die Mitarbeiter für einen solchen Angriff sind, ob sie die Bedrohung erkennen und entsprechend reagieren. Fehlende Awareness kommt leider auch dort meist zum Tragen, wo Mitarbeiter viel zu gutgläubig sind und das Fehlverhalten ihrer Kollegen nicht erkennen beziehungsweise nicht als kritisch bewerten. Sie wollen in der Regel nicht wahrhaben oder können es sich gar nicht vorstellen, dass jemand so etwas tut.
Arbeitnehmer, die bewusst und vorsätzlich schädigen, bleiben daher oft unerkannt. Der Glaube, dass alle eigenen Mitarbeiter Gutmenschen sind, während die Bösen immer nur draußen vor den Firmentoren lauern, ist auch in den Führungsetagen allzu häufig verbreitet. Dabei zeigt uns die Realität, dass kriminelle Handlungen quer durch alle Gesellschaftsschichten vorkommen und nicht alle Kriminellen auf Anhieb optisch zu erkennen sind. So neigt vermutlich auch in der eigenen Belegschaft ein gewisser Prozentsatz der Mitarbeiter potenziell zur Kriminalität.
Was veranlasst Mitarbeiter, kriminell zu werden?
Bei den meisten Verurteilten, die in einem Prozess der Korruption oder des Datendiebstahls überführt wurden, handelt es sich um bis dahin unbescholtene Mitarbeiter, die nie kriminalpolizeilich in Erscheinung getreten sind. Obwohl Kollegen sie häufig als sehr integer, ordentlich oder sogar überengagiert beschreiben, haben sie eine Lücke im System zu ihrem eigenen Vorteil ausgenutzt und schädigten bewusst ihren Arbeitgeber. Leider spielt in solchen Fällen der zunehmende Mangel an Loyalität eine große Rolle. Nach einer Studie der Gallup Organisation haben nur noch 14 Prozent der Beschäftigten eine hohe emotionale Bindung zu ihrem Arbeitgeber und sind bereit, sich freiwillig für ihn und seine Ziele einzusetzen. 63 Prozent weisen nur noch eine geringe Bindung zu ihrer Firma auf und 23 Prozent der Beschäftigten haben bereits innerlich gekündigt [1].
Die Beweggründe für mangelnde Loyalität sind sehr vielfältig: Frustration am Arbeitsplatz, weil man sich zu wenig wertgeschätzt fühlt, bei einer Beförderung übergangen wurde oder generell die interne Führungskultur zu wünschen übrig lässt, können eine große Rolle spielen. Die Internationalisierung der Wirtschaft, die teilweise sehr undurchsichtigen Unternehmensprozesse und der zunehmende Druck durch Shareholder-Value oder Heuschrecken-Mentalität machen es Arbeitnehmern heute außerdem zusehends schwerer, sich mit ihrer Firma und den Unternehmenszielen zu identifizieren. Kommen Unzufriedenheit am Arbeitsplatz, gesteigerte Konsumwünsche oder eigene wirtschaftliche Schwierigkeiten dazu, steigt die Wahrscheinlichkeit, dass sich Mitarbeiter im eigenen Unternehmen bedienen. Begünstigt wird dies häufig durch unzureichende interne Kontrollsysteme, fehlendes Know-how und mangelnde Ressourcen, um Auffälligkeiten nachzugehen und professionelle Forensik zu betreiben.
"Fraud Triangle": Druck, Rechtfertigung, Gelegenheit
Unbescholtene Mitarbeiter werden in der Regel nur dann zu Tätern, wenn die Faktoren Druck, Rechtfertigung und Gelegenheit (das sogenannte "Fraud Triangle") zusammenkommen.
Finanzielle Probleme, zum Beispiel weil man sich beim Hausbau verkalkuliert hat, können ein Auslöser sein und den Druck auf einen Menschen erhöhen. Steigen die Ausgaben aufgrund eines Suchtverhaltens, wie Spiel-, Alkohol-, Drogen- oder Sexsucht, kann man dies häufig nicht mit dem eigentlichen Gehalt abdecken. Ist ein Mensch nicht in der Lage den finanziellen Anforderungen gerecht zu werden, sucht er nach Auswegen. Häufig sehen Mitarbeiter in einer solchen Situation am eigenen Arbeitsplatz die größte Möglichkeit, den erhöhten Finanzbedarf zu decken. Auch Leistungsdruck im Unternehmen kann dazu führen, illegale Wege zu beschreiten, zum Beispiel um Zielvorgaben zu erreichen. Oder im Vorfeld eines Arbeitsplatzwechsels werden Daten kopiert.
Da sie bisher in der Regel noch nie kriminell geworden sind, besteht bei einem solchen Druck für Mitarbeiter ein Gewissenskonflikt. Daher versuchen sie meist, die dolosen Handlungen vor sich selbst zu beschönigen. Aussagen wie "Das macht doch eh jeder.", "Ich verdiene so wenig und die Firma macht Riesengewinne." oder "Der Chef schikaniert mich und jetzt zahle ich es ihm heim." werden häufig gebraucht, um für das eigene Unrecht eine Rechtfertigung zu haben.
Sind Mitarbeiter in dieser Situation, suchen sie häufig nach einer Lücke im System, die es ihnen ermöglicht an Geld oder einen sonstigen Vorteil zu gelangen. Mangelnde Kontrollen oder eine exponierte Stelle, die es erlaubt frei zu agieren, bieten dann die Gelegenheit zur Tat. Manchmal schaffen die Täter die Schwachstelle im Prozess oder das mangelhafte interne Kontrollsystem auch selbst beziehungsweise verhindern, dass solche Lücken geschlossen werden. So könnte sich ein Buchhalter, der regelmäßig im System bei der Rechnungseingabe Lieferantenkonten manipuliert und dadurch Beträge auf sein eigenes Konto überweist, heftig gegen ein automatisiertes Prüfungstool wehren.
Viele der Mitarbeiter, die regelmäßig in den Systemen manipulieren oder eine Möglichkeit zum illegalen Datenzugriff eingerichtet haben, sind anfangs vorsichtig. Manche Fehlhandlungen sind sogar fahrlässig beziehungsweise versehentlich passiert. Kommen alle Faktoren des "Fraud Triangle" zusammen und aufgrund mangelnder Kontrollprozesse passiert nichts, wird schnell das Potenzial für den eigenen Nutzen erkannt.
Typische Hinweise
Bei Mitarbeiterkriminalität gibt es meist sogenannte Red Flags, auffällige Hinweiszeichen, die Führungskräfte erkennen sollten. Für sich genommen können einzelne Red Flags harmlos und in vielen Fällen sogar ein Anzeichen für sogenannte "High-Performer" sein. Im Kontext mit Elementen aus dem "Fraud Triangle" (Gelegenheit, Druck, Rechtfertigung) sind sie dann jedoch plötzlich kritisch. Die Erfahrung zeigt, dass in der Regel mehrere der beschriebenen Faktoren zusammenkommen, bevor ein Mitarbeiter kriminelle Handlungen begeht. Red Flags muss man stets unter Berücksichtigung der betrieblichen Realitäten und der Persönlichkeit des einzelnen Mitarbeiters beurteilen.
Typische Hinweiszeichen (Red Flags) für Mitarbeiterkriminalität können sein:
- Überschuldung des Mitarbeiters (z. B. sichtbar an Lohnpfändung)
- Missverhältnis zwischen Lebensstil und Einkommen, stark extrovertierte Persönlichkeit
- Schwere private Krisen des Mitarbeiters, die mit Verlust von sozialen Kontakten einhergehen
- Starker Leistungsabfall mit Symptomen der inneren Kündigung
- Desinteresse an Unternehmenszielen, Abwendung von den gelebten Idealen des Unternehmens, Loyalitätsverlust
- Aussagen über massive Unzufriedenheit beim Gehalt, Beförderungen, Strukturen in der Abteilung
- Mitarbeiter ist nie krank, vermeidet Urlaub, "lässt sich nicht in die Karten sehen"
- Verweigerung der Einarbeitung von Vertretern, Assistenten
- Sehr enges, intransparentes Verhältnis zwischen Einkäufer und Lieferant beziehungsweise Verkäufer und Kunde
- Bestehen auf exklusivem Kontakt zu Lieferanten und Kunden
- Hüten von "Herrschaftswissen" hinsichtlich Preisabsprachen
- Konzentration von Macht und Kompetenzen in einer Person
- Verzicht auf eine Beförderung, die einen Bereichswechsel bedeuten würde
Was man dagegen tun kann
Fast immer stellt man im Nachhinein fest, dass Mitarbeitern bereits frühzeitig diese Hinweiszeichen bei dem kriminellen Kollegen aufgefallen sind. Sie hatten diese jedoch nicht als kritisch bewertet. Das Thema Awareness spielt daher auch im Zusammenhang mit der Bekämpfung von Mitarbeiterkriminalität eine wesentliche Rolle. Vor allem Führungsverantwortliche sollten die Red Flags rechtzeitig erkennen, um kriminelles Verhalten frühzeitig zu unterbinden.
Damit bei der Einstellung von neuen Mitarbeitern für sensible Bereiche nicht bereits der Bock zum Gärtner gemacht wird, sollten Unternehmen Bewerber einem Pre-Employment-Screening unterziehen. Neben einem polizeilichen Führungszeugnis und einer Schufa-Auskunft, die zumindest einen ersten Anhaltspunkt geben, ob ein Bewerber bereits einschlägig vorbestraft ist oder aufgrund von hohen Schulden eher für Avancen anfällig sein könnte, sollten auch ein psychologischer Integritätstest beziehungsweise weitergehende Recherchen durchgeführt werden. Vor allem im internationalen Umfeld sollte bei der Besetzung von Stellen umfassend in den verschiedenen Compliance-Datenbanken recherchiert werden, ob es bereits Hinweise auf früheres Fehlverhalten gibt.
Darüber hinaus ist es wichtig, die Loyalität der eigenen Mitarbeiter zu fördern. Loyalität ist von Freiwilligkeit und Langfristigkeit geprägt. Loyalität kann man messen. Herkömmliche Befragungen zur Zufriedenheit geben jedoch meist nur ein unzureichendes Bild. Für Loyalität kommt es auch auf die Motivation der Mitarbeiter, die Integrität, das Vertrauen in die Führungsmannschaft, das Feedbackverhalten im Unternehmen, die Konfliktbearbeitung, die interne Kommunikation, die Zusammenarbeit von Abteilungen untereinander und die Möglichkeit an, wie Mitarbeiter aus Fehlern lernen und sich verändern können. Wenn man die Loyalität fördern will, muss man zuerst einmal feststellen, an welchen dieser Faktoren gearbeitet werden muss. Bei einer umfassenden Befragung zum Loyalitäts-Index stellt man in der Regel sehr schnell fest, woran es in der Unternehmenskultur hapert und welche Dinge verändert werden müssten.
Fazit
Die wesentlichen Merkmale bei der Bekämpfung von Mitarbeiterkriminalität sind daher eine vernünftige Unternehmenskultur, um die Loyalität zu fördern, standardisierte Prüfregularien bei der Einstellung von neuen Mitarbeitern, Awareness-Maßnahmen, damit Mitarbeiter rechtzeitig bei Kollegen die Red Flags erkennen sowie technisches Know-how und menschliche Ressourcen, um bei einem Verdacht sofort professionelle Aufklärung/ Forensik betreiben zu können.
Christian Schaaf ist Geschäftsführer des Unternehmens Corporate Trust. Außerdem ist er Leiter eines Workshops zum Thema "Social Engineering und Security Awareness" (2013-03-13) beim Seminaranbieter qSkills.
