Compliance und Automobilhersteller


Prolog:
„Klar ist: Volkswagen duldet keine Regel- oder Gesetzesverstöße jedweder Art.“
Der damalige VW-Chef Martin Winterkorn nach Bekanntwerden der Abgasmanipulationen in den USA am 20. September 2015.

Compliance-Berichte deutscher Automobilhersteller in den Jahresabschlüssen 2018

Im Folgenden werden die Compliance-Berichte der drei Automobilhersteller BMW, Daimler und VW analysiert. Der Umfang der Berichte bewegt sich zwischen drei (Daimler) und vier Seiten (BMW und VW). Allerding fügt Daimler noch eine Erweiterung über Antikorruption-, Antitrust-, Technical-, Daten-, Anti Financial Crime- und Menschenrechts-Compliance an. Diese Spezialteile bleiben bei dieser Analyse außen vor. Der Dieselskandal ist noch nicht ausgestanden; die Feinstaub-Debatte ebenso wie die Diskussion um das Dieselfahrverbot geht weiter. Dennoch findet man dazu nur im Compliance-Bericht von VW einen Hinweis unter der Bezeichnung „Dieselthematik“, die zu einem erheblichen Vertrauensverlust beigetragen habe. Die Compliance-Organisation der Hersteller wurde – vielleicht unter dem Einfluss des Dieselskandals – in der Zwischenzeit neugestaltet.

Alle Berichte beginnen mit einem Bekenntnis zur Compliance.

„Unser Anspruch ist es, dass weltweit alle Mitarbeiterinnen und Mitarbeiter ihre Aufgaben stets im Einklang mit den gültigen Gesetzen, Regeln, freiwilligen Selbstverpflichtungen und unseren Werten erfüllen (Quelle 1).

An späterer Stelle wird bei VW dazu ausgeführt, dass kriminelle Handlungen Einzelner niemals vollständig verhindert werden können. Das ist eigentlich selbstverständlich. Es ist aber die Frage, ob kriminelle Handlungen mehrerer Personen auch nicht zu verhindern sind.

Organisatorische Einbindung von Compliance

Der Anspruch auf Compliance wird durch eine entsprechende organisatorische Gestaltung gestützt. So hat VW seit April 2017 den eigenen Bereich Group Compliance gebildet, der eine direkte Berichtslinie an den Vorstand für Integration und Recht besitzt und zudem an den Prüfungsausschuss des Aufsichtsrats berichtet (Quelle 2). Die Compliance-Organisation umfasst divisionale und regionale Compliance-Büros. Zudem wurde das Group Compliance Committee unter dem Vorsitz des Vorstands für Integrität und Recht gegründet. Angaben zum Umfang des Committees enthält der Bericht nicht. BMW hat ebenfalls vor mehreren Jahren ein Compliance Committee eingerichtet und die Einführung eines Compliance Management-Systems in die BMW Group veranlasst.

Das Committee setzt sich zusammen aus den Leitern der Bereiche Recht und Patente, Konzernkommunikation und Politik, Konzernrevision, Konzernberichtswesen, Organisationsentwicklung sowie Konzernpersonalwesen. (Quelle 3). Damit sind alle relevanten Bereiche in diesem Committee vertreten. Das Compliance Committee berichtet regelmäßig an den Vorstand und an den Prüfungsausschuss des Aufsichtsrats. Das Group Compliance Committee Office ist mit 14 Personen besetzt. Im Jahr 2017 wurde die Einrichtung von 72 lokalen Compliance-Funktionen abgeschlossen, das mit einem Netzwerk von 210 Compliance-Verantwortlichen verbunden ist.

Die Compliance-Organisation von Daimler ist divisional und regional aufgestellt. Für die Unterstützung der Geschäftsfelder steht jeweils ein funktionaler, divisionaler oder regionaler Ansprechpartner zur Verfügung. Die Compliance-Verantwortlichen aus diesen Bereichen berichten an den Chief Compliance Officer, wodurch die Unabhängigkeit von den Geschäftsfeldern gesichert werden soll. Der Chief Compliance Officer berichtet direkt an das Vorstandsmitglied für Integrität und Recht sowie an den Prüfungsausschuss des Aufsichtsrats. Regelmäßig wird der Vorstand der Daimler AG über den Status des CMS und dessen Weiterentwicklung informiert. Die Anzahl der beschäftigten Mitarbeiter im Compliance-Bereich wird nicht genannt.

Mit der Bezeichnung Integration und Recht für das Vorstandsressort wird deutlich, dass nicht nur die Durchsetzung der Compliance mit Sanktionen betrieben werden soll, sondern die Integrität der Mitarbeiter ebenfalls im Fokus steht. Compliance wird von der organisatorischen Einbindung hohe Bedeutung zugemessen, was durch die Berichtslinie an den Vorstand und den Prüfungsausschuss des Aufsichtsrats zum Ausdruck kommt.

Training der Mitarbeiter

Im Nachfolgenden werden die Bestandteile des Compliance Management-Systems beschrieben, das mehr oder weniger nach dem PS 980 oder dem ISO 19600 behandelt wird. Die Aussagen sind dazu unterschiedlich konkret. So betont VW, dass 2017 219.000 Beschäftigte in unterschiedlichen Formaten zu Compliance-Themen geschult wurden. Daneben erfolgten zielgruppenspezifische Schulungen. Innerhalb einer Volkswagen Convention „Integrität, Kultur und Compliance“ wurden 7.300 Mitarbeiter- und Führungskräfte mit dem Veränderungsprozess bei Volkswagen vertraut gemacht.

Bei BMW wurden weltweit über 41.000 Führungskräfte und Mitarbeiter über die Grundlagen von Compliance geschult. Das Training enthält einen Abschlusstest. Die erfolgreiche Teilnahme an dem Training wird durch ein Zertifikat bescheinigt, dass für alle Führungskräfte von VW verpflichtend ist. Bei Neueinstellungen und Beförderungen von Führungskräften ist das Compliance Training Standard. Daneben werden zielgruppenspezifische Trainingsmaßnahmen zu bestimmten Themen, wie Kartellrechts-Compliance durchgeführt. Seit 2011 wurden insgesamt 24.000 Führungskräfte und Mitarbeiter durch Online-Schulungen mit diesen Themen vertraut gemacht. Präsenzschulungen erfolgten 2017 für insgesamt 1.900 Führungskräfte und Mitarbeiter, die an Austauschtreffen mit Wettbewerbern teilnehmen. Spezielle Compliance Market Coachings waren Gegenstand bei internationalen Vertriebs- und Finanzpartnern.

Bei Daimler steht ein webbasiertes zielgruppenorientiertes Trainingsprogramm zur Verfügung, das modular aufgebaut ist und neben einem Basisprogramm auch ein spezifisches Model für Führungskräfte enthält. Die relevanten Module sind bei der Einstellung, Beförderung oder bei einem Wechsel zu absolvieren. Regulär muss das Programm alle drei Jahre absolviert werden. Ergänzt wird das Trainingsangebot durch Präsenzschulungen. 2018 gab es bei Präsenz- und webbasierten Trainings insgesamt rund 220.000 Teilnehmer. Angeboten werden darüber hinaus zielgruppenspezifische Qualifizierungsmaßnahmen. Alle neuen Mitarbeiter erhalten eine umfassende Einführung im Rahmen des Einführungs-Programms.

Die umfangreiche Schilderung der Schulungsmaßnahmen bei allen drei Unternehmen zeigt die Bedeutung auf, die diese Unternehmen der Schulung der Mitarbeiter hinsichtlich Compliance beimessen. Damit möchte man wohl auch dem Vorwurf entgegentreten, es werde nicht genug getan, um wirtschaftskriminelles Verhalten zu unterbinden. Allerdings sagt die Schulung nichts über den Erfolg der Schulungsmaßnahme aus. Hier müsste ein Absinken doloser Handlungen durch Führungskräfte und Mitarbeiter festzustellen sein. VW verfolgt eine Compliance-Kennzahl „Regeleinhaltung, Prozesssicherheit und Fehlerkultur“.

Die Kennzahl basiert auf der Auswertung von Antworten zu Fragen bezüglich des Stimmungsbarometers zur Einhaltung von Regelungen und Prozessen. Diese Kennzahl verbesserte sich 2017 auf 79,67 % zu 79,03 % in 2016. Ob damit eine deutliche Verbesserung eingetreten ist, kann aus den Zahlen für die Jahre 2016 und 2017 nicht abgeleitet werden.

Hinweisgebersystem

Dem Hinweisgebersystem wird bei allen drei Unternehmen besondere Aufmerksamkeit geschenkt. Bei Daimler ermöglicht das Hinweisgebersystem weltweit Beschäftigten und externen Hinweisgebern, Regelverstöße zu melden. Mit einer weltweit gültigen Konzernrichtlinie wird das Ziel verfolgt, eine faire und transparente Vorgehensweise zu ermöglichen, die sowohl den Grundsatz der Verhältnismäßigkeit für den Betroffenen als auch den Schutz des Hinweisgebers berücksichtigt. In 2018 wurden 89 Fälle neu angelegt und 101 Fälle geschlossen, davon 60 als zutreffend. Die wirtschaftskriminellen Handlungen bestanden in Korruption, Diebstahl, Untreue und Bereicherungsdelikten sowie Schadensfällen über 100.000 €.

Bei BMW wird den Mitarbeitern – offensichtlich nicht externen – die Möglichkeit gegeben, Hinweise auf mögliche Rechtsverstöße im Unternehmen anonym und vertraulich abzugeben. Diese Telefon-Line ist in sämtlichen Ländern, in denen BMW Mitarbeiter tätig sind über lokale kostenfreie Rufnummern in 34 Sprachen zu erreichen. Die Anfragen und Hinweise werden vom Compliance Committee Office dokumentiert und bearbeitet. Nähere Angaben zu Art und Umfang der Fälle finden sich hier nicht.

VW versteht unter einem Hinweisgebersystem sowohl die internen als auch die externen Anlaufstellen, bei denen Mitarbeiter und Externe Hinweise zu potenziellen schweren Verstößen melden können. Dieses Hinweisgebersystem wurde bereits 2006 bei VW eingeführt und im Jahr 2017 verbessert und teilweise neu geordnet. Zum 1. November 2017 erfolgte nochmals eine Optimierung des Verfahrens, um Hinweisen schneller, fairer und transparenter nachgehen zu können. Durch die Neugestaltung des Hinweisgebersystems 2017 wurde eine konzerneinheitliche Handhabung erreicht. Konzernweit wurden 2017 1.489 Hinweise registriert. Weiterhin heißt es dazu lapidar, dass bei allen substantiierten Hinweisen Untersuchungen durchgeführt werden und festgestelltes Fehlverhalten sanktioniert wird.

Fasst man diese drei Bestandteile nochmals zusammen, dann wird die Bedeutung von Compliance durch die organisatorische Einbettung unterstrichen. Zudem werden alle Mitarbeiter regelmäßig hinsichtlich Compliance geschult. Durch das konzernweite Hinweisgebersysteme hat jeder Mitarbeiter die Möglichkeit Auffälligkeiten oder Fehlverhalten zu melden. Wie konnte es dann zum „Dieselskandal“ kommen, wenn unterstellt wird, es handele sich nicht nur um das Fehlverhalten einer einzigen Person, was nicht aufrechterhalten werden kann. Mehrere Personen waren beteiligt und keiner hat einen Hinweis auf das Fehlverhalten gegeben. Deshalb die Frage, ob die Mitarbeiter insgesamt so „mutig“ sind, eine Meldung über Fehlverhalten abzugeben, und ob im Konzern wirklich ein Interesse daran besteht, dass eine Vielzahl von Meldungen über das Hinweisgebersystem eingehen.

Couragiertes Handeln von Whistleblowern

Das Geben von Hinweisen ist mit Risiken verbunden. Whistleblower sind bereit, moralische Verantwortung für die Gesellschaft zu übernehmen und setzen sich der Gefahr von Repressalien aus. Damit ist eine besondere Form von Mut gefordert, weil existenzielle Risiken und Abhängigkeiten die Folge sein können. Es erfordert schon ein gerütteltes Maß an Zivilcourage, eine Meldung abzugeben, die nicht unmittelbar auf das Wohlwollen der Empfänger trifft. Sieben Konfliktlagen sind dafür verantwortlich, dass ein Mitarbeiter zum Whistleblower wird:

• Der Arbeitgeber erwartet vom Arbeitnehmer, dass er gegen berufliche Standards verstößt, z.B. im Interesse von Auftraggebern.
• Nach einem Schadensfall sollen Informationen gegenüber Behörden, Untersuchungsgremien oder der Öffentlichkeit verschwiegen werden.
• Wichtige Dokumente werden unterdrückt.
• Innerbetriebliche Missstände werden vom Arbeitgeber nicht abgestellt.
• Praktiken des Unternehmens verstoßen gegen das nationale Recht.
• Internationale Abkommen oder Gesetze werden verletzt.
• Die unternehmerische Tätigkeit birgt erhebliche Gefahren gegen die Natur oder/und die Gesundheit der Menschen. (Quelle 4).

Für den Hinweisgeber entsteht nun ein Prozess der Abwägung zwischen seiner Loyalität zum Unternehmen und seiner ethischen Verantwortung. Whistleblower wollen Schäden ihrer Arbeitswelt abwenden und nehmen dafür persönliche Nachteile in Kauf. Nach einer Befragung in USA litten 77,1 % dauerhaft an Schlafstörungen, 80,7 % unter Angstzuständen, 25,6 % konsumierten häufiger Alkohol und bekamen Morddrohungen (Quelle 5). Es gibt wenige prominente Fälle, in denen der Whistleblower für sein couragiertes Verhalten ausgezeichnet wurde, weil er mutig gegen übermächtige Konzerne angetreten ist. Daneben steht die große Zahl anonym gebliebener Fälle, die immer noch auf Gerechtigkeit und Rehabilitierung warten.

Couragiertes Verhalten ist abhängig von einer Reihe handlungsleitender Einflüsse auf das Individuum. Hier kann zwischen den situativen Faktoren und den personalen Faktoren unterschieden werden. Zu den situativen Faktoren zählt das Ereignis selbst: Ist die Verletzung der Norm eindeutig und überschaubar, und welche Risiken sind mit dem illegalen Verhalten verbunden. Wichtig ist zudem die Unterstützung, die der Whistleblower über das Betriebsklima, sowie die Zustimmung und Förderung erwarten kann. Betrachtet man die personalen Faktoren, so zählt dazu das Selbstvertrauen und das Vertrauen zu anderen. Hinzu kommt die Überzeugung, etwas bewirken zu können. Entscheidend ist aber die moralische Urteilsfähigkeit des Individuums.

Organisatorische Situationen können dazu führen, dass das Individuum entmutigt wird und zum vertrauten Weg zurückkehrt, weil Bestrafung droht oder die Person benachteiligt wird. In diesen Fällen folgen die Individuen nicht mehr ihrem moralischen Kompass (Quelle 6).

Hinweisgeber sind dann wohl gelitten, wenn sie wirtschaftskriminelles Handeln von Kollegen und Mitarbeitern aufdecken. Geht es um Top Management Fraud wird ein Übermaß an couragiertem Handeln verlangt, wenn der Whistleblower die für ihn möglichen negativen Folgen bedenkt. Eine Lösung des Problems zeichnet sich hier nicht ab. Von den Überwachungsinstitutionen Aufsichtsrat, Abschlussprüfer und Interne Revision ist ein hohes Maß an intensiver Beschäftigung mit den sensiblen Vorgängen zu verlangen.

Die Compliance-Organisation sollte dafür Sorge tragen, dass auch die Unternehmensführung in ihr Betätigungsfeld einbezogen wird. Letztendlich wird immer an das ethische Verhalten der beteiligten Personen appelliert.

Quellenangaben:

Quelle 1: Vgl. Daimler: Geschäftsbericht Nichtfinanzieller Bericht, S. 217.
Quelle 2: Vgl. VW: Geschäftsbericht Corporate Governance-Bericht, S. 63.
Quelle 3: Vgl. BMW: Geschäftsbericht Compliance in der BMW Group S. 216.
Quelle 4: Vgl. Deiseroth: Zivilcourage am Arbeitsplatz – Rechtliche Rahmenbedingungen, in: Reinhold/Löhr/Blickie: Wirtschaftsbürger oder Marktopfer? München und Mering 2001, S. 108ff.
Quelle 5: Vgl. Prätorius: Zur politischen Kultur von Loyalitätskonflikten am Beispiel der “Whistleblower”; in: Korenke: Politische Deutungskulturen, Baden-Baden 1999, S. 115.
Quelle 6: Vgl. Comer/Vega: The Personal Ethical Treshold; in Comer/Vega: Moral Courage in Organizations – Doing the Right Thing at Work, New York 2011, S. 27.

Weiterbildung Compliance

Starten Sie jetzt mit der Ausbildung zum Chief Compliance Officer oder Tax Compliance Officer!

Nutzen Sie mit dem WIRTSCHAFTScampus die Möglichkeit zur zertifizierten Ausbildung im Bereich Compliance Management und schützen Sie sich selbst oder ihr Unternehmen mit der persönlichen Teilnahme oder der Anmeldung eines ihrer Mitarbeiter bei unserer Compliance-Weiterbildung. Der WIRTSCHAFTScampus bietet die beiden aufeinander aufbauenden Fernstudium im Bereich Compliance Management an:

Certified Compliance Officer: Die Inhalte des Fernstudiums Certified Compliance Officer beinhalten u.a. Innerbetriebliches Kontrollsystem (IKS), Risikomanagementsystem (RMS), Ethik-Kodex, Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen IDW PS 980, ISO 19600 – Richtlinien für ein Compliance Management System, ISO 37001 – Standard zur Antikorruption.

Certified Chief Compliance Officer: Die Inhalte des Fernstudiums Certified Chief Compliance Officer beinhalten u.a. Compliance von Lieferanten und Kunden, Compliance und M&A, Compliance und IT, Compliance auf Führungsebene, Haftung der Geschäftsführung, Arbeitsrecht und Compliance, Kartell- und Wettbewerbsrecht, Geldwäsche, ISO 19600.

Weiterhin ist die Ausbildung zum Certified Tax Compliance Officer jederzeit möglich.

Ohne Tax Compliance mit einem Bein im Kittchen

Die Weiterbildung im Bereich Compliance und die Ausbildung eines Spezialisten innerhalb eines bestehenden Compliance Management Systems (CMS) mit der Integration eines Tax Compliance Officers hat mit einem Urteil des Bundesgerichtshof (BGH) aus dem Jahr 2017 deutlich an Wichtigkeit gewonnen.

Erhöhte Pflichten, Vorgaben im Hinblick auf Transparenz, sowie Dokumentationspflichten und die Digitalisierung stellen die Funktionen und Vorgaben jedes Unternehmens im Bereich der steuerlichen Aufgaben vor immer größere und vor allem neue Herausforderungen. Veränderte rechtliche Rahmenbedingungen und eine deutlich gestiegene und restriktive Handhabung durch das Finanzamt verstärken dies deutlich.

Ein Tax Compliance Officer im Unternehmen? Ein Thema, welches nach heutigem Stand für jedes Unternehmen, gleich welcher Größe und Branche, sowohl in persönlicher Haftungshinsicht als auch gegen den Schutz gegenüber Korruption oder sonstigen globalen Gefahren und Angriffen von größter Wichtigkeit ist.

Umso mehr, da der Bundesgerichtshof (BGH) mit seiner Entscheidung vom 9. Mai 2017 (BGH 1 StR 265/16) bestätigt hat, dass ein funktionierendes Tax Compliance Management System bei der Festsetzung von Strafen, zum Beispiel im Tatbestand der Korruption, oder bei der Bemessung von Bußgeldern bei Steuervergehen oder steuerlichen Missständen berücksichtigt werden kann. Dies soll an dem nachfolgenden Tatbestand näher dargestellt werden.

Panzerhaubitzen nach Griechenland

In 2001 verkaufte ein in Deutschland ansässiges Rüstungsunternehmen 24 Panzerhaubitzen zum Preis von 188.008.929 Euro an Griechenland. In diesem Zusammenhang gaben der Angeklagte, ein leitender Angestellter und Prokurist des Rüstungsunternehmens, und sein Vorgesetzter im August 2002 eine vom Unternehmen X gestellte Provisionsrechnung in Höhe von 1.858.584,18 Euro (brutto) bzw. 1.602.227,74 Euro (netto) zur Zahlung frei und leiteten sie an die Buchhaltung im Rüstungsunternehmen weiter.

Bei dem Unternehmen X handelt es sich um eine im Jahr 1997 von zwei ehemaligen Abgeordneten des Deutschen Bundestages und einem Professor einer Technischen Universität gegründete (Beratungs-)Gesellschaft bürgerlichen Rechts, die ausschließlich im Rahmen des verfahrensgegenständlichen Verkaufs der Panzerhaubitzen an Griechenland aktiv wurde. Sie verfügte über einen persönlichen Kontakt zum damaligen griechischen Verteidigungsminister, war aber in offizielle Verhandlungen mit Griechenland zu keinem Zeitpunkt eingebunden. Bei der Freigabe der Rechnung war dem Angeklagten bewusst, dass dieses Unternehmen X seine im Vorfeld des Vertragsschlusses erbrachten Dienstleistungen auf der Grundlage von Bestechungsabreden erbracht hatte.

Die Rechnung wurde von der Buchhaltung des Rüstungsunternehmens beglichen und als ordentliche Betriebsausgabe der Firma für das Jahr 2002 verbucht.

Die an das Unternehmen X gezahlte Provision ging entgegen § 4 Abs. 5 Satz 1 Nr. 10 EStG vollumfänglich in die unterzeichnete Erklärung des Rüstungsunternehmens zur gesonderten und einheitlichen Feststellung von Grundlagen für die Einkommensbesteuerung 2002 als Betriebsausgabe ein. Der hierauf ergangene unrichtige Feststellungsbescheid des Finanzamts im Jahr 2004 führte zu einem nicht gerechtfertigten Steuervorteil des Rüstungsunternehmens in Höhe von 1.602.227,74 Euro.

In den Jahren 2002 und 2004 erhielt der Angeklagte von einem mit ihm befreundeten Vertreter des Rüstungsunternehmens in Griechenland aus den von dem Rüstungsunternehmen an ihn gezahlten Provisionen bzw. Vergütungen im Zusammenhang mit dem Projekt Panzerhaubitze verdeckte Provisionszahlungen in Höhe von zusammen mehr als 657.000 Euro auf sein Konto bei einer Schweizer Bank.

Auf den strafrechtlich nicht verjährten Veranlagungszeitraum 2004 entfiel dabei ein Betrag von 357.892,10 Euro. Der in Deutschland unbeschränkt steuerpflichtige Angeklagte verschwieg den Erhalt dieser Zahlungen sowie daraus resultierende Kapitalerträge in Höhe von 14.374,89 Euro gegenüber den Finanzbehörden in seiner abgegebenen Einkommensteuererklärung für das Jahr 2004. Er verkürzte hierdurch Einkommensteuer in Höhe von 140.508 Euro sowie Solidaritätszuschlag in Höhe von 7.727,94 Euro. Eine von ihm in 2014 hierzu abgegebene und auf Schätzungen beruhende Selbstanzeige gegenüber dem zuständigen Finanzamt hat das Landgericht für unwirksam erachtet. Nach seiner Auffassung war die Steuerhinterziehung des Angeklagten zu diesem Zeitpunkt bereits entdeckt; auch habe der Angeklagte bei verständiger Würdigung der Sachlage mit einer Entdeckung rechnen müssen.

Tax Compliance Management System

Das Landgericht München als Vorinstanz hatte den Mitarbeiter des Rüstungsunternehmens, obwohl dieser eine Selbstanzeige getätigt hatte, unter anderem wegen Beihilfe zur Steuerhinterziehung des Rüstungsunternehmens verurteilt. Dabei galt es als eindeutig erwiesen, dass auch die Geschäftsführung Kenntnis von den Bestechungen hatte. Entsprechend hat das Landgericht München dazu auch gegen das Unternehmen als Nebenbeteiligte ein Bußgeld in Höhe von 175.000 Euro verhängt.

Die Besonderheit ist, dass der BGH zur Bemessung der Höhe der Geldbuße vorgibt, auch Erkenntnisse zu dem betriebsinternen Kontrollsystem einfließen zu lassen. So ist stets in Betrachtung zu ziehen, ob das Unternehmen ein effizientes Compliance Management System (CMS) im Unternehmen integriert hat, das auf die Verhinderung von Rechtsverstößen ausgelegt ist oder ob es in der Folge eines Verfahrens entsprechende Compliance-Regelungen optimiert und seine betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Regelverletzungen zukünftig jedenfalls drastisch erschwert werden.

Mit dem Anwendungserlass zu § 153 AO hat sich das Bundesministerium für Finanzen (BMF) bereits in 2016 zur Thematik und der Wirkung eines Tax Compliance Management-Systems (Tax CMS) im Unternehmen geäußert. Danach kann bei Berichtigungserklärungen ein Tax CMS ein Indiz gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit darstellen und damit zugunsten des Steuerpflichtigen wirken, indem die Anzeige als Korrektur gemäß § 153 AO und nicht als Selbstanzeige nach § 371 AO gewertet wird.

Der BGH hat nun erstmalig dieses Thema aufgegriffen und zeigt, dass auch die Rechtsprechung hinter dem vom BMF aufgestellten Grundsatz steht, dass ein effizientes (Tax) Compliance Management System ein Indiz gegen vorsätzliche oder fahrlässige Steuerverkürzung ist.

Umsetzung im Unternehmen – Der Tax Compliance Officer (TCO)

Neben der tatsächlichen Vermeidung von Rechtsverstößen gibt es mit dem BGH-Urteil vom 9.5.2017 nun ein weiteres deutliches Argument, ein Tax CMS im Unternehmen zu installieren. Bisher gab es keine höchstrichterliche Rechtsprechung zur Bedeutung eines Tax CMS. Doch die hier genutzte Gelegenheit, sich zu der Bemessung der Geldbuße zu äußern, zeigt, dass auch die Gerichte gewillt sind, einem effizienten Tax CMS eine nicht unerhebliche Bedeutung für die Rechtsfolgen von Verstößen beizumessen.

Unternehmen, ihre gesetzlichen Vertreter und die unternehmensseitigen Ansprechpartner der Betriebsprüfer sehen sich häufiger mit Vorwürfen und der Androhung konfrontiert, Vorgänge auch strafrechtlich untersuchen zu lassen. Insbesondere auch vor dem Hintergrund, dass die Gesetzeslage sich seit 2011 kontinuierlich verschärft hat und Betriebsprüfungen heute kritischer verlaufen als früher sollte über die Einrichtung eines Tax Compliance Management Systems zwingend nachgedacht werden bzw. ein bestehendes CMS sollte in jedem Fall im Segment der Tax Compliance erweitert werden. Die Integration eines Tax Compliance Officers sollte als Pflicht im Unternehmen betrachtet werden, um sich gegen interne und externe Gefahren früh und transparent abzusichern.

Besonders interessant sind dabei auch die Ausführungen des BGH, dass es ebenfalls strafmildernd wirken kann, wenn das Unternehmen in der Folge einer bereits vor dem Gericht anhängigen Straftat seine Regelungen optimiert und die betriebsinternen Abläufe so gestaltet, dass vergleichbare Normverletzungen zukünftig deutlich erschwert werden. Es ist somit nie zu spät, sich Gedanken über die Einrichtung eines Tax CMS zu machen bzw. einen Tax Compliance Officer in ein (bestehendes) Compliance Management System zu integrieren.

Ausbildung zum Tax Compliance Officer

Der WIRTSCHAFTScampus bietet nun einen Fernlehrgang zum Tax Compliance Officer an, der es den Teilnehmern ermöglicht, ein Tax Compliance-System in ihren Unternehmen einzurichten, das die ordnungsgemäße Erfüllung der Steuerpflichten gewährleistet und dafür Sorge trägt, dass die unternehmerische Steuerstrategie zielgenau verfolgt wird. Drei umfassende und gut gegliederte sowie teilnehmerorientierte Lehrbriefe vermitteln den Stoff in dem Tempo, das der Teilnehmer selbst für sich bestimmen kann. An einem Präsenztag wird den Teilnehmern ein Gesamtüberblick geboten und die Gelegenheit gegeben, durch Fragen ihren persönlichen Wissensbedarf abzudecken.

Alle Einzelheiten zum Certified Tax Compliance Officer (TCO) finden Sie beim Fernlehrgang Tax Compliance Management.

Quellenangabe:

Veröffentlichung „BGH 1 StR 265/16 – Urteil vom 9. Mai 2017 (LG München I)“

Korruption und Compliance

korruption_1

Prolog:

Korruption ist (mindestens) so alt wie die Bibel. Im Zweiten Buch Mose 23,8 heißt es: „Du sollst dich nicht durch Geschenke bestechen lassen; denn Geschenke machen die Sehenden blind und verdrehen die Sache derer, die im Recht sind.“

Korruption – ein globales Problem

Nach Schätzungen der Weltbank werden jedes Jahr rund eine Billion US-Dollar an Bestechungsgeldern gezahlt. Dies entspricht zwölf Prozent der weltweiten Bruttowirtschaftsleistung und 15 bis 30 Prozent der gesamten staatlichen Entwicklungshilfe.

Die Antikorruptionsorganisation Transparency International hat im Dezember 2015 zum 21. Mal den Korruptionswahrnehmungsindex veröffentlicht. Dieser umfasst in diesem Jahr 175 Länder und Territorien. Der Index setzt sich aus verschiedenen Expertenbefragungen zusammen und misst die bei Politikern und Beamten wahrgenommene Korruption.

Deutschland erreicht auf einer Skala von 0 (hohes Maß an wahrgenommener Korruption) bis 100 (keine wahrgenommene Korruption) 81 Punkte und rangiert damit zusammen mit Großbritannien und Luxenburg auf dem 10. Platz weltweit. In Europa (EU) und westliches Europa belegt Deutschland den 7. Platz.

Betrachtet man diese Skala im Hinblick auf die Staaten der EU und des westlichen Europas, so ergibt sich aus dem Korruptionswahrnehmungsindex des Transparency International e.V. für 2015 das nachfolgende Ranking:

Platz 1:     Dänemark (91 Punkte)

Platz 2:     Finnland (90 Punkte)

Platz 3:     Schweden (89 Punkte)

Platz 7:     Deutschland, Großbritannien und Luxenburg (81 Punkte)

Platz 19:   Griechenland und Türkei (46 Punkte)

Platz 20:   Italien (44 Punkte)

Platz 21:   Türkei (42 Punkte)

Quelle: Transparency International e.V., Januar 2016

Korruption in Deutschland? … vom ersten Tag an!

Mit der Gründung des Deutschen Reiches gab es vom ersten Tag an Korruption in Deutschland. Als Gegenleistung für das Anerbieten der Kaiserkrone an König Wilhelm von Preußen im November 1870 erhielt König Ludwig II. von Bayern aus Bismarcks geheimen Welfenfonds fortan jährlich 300.000 Goldmark, im Laufe der Jahre 1871 bis 1886 insgesamt ca. vier Millionen. Die Geldtransaktion über die Schweiz vermittelte Graf Max von Holnstein, der Oberstallmeister Ludwigs, der für seine Dienste 10% Provision erhielt.

In der Geschichte der Bundesrepublik Deutschland nach dem zweiten Weltkrieg gab es ebenso vom ersten Tag Korruptionsfälle. Dies begann mit der Entscheidung im Jahre 1949 über die Hauptstadtfrage Bonn oder Berlin in der neu gegründeten Bundesregierung. Wahrscheinlich ist, dass an Abgeordnete aller Fraktionen ein Betrag von insgesamt etwa zwei Millionen DM bezahlt worden ist. Das Magazin „Der Spiegel“ schrieb im September 1950 im Bezug auf mehrere Quellen aus dem Umfeld der damaligen Bayernpartei, dass etwa hundert Abgeordnete mit Beträgen zwischen 20.000, 10.000 und 1.000 DM bestochen worden seien. 20.000 DM für diejenigen, die bei der Entscheidung mitzureden haben, 10.000 DM für diejenigen, die ein Gewicht haben und 1.000 DM für diejenigen, die nur ihre Stimme hergegeben haben

Weiter setzt sich die Korruption in Deutschland bis heute fort mit zum Beispiel der Leihwagen-Affäre (1958/59), der HS-30-Affäre (1958 bis 1966), bekannt auch als Hispano-Suiza-Skandal als dem ersten großen Korruptionsskandal im Umfeld der Rüstungsindustrie, der Flick-Affäre (1975 bis 1983) bis hin zur Leuna Affäre (1990 /91) und den vermutlichen Zahlungen von Provisionen durch dem französischen Mineralölkonzern Elf Aquitaine in Zusammenhang mit dem Kauf der Leuna-Werke und des Minol-Tankstellennetzes nach der Wiedervereinigung Deutschlands.

In den vergangenen 5 bis 10 Jahren waren große Unternehmen wie Siemens, MAN oder auch Daimler in Korruptionsaffären verwickelt. Viele Unternehmen haben daraufhin und auf Druck von außen den Bereich Compliance deutlich verstärkt und eine Reihe von internen Kontrollmechanismen eingeführt.

Korruption in den Bundesländern

vefahrensyahl-pro-100T-Einwohner

Betrachtet man lt. dieser Darstellung einmal speziell Deutschland, so sieht man, dass einige Bundesländer bei der Korruptionsbekämpfung weniger Ehrgeiz zeigen als andere.

Die tatsächliche Anzahl der eingeleiteten Ermittlungsverfahren differiert deutlich, wenn man diese auf der Ebene der einzelnen Bundesländer betrachtet. Die mit Abstand höchste Anzahl der Ermittlungsverfahren in 2013 gegen Korruption findet man mit 464 Verfahren in Nordrhein-Westfalen (NRW). Auf dem zweiten Platz folgt mit 209 Verfahren Bayern und auf Platz drei rangiert das, im Hinblick auf NRW und Bayern relativ bevölkerungsarme Brandenburg mit immer noch 163 Verfahren. Am Ende der Statistik steht mit gerade einmal 15 Verfahren das Bundesland Rheinland-Pfalz.

Betrachtet man das Jahr 2013, so ist die Zahl der Korruptionsverfahren in 2013 auf 1.403 Fälle angestiegen. Dies sind rund zwei Prozent mehr Verfahren als in 2012, wie aus dem in 2014 veröffentlichten „Bundeslagebild Korruption“ des BKA hervorgeht.

In den einzelnen Bundesländern ist zu beobachten, dass es doch deutliche Unterschiede beim Einsatz von Mitteln und Instrumentarien zur Korruptionsbekämpfung gibt. In Nordrhein-Westfalen beschäftigen sich zum Beispiel nicht nur vier Staatsanwaltschaften mit dem Schwerpunkt der Korruptionsbekämpfung, sondern dazu noch zwei Sonderdienststellen der Polizei gegen die Aufdeckung und Verfolgung von Korruption.

Im Unterschied zu NRW gibt es zum Beispiel in Rheinland-Pfalz weder eine Schwerpunktstaatsanwaltschaft noch ein Sonderkommando der Polizei gegen Korruption.

Somit kann es einen kausalen Zusammenhang geben, dass das bevölkerungsreiche Rheinland-Pfalz im Vergleich zu NRW nur sehr wenige Korruptionsverfahren hat.

Tatsächlich kommen in Nordrhein-Westfalen rund 2,6 Korruptionsverfahren auf 100.000 Einwohner. Rheinland-Pfalz hingegen hat nur rund 0,4 Verfahren pro 100.000 Einwohner – es ist der niedrigste Wert aller Bundesländer.

Korruption – Wer? Wo? Was?

Die Art der Korruptionsfälle ist vielschichtig und betrifft Angestellte und Geschäftsführer aus allen Unternehmensgrößen und Branchen genau so wie Bundesbedienstete. Zum Beispiel beinhalten die Korruptionsfälle gewerbsmäßigen Betrug, Urkundenfälschung, Visavergabe, Unterschlagung oder vorsätzlichen Missbrauch eines Doktortitels zum eigenen Vorteil.

Jeder fünfte Manager soll in 2014 schon einmal Verträge manipuliert haben

Ist schon einmal von Ihnen erwartet worden, eine der folgenden Handlungen auszuführen?

grafik_korruption

Quelle: Befragung in 2014 von 2719 Unternehmen in 59 Ländern, Ernst & Young, Angabe in Prozent, Grafik: WIRTSCHAFTScampus

Im Beschaffungsamt des Bundesinnenministeriums fälschte zum Beispiel ein (mittlerweile suspendierter) Beamter Rechnungen und manipulierte Ausschreibungsverfahren. Er verschaffte Unternehmen, die faktisch von ihm und seiner Frau geleitetet wurden, Aufträge, ohne dafür eine Gegenleistung zu erbringen. Die Staatsanwaltschaft Bonn geht von mindestens 650.000 Euro Schaden aus.

Dies ist aber nur eines von insgesamt 19 Strafverfahren wegen Korruption, das in 2013 durch die Staatsanwaltschaft gegen korrupte Bundesbedienstete eingeleitet wurde. Vier dieser Korruptionsverfahren betrafen Mitarbeiter des Auswärtigen Amtes.

Unter den Straftaten gab es bundesweit auch zwölf Fälle von Abgeordnetenbestechung. In Thüringen soll zum Beispiel gegen ein Vorstandsmitglied eines Investors Anklage erhoben werden (Quelle: Welt). Die Thüringer Generalstaatsanwaltschaft hat ihre Ermittlungen zu diesem Fall bereits abgeschlossen. Dem Beschuldigten wird vorgeworfen, den Ex-Landesinnenminister bestochen zu haben, um die Genehmigungsfähigkeit zur Errichtung eines Elektrofachmarktes zu erreichen.

Laut dem Bundeskriminalamt liegt der Schwerpunkt der polizeilich bekannt gewordenen Korruptionsfälle mit 60 Prozent im Bereich der allgemeinen öffentlichen Verwaltung. Doch auch Wirtschaft, Justiz und Politik sind von Korruption betroffen. Baubehörden, Finanzbehörden, Polizei und die Landesverwaltung waren dabei etwa gleich häufig betroffen. Korruption in der Kommunalverwaltung machte etwa zehn Prozent aller Verfahren aus.

korruption_2

Compliance gegen Korruption

Vordringliche Compliance-Ziele für ein Unternehmen sind die Risikominimierung und Schadensabwehr sowie die Transparenz- und Reputationssteigerung. Insgesamt richtet sich Compliance-Management aber nicht nur gegen Korruption, sondern auch gegen andere Delikte wie Datenmissbrauch, Kartellbildung, Insiderhandel und Geldwäsche.

Betrachtet man aber das Segment Compliance und Korruption losgelöst von allen sonstigen Compliance-Zielen, so müssen im Unternehmen wichtige Voraussetzungen und Instrumentarien installiert werden, um Korruption zu bekämpfen. Als wichtigste Komponenten sind hier unter anderem zu nennen:

  • Geschäftsführung oder Aufsichtsrat beschließen die Einführung eines Antikorruptionsprogramms
  • Geschäftsführung erstellt eine Risikoanalyse, durch welche die korruptionsgefährdeten Bereiche identifiziert werden
  • Regeln und Vorschriften für das Unternehmen werden festgelegt
  • Der Verhaltenskodex (code of conduct) für das Unternehmen wird entwickelt
  • Der Verhaltenskodex (code of conduct) wird schriftlich fixiert und ist gleichermaßen für Aufsichtsrat, Geschäftsführung und Mitarbeiter abrufbar
  • Sichtung und Kontrolle, ob Rechnungen, Belege und Geschäftsbücher ordnungsgemäß geführt und sicher aufbewahrt werden
  • Mündliche und schriftliche Information an alle Mitarbeiter über die Einführung und Fixierung des Antikorruptionsprogramms
  • Regelmäßige und praxisbezogene Schulungen zum regelkonformen Mitarbeiterverhalten und Einhaltung des internen Kontrollsystems (IKS)
  • Informationstransfer an Geschäfts- und Unternehmens-partner über die Installation des Antikorruptionsprogramms

Ausblick: ISO Zertifizierung 37001

Unter dem vorgeschlagenen Entwurf des ISO Standards 37001, welcher am 15.Oktober 2016 durch die internationale Organisation für die Entwicklung von Standards (ISO) verabschiedet wurde, wird nun eine Zertifizierung von Compliance-Programmen zur Korruptionsbekämpfung möglich sein.

Die ISO 37001 wurde erarbeitet, um Unternehmen, Firmen und Organisationen bei der Konzeption und Umsetzung eines Anti-Korruptionssystems maßgeblich zu unterstützen. Die Norm, welche den britischen Standard BS 10500 (Grundlage u.a. UK Bribery Act / 2011) ersetzt, enthält Anforderungen an Managementsysteme und beschreibt gute Instrumentarien, die einzuführen sind, wenn es um frühzeitige Prävention, Erkennung, Vermeidung und Behandlung von Korruption geht. Der neue Standard ist so gestaltet, dass er für alle Unternehmen und Organisationen, die sich gegen interne Korruption schützen möchten, anwendbar ist.

Der ISO Standard 37001 spezifiziert Anforderungen für:

  • eine Anti-Korruptions-Politik im Unternehmen und entsprechende Prozesse,
  • die Verantwortung im Bereich der Geschäftsführung und des gehobenen Managements,
  • einen Überblick über die Aufgaben und Funktionen des Compliance Officers,
  • ein internes Anti-Korruptions-Training gleichermaßen für Mitarbeiter und Geschäftsführer,
  • Risikobewertung und Due Dilligence für Unternehmensprojekte und Geschäftspartner,
  • die Kontrollen für Finanzen, die Beschaffung und die Erarbeitung von Verträgen,
  • das Reporting, Monitoring, Controlling, Auswertungen und Bewertungen,
  • die Compliance-Maßnahmen und deren kontinuierliche Verbesserung

und verlangt, dass Instrumentarien gegen Korruption in angemessener und verhältnismäßiger Weise und unter Berücksichtigung der Größe, der Unternehmensstruktur, des Standorts und der Branche, in welcher das Unternehmen tätig ist, implementiert werden.

Die Zertifizierungsstelle wird dabei überprüfen, ob das Unternehmen schriftliche Richtlinien für die Bekämpfung von Korruption erarbeitet hat und die Geschäftsführung nachweisen kann, ob geeignete Mitarbeiter im Segment Compliance eingestellt, Schulungen von Mitarbeitern durchführt und eine Risikoanalyse vorgenommen wurden und ob Finanz- und Geschäftskontrollen sowie Verfahren zur Meldung und Untersuchung von Korruptionsvorfällen bestehen.

Natürlich ist eine Zertifizierung gegen Bestechung keine Garantie oder ein Wundermittel, sie liefert aber eindeutige und direkte Hinweise dafür, dass ein Unternehmen frühzeitig Instrumentarien und spezielle Maßnahmen zur Verhinderung von Korruption getroffen hat. In diesem Sinne kann eine Zertifizierung nach ISO Standard 37001 ein geeignetes Verteidigungsmittel gegen Korruptionsvorwürfe darstellen und das Unternehmen besser vor dem Risiko einer strafrechtlichen Verantwortlichkeit schützen.

Sobald erste Erfahrungswerte über die konkrete und praxisorientierte Anwendung im Hinblick auf diesen neuen ISO Standard vorliegen, werden wir sie natürlich zeitnah sowohl hier in unserem Compliance Blog als auch in unseren Compliance-Lehrgängen zur Ausbildung als Certified Compliance- und Certified Chief Compliance Officer informieren.

Der WIRTSCHAFTScampus bietet seit 2012 zwei Fernlehrgänge im Bereich Compliance Management an. Eine ausführliche Darstellung der Inhalte unserer Fernlehrgänge zum Certified Compliance Officer und Certified Chief Compliance Officer finden Sie hier auf unserer Webseite oder in unserer Weiterbildungsbroschüre 2017, die wir Ihnen selbstverständlich gern unverbindlich zusenden.

Quellenangaben:

Politik und Bestechlichkeit, WeltN24 GmbH, 2015

Korruption in Deutschland: Portrait einer Wachstumsbranche, Britta Bannenberg,Wolfgang Schaupensteiner, 2007

Führungsgrundsätze für Kleine und Mittlere Unternehmen zur Bekämpfung von Korruption, Transparency International Deutschland e.V., 2016

Risiko und Compliance

risiko_1

Prolog:
Für viele deutsche Großunternehmen und eine immer größere Anzahl von kleinen und mittelständischen Unternehmen aller Branchen ist der Begriff Compliance aus dem täglichen Umgang, gleichermaßen mit Mitarbeitern, Zulieferern und Kunden, nicht mehr wegzudenken. Viel zu massiv ist der Druck und die sich hieraus ergebenden Regularien, sowohl im nationalen wie auch im internationalen, täglichen Geschäftsumfeld.

Leider ist die Zahl der Unternehmen, die eine Notwendigkeit von Compliance-Instrumentarien missachten oder bei der Umsetzung auf halbem Weg stehen bleiben, immer noch sehr groß! Risiken und Sanktionen könnten mithilfe der Compliance-Umsetzung im Unternehmen somit in noch viel größerem Maße vermieden werden, als es momentan der Fall ist.

Compliance im Jahr 2015

Die Aufmerksamkeit der Öffentlichkeit für Compliance-Vorfälle ist durch eine Vielzahl prominenter Vorkommnisse deutlich größer geworden, etwa im Segment des Kartellrechts in Form von Preis- oder Zinsabsprachen oder durch Korruptionsfälle bei der Vergabe von Großaufträgen oder im Zuge der momentanen Berichterstattung und Aufarbeitung zum Thema FIFA und Korruption bei der Vergabe der Fußballweltmeisterschaften 2018 an Russland und 2022 an Katar.

Die Thematik Compliance ist für die meisten Großunternehmen und immer mehr kleine und mittelständische Unternehmen ein fester Bestandteil der täglichen Aufgaben geworden. Der professionelle Einsatz der einzelnen Compliance-Instrumentarien in den Unternehmen variiert jedoch, und zu oft bleibt die konsequente Durchsetzung eines Compliance Management Systems (CMS) auf halber Strecke stehen.

Studie „Compliance Readiness in deutschen Unternehmen 2015“

Betrachtet man die Ergebnisse einer Studie im Kontext eines Projektes der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt, bei der im Dezember 2014 169 Compliance-Verantwortliche aus deutschen Unternehmen befragt wurden, so bestätigt sich der Eindruck eines teils fahrlässigen Umgangs mit der Thematik Compliance.

Aspekte dieser Studie waren unter anderem die Auslöser einer Compliance-Aktivierung und aktiven Umsetzung im Unternehmen sowie der aktuelle Ist-Zustand und die Probleme bei der Umsetzung aller Compliance-Anforderungen. Nachfolgend werden einige Ergebnisse der Studie im Hinblick auf den Compliance-Bereich dargestellt und erläutert.

Ist der Ruf erst ruiniert …

Fast alle Teilnehmer der Studie sind sich über die Wichtigkeit des Imagewertes ihres Unternehmens gegenüber Kunden und Lieferanten bewusst. Die nachfolgende Grafik zeigt die Gründe für die Einführung eines Compliance Management Systems auf:

grafik1
Quelle: Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Grafik: WIRTSCHAFTScampus

Die ersten beiden Prioritäten eines CMS sehen die Teilnehmer der Studie eindeutig in den Segmenten der Einhaltung gesetzlicher Vorschriften (94%) und der Befolgung von internen, operativen Verhaltensrichtlinien (89%). Dicht gefolgt werden dann die sich im direkten kausalen Zusammenhang befindlichen Gründe der Korruptionsprävention (83%) und der Haftungsvermeidung (79%) gesehen, die sowohl das Unternehmen wie auch die Mitarbeiter präventiv schützen sollen.

Als weitere Hauptgründe für eine bewusste und nachhaltige Einsetzung eines Compliance-Management-Systems nennen die Befragten sowohl die Vermeidung von Imageschädigung durch Compliance-Verstöße, Einhaltung von Vorschriften im Bereich Kartellrecht sowie Vermögensdelikte und die Stärkung des Vertrauens bei den Mitarbeitern durch den Einsatz von Compliance-Instrumenten.

grafik2
Quelle: Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Grafik: WIRTSCHAFTSCAMPUS

Hinterfragt man die Aspekte, welche durch die Einführung eines Compliance-Systems unterbunden werden sollen, so steht hier ganz eindeutig die Korruption bzw. die Bestechung von Mitarbeitern mit 89 Prozent an erster Stelle. Im Weiteren folgen
• Vermögensdelikte 70 Prozent
• Wettbewerbsdelikte 69 Prozent
• IT- und Datenschutzdelikte 66 Prozent

Betrachtet man die oben genannten Compliance-Schwerpunkte, definieren sich die internen und betroffenen Unternehmensbereiche Einkauf, Vertrieb und Mitarbeiter aus dem mittleren Management als besondere Zielfaktoren des Einsatzes von Compliance-Instrumentarien. Eine allumfassende Transparenz in ausdrücklich allen Abteilungen des Unternehmens und die sich daraus ergebende Imagesteigerung definieren den zu erreichenden und nachhaltigen Erfolg der Compliance-Aktivitäten.

Compliance Management?? – Brauchen wir nicht!!

Obwohl unter den Befragten eine im Großen und Ganzen einheitliche und positive Meinung zur Einführung und Notwendigkeit eines internen Compliance Management Systems besteht, können doch nur 79 Prozent der Befragten auf ein tatsächlich eingeführtes und aktives CMS im Unternehmen zurückgreifen.

Somit ist Handlungs- bzw. Nachholbedarf im Compliance-Segment in jedem fünften deutschen Unternehmen gegeben! Hinterfragt man die Gründe der Untätigkeit im Bereich Compliance, so antworteten die Befragten, es liegt an dem fehlenden operativen Bedarf und / oder fehlenden Möglichkeiten innerhalb des Unternehmens.

Aber selbst in Unternehmen, in denen es bereits zur Einführung von Compliance-Maßnahmen gekommen ist, herrscht Unzufriedenheit durch eine mangelhafte Umsetzung von Compliance-Instrumentarien sowohl auf interner wie externer Ebene. Somit stockt die praxisbezogene und tägliche Umsetzung des Compliance Managements in jedem dritten Unternehmen.

In Unternehmen, in denen Compliance bereits im täglichen Arbeitsumfeld und dem Bewusstsein der Mitarbeiter manifestiert ist, ist der Grad der Umsetzung eines CMS entscheidend für seine Effektivität. Während 82 Prozent der Befragten den ersten Schritt, nämlich die Festlegung und Dokumentation von Compliance Standards wie zum Beispiel die Erarbeitung eines Ethik-Kodex, der Entwicklung eines innerbetrieblichen Kontrollsystems (IKS) und anderen Richtlinien, bereits unternommen haben und immerhin noch 79 Prozent Schulungen der Mitarbeiter zu den Präventivmaßnahmen veranstalten, fehlt es häufig an den im nächsten Schritt notwendigen Kontrollen oder der notwendigen Aktualisierung bestehender Dokumentationen.

Gerade einmal 69 Prozent kontrollieren die strikte Einhaltung der verabschiedeten Compliance-Richtlinien durch regelmäßige Kontrollmaßnahmen, und gerade mal jedes zweite Unternehmen hat Regularien definiert, wie mit aufgedeckten Regelverstößen umzugehen ist.

grafik4
Quelle: Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Grafik: WIRTSCHAFTScampus

Risiko? – Mir passiert schon nichts!

Genau hier beginnt das immer noch große, bestehende Risiko bei jedweder Form von Verstößen gegenüber bestehenden, definierten Regeln innerhalb des Unternehmens.

In einer parallel durchgeführten Befragung von 1.000 Mitarbeitern unterschiedlicher Unternehmensbranchen und Größen erkannte man bei der Auswertung im Bereich Risikomanagement, dass gerade einmal 36 Prozent der Befragten die Compliance-Regeln ihres Unternehmens kennen und sich daran halten. Nur 25 Prozent der Befragten war sich zwar bewusst, dass es ein internes Regelwerk gibt, doch durch fehlende regelmäßige Kontrollen wird dieses Regelwerk eher beiläufig und nicht konsequent in der täglichen Praxis umgesetzt.

Unter den Befragten gaben 17 Prozent an, in Ihrem Unternehmen gäbe es keinerlei Compliance-Richtlinien. Viel erschreckender ist die Zahl von 23 Prozent der Befragten, die angaben, noch niemals von „Compliance“ gehört zu haben oder sich unter diesem Begriff etwas vorstellen zu können.

Ausdrücklich muss hier darauf hingewiesen werden, dass diese Fraktion der „Nichtwisser“ nicht nur aus kleinen und mittelständischen Unternehmen, sondern auch aus Großunternehmen gekommen sind. 53 Prozent der Befragten, welche mit dem Begriff „Compliance“ nichts assoziieren konnten, waren in Unternehmen mit mehr als 500 Mitarbeitern tätig; 24 Prozent sogar mit mehr als 5.000 Mitarbeitern.

Compliance – Eine Frage der Größe?!

Es bestätigt sich die Favoritenposition im Bereich Compliance innerhalb von Großunternehmen mit einer Mitarbeiterzahl von mehr als 5.000 Angestellten, in denen die Methoden und Maßnahmen aus dem Segment Compliance gekannt und in der Praxis angewendet werden.

Obwohl hier deutlich mehr geschult und analysiert wird, erkennt man, durch unterdurchschnittliche Aufklärung der Mitarbeiter bei gleichzeitig, teils nachlässiger, Kontrollfunktion des Compliance-Bereiches, tritt eine signifikante Fehlfunktion zwischen der optimalen Nutzung des CMS und der Bewältigung der täglichen Arbeitsleistungen auf. Ausdrücklich sollte durch die immer weiter ansteigende Zahl von Compliance-Verstößen in den letzten 12 bis 24 Monaten ein effektives und nachhaltiges CMS keine Frage der Unternehmensgröße oder Anzahl der Mitarbeiter sein.

Geschenke erhalten die Freundschaft – oder doch nicht??

Neben allgemein gültigen Fragen zu Compliance im Allgemeinen oder einer spezifischen Umsetzung eines CMS im Unternehmen wurden die befragten Mitarbeiter auch im Segment Compliance-Sensibilisierung befragt. Mit der Annahme von Geschenken, Einladungen oder besonderen Vergünstigungen werden viele Mitarbeiter – gleich welcher Position oder Unternehmensgröße – konfrontiert.

Erschreckend ist festzustellen, dass unter den Befragten 25 Prozent erklärten, sie sähen keine Probleme in der Annahme von Geschenken oder Vergünstigungen von Zulieferern und Kunden. Gerade einmal 20 Prozent beurteilten Aufmerksamkeiten im Wert von über 30 Euro als Schmerzgrenze bei der Entgegennahme dieser Aufmerksamkeiten durch Dritte, während hier ein Großteil der Mitarbeiter verunsichert ist. Eine eindeutige und strikte Festlegung von Regeln unter Compliance-Sicht ist oft nicht gegeben und sollte geschaffen werden, um eben genau diesen Mitarbeitern zu helfen und ihnen ein erhebliches Sicherheitsgefühl gegenüber Vorgesetzten zu vermitteln. Momentan würde gerade einmal nur jeder fünfte Mitarbeiter das Gespräch und den Rat mit seinem Vorgesetzten suchen.

Ausblick: Compliance im Zeitalter von Industrie 4.0

Die erste industrielle Revolution begann Mitte des 18. Jahrhunderts mit der Mechanisierung der Landwirtschaft, Rohstoffgewinnung und -verarbeitung sowie der Produktion auf der Grundlage der Dampfmaschine. Zudem erfolgte durch die Verbreitung von Dampfschiffen, Eisenbahnen und dem Bau von Kanälen, wie z. B. dem Suez-Kanal, eine großflächige Vernetzung von Gewinnungs- und Produktionsstätten.

industrielle_revolution
Quelle: Studie „Industrie 4.0 – Volkswirtschaftliches Potenzial für Deutschland“, Fraunhofer-Institut
und BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., 2014
Grafik: WIRTSCHAFTScampus

Bereits zum Ende des 17. Jahrhunderts kündigte sich mit dem ersten mechanischen Webstuhl und der Inbetriebnahme des ersten Fließbands in Cincinnati die erste bzw. zweite industrielle Revolution an. Mit dem Ende des 19. Jahrhunderts setzte sich diese Entwicklung mit der flächendeckenden Elektrifizierung von Städten, Eisenbahnen und Produktionsstätten fort. Außerdem erfolgte ein umfassender Einsatz von Transportmitteln wie Automobile, Lastkraftwagen und Flugzeuge, die durch Verbrennungsmotoren angetrieben wurden. In diese zweite Industrielle Revolution fällt auch die Entwicklung von Telegraphen und Telefonen zur Kommunikation und Koordination von Produktionssystemen.

Mit der Erfindung des Computers Mitte des 20. Jahrhunderts begann die dritte industrielle Revolution, die durch Automatisierung, computergestützte Massenproduktion und Individualisierung gekennzeichnet ist. In dieser Phase haben Computersysteme, beginnend mit einfachen NCProgrammen, weite Teile der Steuerung von Maschinen und Prozessen übernommen.

Die intelligente internetgestützte Vernetzung von Objekten, Maschinen und Menschen mit Informations- und Kommunikationstechnik-Systemen (IKT) stellt den erwarteten nächsten großen Schritt, Industrie 4.0, in der Entwicklung der Produktion dar.

Nach den Neuerungen, die Dampfkraft, Fließbandprinzip und elektronische Steuerung in die Werkhallen brachten, ist es nun die Vernetzung von Maschinen und Produkten, die das Gesicht der Industrie nachhaltig verändern und langjährig bestehende Arbeitsprozesse branchenübergreifend aufbrechen wird.

Das Internet und die Fertigung wachsen somit zusammen. Mit dem Auftauchen cyber-physischer Systeme, ein Verbund informatischer, softwaretechnischer Komponenten mit mechanischen und elektronischen Teilen, die über eine Dateninfrastruktur kommunizieren, entstehen Kommunikations-Infrastrukturen, die eine völlig neue Grundlage industrieller Wertschöpfung bieten. Die vierte industrielle Revolution, Industrie 4.0, kündigt sich nicht an, sondern wir bewegen uns bereits jetzt in dieser neuen, epochalen Phase, und schon jetzt sollten wir Überlegungen anstellen, was uns in der fünften industriellen Revolution erwarten wird.

e_crime_2

Pepper freut sich

Anfang Juni 2015 hat das japanische Unternehmen Softbank seinen überarbeiteten Roboter Pepper vorgestellt, den ersten Roboter, der nicht nur auf die Emotionen seines Gegenüber reagiert, sondern auch selber Emotionen wie Freude und Trauer entwickeln kann, indem er Signale seiner Umwelt aufnimmt und analysiert.

Um diese Form emotionaler Interaktion möglich zu machen, haben sich die Entwickler daran orientiert, wie der menschliche Körper auf äußere Stimulationen reagiert: Er schüttet Hormone aus, die wiederum unsere Emotionen beeinflussen. Wir sehen, hören, fühlen, riechen, schmecken, nehmen unsere Umgebung also sinnlich wahr und reagieren auf der Grundlage dieser Sinnesdaten. Auch wenn die Emotionen des Roboters noch (!) vergleichsweise rudimentär ausgeprägt sind, ähneln sie im Ansatz denen eines Menschen.

Durch die eingebauten Hilfsmittel wie Kameras, Sensoren oder Beschleunigungsmesser nimmt der Roboter Informationen aus seiner Umgebung auf und passt sein Verhalten an die Situation an – je nachdem, in welche Stimmung ihn die aufgenommenen Daten versetzen.

Ein „Problem“ gibt es dennoch mit Pepper, nach Verkaufsstart war er bereits nach 60 Sekunden durch weltweite Verkäufe ausverkauft …

Das Szenario

Eine Werkhalle, irgendwo in Deutschland: Maschinen stanzen, bohren und biegen. Werkstücke fahren über Transportbänder. Kreuz und quer geht es, nichts steht, alles greift stumm ineinander. Industrie 4.0 ist ein lautloses Geschäft. Natürlich sind da noch immer die Arbeitsgeräusche von Maschinen und Transporteinheiten. Doch der Kern von Industrie 4.0 ist die Kommunikation und diese Kommunikation ist stumm.

Anderenorts, in einem gekühlten Raum im Keller, läuft das gleiche Szenario noch mal ab. In den Speichern leistungsstarker Computer wird digital gestanzt, gebohrt und gebogen. Alles redet miteinander. Maschinen, Werkstücke, Transporteinheiten stimmen sich darüber ab, was wo als nächstes zu tun ist.

Epilog

Gerade die deutsche Industrie steht vor einem elementaren Wandel. Sie muss die Herausforderungen der Digitalisierung annehmen und Lösungen entwickeln. Nur so wird sie ihre führende Stellung in vielen Märkten behaupten und ausbauen. Zugleich erleben wir mit Industrie 4.0 den Aufbruch in das Zeitalter der Datenökonomie: Wer kann über welche Daten verfügen und damit eine führende Rolle einnehmen? Mit der Vernetzung nehmen aber auch die Risiken intern im Unternehmen, extern in der Zusammenarbeit zwischen Unternehmen (Zulieferer und Kunden) und der Bedarf an Schutz vor Industriespionage zu.

Die Entwicklung eines belastbaren Rechtsrahmens ist dazu genauso unverzichtbar wie die Entwicklung von neuen Anforderungen im gesamten Compliance-Bereich. Juristen sind gefragt, zusammen mit der technischen und der kaufmännischen Seite tragfähige Lösungen im Bereich Software, Cloud, Smart Data, IT Sicherheit und Datenschutz zu entwickeln und umzusetzen und dies alles unter dem Hintergrund, dass Industrie 4.0 bereits begonnen hat und sich, wenn auch langsam, die nächste industrielle Revolution schon leise ankündigt.

Quellenangaben:

Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Studie „Industrie 4.0 – Volkswirtschaftliches Potenzial für Deutschland“, Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO und BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., 2014
Artikel „Industrie 4.0 im Kontext von IT-Recht & Compliance“, RA Dr. Alexander Duisberg, 2015
Seminar: „IT-Trendes – Die Rolle von IT sowie IT-getriebener Innovationen im geschäftlichen Umfeld“, Georg-August-Universität Göttingen Wirtschaftswissenschaftliche Fakultät. Professur für Electronic Finance und Digitale Märkte, 2015

e-Crime und Compliance

e_crime_1

Anfang Februar 2015 hat die Firma Anthem, zweitgrößter Krankenversicherer in den USA, bekannt gegeben, dass sie Opfer eines Cyberangriffs wurde, bei dem aus einer Datenbank ungefähr 80 Millionen Datensätze gestohlen wurden. Darunter waren persönliche Informationen von mehreren Millionen ehemaligen Kunden, aktuellen Kunden und Anthem-Mitarbeitern. Die Ermittlungen und Untersuchungen laufen und deuten darauf hin, dass die Ursprünge der Attacke in China liegen.

 

e-Crime und Cybercrime in Zahlen

Die schockierenden Zahlen der Anthem-Datenpanne lassen nur vermuten, wie schlimm es um die Datensicherheit weltweit bestellt ist. Laut einer aktuellen Symantec Studie von 2014 werden jährlich 400 Millionen Menschen weltweit Opfer von Cybercrime. Eine aus 500 Webseiten ist mit Malware (Schadprogramme) infiziert. Bei 61 % dieser Seiten handelt es sich um eigentlich normale Webseiten, die unbemerkt von Hackern infiltriert und infiziert worden sind. Es gibt täglich mehr als 1 Millionen Opfer von Cyberangriffen. Dabei liegen die durchschnittlichen Kosten einer Cyberattacke bei 220 €.

 

e-Crime und Cybercrime – Was ist das?

e-Crime bezeichnet die Ausführung von wirtschaftskriminellen Handlungen unter Einsatz von Informations- und Kommunikationstechnologie zum Schaden einer Einzelperson, eines Unternehmens oder einer Behörde. Dies kann sowohl zu einer Schädigung von Sachwerten, zum Beispiel durch Sabotage an Computersystemen, als auch zur Verletzung von Verfügungsrechten an immateriellen Gütern, etwa durch den Diebstahl von Quellcode, Kundendaten oder anderen Informationen führen.

Außerdem können die auf den Systemen basierenden Geschäftsprozesse eines Unternehmens empfindlich beeinträchtigt werden. Informations- und Kommunikationssysteme können hierbei Ziel der Tathandlung, aber auch Tatwerkzeug an sich sein. e-Crime umfasst damit nicht nur Angriffe von außen unter Nutzung von Schadsoftware oder Systemlücken über das Internet (auch als Cyberraum bezeichnet).

Vielmehr umfasst e-Crime im Gegensatz zu Cybercrime auch den internen Täter sowie das breite Spektrum weiterer Möglichkeiten der Informations- und Kommunikationstechnologie als Werkzeug von Straftaten.

Ebenfalls zu beachten sind klassische wirtschaftskriminelle Handlungen, die durch den Einsatz von Informations- und Kommunikationstechnologie erst möglich beziehungsweise erleichtert werden, oder bei denen IT-Werkzeuge zur Verschleierung dienen. Ein Beispiel dafür ist das sogenannte Rogue Trading, wobei Händler unter der Ausnutzung von Kontrollschwächen in Finanz-Handelsplattformen gegen Genehmigungsgrenzen verstoßen und nicht genehmigte Transaktionen ausführen beziehungsweise Kontrollmechanismen aushebeln.

 

e-Crime in der Vergangenheit

Bereits in der Zeit, in der ein PC oder Laptop noch nicht im Büro fast eines jeden Mitarbeiters stand, gab es Computerkriminalität und somit die ersten Vorläufer von e-Crime. Als die ersten beiden Beispiele gelten für die frühe Form der Computerkriminalität die beiden nachfolgend dargestellten Fälle:

 

1968 – 1970

Schüsse auf IBM 1401

Olympia im Bundesstaat Washington

Ein unbekannter Täter feuert mit einer Pistole gezielt auf einen IBM 1401 Computer und flieht. Hintergründe über den Täter oder das genaue Motiv werden nie bekannt. Allerdings lag die Vermutung nahe, dass es sich hier um den Racheakt eines Unbekannten auf eine falsche Rechnung handeln könnte, da gleiche Taten sich in kurzen Zeiträumen in anderen Bundesstaaten sowie in Johannesburg / Südafrika ereigneten.

Auch hier waren es immer fehlerhafte Rechnungen oder fehlerhafte Bescheide durch das Finanzamt, welche die Täter zu ihren Angriffen auf die Computer motivierten.

1970 – 1972

Albert, der Saboteur

Grand Junction in der National Farmers Union Service Corporation im Bundesstaat Denver

Einer der ersten ernst zu nehmenden Fälle von Cyberkriminalität geschah über einen Zeitraum von zwei Jahren in Denver, wo ein Rechner des Typs Burroughs B3500 56 Mal durch einen Festplatten-Head-Crash außer Funktion gesetzt wurde. Techniker des Herstellers Burroughs wurden aus allen Teilen der USA eingeflogen. Die Reparaturkosten beliefen sich auf ca. 3,2 Millionen US$, wenn man die damaligen Kosten in US$ auf den heutigen Stand umrechnet. Doch alles blieb über 2 Jahre ein Rätsel.

Die einzige Auffälligkeit in diesen 2 Jahren war, dass grundsätzlich alle Ausfälle des Rechners in der Nacht auftraten. Dies legte die Vermutung nahe, dass es sich um gezielte Sabotage handeln könnte. Eine solche wurde aber ausgeschlossen, da der allzeit hilfsbereite und verlässlich scheinende Nacht-Operator Albert, der in all den Jahren die Techniker sogar mit Kaffee und Donuts versorgt hatte, über jeglichen Verdacht erhaben schien.

Erst nachdem die Techniker eine versteckte Kamera im Operator-Raum installierten, konnten sie das Rätsel bei Auftreten des 57. Head Crashes lösen. Albert, der freundliche Techniker, war auf dem Film der Kamera zu sehen, wie er das Festplattengehäuse öffnete, mit seinem Autoschlüsseln den Schreib-/Lesekopf der Festplatte schädigte und den Rechner zum Absturz brachte.

Auf den Grund angesprochen, erklärte der „freundliche“ Albert, dass er sich immer einsam in den Nächten gefühlt hätte und erst nach dem zufälligen Auftreten des ersten Head-Crashes gemerkt hätte, wie schön es wäre, in der Nacht Gesellschaft von Technikern und weiterem Personal zu haben und sich gleichermaßen als wichtiger Mitarbeiter im Unternehmen zu fühlen.

 

e-Crime heute

Eine Gruppe von Hackern mit dem Namen „Carbanak“ hat nach Medienberichten 1 Mrd. Dollar von rund 100 Finanzinstituten in 30 Ländern gestohlen (DIE WELT vom 15. Februar 2015). Aufgeklärt wurde der digitale Bankraub demnach vom IT-Sicherheitsunternehmen Kaspersky. Laut Kaspersky steckten „Cyberkriminelle aus Russland, der Ukraine, der EU und China“ hinter der Aktion, die über einen Zeitraum von zwei Jahren ausgeführt worden sei.

Hierzu hätten die Hacker auf die Steuerung von Videokameras in Banken sowie Computer einzelner Mitarbeiter zugegriffen, unter anderem, indem dort Trojaner-Programme installiert wurden. Zuvor seien die Täter mit „Phishing-Methoden“ in Mailkonten eingedrungen. Dann seien sie „Rechner um Rechner“ auf die „Computer der Administratoren“ vorgedrungen. Dort hätten sie weitere „Remote Access Tools“ installiert, um Passwörter mitzuschneiden. Je Bankraub seien „bis zu zehn Millionen Dollar“ erbeutet worden.

Angriffe seien auf Russland, die USA, China, Frankreich, Großbritannien, die Schweiz und Deutschland ausgeführt worden. Mindestens neun Banken in Deutschland seien betroffen. Kaspersky habe die Aktivitäten gemeinsam mit den Polizeiorganisationen INTERPOL und Europol entdeckt und aufgeklärt. Die Ermittler machten sich zunutze, dass im Winter 2013 in Kiew verdächtige Aktivitäten an einem Bank-Automaten aufgezeichnet worden seien. Die Bank habe schließlich „die Experten von Kaspersky“ mit Ermittlungen beauftragt. Möglicherweise seien aber die IT-Dienstleister Fox-IT und GroupIB im Jahr 2014 ebenfalls auf „einen Ring, der etwa 50 russische Banken angegriffen hatte“ gestoßen. Damals sei ein Trojaner namens „Anunak“ genutzt worden.

 

e-Crime – Studie 2015

Unter dem Titel “e-Crime Computerkriminalität in der deutschen Wirtschaft 2015″ hat KPMG zum dritten Mal eine umfassende Studie zum Thema e-Crime und Cyberkriminalität vorgelegt. Für diese Studie wurden 500 Unternehmen in Deutschland aller Größen und Branchen durch das Forschungsinstitut TNS Emnid befragt.

Die Studie zeigt auf, dass innerhalb der letzten beiden Jahre 40% der befragten Unternehmen Opfer von Computerkriminalität wurden. Eine bedrohliche Zahl und ein Anstieg gegenüber 2013, denn in 2013 waren es „nur“ 27%. Vergleicht man diese beiden Zahlen, so spricht man von einem gleichermaßen gefährlichen wie bedrohlichen Zuwachs von 50% innerhalb von zwei Jahren.

Nachfolgend werden nun einige Keynotes der KPMG-Studie dargestellt.

Frage: Von welchen Delikten und in welcher Form war Ihr Unternehmen in den vergangenen Jahren von e-Crime-Handlungen betroffen?

Angaben in Prozent (Mehrfachnennungen möglich)

risiko-e-crime
Quelle: Studien „e-Crime Computerkriminalität in der deutschen Wirtschaft 2013 und 2015“ – KPMG
Grafik: WIRTSCHAFTScampus

 

Gegenüber den Ergebnissen der Studie des Jahres 2013 hat sich die deliktspezifische Risikowahrnehmung geringfügig verschoben. Datendiebstahl und Computerbetrug sind nun die meistgefürchteten Deliktstypen und in der Einschätzung der Befragten an der Verletzung von Geschäfts- und Betriebsgeheimnissen sowie der Verletzung von Urheberrechten vorbeigezogen.

Insgesamt kann man feststellen, dass es nicht die eine typische e-Crime-Handlung gibt, sondern Unternehmen sich gegen eine Vielzahl verschiedener Delikte wappnen müssen. Folglich müssen Unternehmen einerseits im Blick behalten, welche Delikte sie häufig und kostenintensiv betreffen und sich dementsprechend vorbereiten, andererseits dürfen sie aber die Gesamtheit aller Delikte nicht außer Acht lassen.

 

Frage: Welche der folgenden Anwendungen von Informationstechnologie schätzen Sie als besonders risikobehaftet für Ihr Unternehmen ein?

Angaben in Prozent (Mehrfachnennungen möglich)

risiko-technologie
Quelle: Studien „e-Crime Computerkriminalität in der deutschen Wirtschaft 2013 und 2015“ – KPMG
Grafik: WIRTSCHAFTScampus

 

Bei der Betrachtung von IT-Anwendungen sind es insbesondere die Herausforderungen der mobilen Telekommunikation und mobiler Endgeräte, welche die Befragten besonders beschäftigen. So schätzen, wie schon 2013, knapp zwei Drittel der Befragten mobile Telekommunikation als eine besonders risikobehaftete IT-Anwendung ein. Die Hälfte der Befragten schätzt zudem die dienstliche E-Mail-Kommunikation sowie die Verwendung sozialer Netzwerke als besonders risikobehaftet ein. Auch wenn die technischen Möglichkeiten für konkrete e-Crime-Delikte bei den genannten Technologien nicht jedem Anwender im Detail bekannt sein werden, bieten sie durch die Fülle an dort gesammelten und auch zum Teil öffentlichen Informationen eine breite Angriffsfläche, die für weitere Delikte genutzt werden kann.

Überraschenderweise wird die geschäftliche (Mit-)Nutzung von Privatgeräten (sogenanntes „Bring your own Device“, BYOD), vergleichbar zur vergangenen Studie, lediglich von einem Drittel der Befragten mit Sorge betrachtet. Den Antworten der Befragten zufolge stellen diese sicher, dass Smartphones, Tablets und Ähnliches von Unternehmen gestellt werden und Richtlinien implementiert sind, die den korrekten Gebrauch dieser Geräte festlegen, oder es besteht ein grundsätzliches Verbot der Verwendung von Privatgeräten.

 

Frage: Welche Umstände begünstigen Ihrer Meinung nach das Entstehen von e-Crime besonders? (Unternehmen, die in den vergangenen zwei Jahren von e-Crime betroffen waren)

Angaben in Prozent (Mehrfachnennungen möglich)

risiko-mitarbeiter
Quelle: Studien „e-Crime Computerkriminalität in der deutschen Wirtschaft 2013 und 2015“ – KPMG
Grafik: WIRTSCHAFTScampus

 

Hinsichtlich begünstigender Faktoren für e-Crime erweisen sich die komplexe Technik sowie die mangelnde Achtsamkeit und das eingegrenzte Verständnis potenzieller Risiken durch Mitarbeiter weiter als nicht beherrschbar. Mindestens 77 Prozent der Befragten betrachten diese Kategorien mit besonderer Sorge.

Insbesondere Unachtsamkeit nimmt gegenüber der Vorgängerstudie und auch der Studie zur Wirtschaftskriminalität eine noch prominentere Position ein. Diesen Faktor nennen 88 Prozent der Unternehmen als begünstigend. Dieses Ergebnis betont noch einmal, wie wichtig sensibilisierende Maßnahmen für die Beschäftigten sind, damit sie die nötige Umsicht im Umgang mit Systemen, Daten, Prozessen sowie potenziellen Tätern entwickeln.

 

Frage: Welche der folgenden Maßnahmen wurden zur Aufklärung der Sachverhalte ergriffen? (Unternehmen, die in den vergangenen zwei Jahren von e-Crime betroffen waren)

Angaben in Prozent (Mehrfachnennungen möglich)

aufklaerungsmassnahmen-grafik
Quelle: Studien „e-Crime Computerkriminalität in der deutschen Wirtschaft 2013 und 2015“ – KPMG
Grafik: WIRTSCHAFTScampus & texelart / Fotolia.com

 

Daten und Menschen sind nach wie vor der Schlüssel zur Aufklärung. Der grundsätzliche Maßnahmenkanon und seine Strukturierung sind im Wesentlichen konstant geblieben. Die Häufigkeit, mit der Aufklärungsmaßnahmen durchgeführt wurden, ist jedoch mehrheitlich gesunken. So wurde nur noch in 63 Prozent der Fälle eine elektronische Datenanalyse vorgenommen(2013: 77 Prozent). Hintergrundrecherchen kamen nur in 40 Prozent der Vorfälle zum Einsatz, ein Rückgang um 32 Prozentpunkte gegenüber 2013.

Die dritte klassische Maßnahme der operativen Aufklärung, die Mitarbeiterbefragung, wurde in 44 Prozent der Fälle vorgenommen (2013: 56 Prozent). Zutrittsprotokoll und Buchhaltungsdaten wertet jeweils etwa ein Drittel der Unternehmen aus. Andere Maßnahmen, wie beispielsweise die Analyse von E-Mail-Konten oder die Spiegelung von Festplatten, führen lediglich rund 27 Prozent der Befragten durch.

 

IT-Compliance – Was ist das?

IT-Compliance definiert sich in die nachfolgenden vier Schwerpunkte:

  • IT-Compliance als Verhalten, bei dem von den Unternehmensmitgliedern sämtliche für die IT relevanten Vorgaben beachtet und erfüllt werden. Die Verhaltensvorgaben können explizit in Form eines Verhaltenskodex festgeschrieben werden. Der Kodex dient als Orientierung für das regelkonforme Verhalten der Mitarbeiter.
  • IT-Compliance als Zustand, in dem sämtliche für die IT relevanten Vorgaben nachweislich eingehalten werden. Die Notwendigkeit der Nachweisbarkeit ergibt sich aus der Verpflichtung gegenüber internen (z.B. die interne Revision) und externen (z.B. die Bundesanstalt für Finanzdienstleistungsaufsicht) Interessengruppen.
  • IT-Compliance als Managementsystem, das im Kern aus dem IT-Compliance-Prozess besteht. Das Management der IT-Compliance umfasst typischerweise die Identifikation der relevanten Regelwerke, die Ableitung der Compliance-Anforderungen, die Implementierung und Überwachung geeigneter Maßnahmen zur Erfüllung der Compliance-Anforderungen sowie die daraus resultierende Berichterstattung.
  • IT-Compliance als Institution, die für die Durchführung bzw. Übertragung von Aufgaben und die Zuweisung von Verantwortung an alle Betroffenen zuständig ist. Hier geht es nicht nur um die Etablierung einer Organisationseinheit „IT-Compliance“, sondern vor allem um die strukturelle Ausrichtung innerhalb eines Unternehmens (z.B. zentrale vs. dezentrale Ausrichtung). Die wesentlichen Aufgaben übernimmt dabei der sog. IT-Compliance-Officer, der beispielweise für die Gestaltung und Weiterentwicklung des IT-Compliance-Managementsystems sowie die Abstimmung und Koordination mit der Compliance auf der Gesamtunternehmensebene zuständig ist.

Zudem kann zwischen Compliance von IT und Compliance durch IT unterschieden werden.

Bei Compliance von IT müssen die im Unternehmen eingesetzten IT-Systeme den gesetzlichen und anderen regulatorischen Vorgaben genügen, die für die Einführung, den Betrieb und die Wartung derartiger Systeme verbindlich sind. Bei Compliance durch IT handelt es sich um IT-Systeme, die als Hilfsmittel zur Erfüllung von gesetzlichen und anderen regulatorischen Vorgaben eingesetzt werden. Beide Sichtweisen greifen ineinander und sind notwendig, um die nachweisliche Erfüllung von IT-Compliance-Vorgaben sicherzustellen.

Weiterhin beinhaltet IT-Compliance die Einhaltung und Überwachung der Compliance-Anforderungen an die IT selbst sowie die Umsetzung der Compliance-Anforderungen mit IT-Unterstützung. Der Begriff IT-Compliance lässt sich durch eine einzelne Definition nicht vollständig abgrenzen. In der praxisbezogenen Umsetzung haben sich folgende drei Instrumentarien der IT-Compliance durchgesetzt. Mit deren Inanspruchnahme und Durchsetzung werden alle Segmente abgedeckt, die der Begriff IT-Compliance umfasst.

instrumentarien-IT-Compliance

Um eine spezifische Prävention gegen Regelverstöße sicherstellen zu können, bedarf es zunächst einer Analyse, welche der bestehenden Gesetze für das Unternehmen relevant sind. Weiterhin muss eine unternehmensinterne Analyse erfolgen, welche vertraglichen Vereinbarungen und internen Regeln beachtet werden müssen. Die Geschäftsführung muss dann organisatorische und technische Maßnahmen treffen, um Verstöße gegen geltende Gesetze zu vermeiden.

Um für das Unternehmen existenzbedrohende Risiken bereits frühzeitig erkennen zu können, muss ein Risikofrüherkennungs- und -überwachungssystem eingerichtet werden. Dabei ist das IT-Risikomanagement ein Teil des unternehmensweiten Risikomanagements.

Um der Geschäftsleitung einen Anreiz gegen strafbares Verhalten zu geben, kann der Verstoß gegen festgeschriebene Compliance-Vorgaben mit persönlichen Folgen verbunden sein. Das bedeutet, dass die Unternehmensleitung im Schadensfall (z. B. Schaden eingetreten in Folge eines IT-Systeme-Ausfalls) durch Gerichte persönlich haftbar gemacht werden kann.

risiko_2 Titel

Ausblick: e-Crime und Sicherheitsanforderungen am Beispiel Industrie 4.0

Das Zukunftsthema Industrie 4.0, verdeutlicht exemplarisch sowohl die wirtschaftlichen Chancen als auch die besonderen Herausforderungen, welche auf Unternehmen jedweder Größe und Branche zukommen werden.

In Industrie 4.0 verschwinden die Grenzen zwischen den vormals getrennten Informations- und Kommunikations-Technologien (IKT) der Wirtschaft. Produktions-IT, Vertriebslogistik, Zulieferindustrie und Business-IT werden vernetzt, und damit werden IT-Systeme mit ganz unterschiedlichen Sicherheitsanforderungen und Angriffsflächen verbunden. Angreifern eröffnen sich damit neue Möglichkeiten und Wege, in Systeme einzudringen und Schäden, auch in der physischen Welt, zu verursachen. Viren, die man bisher nur von Desktop-PCs kennt, finden sich so z.B. auf einmal in Produktionsanlagen wieder.

Da sich die Gefahren der Cyberkriminalität und die Compliance-Anforderungen im Hinblick auf Industrie 4.0 immer schneller verändern, werden wir in einem der nächsten Beiträge unseres Blogs am Beispiel der Studie „Cyber-Sicherheit 2020: Herausforderungen für die IT-Sicherheitsforschung“ der Fraunhofer-Gesellschaft auf diese aktuelle Thematik gesondert eingehen.

Quellenangaben:

Studie „Attack – The danger of a cybercrime attack“, Symantec 2014
Studie „e-Crime Computerkriminalität in der deutschen Wirtschaft 2013“, KPMG 2013
Studie „e-Crime Computerkriminalität in der deutschen Wirtschaft 2015“, KPMG 2015
Studie „Cyber-Sicherheit 2020“ – Fraunhofer-Gesellschaft 2015
„IT-Governance“ , Univ.-Prof. Dr. Axel C. Schwickert Justus-Liebig-Universität Gießen, 2015
„Facetten der IT-Compliance“, Michael Klotz
„Informationstechnologie, Governance und Compliance“, Dr. Alexander Teubner, Dipl.-Wirt.-Inf. Tom Feller

Kreditkarten und Compliance

k_karten_1

Das Payment Card Industry Security Standards Council hat für den e-Commerce einen Sicherheits- und Compliancestandard definiert, der weltweit für alle am Bezahlprozess beteiligten Parteien gilt. Er trägt zu mehr Sicherheit bei Zahlungen mit Kreditkarten bei und stärkt zugleich das Kundenvertrauen.

 

PCI Standard V3.0

Der Payment Card Industry Data Security Standard, abgekürzt mit PCI bzw. PCI-DSS, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen diese Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Der Payment Card Industry Data Security Standard (PCI) basiert auf den nachfolgenden Programmen:

  • Visa-Account-Information-Security-Programm (AIS und CISP)
  • MasterCard-Site-Data-Protection-Programm (SDP)
  • American Express Security Operating Policy (DSOP)
  • Discover Information Security and Compliance (DISC) (Kreditkarte, die fast ausschließlich in den USA ausgegeben wird)
  • JCB (Japan Credit Bureau) Sicherheitsregeln (Kreditkarte, die fast ausschließlich in Japan ausgegeben wird)

Die aktuell gültige Version V3.0 des PCI-DSS ist vom Januar 2015 und steht bei der PCI Security Standards Council, LLC (Wakefield, MA USA) u.a. auch in Deutscher Sprache unter www.pcisecuritystandards.org kostenlos zum download bereit.

 

PCI – Studie 2015

Die Verizon Communications Inc. (Verizon) ist ein amerikanischer Telekommunikationskonzern, welcher im Zeitraum von 2012 bis 2014 als erstes Unternehmen weltweit bei den Fortune-500-Unternehmen (die 500 umsatzstärksten Unternehmen der Welt) sowie bei großen multinationalen Konzernen in mehr als 30 Ländern eine Studie zum Thema PCI und Compliance durchgeführt hat.

Nachfolgend werden nun einige Keynotes der Studie vorgestellt, um das durch globale Cyberangriffe immer wichtiger werdende Thema IT-Sicherheit und Compliance zu betrachten.

 

Compliance und PCI – Umsetzung im Unternehmen

Fast 80 Prozent der Unternehmen fallen durch die Interimsbewertung ihrer PCI-Compliance und sind damit anfällig für Cyberangriffe.

Mittlerweile werden über zwei Drittel der Einkäufe per Zahlungskarte beglichen. Der Umsatz mit Kreditkarten wird 2015 schätzungsweise 20 Billionen US-Dollar überschreiten. Sicherheit ist für Organisationen, die Transaktionen mit Kreditkarten vornehmen, daher so wichtig wie nie zuvor.

sicherheitsvorfaelle1
Basis: 9.700 Unternehmen weltweit aus allen Branchen
Quelle: Verizon 2015 PCI Compliance Report
Grafik: WIRTSCHAFTScampus

Betrachtet man hier den Anstieg von Vorfällen im Bereich der Datenkriminalität und Cyberangriffen in Bezug auf die letzten Jahre, so zeigt sich deutlich der Anstieg von 66 % dieser Delikte zwischen 2010 und 2014.

 

Compliance und PCI – Warum?

Verbraucher erwarten heute von einem Unternehmen eine sowohl nach innen ins Unternehmen als auch nach außen zur Transparenz und Imagegestaltung gegenüber Kunden kommunizierte Compliance. Scheitert diese Kundenbindung, so wird es jetzt und in der Zukunft immer wichtiger und zugleich schwieriger, den Kunden an das Unternehmen zu binden, um erfolgreich weiter auf dem Markt zu bestehen.

Mit der enormen Zunahme der Schnelligkeit von weltweiten Nachrichten und dem Transfer von globalen Informationen im Hinblick auf Kartenmissbrauch und Cyberattacken beschäftigt sich der Verbraucher heute viel schneller mit der Thematik Datendiebstahl und Datenmissbrauch als noch vor einigen Jahren.

kreditkartenbetrug-schaden
Quelle: „The global cost of payment fraud“, BI Intelligence, 2014
Grafik: WIRTSCHAFTScampus

Durch die Reduzierung der Wahrscheinlichkeit eines Datendiebstahls, können Unternehmen ihre Marke besser kommunizieren, das Vertrauen der Verbraucher absichern und mögliche hohe Gebühren durch aufgedeckten Datenmissbrauch vermeiden. Tatsächlich neigen 69 % aller Verbraucher dazu, mit Unternehmen, bei denen eine Verletzung der Datensicherheit vorliegt, weniger häufig Handel zu treiben.

k_karten_2

Compliance und Mobile Payment

Mobile Payment ist weltweit auf dem Vormarsch. Nur die deutschen Bundesbürger bleiben ihrem liebsten Zahlungsmittel treu: dem Bargeld. Wie die Berechnungen der Deutschen Bundesbank im Jahr 2011 ergaben, nutzten die Bundesbürger bei mehr als 80 % aller Zahlungstransaktionen Bargeld. Dies war vor allem dann der Fall, wenn nur kleine Beträge bezahlt werden sollen. Wertmäßig hingegen lag das genutzte Bargeld nur auf 53 % und damit um einiges niedriger.

In anderen Ländern, wie Schweden und Finnland, verliert das Bargeld im Zahlungsverkehr zunehmend an Bedeutung. Das mobile Bezahlen ist dort längst im Alltag angekommen. In einigen schwedischen Bankfilialen gibt es zum Beispiel mittlerweile nicht einmal mehr Bargeld.

Aktuelle Zahlen liegen leider momentan nur aus den USA vor, da die deutsche Bundesbank erst Mitte 2015 aktuelle Zahlen veröffentlichen wird, doch setzt man diese als Trend an, so zeigt sich auch hier eine deutliche Verschiebung des Verbraucherverhaltens, da 2011 in der Bundesbankstudie Zahlungsinstrumentarien, wie PayPal, ApplePay oder auch die verstärkte Verbreitung des Onlinebankverkehrs, durch die aggressive Werbung der Kreditinstitute kaum oder gar nicht berücksichtigt wurden.

Auch in diesem Bereich und in dem ausgerufenen „War of Cash“ ist es für jedes Unternehmen wichtig, seine Sicherungsstandards im Hinblick auf das Segment Compliance und Kundensicherheit deutlich in den Vordergrund zu stellen. Für die heranwachsende Zielgruppe und die gleichzeitige Selbstverständlichkeit der Internetnutzung, ob nun mit Tablets oder Smartphones, kündigt sich hier eine, vor allem schnelle Veränderung der Zahlungsmethoden durch den Verbraucher an (2011 – Nutzung Smartphone in Deutschland 18 % gegenüber 2014 = 54 % lt. Studie Bundesverband Digitaler Wirtschaft in 2014).


* elektronische Zahlungsmethoden, z.B. PayPal
Quelle: The Nilson Report, Mai 2014
Grafik: WIRTSCHAFTScampus

 

Compliance und PCI – Perspektiven

Der Bericht lässt einen weiteren, besorgniserregenden Trend erkennen: Der Umfang und das Ausmaß der Datenverletzungen der vergangenen zwölf Monate ist der Beweis, dass aktuelle Sicherheits-Techniken die Angreifer nicht stoppen und in vielen Fällen nicht einmal behindern. PCI-DSS-Compliance muss als Bestandteil einer umfassenden Informationssicherheits- und Risikomanagement-Strategie gesehen werden. Eine PCI-DSS-Prüfung kann eklatante Sicherheitslücken aufdecken, die es zu schließen gilt.

Weitere Thematiken und ausführliche Informationen sowie die komplette Studie finden Sie auf der Webseite von Verizon unter www.verizonenterprise.com.

Quellenangaben:

Veröffentlichung: PCI Compliance Report 2015 von Verizon, März 2015
Veröffentlichung: „Faszination Mobile Verbreitung, Nutzungsmuster und Trends“, Bundesverband Digitale Wirtschaft, 2014
Veröffentlichung: All about Security, März 2015
Veröffentlichung: The Nilson Report, Mai 2014
Veröffentlichung: „The global cost of payment fraud“, BI Intelligence, 2014