9. Januar 2012 - Fraud Detection

Datenschutzgerechte Betrugserkennung

Betrugsversuche durch Mitarbeiter zu erkennen und die Daten der Mitarbeiter zu schützen, ist kein Widerspruch. Der Datenschutz bietet genug Freiraum für die notwendigen Kontrollen. Prüfen Sie deshalb, ob die Betrugserkennung (Fraud Detection) in Ihrem Unternehmen den Datenschutz respektiert.

datenschutzgerechte-betrugserkennung.jpeg
Moderne Fraud-Detection-Systems-Lösungen vereinbaren Datenschutz und Betrugserkennung (Bild: Thinkstock)

Bitte kein Betrug am Datenschutz!

Datenschutz sei Täterschutz, so hört man oft in der großen Politik. Aber auch in Ihrem Unternehmen könnte dieser Irrglaube vorherrschen. So haben viele Unternehmen das Gefühl, sie könnten mögliche Betrüger unter den Mitarbeitern nicht aufspüren, wenn sie sich an den Datenschutz halten. Hier sollten Sie durch Aufklärung und eine Prüfung der Verfahren zur Betrugserkennung gegensteuern.

Betrugsrisiko ist unbestritten

Kein Datenschützer würde je den Bedarf an Betrugserkennung und Betrugsabwehr abstreiten. Die Zahlen über die sogenannten Innentäter zeigen das Risiko deutlich:

  • 11 Prozent der Mitarbeiter in größeren Unternehmen haben bereits unerlaubt auf Firmendaten zugegriffen, um diese zu verkaufen, oder Firmengeräte gestohlen (InsightExpress-Studie „The High Costs of Insider Threats“)
  • Die meisten Betrugsdelikte gehen von den eigenen Mitarbeitern (44 %) oder ehemaligen Mitarbeitern (22 %) aus (Datenklau: Neue Herausforderungen für deutsche Unternehmen, Ernst & Young)
  • Die meisten Wirtschaftskriminellen sind langjährige Mitarbeiter in Führungspositionen bei den betroffenen Unternehmen (KPMG, Who is a typical fraudster?)

Fraud Detection and Prevention ist ein Muss

Ein Unternehmen kann somit (auch aus Compliance-Gründen) nicht darauf verzichten, mögliche Betrüger zu suchen und abzuwehren. Das gehört zum Unternehmensschutz dazu. Trotzdem darf der Beschäftigtendatenschutz nicht auf der Strecke bleiben. Wenn sogenannte FDS (Fraud Detection System) zum Einsatz kommen, werden in aller Regel im großen Umfang personenbezogene Daten verarbeitet und analysiert, wenn keine entsprechenden Vorkehrungen getroffen werden.

Abweichungen aufspüren ohne durchgehendes Profiling

Gerade weil viele Innentäter hohe Nutzerprivilegien in den IT-Systemen haben, reicht es nicht, die Zugangs- und Zugriffskontrolle zu verschärfen. Ein Betrüger, der im Management oder in der IT-Administration sitzt, wird dadurch nicht aufgehalten. Es macht auch keinen Sinn, jeden Datenzugriff nach dem Vier-Augen-Prinzip zu überprüfen, um so zuverlässig Betrugsversuche zu entdecken. Das würde zu einem anlasslosen Massenscreening und zu einem riesigen Aufwand bei der Protokollauswertung führen.

Moderne FDS-Lösungen erzeugen deshalb Nutzerprofile als Normalfall und suchen nach den Abweichungen, also z.B. nach untypischen Aktivitäten eines Nutzers im Netzwerk. Dabei ist es jedoch entscheidend, dass die FDS-Lösung nicht einfach alle Nutzerdaten sammelt, sondern dass dort aktiv mit Datenschutz-freundlicher Pseudonymisierung gearbeitet wird.

Pseudonyme aufdecken nur bei konkretem Verdachtsfall

Wenn sich ein Betrugsverdacht (§ 32 Abs. 1 BDSG) auftut, können solche Systeme bei entsprechenden Privilegien, nach dem Vier-Augen-Prinzip und unter fortlaufender Dokumentation die Pseudonyme aufheben und den Verdächtigen aufdecken. Alle anderen Beschäftigten jedoch werden nicht durchleuchtet. Insbesondere werden keine Mitarbeiteranalysen erzeugt, die zu unerlaubten Leistungs- und Verhaltensanalysen verwendet werden könnten.


Download:


Ob diese Funktionen zur Pseudonymisierung auch wirklich genutzt werden, sollten Sie in Zusammenarbeit mit der Mitarbeitervertretung untersuchen. Neben speziellen Fraud Detection Systems gibt es weitere Maßnahmen gegen Betrugsversuche, die dem Datenschutz achten und dem Unternehmen trotzdem bei der Abwehr von Betrugsversuchen helfen. Sie finden entsprechende Hinweise zur Betrugserkennung und Betrugsabwehr in der Checkliste.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln