Eigentlich wollte ich ja über die Aufregung in Politik und Presse noch etwas Gras wachsen lassen. Aber da sich die Anfragen häufen und Tatsachen etwas durcheinander gebracht werden, möchte ich hier ein paar Gedanken über die „Aufregung“ bei der Forensischen Datenanalyse aufschreiben.
Zuerst natürlich der übliche Disclaimer, dass es sich hier meine private Meinung handelt. 😉
Was ist geschehen? Ein Unternehmen, dass häufiger große Aufträge zu vergeben hat und allein durch seine Größe rein statistisch einem gewissen Korruptionsriskio unterliegt, möchte gerne seiner Pflicht gegenüber dem Eigentümer und auch den gesetzlichen Bestimmungen nachkommen, um Bestechung, Korruption und andere kriminelle Handlungen aufzudecken. Denn hierbei kann dem Unternehmen und damit seinen Eigentümern ein größerer Schaden entstehen. Es gibt ein Standardvorgehen, wie man sich schnell einen Überblick über diesbezügliche Sachverhalte gerade bei großen Datenmengen verschafft. Man nimmt sich die vorhandenen (legal erhobenen Daten aus Kreditoren- und Debitorenbuchhaltung, sowie die Personalstammdaten) und schaut sich Auffälligkeiten an. Vom Grundsatz her sollte dies bei Personaldaten anonymisiert geschehen. Gibt es eine Auffälligkeit – wir sagen dazu Red Flag – wird eine Tiefenprüfung durchgeführt – wie sonst auch – und dem Verdacht dann nachgegangen. Es ist also keine Datenspionage, sondern eine standardmäßige Prüfungshandlung. Die Frage ist dabei, wo kommen die Daten her, wie sind die personenbezogenen Bestandteile geschützt und welche weiteren Erkenntnisse fließen in die Analyse ein?
Welche Dinge schaut man sich bei einer Forensischen Datenanalyse normalerweise an? (ganz kurzer und unsortierter Auszug eines Prüfplans)
- Prüfung auf doppelte Einträge bei Namen
- Prüfung auf doppelte Einträge bei Adressen
- Prüfung auf doppelte Einträge bei Telefonnummern
- Prüfung auf doppelte Einträge bei Bankverbindungen
- Prüfung auf doppelte Felder wie Geburtsdaten, Bemerkungen und Eintrittsdaten etc.
- Prüfung auf Zahlungen an inaktive Angestellte
- Prüfung auf bekannte Namen von Mitarbeitern (Abgleich Personalstammdaten)
- Prüfung auf bekannte Adressen von Mitarbeitern (Abgleich Personalstammdaten)
- Prüfung auf bekannte Telefonnummern von Mitarbeitern (Abgleich Personalstammdaten)
- Prüfung auf bekannte Kontonummern/Bankverbindungen von Mitarbeitern (Abgleich mit Personalstammdaten)
- Freigabe von Bestellungen durch den Ersteller
- Freigabe von Bestellungen durch den Ersteller der BANF
- Freigabe von Bestellungen durch nicht-autorisierte Mitarbeiter
- Freigabe von Bestellungen innerhalb eines kurzen Zeitintervalls nach der Erstellung
- Freigabe von Bestellungen an Wochenenden und zu ungewöhnlichen Tageszeiten
- Prüfung auf Wareneingänge ohne Bezug zu einem Bestellungvorgang / BANF
- usw.
Wie dem auch sei, die Forensische Datenanalyse ist ein sehr wichtiges Instrument in großen Unternehmen oder über längere Zeiträume, Anhaltspunkte für dolose Handlungen zu finden. Gibt es einen Treffer für ein Red Flag, bedeutet dies nicht, dass letztendlich auch wirklich etwas dran ist. Die eigentliche Ermittlungsarbeit folgt dann auf den produzierten Ergebnissen. Allerdings müssen auch hier die gesetzlichen Grenzen eingehalten werden. Weiterhin sollte der Auftraggeber einer solchen Forensischen Datenanalyse genau überlegen, wer mit einer solchen Analyse beauftragt wird und aus welchen Quellen die zu untersuchenden Daten stammen.
Zum Schluss möchte ich noch darauf hinweisen, dass es dem Auftraggeber bewusst sein sollte, welchen Analysen auf welcher Datenbasis durchgeführt werden, damit jederzeit dazu auch Auskunft gegeben werden kann.
Ich habe in diesem Zusammenhang eine kleine Umfrage gestartet, die aber eher technischer Natur ist (siehe Rechts unten in der Sidebar).
Danke für diese Infos.Die werden mir eigentlich sehr beim Job helfen.Die ganze Seite ist ja toll.Danke.