60
Mittelpunkt
. Als Täter oder Innentäter stellen
sich Menschen aus unterschiedlichsten Moti-
ven und Bedürfnissen selbst in den Mittelpunkt,
bei der Manipulation durch Angreifer werden
Menschen ungewollt oder unbewusst zum Mit-
telpunkt gemacht. Beide Fälle stellen eine enor-
me Bedrohung für Organisationen und Unter-
nehmen dar. Diese Bedrohungen gelten auch
für das Controlling. Angriffe erfolgen von außen
auf das Unternehmen und das Controlling, In-
nentäter stellen eine interne Gefährdung für das
Controlling dar. Ein afrikanisches Sprichwort
besagt treffend, suche den Feind im Schatten
deiner Hütte.
Wie lässt sich das Controlling
schützen?
Wie bereits vorher ausgeführt, lässt sich ein
Unternehmen und das Controlling nur effektiv
schützen, wenn die Gefährdungen und Risiken
bekannt sind. Das Controlling sollte selber –
wie auch alle anderen Abteilungen – einer Ge-
fährdungsanalyse unterzogen werden. Hier
wird das Controlling als Abteilung mit seinen
Mitarbeitern, seiner Geschäftstätigkeit und der
Verankerung in den Unternehmensprozessen
betrachtet. Bei Unternehmen mit mehreren Lo-
kationen und internationalem Geschäft, ist die
Einbindung des Controllings in diese Strukturen
zu prüfen. Zentral geführtes Controlling hat
möglicherweise Schnittstellen zu anderen
Standorten im In- und Ausland. Effektive Si-
cherheitsmaßnahmen für das Controlling
können nur etabliert werden, wenn all diese
internen und externen Facetten begutachtet
wurden. Innerhalb des Controllings müssen
für Sicherheitsmaßnahmen Transparenz und
Akzeptanz hergestellt werden. Jeder Mitarbei-
ter ist Bestandteil der Sicherheit und muss
seinen Beitrag leisten. Wenn sich Mitarbeiter
nicht an die Sicherheitsbestimmungen halten,
kann keine Sicherheit gewährleistet werden.
Der Autor kann aus seiner operativen Arbeit mit
vielen Unternehmen berichten, dass sich die
wenigsten Unternehmen über die Sicherheit
des Controllings Gedanken machen, aus ver-
schiedensten Gründen wird diese Thematik
massiv unterschätzt.
Die Bedrohungs- und
Risikoanalyse des Controllings und die Ab-
leitung von Maßnahmen sind wichtige und
erste Schritte
. Es bleibt viel zu tun!
diesen Unternehmen können letztendlich keine
Beweise für eine strafrechtliche Verfolgung er-
bracht werden.
Welchen konkreten Gefährdungen
unterliegt das Controlling?
Aus Sicht des Autors ist eins der größten Pro-
bleme überhaupt, dass viele Unternehmen und
auch das Controlling keine Transparenz über
die eigene Gefährdung haben. Wer keine Trans-
parenz über eine Gefährdungslage hat, kann
keine entsprechenden Sicherheitsmaßnahmen
etablieren. Viele Unternehmen – gerade die
kleinen und mittelständischen Unternehmen –
haben alles, was Sicherheit betrifft, auf die IT-
Sicherheit reduziert. Die Unternehmen glau-
ben, IT-Sicherheit, Datensicherheit und Daten-
schutzbeauftragter seien eine ausreichende
Sicherheitsarchitektur für ein Unternehmen.
Die Reduzierung der Sicherheit auf diese Fa-
cetten greift zu kurz, sie stellt eindeutig keine
Sicherheit für ein Unternehmen dar.
Wir lesen täglich von erfolgreichen Cyber-
angriffen und von Internetkriminalität. Was wir
in diesem Kontext in der öffentlichen Bericht-
erstattung wahrnehmen, sind oft nur die Symp-
tome, dass eine Homepage gehackt oder über-
nommen wurde oder aus Organisationen und
der Wirtschaft massenhaft Daten oder Informa-
tionen gestohlen wurden. Aus Sicht des Autors
greift diese Bewertung zu kurz, da in fast allen
Fällen, in denen nennenswerte oder massive
Schäden entstehen, Angriffe auf diese Organi-
sationen (den Menschen) lange vorher stattge-
funden haben. Die IT ist ein Aktionsraum für
Angriffe, die IT ist aber nicht DER Aktionsraum.
Bei der Aufklärung, der Ausspähung und
der Vorbereitung von Angriffen durch das
professionelle Verbrechen, spielt der
Mensch eine entscheidende Rolle
. Men-
schen werden angegriffen, weil sie organisa-
tions- oder firmenspezifisches Know-how ha-
ben, Zugang zu Wissensträgern (dort ist Know-
how manifestiert) und die Zugänge zur internen
IT-Systemarchitektur haben. Dies sind Gründe,
warum Menschen zu den bevorzugten Angriffs-
zielen von fremden Nachrichtendiensten und
dem professionellen Verbrechen werden. Im
Kontext des Verbrechens steht der
Mensch im
Wenn solche Informationen ungewollt aus
dem Controlling abfließen, können vielfältige
und massive Schäden für das Unternehmen
entstehen
. Verlust von Märkten und Wettbe-
werbsfähigkeit, Verlust von USP und Nachhal-
tigkeit, Reputations- und Imageschäden, Re-
gress- und Schadensersatzforderungen.
Der erfolgreiche Angriff auf das Controlling ist
ein ernstzunehmender Vorfall in einem Unter-
nehmen. Der Autor ist aktuell Mitglied eines Er-
mittlerteams in einem größeren mittelständi-
schen Unternehmen, bei dem das Controlling
betroffen ist. Ein Mitarbeiter diese Abteilung hat
über längere Zeit Betriebs- und Geschäftsge-
heimnisse (das geplante Lagebild des Unter-
nehmens der Zukunft) an einen Wettbewerber
weitergegeben. Der Mitarbeiter galt als integer
und vertrauenswürdig, war fleißig und gewis-
senhaft. Erst mit der Kündigung und dem Wech-
sel zu dem Wettbewerber hat der Leiter des
Controllings angefangen, über verschiedene
Vorgänge nachzudenken. Im Nachgang hat er
viele Auffälligkeiten festgestellt. Im Rahmen der
internen Ermittlungen konnte man von anfäng-
lichen Verdachtsmomenten nun Beweise für die
Weitergabe und mit Ausscheiden aus dem Un-
ternehmen die Mitnahme/Diebstahl von Be-
triebs- und Geschäftsgeheimnissen nachwei-
sen. Das Ermittlungsverfahren läuft. Über das
Motiv lässt sich im Nachgang nur spekulieren.
Der Leiter des Controllings geht davon aus,
dass dieser Mitarbeiter zum Innentäter gewor-
den ist, weil er vor einigen Jahren im Rahmen
eines Change-Prozesses im Unternehmen kei-
ne Führungsposition übernehmen durfte. Die
Persönlichkeitsstruktur des Mitarbeiters, die
Enttäuschung und Rachegefühle werden wohl
eine Rolle gespielt haben.
Das Entscheidende an diesem Beispiel ist, dass
solche Vorfälle nur aufgeklärt werden können,
wenn in einem Unternehmen die Prozesse der
Sicherheit funktionieren. In diesem Unterneh-
men waren alle relevanten Abteilungen, die ge-
fährdet sein können, in die Unternehmenssi-
cherheit eingebunden. Leider ist dieses Unter-
nehmen eine Ausnahme. Die meisten Unter-
nehmen, die der Autor kennt, haben die
Abteilung Controlling nicht in die Sicherheit des
Unternehmens eingebunden. Somit wird es bei
Vorfällen schwer, Regelverstöße insgesamt
festzustellen, zu verfolgen und zu ahnden. Bei
Wirtschaftsspionage und organisierte Kriminalität