Der rote Porsche und die Villa haben die letzten Gehälter restlos aufgebraucht. Wie also den versprochenen Ring für die Freundin finanzieren? Der Kontoauszug bleibt unnachgiebig, die Freundin sowieso. Wäre da nicht die Firma. Die Geschäfte florieren, da fällt es doch niemandem auf, wenn das Geld für einen Zweikaräter abgezweigt wird. Oder doch?
Eigentlich keine Frage, mit der sich üblicherweise Studenten der TU München und der Hochschule Heilbronn beschäftigen - und wohl auch die wenigsten Arbeitnehmer. Und doch. Seit einigen Tagen brüten insgesamt 30 junge Menschen aus der Betriebswirtschaft, Informatik und Wirtschaft über kriminellen Strategien, wie man einem Unternehmen unbemerkt Geld entlockt.
Die fiktiven - und durchaus überzeichneten - Umstände denkt sich Dozent Michael Schermann von der TU München aus. Die teilnehmenden Studenten sollen lernen, wie Kriminelle zu denken. Allerdings nicht, um mit dem Wissen später einem Unternehmen zu schaden, sondern um es zu sichern. Wie man Lücken im Geschäftsbetrieb aufspürt und sensibel gegenüber Betrügereien ist, das will Schermann seinen Kursteilnehmern mit der Veranstaltung "Wirtschaftskriminalität verstehen" beibringen. In Teams treten sie als "Wirtschaftskriminelle" und "Detektive" gegeneinander an. Dafür verlangt der 35-Jährige Wirtschaftsinformatiker von seinen Studenten, so professionell wie möglich vorzugehen.
An wen soll die Scheinüberweisung gehen? Weckt ein neuer Adressat im System nicht Zweifel? Oder kann man eine bereits bekannte Firma als Bezugsquelle angeben, dabei aber die Kontozahlen ändern? Fragen, bei denen die Studenten bis ins kleinste Detail gehen sollen, um es den Detektiven so schwer wie möglich zu machen. Den besten Spürnasen winkt ein Preis.
Als Inspiration dient die Realität. Da wäre der Wertpapier-Betrug der französischen Großbank Société Générale vor sechs Jahren, bei dem der ehemalige Mitarbeiter Jérôme Kerviel fast eine halbe Milliarde Euro veruntreute. Oder der Enron-Skandal, bei dem der US-Energiekonzern im großen Stil Bilanzen fälschte und zu hohe Gewinne auswies. In Deutschland sorgte zuletzt die Bohrer-Firma Flowtex mit milliardenschweren Scheingeschäften für Schlagzeilen. Das Unternehmen aus Baden-Württemberg hatte 3000 Bohrgeräte an Leasingfirmen verkauft - ohne eine einzige tatsächliche Lieferung zu versenden.
Jede Minute wird ein deutsches Unternehmen mit mehr als neun Mitarbeitern Opfer von Wirtschaftskriminalität - das ergab eine Studie der Wirtschaftsprüfungsgesellschaft KPMG für 2012. Befragt wurden 300 mittelständische Unternehmen sowie 32 der größten Unternehmen in Deutschland. Allerdings sind die Zahlen solcher Studien mit Vorsicht zu betrachten - ist es doch im Interesse der Initiatoren, neue Aufträge für Aufdeckungsprüfungen und dergleichen zu generieren. Ein Ergebnis aber, das sich in allen Studien der Wirtschaftsprüfer deckt, ist die von vielen Unternehmen unterschätze Gefahr aus den eigenen Reihen: die Mitarbeiter.
Der amerikanische Kriminologe Donald R. Cressey hat vor einem halben Jahrhundert die Voraussetzungen erforscht, unter denen Menschen geschäftsschädigende Handlungen begehen. Er kam zu dem Ergebnis: Damit ein Mensch wirtschaftlich kriminell handelt, müssen folgende drei Faktoren zusammenkommen. Erstens eine Motivation, etwa Unzufriedenheit am Arbeitsplatz, eine finanzielle Krise, mangelnde Anerkennung oder Mobbing. Zweitens eine Gelegenheit oder auch passende Umstände (die Position im Unternehmen, das Know-how), um eine Straftat zu begehen. Und zuletzt die persönliche Rechtfertigung. Die meisten Kriminellen sehen sich nicht als schuldig, sondern eher selbst als Opfer äußerer Umstände. Typische Rechtfertigungsmuster: "Das Geld steht mir ohnehin zu" oder "Damit schaffe ich Gerechtigkeit".
Prinzip "Räuber und Gendarm"
So fällt auch der fiktive Porschefahrer in das so genannte Betrugs-Dreieck. An seiner Straftat tüfteln Moritz Pfeiffer und sein Team "Soll an Haben" der TU München. Dafür müssen sie sich zunächst mit der Software SAP vertraut machen, die die betriebswirtschaftliche Steuerung eines Unternehmens erlaubt. Später tauschen sie ihre Datensätze mit den anderen Teams "Catch us if you can" und "The Wolves of Wall Street" aus - auch bei der Namensgebung lässt Schermann den Studenten freie Hand. Das Wettbewerbskonzept kommt bei allen gut an. "Es ist schon cool, wenn man sich mit anderen Leuten messen kann", sagt Pfeiffer, der im vierten Semester Wirtschaftsinformatik studiert. "Durch das Rollenspiel lernen wir die Geschäftsabläufe kritischer zu betrachten", so der 21-Jährige.
Etwa 81 800 Fälle von Wirtschaftskriminalität mit einem Gesamtschaden von 3,75 Milliarden Euro ereignen sich in der deutsche Industrie, so das Ergebnis des Bundeskriminalamtes (BKA) für 2012. Damit ist die Hälfte aller in der polizeilichen Kriminalstatistik erfassten Schäden auf wirtschaftskriminelle Handlungen zurückzuführen. Die Zahlen umfassen jedoch nur die gemeldeten Fälle - die tatsächliche Anzahl der Delikte dürfte nach Angaben des BKA weitaus höher sein. Dennoch steckt das Thema in Deutschland in den Kinderschuhen - zumindest rechtlich gesehen. Anders als in den USA existiert in der Bundesrepublik bislang keine Legaldefinition von Wirtschaftskriminalität, was eine verlässliche Einschätzung der Lage erschwert.
Scheinlieferungen, Inventarbetrug und Doppelzahlungen - all das sind Beispiele für Straftaten im Geschäftsbetrieb, die in der Regel schwer aufzudecken sind. "Die meisten Betrügereien finden im Einkauf statt", sagt Schermann. Dort könne am besten und unauffälligsten Geld abgeschöpft werden - technische Kontrollsysteme sind da meist machtlos. In diesen Fällen hilft nur ein geschärfter Blick und eine gesunde Portion Skepsis der Mitarbeiter - Eigenschaften, die sich die Studenten bereits im Studium aneignen.
Das "Räuber und Gendarm"-Prinzip der TU München ist von der Grundidee nicht neu, sondern abgekupfert aus der klassischen Hackingszene. Im Bereich IT-Sicherheit gehören Hacking-Contests seit jeher dazu. Im Wirtschaftsbereich fehlten bislang ähnliche Simulationsformate. "Dabei ist das Thema Wirtschaftskriminalität innerhalb der Unternehmen genauso wichtig", sagt Schermann. Während klassische Hacker Rechner und Computernetzwerke auf technischer Ebene und meist von außen angreifen, konzentrieren sich Wirtschaftshacker auf interne Geschäftsprozesse. Ob das Konzept Schermanns bundesweit Nachahmer findet, bleibt abzuwarten. Der Kurs ist durch Software und Betreuung im Vergleich zu anderen Lehrveranstaltungen recht aufwendig. Interesse aus den USA gibt es aber bereits. Mit der Bentley Universität in Boston steht Schermann im Gespräch.
Sorgen darüber, dass seine Studenten ihr kriminelles Wissen zum Negativen nutzen, hat Schermann keine. Dafür gebe es genügend Aufklärung, etwa zu den Grenzen der Legalität im Modul Wirtschaftsethik. Die Herangehensweise sei zudem auch in anderen Disziplinen üblich. "Ein Arzt muss sich auch mit Krankheiten auseinandersetzen, ihre Funktionsweise verstehen, um sie überhaupt heilen zu können."