Studie Fraud in ERP-Systemen (1/4) – Motivation und Vorstellung der Studie

In den vergangenen Wochen hat der Lehrstuhl für BWL und Wirtschaftsinformatik eine Studie zum Thema Fraud in ERP-Systemen durchgeführt, deren Ergebnisse nun vorliegen. Vor diesem Hintergrund werden in den nächsten vier Wochen spannende Einblicke zu den verschiedenen Erkenntnissen aus der Studie auf der Projektwebseite veröffentlicht. Im heutigen Beitrag stehen die Motivation und allgemeine Vorstellung der Studie im Vordergrund, ehe in den nächsten Teil konkrete Erkenntnisse dargestellt werden. 

Der Begriff Fraud, welcher das Ausnutzen einer Beschäftigung zur persönlichen Bereicherung durch den bewussten Missbrauch der Ressourcen oder des Kapitals einer Organisation bezeichnet, ist in den letzten Jahren im Unternehmenskontext immer relevanter geworden. Insbesondere Informationssysteme von Unternehmen fallen Fraud zum Opfer. Ein Blick auf konkrete Zahlen veranschaulicht die Problematik. So liegen die durch Cyberkriminalität entstandenen Schäden in Deutschland nahe am dreistelligen Millionenbereich. Daneben wird laut des jährlichen Reports der Association of Certfied Fraud Examiners der jährliche Verlust eines Unternehmens durch Fraud auf ca. 5% des Jahresumsatzes geschätzt. Statistiken wie diese illustrieren die Notwendigkeit der intensiven Auseinandersetzung mit Betrugsvorfällen im Unternehmenskontext. Die Studie “Fraud in ERP-Systemen“ des Lehrstuhls für BWL und Wirtschaftsinformatik will in diesem Zuge Unternehmen über die Arten und Gefahren von Fraud in ERP-Systemen aufklären und aktuelle Maßnahmen zur Fraud-Bekämpfung darstellen. 

Nachdem die Motivation zur Durchführung der Studie offengelegt wurde, soll nun ein Blick auf die Methodik der Studie geworfen werden. Die Ergebnisse der Studie basieren auf einer Onlinebefragung mittels eines Fragebogens. Dabei wurden zwischen Januar 2020 und Dezember 2020 insgesamt 61 Unternehmensmitglieder verschiedener Wirtschaftszweige und Unternehmensgrößen befragt mit dem Ziel, ein besseres Verständnis zur aktuellen Situation von Fraud in betriebswirtschaftlichen Informationssoftware, vorzugsweise ERP-Systemen, zu erhalten. Daher sollten die Teilnehmer der Studie (1) umfassende Kenntnisse über die im Unternehmen eingesetzten Informationssysteme haben oder (2) in ihrem Beruf für die Daten- und IT-Sicherheit im Unternehmen verantwortlich sein. Mit 36% repräsentieren Unternehmen mit mehr als 500 Mitarbeitern den größten Teil der Studie und rund ein Drittel der Befragten arbeitet in einem Unternehmen mit einem Umsatz von mehr als 50 Millionen Euro jährlich. Daneben nahmen an der Umfrage hauptsächlich Geschäftsführer (26%) und Führungskräfte einer Fachabteilung (25%) teil. Schließlich ist ein Großteil der Befragten der Studie im Dienstleistungssektor aktiv (59%) und der Großteil Unternehmen befindet sich in der IT-Branche (41%). 

Nachdem im heutigen Teil der Serie die Motivation und Methodik der Studie betrachtet wurde, sollen in den nächsten Teilen konkrete Ergebnisse der Studie dargestellt werden. Im Beitrag der nächsten Woche soll es dabei insbesondere um die Verdächtigten und Betroffenen von Fraud-Vorfällen gehen. 

Falls Sie Fragen zur Studie haben oder an den konkreten Ergebnissen interessiert sind, können Sie sich gerne an unsere wissenschaftliche Mitarbeiterin Anna Fuchs wenden.  Kontakt: a.fuchs@uni-wuerzburg.de

Täterkreis cyberkrimineller Handlungen in Unternehmen

Bei der Diskussion um die IT-Sicherheit von Unternehmen ist es essentiell, nicht ausschließlich Maßnahmen zur Fraud-Bekämpfung in den Mittelpunkt der Lösungsansätze zu stellen. Hingegen sollte daneben auch die möglichen Verursacher von Fraud-Übergriffen identifiziert werden, insbesondere um dem Ursprung des Problems näher zu kommen. 

Eine Statistik des Online-Portals Statista zeigt überraschende Einblicke in den Täterkreis cyberkrimineller Handlungen in Unternehmen. So sind über 60% der Täter aktuelle oder ehemalige Mitarbeiter des Betriebs. Fraud-Vorfälle sind somit entgegen intuitiver Auffassungen oftmals das Resultat interner Ursachen. Neben unternehmensbezogenen Personen gibt es jedoch weitere Fraud-Verursacher. Dazu zählt beispielsweise das unternehmerische Umfeld, welches sich aus Wettbewerbern, Kunden, Lieferanten oder Dienstleistern zusammensetzt. Zudem sind weitere Fraud-Täter im Kreis der Hobby-Hacker, organisierten Kriminalität und ausländischen Nachrichtendienste zu identifizieren. In seltenen Fällen bleiben die Täter gar gänzlich unbekannt. 

Täterkreis cyberkrimineller Handlungen in Unternehmen (Quelle: Statista / n = 343)

Anforderung an eine Software zur Betrugserkennung in ERP-Systemen

Fraud ist ein weltweites Problem, welches nahezu jedes Unternehmen zu einem gewissen Zeitpunkt trifft. So haben jüngste Studien ergeben, dass Fraud-Vorfälle bis zu 5% des Jahresumsatzes einer Organisation ausmachen. Besonders beliebt sind dabei Fraud-Attacken auf das unternehmenseigene ERP-System. Zwar existieren in den meisten Unternehmen bereits Informationssysteme, welche gewisse Kontrollmechanismen beinhalten, allerdings sind diese meist unzureichend, um die Komplexität der Fraud-Vorfälle vollumfänglich abzudecken. 

Vor diesem Hintergrund ist die Entwicklung einer geeigneten Software wie DeepScan zur Fraud-Aufdeckung in ERP Systemen unumgänglich. Allerdings sieht sich solch eine Entwicklung einer hohen Komplexität konfrontiert, da verschiedenste Aspekte im Entwicklungsprozess beachtet werden müssen. Einer dieser Aspekte, der bereits zu Anfang der Entwicklung berücksichtigt werden sollte, ist die Anforderungsspezifikation einer solchen Software. In diesem Kontext wurde durch den Lehrstuhl für BWL und Wirtschaftsinformatik der Universität Würzburg eine strukturierte Literaturanalyse und qualitative Umfrage durchgeführt, um die Anforderungen an eine ERP-Betrugserkennungssoftware zu identifizieren. Dabei konnten elf spezifische Anforderungen festgestellt werden. Die konkreten Anforderungen sind in der folgenden Abbildung ersichtlich. 

Anforderungen an eine Betrugserkennungssoftware

Gemeinschaftsprojekt INTERPOLS und des Europäischen Rats zur Schaffung einer soliden Grundlage für die Messung der Auswirkungen von Internetkriminalität

Während viele Regierungen die Notwendigkeit erkennen, gegen Cyberkriminalität vorzugehen, haben sie Schwierigkeiten, das vorliegende Problem zu definieren. Um effektiv gegen Cyberkriminalität vorgehen zu können, benötigen die Strafjustizbehörden ein gutes Verständnis des Ausmaßes, der Arten und der Auswirkungen der Kriminalität. Aus diesem Grund haben der Europarat und INTERPOL gemeinsam den Guide für Criminal Justice Statistics on Cybercrime and Electronic Evidence entwickelt, um Staaten bei der Entwicklung einer klareren Sicht auf das globale Problem zu unterstützen.

Das Hauptziel dieser gemeinsamen Initiative ist es, Strafjustizbehörden weltweit bei der Beschaffung von Statistiken über Cyberkriminalität und elektronische Beweismittel zu helfen, indem bewährte Verfahren und Empfehlungen bereitgestellt werden. Die Statistiken ermöglichen es den Behörden, wirksame Strategien und operative Maßnahmen zu entwickeln. Der Guide kann hier heruntergeladen werden.

Entwickelter Guide INTERPOLS und des Europäischen Rates

Die wichtigsten Punkte des Guides sind im Folgenden aufgelistet:

  • Statistiken über Cyberkriminalität, elektronische Beweismittel und die speziellen Werkzeuge, die für ihre Sammlung verwendet werden, können den Behörden bei der Beurteilung der kriminellen Trends und der neuen Technologien, die von Kriminellen verwendet werden, helfen.
  • Die Struktur des Datensatzes sollte vordefiniert sein, vorzugsweise in einem Sammelformular. Entsprechend der nationalen Gesetzgebung und Praxis können unterschiedliche Erfassungskriterien festgelegt werden.
  • Die mit der Sammlung beauftragten Beamten müssen über ausreichende Fachkenntnisse verfügen, um die Muster in den beobachteten Straftaten zu erkennen, und mit der Sammlungspolitik vertraut sein.
  • Justizbehörden, Staatsanwälte und die Polizei können sich auf ein gemeinsames Erhebungsformular einigen und sich die Verantwortung für die Datenerhebung teilen.
  • Alternative Datenquellen können die Statistik ergänzen. Solche Quellen sind z. B. die Daten, die aus dem Kriminalitätsmeldesystem, CERT/CSIRT oder anderen relevanten Stellen gesammelt werden.

ESF-Vortrag zum Thema maschinelles Lernen

Am 16.11 fand ein ESF-Vortrag des Lehrstuhls für BWL und Wirtschaftsinformatik zu den Themen Maschinelles Lernen und DeepScan statt. Ziel der ESF-Vortragsreihen ist es, das Innovationspotenzial der Julius-Maximilians-Universität kleinen und mittleren Unternehmen (KMU) durch geführten Wissenstransfer zugänglich zu machen. Dabei wird insbesondere die Netzwerkbildung zwischen der Universität Würzburg und den KMU’s gefördert. 

Auch beim Thema DeepScan ist ein solcher Wissenstransfer förderlich, um das eigene Unternehmen nach neuesten IT-Sicherheitsstandards ausrichten zu können. Vor diesem Hintergrund konnten die Teilnehmenden nach einer kurzen Vorstellung des Lehrstuhls interessante Einblicke in das maschinelle Lernen erlangen. Dabei wurden jegliche Themengebiete, wie die Funktionsweise, Einsatzgebiete oder relevante Praxisbeispiele maschinellen Lernens abgedeckt. Daneben wurden den Teilnehmenden die Gefahren von Manipulationsvorgängen und Angriffen auf IT-Systeme nähergebracht. In diesem Zuge wurde insbesondere betont, dass der Täterkreis solcher Angriffe in großer Regelmäßigkeit die eigenen Mitarbeiter beinhaltet. Die Aufdeckung solcher Angriffe erfolgt dabei heute noch, entgegen intuitiver Auffassungen, kaum automatisiert durch intelligente IT-Systeme. 

Zu Schluss wurde den Teilnehmenden das Forschungsprojekt DeepScan vorgestellt. Durch DeepScan sollen potentielle Anomalien, Betrugsmöglichkeiten und Datenmanipulationen in ERP-Systemen durch eine Scanning-Architektur erkannt werden. Vor diesem Hintergrund können Unternehmen zukünftig bei Manipulationsvorgängen und Angriffen auf das eigene ERP-System durch intelligente Systeme wie DeepScan geschützt werden. Dabei findet die Risikoaufdeckung deutlich schneller und effizienter als mit herkömmlichen Aufdeckungsmethoden statt. 

ESF-Vortrag am 16.11.2020

Corona – Auswirkungen auf die IT-Sicherheit im Homeoffice

Covid-19 hält Deutschland und die Welt weiterhin fest im Griff. So wurden seit dem Ausbruch des Corona-Virus zu Beginn des Jahres in einigen Ländern Kontaktbeschränkungen angeordnet oder Ausgangsbeschränkungen verhängt. Während viele Menschen durch das Virus und seine Folgen weitreichende sozioökonomische Auswirkungen erfahren, nutzen Kriminelle die Corona-Pandemie zu ihren Vorteilen, um Cyberangriffe auf Computersysteme von Unternehmen durchzuführen.

Nach einem Bericht von Interpol profitieren Cyberkriminelle insbesondere von Schwachstellen unternehmensgenutzter Systeme und Anwendungen, die im Homeoffice tätige Personen bei der Arbeit unterstützen. Die Hauptproblematik besteht darin, dass die wachsende Zahl der Personen, welche auf Online-Tools zurückgreifen, die vor dem Pandemie-Beginn eingeführten Sicherheitsmaßnahmen oftmals überfordern. Vor diesem Hintergrund suchen Täter verstärkt nach Möglichkeiten Daten zu stehlen, Gewinne zu erzielen oder Störungen zu verursachen.

In diesem Kontext ist eine intensive Auseinandersetzung mit Themen der Cybersicherheit im Homeoffice sinnvoll. Das Forschungsprojekt DeepScan widmet sich der angesprochenen Problematik. Dabei werden potentielle Anomalien, Betrugsmöglichkeiten und Datenmanipulationen in ERP-Systemen mit Hilfe einer Scanning-Architektur erkannt. Vor diesem Hintergund erhalten sowohl Mitarbeiter als auch Unternehmen einen weitreichenden Schutz vor Cyberattacken. Allerdings können Mitarbeiter auch unabhängig von der Unterstützung intelligenter Systeme Maßnahmen ergreifen, um die eigene Sicherheit am Arbeitsplatz zu erhöhen.

Checkliste Cybersicherheit (Interpol)

So ist beispielsweise eine regelmäßige Kontrolle der Software und Systeme empfehlenswert. Hierunter fällt unter anderem die kontinuierliche Prüfung der Verfügbarkeit eines Antiviren-Software Updates oder die Sicherung von Schwachstellen der Systemverwaltung. Daneben können private Informationen sicher gehalten werden, indem wichtige Daten unabhängig vom System gespeichert werden. Hier empfiehlt sich beispielsweise die Speicherung in der Cloud oder auf einem externen Laufwerk. Letztlich ist es wichtig, Mitarbeitern generelle Verhaltensweisen und Regeln zu vermitteln. Dazu zählen unter anderem die regelmäßige Aktualisierung von Passwörtern oder die Vermeidung der Öffnung von Links aus E-Mails mit unbekannten Absendern.

Der Wirecard-Skandal

Wirecard, das deutsche börsennotierte Zahlungsdienstleistungsunternehmen mit der digitalen Financial Commerce Plattform, stellt zurzeit das wohl präsenteste Beispiel in den Medien im Bereich der Wirtschaftskriminalität dar. Experten gehen davon aus, dass Beträge in Milliardenhöhe aus dem Unternehmen abflossen, welche derzeit jedoch nicht auffindbar seien. Zudem meldete das Unternehmen Insolvenz an. Nach den Veröffentlichungen der beschriebenen Vorkommnisse fiel der Aktienkurs des Unternehmens am 26.06.2020 bis auf 1,41198 Euro ab.

Der Kurs der Wirecard Aktie im Verlauf (Börse-Online 2020)

Es kann gesagt werden, dass dem Skandal eine Menge krimineller Energie zugemessen wird. Als mögliche Auswirkungen des Skandals sind verschiedene Regularien in die Bilanzkontrolle börsennotierter Unternehmen denkbar. Jedoch stellt sich die Frage, ob eine solche Art der Wirtschaftskriminalität nicht vorherzusehen war. Im Rahmen des Forschungsprojekts DeepScan möchten wir genau diesen Herausforderungen begegnen. Das Ziel des Projekts stellt damit die Analyse potentieller Anomalien, Betrugsmöglichkeiten und Datenmanipulation in ERP-Systemen dar.

Gibt es eine Korrelation zwischen der Fraud Verbreitung und der Art der Industrie?

Die Association of Certified Fraud Examiners (ACFE) untersucht im Report von 2020 verschiedene Industrien und die Verbreitung von Fraud. Die folgende Grafik fasst die Ergebnisse der Verbreitung von Fraud nach Industrien und durchschnittlichen Verlust zusammen.

Laut dem Report von ACFE 2020 ist Fraud besonders in der Industrie des Bankwesens und Finanzdienstleistungen (23,4%), der Regierung und Verwaltung (11,8%) sowie in der Fertigung (11,2%) verbreitet. Die finanziell größten Schäden wurden in den Industrien Bergbau (mittlerer Verlust i.H.v. 450 Tsd. USD), Öl und Gas (mittlerer Verlust i.H.v. 275 Tsd. USD) sowie Immobilien (254 Tsd. USD) verzeichnet.

ACFE: Report of the Nation, 2020

Die aktuelle Studie der ACFE ist hier zu finden.

Die 10 wichtigsten Punkte im Datenschutz

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) innerhalb der Europäischen Union in Kraft getreten. Mit dieser Regelung stellen sich Unternehmen verschiedene Fragen, wie beispielsweise „Wer ist von der DSGVO betroffen?“ bzw. „Für wen gilt diese?“.


Die folgenden Punkte müssen Unternehmen über die DSGVO wissen – die 10 wichtigsten Punkte im Datenschutz:

  1. Geltungsbereich der DSGVO: Der Geltungsbereich der DSGVO beinhaltet alle „Verantwortlichen“, d.h. natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen (Art. 4, Nr. 7 DSGVO), welche über die Verarbeitung personenbezogener Daten entscheiden (Art. 4, Nr. 2 DSGVO). Als personenbezogene Daten werden dabei alle Informationen angesehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4, Nr. 1 DSGVO). Auch Verantwortliche, dessen Sitz sich außerhalb der EU befindet, diese aber personenbezogene Daten von betroffenen Personen aus der EU verarbeiten, müssen die DSGVO befolgen (Art. 3 DSGVO).
  2. Rechtmäßige Verarbeitung: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treue und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Art. 5, Nr. 1 DSGVO). Zudem unterliegen die Verantwortlichen einer Rechenschaftspflicht und müssen die Einhaltung dieser Regelung nachweisen können (Art. 5, Nr. 2 DSGVO).
  3. Rechte der Betroffenen: Betroffene Personen, deren personenbezogene Daten verarbeitet werden, haben ein Recht auf transparente Informationen sowie ein Auskunftsrecht (Art. 12, 13, 14, 15 DSGVO). Des Weiteren besteht das Recht auf Berichtigung (Art. 16 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Recht auf die Löschung der Daten der betroffenen Personen (Art. 17 DSGVO). 
  4. Datenschutzfreundliche Techniken: Die Verantwortlichen müssen geeignete technische und organisatorische Maßnahmen sicherstellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind (Art. 25, Nr. 2 DSGVO). 
  5. Risikoanalyse und Folgenabschätzung: Eine Datenschutz-Folgeabschätzung ist notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Personen zu Folge hat. Das gilt insbesondere bei der Verwendung neuer Technologien (Art. 35, Nr. 1 DSGVO).
  6. Gemeinsame Verantwortliche: Zwei oder mehrere Verantwortliche, welche die personenbezogenen Daten gemeinsam verarbeiten,  müssen eine Vereinbarung in transparenter Form festgelegen, wer von ihnen welche Verpflichtung gemäß DSGVO erfüllt, insbesondre in Bezug auf die Rechte der betroffenen Person (Art. 26, Nr.1 DSGVO).
  7. Meldepflicht bei Datenschutzpannen: Verletzungen des Schutzes personenbezogener Daten müssen gemeldet werden, unabhängig von der Art, sofern ein Datenschutzrisiko besteht (Art. 33, Nr. 1 DSGVO). Diese Meldung muss innerhalb 72 Stunden nach Kenntnis bei der Aufsichtsbehörde gemeldet werden, bei Verzögerung ist eine Begründung beizufügen (Art. 33, Nr. 1 DSGVO). Besteht durch die Verletzung der DSGVO ein Risiko für Recht und Freiheit der betroffenen Personen, so müssen diese unverzüglich benachrichtigt werden (Art. 34, Nr. 1 DSGVO).
  8. Datenschutzbeauftragte: Die Verantwortlichen und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, wenn der Verantwortliche Verarbeitungsvorgänge durchführt, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO vorliegt (Art. 37, Nr. 1 DSGVO). Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann (Art. 37, Nr. 2 DSGVO). Dabei kann der Datenschutzbeauftragte ein Beschäftigter des Verantwortlichen sein oder seine Aufgabe auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37, Nr. 6 DSGVO).
  9. Aufsichtsbehörden: Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind (Art. 51, Nr. 1 DSGVO). In Deutschland arbeiten die Aufsichtsbehörden des Bundes und der Länder zusammen an dem Ziel einer einheitlichen Anwendung der DSGVO (§ 18 BDSG).
  10. Sanktionen: Bei Verstößen gegen die DSGVO sind Sanktionen in Form einer Geldbuße bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich (Art. 83, Nr. 5 DSGVO). Die Höhe dieser Geldbuße wird je nach den Umständen des Einzelfalls festgesetzt (Art. 83, Nr. 2 DSGVO).

Die 10 häufigsten Arten von Fraud?

Es gibt eine Vielzahl an Arten von Betrug oder Wirtschaftskriminalität in Organisationen. Nach der Umfrage des Unternehmens pwc 2018 zum Thema Wirtschaftskriminalität stellen die folgenden Arten, die häufigsten Fälle von Betrug oder Wirtschaftskriminalität in Organisationen dar: 


„Welche Arten von Betrug und/oder Wirtschaftskriminalität hat Ihre Organisation in den letzten 24 Monaten erlebt?“

  1. Veruntreuung von Vermögenswerten
  2. Cyber-Kriminalität
  3. Betrug durch den Verbraucher
  4. Geschäftsgebaren
  5. Bestechung und Korruption 
  6. Beschaffungsbetrug 
  7. Betrug im Rechnungswesen
  8. Betrug im Personalmanagement 
  9. Geldwäscherei
  10. Insiderhandel

Die Umfrage verdeutlicht, dass zu den häufigsten Arten von Fraud-Fällen die Veruntreuung von Vermögenswerten, Beschaffungsbetrug, Betrug im Rechnungswesen oder im Personalmanagement gehören. Moderne Informationssysteme, wie ERP-Systeme, welche Vermögens-, Beschaffungs-, oder Personalprozesse abbilden, sind in Organisationen der unterschiedlichsten Wirtschaftszweige und Branchen unverzichtbar. Gleichzeitig werden durch diese komplexen Systeme Arten von Betrug und Wirtschaftskriminalität undurchsichtiger.

Im Rahmen des Forschungsprojekts „Deep Scan“ möchten wir dieser Herausforderung begegnen und potentielle Anomalien, Betrugsmöglichkeiten und Datenmanipulation in ERP-Systemen analysieren. 

Für die weitere Forschung im Projekt „Deep Scan“, sind Fraud-Fälle in ERP-Systemen unterschiedlichster Wirtschaftszweige und Branchen von Unternehmen von Bedeutung. Haben Sie bereits schon Erfahrungen mit dem Betrug innerhalb von ERP-Systemen gesammelt?

Dann nehmen Sie gerne an unserer Umfrage teil.

Vielen Dank für Ihre Unterstützung!