Freitag, 1. Juni 2018

Betrugsprävention in Banken

Henning Düsenberg, Leiter Interne Revision, VR-Bank Langenau-Ulmer Alb e.G.

„Wer betrügt, der wird stets jemand finden, der sich betrügen läßt.“ Niccoló Machiavelli (1469–1527)

In der Wissenschaft hat man zur Erklärung wie wirtschaftskriminelle Handlungen entstehen bzw. wie jemand zum Täter wird, im Wesentlichen 3 Risikotreiber herausgearbeitet:




Quelle: Kriminalitätsrisikomodell (Fraud Triangle) nach Donald R. Cressey

Banken bieten aufgrund ihrer Tätigkeiten wie Verwahrung von Vermögenswerten, Derivatgeschäften, Investmentbanking, Kreditgewährung und Abwicklung des Zahlungsverkehrs sowie der Höhe der bewegten Werte naturgemäß viele potentielle Angriffsziele für Betrugsversuche durch interne wie auch externe Täter, weil sich hier ggf. mit einer einzelnen Tat erhebliche Vermögenswerte erlangen lassen und folglich der Risikofaktor Motivation hier schnell erfüllt wird. Dem großen Anreiz entsprechend treten mit durchschnittlich 11 Fällen innerhalb von 2 Jahren im Finanzsektor auch die meisten Fälle von Wirtschaftskriminalität und die höchsten durchschnittlichen Gesamtschäden auf.[1]

Die Institute stehen vor der Herausforderung, dass sich die Anforderungen an angemessene geschäfts- und kundenbezogene Sicherungssysteme[2] und ein geeignetes Internes Kontrollsystem stetig weiterentwickeln und in der Folge die Präventionsstrategien und ergriffenen Maßnahmen sich ebenfalls laufend weiterentwickeln müssen, damit der Risikofaktor Gelegenheit so klein wie möglich gehalten wird.

Auch der Gesetzgeber und die Bankenregulierung haben in den letzten Jahren nicht zuletzt aufgrund großer Schadensfälle die Anforderungen an die organisatorische Ausgestaltung der Institute und insb. des Internen Kontrollsystems immer weiter erhöht.

Bereits seit 2011 ist die Einrichtung einer „Zentralen Stelle“, die sich auch mit der Prävention „sonstiger strafbarer Handlungen“ befassen muss, vorgegeben. Hier hat der Gesetzgeber, wie zuvor bereits in anderen Bereichen, die Notwendigkeit einer zweiten Verteidigungslinie erkannt und umgesetzt.

Wie weit gefasst das Aufgabenspektrum hierbei ist, lässt sich schon daran erkennen, dass der Gesetzgeber hier den Begriff der „sonstigen strafbaren Handlungen“ bewusst nicht abschließend definiert hat. Nach Sinn und Zweck der Vorschrift umfasst dieser Begriff alle vorsätzlich begangenen strafbaren Handlungen, die zu einer wesentlichen Gefährdung des Vermögens des Instituts führen können.[3]

SEMINARTIPP


Betrugsfälle in Kontoführung & Zahlungsverkehr erkennen und verhindern, 24.09.2018, Frankfurt/M.


Für die Interne Revision ist die Berücksichtigung der Möglichkeit doloser Handlungen im Rahmen ihrer Tätigkeit seit vielen Jahren in den internationalen Berufsstandards (IIA Standards) verankert, sie wird hier auch zu den Sorgfaltspflichten der Internen Revision gezählt.

Als zentrale Prüfungsobjekte der Internen Revision werden sowohl durch die o. g. Berufsstandards als auch durch die MaRisk das Risikomanagement, das Interne Kontrollsystem und die Führungs- und Überwachungssysteme genannt. Es liegt auf der Hand, dass hierbei auch das Auftreten doloser Handlungen und die Vorgehensweise der Organisation bei der Steuerung dieser Risiken nicht unbeachtet bleiben können. Mit der letzten MaRisk Novelle 2017 hat denn auch die BaFin klargestellt, dass auch die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter im Rahmen der Prüfungsplanung zu berücksichtigen sind.

In der Praxis hat sich nicht zuletzt wegen der – mit der zunehmenden Digitalisierung einhergehenden – Veränderung der Zugangswege zu den Vermögenswerten (Online-, Telefonbanking, mobiles und kontaktloses Bezahlen, Videoidentifikation etc.) ein wahres Wettrüsten zwischen den Instituten und den Tätern entwickelt, in dem Institute laufend versuchen, die sich aus der neuen Technik und den neuen Kommunikationswegen (der Bank und der Täter) ergebenden potentiellen Schwachstellen (Risikofaktor Gelegenheit) zu schließen.

So müssen Kreditinstitute heute etwa vor Anrufen unter einer für den Angerufenen vorgetäuschten rufenden Nummer gewappnet sein (sog. Call ID Spoofing). In Verbindung mit den heutzutage verfügbaren Informationen aus sozialen Netzwerken ist spätestens hier das Ende teilweise noch praktizierter weicher Verfahren der Kundenauthentifizierung erreicht.

Neben der präventiven Berücksichtigung im Internen Kontrollsystem sind die Institute auch in der Pflicht ihre Kunden bezüglich aktueller und neuer Betrugsmaschen zu sensibilisieren.

Die nächsten bedrohlichen Szenarien sind hier mit der technisch bereits machbaren Imitierung von Stimmen mittels Verfahren der künstlichen Intelligenz bereits absehbar.

Es fällt nicht schwer sich auszumalen was möglich ist, wenn ein Betrüger mit der Stimme des Bankberaters unter dessen Rufnummer bei einem „vertrauensvollen aber technisch weniger affinen Kunden“ anruft...

Die möglichen Folgen wirtschaftskrimineller Handlungen für die betroffenen Institute sind dabei vielfältig, neben direkten materiellen Schäden zu Lasten der Bank oder des Kundenvermögens kommt es häufig bei Bekanntwerden der strafbaren Handlungen zu erheblichen Reputationsverlusten, die sich kaum quantifizieren lassen. Daneben können sich insbesondere bei Beteiligung interner Täter negative Auswirkungen auf die Moral der Mitarbeiter ergeben.

PRAXISTIPPS

  • Schaffen Sie eine aktuelle und umfassende Informationssammlung zu möglichen Delikten.
  • Analysieren Sie ganzheitlich, systematisch und regelmäßig ihre Prozesse im Hinblick auf Angriffsflächen für strafbare Handlungen und schließen Sie Sicherheitslücken.
  • Optimieren Sie die Zusammenarbeit der Kontrolleinheiten (Risikomanagement, Compliance, Geldwäsche/Zentrale Stelle und Interne Revision).
  • Sensibilisieren Sie die Bankmitarbeiter und Kunden hinsichtlich neuer oder wieder aktueller Betrugsmethoden.
  1. Quelle: PricewaterhouseCoopers, Forensic Services: 1 Studie 2005, 2 Studie 2009.
  2. § 25h KWG
  3. Vgl. auch vertiefend: Auslegungs- und Anwendungshinweise der DK zur Verhinderung vonGeldwäsche, Terrorismusfinanzierung und „sonstigen strafbaren Handlungen“.



Beitragsnummer: 629

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Verjährungsneubeginn gemäß § 212 Abs. 1 Nr. 2 BGB

Allein der Umstand, dass ein Gläubiger aus einem titulierten Anspruch viele Jahre lang gegenüber dem Schuldner nicht vorgeht, führt nicht Verwirkung dessen.

22.02.2024

Beitragsicon
Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Beitragsicon
Die besondere Bedeutung der Bankbuchbewertung im aktuellen Zinsumfeld

Analyse der Zinsentwicklung auf die Bankbuchbewertung nach IDW RS BFA 3, Herausforderungen für Kreditinstitute und Anpassungsstrategien .

11.12.2023

Beitragsicon
OLG Celle zur Frage der Nichtabnahmeentschädigung der Bank

Das OLG Celle entschied, dass die Nennung von bestehenden Grundschulde der praktischen Durchführung der Besicherung diene und keine Abänderungserklärung sei.

21.03.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.