Dieser Post dreht sich um eine wahre Begebenheit die am 27.01.2015 begann und am 15.03.2017 endete. Im Mittelpunkt stehe eine Mitarbeiterin einer Finanzbehörde die laut deren Vorgesetzten eine ausgewiesenen Fachfrau für Buchhaltungsfragen ist.
Zitat:
„Eine solche Mitarbeiterin wünscht man sich.“ [1]
Die Zutaten zu dieser Story aus dem Leben entstammen aus dem 1×1 der SAP- und IT-Sicherheit. In der Theorie unterliegen Passwörter gewissen Richtlinien zur sicheren Auswahl und sind geheim zu halten. Ebenso ist die Sicherheit und der ordnungsgemäße Betrieb unternehmenskritischer Systeme wie bei SAP-ERP-Systemen einzuhalten und nachzuweisen. Dies zu kontrollieren ist teilweise Aufgabe der Wirtschaftsprüfer sowie der internen Revision und des internen Kontrollsystems. In diesem Fall war es jedoch ein Gericht, dass über all dies urteilen durfte.
Besagte Mitarbeiterin arbeitete bei dem städtischen Service-Zentrum Kasse.Hamburg – die Sicherheitsvorgaben und -prüfungen der Behörde sind hier nicht weiter bekannt.
Die junge Frau konnte sich das Passwort Ihrer Kollegin beschaffen. Im Rahmen der Gerichtsverhandlung und der öffentlichen Berichterstattung wurde hierzu folgendes Bekannt:
Anfang 2015 hatte sich die damals 26-Jährige das Passwort ihrer Kollegin beschafft, das allerdings auch in fahrlässiger Weise offen zugänglich war, wofür es im Nachhinein auch eine Rüge gab. [2]
Mit den Zugangsdaten der Kollegin war die Mitarbeiterin in der Lage Bankdaten anzulegen und zu ändern sowie Zahlungen auszuführen. Ob hier das 4-Augen Prinzip verletzt wurde, lässt sich aus den öffentlichen Informationen nicht sicher ermitteln, jedenfalls wird deutlich darauf hingewiesen, dass erst der Zugang im Namen der Kollegin dies möglich machte:
Mit dem Passwort war die Angeklagte in der Lage, Gelder der Finanzbehörde auf ihr Privatkonto zu überweisen – ohne dass es sofort auffiel.[2]
Ob allein im Namen der Kollegin oder im Zusammenspiel mit Ihrem eigenen Zugang – im Weiteren hat die Mitarbeiterin Gelder der Behörde abgezweigt. Niemanden fielen die ungewöhnlichen Zahlungen oder die Mehrfachnutzung des Zugangs der Kollegin auf. Ein Dutzend Zahlungen zwischen 50€, 5000€ oder 6000€ sind auf diesem Weg erfolgt.
Erst bei einer Überweisung von 394.440 Euro ist jemand aufmerksam geworden. Dies nicht von der internen Revision oder durch einen Alarm des internen Kontrollsystems. Nein – es war ein Mitarbeiter der Sparkasse bei der die Behörde Ihre Konten führt. Dieser war alarmiert, da eine so hohe Überweisung auf ein Privatkonto führte und fragte entsprechend nach. Dies setzte die Ermittlungen in Gang, die letztlich zur Anklage führten. Zunächst gegen beide Mitarbeiterinnen, wobei sich der Passwortdiebstahl im weiteren Verlauf entlastend für die eigentlich unbeteiligte Mitarbeiterin auswirkte.
Zur Motivation der Innentäterin wurde nichts bekannt:
Das Motiv konnte oder wollte sie nicht nennen. [1]
Möglicherweise trifft hier einfach das Sprichwort „Gelegenheit macht Diebe“ zu und die Versuchung war zu groß – trotz eines guten Jobs bei der Behörde.
Das Gericht jedenfalls zeigte wenig Mitleid mit der Mutter von zwei kleinen Kindern und verordnete 2 Jahre und 10 Monate hinter schwedischen Gardinen.
Ein paar offene Fragen bleiben:
Ob ein besserer Sicherheitsstandard bei der Behörde die Mutter von zwei Kindern vor einem schwerwiegenden Fehler geschützt hätte?
Wieso schlug das interne Kontrollsystem nicht bereits bei den kleinen Beträgen an?
Wieso waren die Passwörter und Accounts nicht hinreichend geschützt, um einen mehrfachen Missbrauch zu verhindern?
Warum hatte der Zugang der Kollegin so eine weitreichende Berechtigungen?
Immerhin hat die Behörde nun eine spezielle Software angeschafft, um Betrug zu erkennen. Warum man jedoch die Anschaffung eines „Rauchmelder“ statt Maßnahmen „zur Verhinderung eines Feuers“ öffentlich hervorhebt bleibt unbeantwortet…
Quellen:
[1]: https://www.ndr.de/nachrichten/hamburg/Ueber-zwei-Jahre-Haft-wegen-schwerer-Untreue,untreue164.html
[2]: https://www.welt.de/regionales/hamburg/article162875904/Als-sie-sich-395-000-Euro-ueberwies-flog-der-Betrug-auf.html
