Corona – Auswirkungen auf die IT-Sicherheit im Homeoffice

Covid-19 hält Deutschland und die Welt weiterhin fest im Griff. So wurden seit dem Ausbruch des Corona-Virus zu Beginn des Jahres in einigen Ländern Kontaktbeschränkungen angeordnet oder Ausgangsbeschränkungen verhängt. Während viele Menschen durch das Virus und seine Folgen weitreichende sozioökonomische Auswirkungen erfahren, nutzen Kriminelle die Corona-Pandemie zu ihren Vorteilen, um Cyberangriffe auf Computersysteme von Unternehmen durchzuführen.

Nach einem Bericht von Interpol profitieren Cyberkriminelle insbesondere von Schwachstellen unternehmensgenutzter Systeme und Anwendungen, die im Homeoffice tätige Personen bei der Arbeit unterstützen. Die Hauptproblematik besteht darin, dass die wachsende Zahl der Personen, welche auf Online-Tools zurückgreifen, die vor dem Pandemie-Beginn eingeführten Sicherheitsmaßnahmen oftmals überfordern. Vor diesem Hintergrund suchen Täter verstärkt nach Möglichkeiten Daten zu stehlen, Gewinne zu erzielen oder Störungen zu verursachen.

In diesem Kontext ist eine intensive Auseinandersetzung mit Themen der Cybersicherheit im Homeoffice sinnvoll. Das Forschungsprojekt DeepScan widmet sich der angesprochenen Problematik. Dabei werden potentielle Anomalien, Betrugsmöglichkeiten und Datenmanipulationen in ERP-Systemen mit Hilfe einer Scanning-Architektur erkannt. Vor diesem Hintergund erhalten sowohl Mitarbeiter als auch Unternehmen einen weitreichenden Schutz vor Cyberattacken. Allerdings können Mitarbeiter auch unabhängig von der Unterstützung intelligenter Systeme Maßnahmen ergreifen, um die eigene Sicherheit am Arbeitsplatz zu erhöhen.

Checkliste Cybersicherheit (Interpol)

So ist beispielsweise eine regelmäßige Kontrolle der Software und Systeme empfehlenswert. Hierunter fällt unter anderem die kontinuierliche Prüfung der Verfügbarkeit eines Antiviren-Software Updates oder die Sicherung von Schwachstellen der Systemverwaltung. Daneben können private Informationen sicher gehalten werden, indem wichtige Daten unabhängig vom System gespeichert werden. Hier empfiehlt sich beispielsweise die Speicherung in der Cloud oder auf einem externen Laufwerk. Letztlich ist es wichtig, Mitarbeitern generelle Verhaltensweisen und Regeln zu vermitteln. Dazu zählen unter anderem die regelmäßige Aktualisierung von Passwörtern oder die Vermeidung der Öffnung von Links aus E-Mails mit unbekannten Absendern.

Der Wirecard-Skandal

Wirecard, das deutsche börsennotierte Zahlungsdienstleistungsunternehmen mit der digitalen Financial Commerce Plattform, stellt zurzeit das wohl präsenteste Beispiel in den Medien im Bereich der Wirtschaftskriminalität dar. Experten gehen davon aus, dass Beträge in Milliardenhöhe aus dem Unternehmen abflossen, welche derzeit jedoch nicht auffindbar seien. Zudem meldete das Unternehmen Insolvenz an. Nach den Veröffentlichungen der beschriebenen Vorkommnisse fiel der Aktienkurs des Unternehmens am 26.06.2020 bis auf 1,41198 Euro ab.

Der Kurs der Wirecard Aktie im Verlauf (Börse-Online 2020)

Es kann gesagt werden, dass dem Skandal eine Menge krimineller Energie zugemessen wird. Als mögliche Auswirkungen des Skandals sind verschiedene Regularien in die Bilanzkontrolle börsennotierter Unternehmen denkbar. Jedoch stellt sich die Frage, ob eine solche Art der Wirtschaftskriminalität nicht vorherzusehen war. Im Rahmen des Forschungsprojekts DeepScan möchten wir genau diesen Herausforderungen begegnen. Das Ziel des Projekts stellt damit die Analyse potentieller Anomalien, Betrugsmöglichkeiten und Datenmanipulation in ERP-Systemen dar.

Gibt es eine Korrelation zwischen der Fraud Verbreitung und der Art der Industrie?

Die Association of Certified Fraud Examiners (ACFE) untersucht im Report von 2020 verschiedene Industrien und die Verbreitung von Fraud. Die folgende Grafik fasst die Ergebnisse der Verbreitung von Fraud nach Industrien und durchschnittlichen Verlust zusammen.

Laut dem Report von ACFE 2020 ist Fraud besonders in der Industrie des Bankwesens und Finanzdienstleistungen (23,4%), der Regierung und Verwaltung (11,8%) sowie in der Fertigung (11,2%) verbreitet. Die finanziell größten Schäden wurden in den Industrien Bergbau (mittlerer Verlust i.H.v. 450 Tsd. USD), Öl und Gas (mittlerer Verlust i.H.v. 275 Tsd. USD) sowie Immobilien (254 Tsd. USD) verzeichnet.

ACFE: Report of the Nation, 2020

Die aktuelle Studie der ACFE ist hier zu finden.

„Report to the Nations: 2020 Global Study on occupational fraud and abuse“

Zweijährlich veröffentlicht die Association of Certified Fraud Examiners (ACFE), eine der weltweit größten Fraud Organisationen, einen Bericht „Report to the Nation“ über die aktuelle weltweite Fraud-Entwicklung auf Organisationen.

Die aktuelle 11. Ausgabe, welche am 16. April 2020 erschien, basiert auf der Analyse von 2.504 Fälle von Betrug am Arbeitsplatz, die zwischen Januar 2018 und September 2019 untersucht wurden. 

ACFE: Report of the Nation

Die aktuelle Studie der ACFE ist hier zu finden.

Die 10 wichtigsten Punkte im Datenschutz

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) innerhalb der Europäischen Union in Kraft getreten. Mit dieser Regelung stellen sich Unternehmen verschiedene Fragen, wie beispielsweise „Wer ist von der DSGVO betroffen?“ bzw. „Für wen gilt diese?“.


Die folgenden Punkte müssen Unternehmen über die DSGVO wissen – die 10 wichtigsten Punkte im Datenschutz:

  1. Geltungsbereich der DSGVO: Der Geltungsbereich der DSGVO beinhaltet alle „Verantwortlichen“, d.h. natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen (Art. 4, Nr. 7 DSGVO), welche über die Verarbeitung personenbezogener Daten entscheiden (Art. 4, Nr. 2 DSGVO). Als personenbezogene Daten werden dabei alle Informationen angesehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4, Nr. 1 DSGVO). Auch Verantwortliche, dessen Sitz sich außerhalb der EU befindet, diese aber personenbezogene Daten von betroffenen Personen aus der EU verarbeiten, müssen die DSGVO befolgen (Art. 3 DSGVO).
  2. Rechtmäßige Verarbeitung: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treue und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Art. 5, Nr. 1 DSGVO). Zudem unterliegen die Verantwortlichen einer Rechenschaftspflicht und müssen die Einhaltung dieser Regelung nachweisen können (Art. 5, Nr. 2 DSGVO).
  3. Rechte der Betroffenen: Betroffene Personen, deren personenbezogene Daten verarbeitet werden, haben ein Recht auf transparente Informationen sowie ein Auskunftsrecht (Art. 12, 13, 14, 15 DSGVO). Des Weiteren besteht das Recht auf Berichtigung (Art. 16 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Recht auf die Löschung der Daten der betroffenen Personen (Art. 17 DSGVO). 
  4. Datenschutzfreundliche Techniken: Die Verantwortlichen müssen geeignete technische und organisatorische Maßnahmen sicherstellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind (Art. 25, Nr. 2 DSGVO). 
  5. Risikoanalyse und Folgenabschätzung: Eine Datenschutz-Folgeabschätzung ist notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Personen zu Folge hat. Das gilt insbesondere bei der Verwendung neuer Technologien (Art. 35, Nr. 1 DSGVO).
  6. Gemeinsame Verantwortliche: Zwei oder mehrere Verantwortliche, welche die personenbezogenen Daten gemeinsam verarbeiten,  müssen eine Vereinbarung in transparenter Form festgelegen, wer von ihnen welche Verpflichtung gemäß DSGVO erfüllt, insbesondre in Bezug auf die Rechte der betroffenen Person (Art. 26, Nr.1 DSGVO).
  7. Meldepflicht bei Datenschutzpannen: Verletzungen des Schutzes personenbezogener Daten müssen gemeldet werden, unabhängig von der Art, sofern ein Datenschutzrisiko besteht (Art. 33, Nr. 1 DSGVO). Diese Meldung muss innerhalb 72 Stunden nach Kenntnis bei der Aufsichtsbehörde gemeldet werden, bei Verzögerung ist eine Begründung beizufügen (Art. 33, Nr. 1 DSGVO). Besteht durch die Verletzung der DSGVO ein Risiko für Recht und Freiheit der betroffenen Personen, so müssen diese unverzüglich benachrichtigt werden (Art. 34, Nr. 1 DSGVO).
  8. Datenschutzbeauftragte: Die Verantwortlichen und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, wenn der Verantwortliche Verarbeitungsvorgänge durchführt, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO vorliegt (Art. 37, Nr. 1 DSGVO). Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann (Art. 37, Nr. 2 DSGVO). Dabei kann der Datenschutzbeauftragte ein Beschäftigter des Verantwortlichen sein oder seine Aufgabe auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37, Nr. 6 DSGVO).
  9. Aufsichtsbehörden: Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind (Art. 51, Nr. 1 DSGVO). In Deutschland arbeiten die Aufsichtsbehörden des Bundes und der Länder zusammen an dem Ziel einer einheitlichen Anwendung der DSGVO (§ 18 BDSG).
  10. Sanktionen: Bei Verstößen gegen die DSGVO sind Sanktionen in Form einer Geldbuße bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich (Art. 83, Nr. 5 DSGVO). Die Höhe dieser Geldbuße wird je nach den Umständen des Einzelfalls festgesetzt (Art. 83, Nr. 2 DSGVO).

Die 10 häufigsten Arten von Fraud?

Es gibt eine Vielzahl an Arten von Betrug oder Wirtschaftskriminalität in Organisationen. Nach der Umfrage des Unternehmens pwc 2018 zum Thema Wirtschaftskriminalität stellen die folgenden Arten, die häufigsten Fälle von Betrug oder Wirtschaftskriminalität in Organisationen dar: 


„Welche Arten von Betrug und/oder Wirtschaftskriminalität hat Ihre Organisation in den letzten 24 Monaten erlebt?“

  1. Veruntreuung von Vermögenswerten
  2. Cyber-Kriminalität
  3. Betrug durch den Verbraucher
  4. Geschäftsgebaren
  5. Bestechung und Korruption 
  6. Beschaffungsbetrug 
  7. Betrug im Rechnungswesen
  8. Betrug im Personalmanagement 
  9. Geldwäscherei
  10. Insiderhandel

Die Umfrage verdeutlicht, dass zu den häufigsten Arten von Fraud-Fällen die Veruntreuung von Vermögenswerten, Beschaffungsbetrug, Betrug im Rechnungswesen oder im Personalmanagement gehören. Moderne Informationssysteme, wie ERP-Systeme, welche Vermögens-, Beschaffungs-, oder Personalprozesse abbilden, sind in Organisationen der unterschiedlichsten Wirtschaftszweige und Branchen unverzichtbar. Gleichzeitig werden durch diese komplexen Systeme Arten von Betrug und Wirtschaftskriminalität undurchsichtiger.

Im Rahmen des Forschungsprojekts „Deep Scan“ möchten wir dieser Herausforderung begegnen und potentielle Anomalien, Betrugsmöglichkeiten und Datenmanipulation in ERP-Systemen analysieren. 

Für die weitere Forschung im Projekt „Deep Scan“, sind Fraud-Fälle in ERP-Systemen unterschiedlichster Wirtschaftszweige und Branchen von Unternehmen von Bedeutung. Haben Sie bereits schon Erfahrungen mit dem Betrug innerhalb von ERP-Systemen gesammelt?

Dann nehmen Sie gerne an unserer Umfrage teil.

Vielen Dank für Ihre Unterstützung!

Umfrage zum Thema „Fraud in ERP-Systemen“

Haben Sie schon Erfahrung mit dem Betrug innerhalb von ERP-Systemen gesammelt? Wollen Sie potentielle Schwachstellen im Unternehmen und einen Überblick über Betrugsversuche im Vergleich erhalten?

Dann nehmen Sie gerne an unserer Umfrage teil. Die erhobenen Daten werden anonymisiert behandelt. Die Auswertungsergebnisse stellen wir Ihnen gerne auf Wunsch zur Verfügung. Wir bitten Sie um eine ehrliche und vollständige Bearbeitung des Fragebogens und bedanken uns bereits im Voraus bei Ihnen für die Teilnahme!

Umfrage „Fraud in ERP-Systemen“

Vielen Dank für Ihre Unterstützung!

Survey by Adrien Coquet from the Noun Project

Begrüßung des EXIST-Teams

Das Team DeepScan begrüßt das EXIST-Team am Lehrstuhl. Heutzutage spielt neben der Anzahl der Daten in ERP-Systemen, auch die Qualität und Verfügbarkeit eine sehr wichtige Rolle. Objektive Handlungsempfehlungen statt Bauchgefühl: Der Business Navigator – das neuste Gründungsvorhaben an der Uni Würzburg – will mit einer Software genau das ermöglichen. Das Projekt wird auch von der Bundesregierung gefördert.

Julian Hornung, Sophie Prauser und Andreas Müller (von links) sind das Team hinter dem Gründungsprojekt Business Navigator an der Uni Würzburg. (Bild: Kristian Lozina / Universität Würzburg)

Wie viele Schrauben müssen wir bestellen? Und wann müssen wir sie bestellen? Solche Fragen will der Business Navigator für Unternehmer beantworten – und das ohne langwierige und aufwändige Recherchen. Das neuste Gründungsvorhaben aus der Wirtschaftsinformatik der Julius-Maximilians-Universität Würzburg (JMU) hat eine Software entwickelt, die den Alltag vieler Entscheider in mittelständischen Unternehmen verändern dürfte. Gefördert wird das Vorhaben nun auch von der Bundesregierung durch das EXIST-Programm.

ERP-Programme (Enterprise Ressource Planning) sind in vielen Firmen mittlerweile Standard. Fast alle Vorgänge im Unternehmen werden hier dokumentiert, über alle Abteilungen hinaus – ob Material, Finanzen oder Personal. Doch die Programme haben auch Schwächen: „Viele Daten liegen in diesen Systemen brach. Das Wissen wird einfach nicht genutzt“, erklärt Julian Hornung, Wirtschaftsinformatiker von Business Navigator und zuvor wissenschaftlicher Mitarbeiter am Lehrstuhl für BWL und Wirtschaftsinformatik der JMU.

Förderung der Bundesregierung

Rat und Unterstützung fand das Team von Business Navigator beim Servicezentrum Forschung und Technologietransfer (SFT) der JMU, das universitäre Gründungsprojekte betreut. Das SFT half dem Team unter anderem dabei, Stipendien aus dem EXIST-Programm des Bundesministeriums für Wirtschaft und Energie zu beantragen. Mit diesem Programm will das Ministerium das Gründungsklima an Hochschulen fördern. Sprich: Es unterstützt Studierende und Beschäftigte, die mittels Firmengründung neue Ideen, Produkte und Dienstleistungen aus den Hochschulen auf den Markt bringen möchten.

Der Antrag bei EXIST hatte Erfolg: Ein Jahr lang sichert das Stipendium den drei Gründern den Lebensunterhalt. Hinzu kommt die Unterstützung der JMU: Neben einer Grundausstattung und Räumlichkeiten wird Professor Winkelmann dem Team als fachlicher Mentor zur Seite stehen.

Der nächste Schritt für das Team besteht nun darin, weitere Pilotkunden zu gewinnen und den Business Navigator stetig zu optimieren. Auch Studierende sind dabei gefragt: Wer einmal Praxisluft bei Gründern schnuppern möchte, kann sich jederzeit an das Team von Business Navigator wenden.

Kontakt

Business Navigator, Gründungsprojekt der Universität Würzburg

T +49 (931) 31 848 96, business-navigator@uni-wuerzburg.de

DeepScan beim IHK- IT-Sicherheitsforum

In der Industrie wurden Daten lange Zeit über eigene Standards und lokale Netzwerke ausgetauscht. Sie verließen nur selten die Grenzen des eigenen Firmengeländes. Das Konzept der Industrie 4.0 treibt die Vernetzung von Maschinen über das Internet voran und öffnet damit bisher abgeschlossene Systeme für neue Gefahren wie Cyber-Angriffe oder Schadprogramme. Informatik und Gesellschaft stehen in einem engen Wechselverhältnis und sind einem ständigen Wandel unterworfen. Darüber hinaus definieren sich Unternehmen heute immer stärker über ihre Daten. Wer diese Informationen managt, trägt also eine entsprechend große Verantwortung. Demnach erfordert der Schutz von IT-Systemen ein umfassendes Sicherheitskonzept und ein strategisches Informationssicherheitsmanagement.

Im Rahmen des IT -Sicherheitsforums (unterstützt durch die Plattform Industrie 4.0 die der IHK Würzburg Schweinfurt konnte das Forschungsprojekt DeepScan am 14. November sein Vorhaben vorstellen. Nach einem einleitenden Vortrag zum Thema IT-Sicherheit wurden, zusammen mit Geschäftsführern und Vertretern von Unternehmen der Region sowie Mitarbeitern der Industrie- und Handelskammer, Hintergründe, technische und rechtliche Aspekte des Einsatzes von Künstlicher Intelligenz im betrieblichen Einsatz erläutert. Das Forum wurde von TV-Touring aufgezeichnet, Interessierte können sich durch folgenden Beitrag gerne selbst Eindrücke verschaffen.

Team DeepScan bei DeepLearn 2019

DeepLearn 2019 ist eine Summerschool mit globaler Reichweite, welche darauf spezialisiert ist, die Teilnehmer über die neuesten Fortschritte im Bereich der künstlichen Intelligenz zu unterrichten. Im Bereich des maschinellen Lernens und der industriellen Innovation sind effizientere Algorithmen für den Umgang mit großen Datenmengen in den Bereichen Neurowissenschaften, Computer Vision, Spracherkennung, Sprachverarbeitung, Mensch-Computer-Interaktion, Empfehlungssysteme, Lerntheorie, Robotik und natürlich auch der Betrugserkennung unabdingbar. Renommierte Akademiker und Industriepioniere werden Vorträge halten und ihre Ansichten mit dem Publikum teilen.

DeepScan bei DeepLearn 2019