Sachlich, hinterfragend, konstruktiv und erfrischend: In unserer Rubrik ECL – Editor’s Choice stellen wir für Sie Beiträge von Vordenkern und Vertretern der neuen Generation potenzieller Compliance-Experten zusammen.
Factual, questioning, constructive and refreshing: In our format ECL – Editor’s Choice we compile for you articles written by Thought Leaders and representatives of the new generation of potential Compliance Experts.
Be inspired!
IT-Forensik als Schlüssel zum Erfolg in der Bekämpfung von Wirtschaftskriminalität (2)
In Wirtschaftsstraftaten sind regelmäßig riesige Datenmengen auszuwerten. Diese Mittel stehen Großunternehmen für ihre Verteidigung ohne Weiteres zur Verfügung. Wie ist aber die Situation der Strafverfolgungsbehörden? Besteht hier noch „Waffengleichheit“, oder wird die Strafverfolgung in Zukunft zu einer aussichtslosen Angelegenheit? Absorbieren Beratungsunternehmen und Industrie die qualifiziertesten IT-Experten, so dass digitale Beweismittel unzureichend oder gar nicht mehr ausgewertet werden können?
Beauftragung von IT-Forensikern durch Staatsanwaltschaften
Grundsätzlich sind die Landespolizeien mit den Landeskriminalämtern (LKA) für die Verfolgung und Aufklärung von Straftaten zuständig. In bestimmten Bereichen der internationalen und der schweren Kriminalität nimmt auch das Bundeskriminalamt (BKA) Strafverfolgungsaufgaben wahr. Das BKA führt außerdem Ermittlungsverfahren in Fällen, in denen es wegen der Bedeutung des Falles nach § 4 Abs. 2 BKAG von einer Staatsanwaltschaft beauftragt wird. Hierzu zählen insbesondere bedeutende Erpressungsfälle oder Wirtschaftsstraftaten mit hohem volkswirtschaftlichem Schaden. Dabei verfügen sowohl die Landeskriminalämter als auch das BKA aufgrund der Bedeutung der digitalen Beweismittel über entsprechende IT-Forensiker.
Grundsätzlich wird die Staatsanwaltschaft IT-Forensiker des zuständigen LKA oder ggfs. auch des BKA zur Durchführung bzw. Unterstützung mit der Sicherung, Aufbereitung und Zurverfügungstellung für die Sichtung von digitalen Beweismitteln beauftragen. Zivile IT-Forensiker, etwa von großen Wirtschaftsprüfungsgesellschaften oder Beratungsunternehmen, werden i.d.R. für Wirtschaftsunternehmen bei internen Ermittlungen aus verschiedensten Anlässen tätig. Gleichwohl kann es aus verschiedenen Gründen erforderlich sein, dass Staatsanwaltschaften (zusätzlich) auf zivile IT-Forensiker als Sachverständige zurückgreifen.
Zulässigkeit der Vergabe von IT-Forensik-Aufträgen durch Staatsanwaltschaften
Die hessische Justizministerin Eva Kühne-Hörmann hat im Jahr 2020 im Rahmen einer parlamentarischen Anfrage die Vergabe von Aufträgen durch die Staatsanwaltschaften an Sachverständige in einem Ermittlungsverfahren erläutert. (Vgl.: HESSISCHER LANDTAG Drucksache 20/3293 vom 19.08.2020) Dies betrifft auch die Beauftragung privater IT-Forensiker. In der hessischen Justizpraxis gelten für die Beauftragung folgende Richtlinien. Entsprechendes gilt grundsätzlich auch für andere Bundesländer:
- Die Entscheidung über die Beauftragung eines Sachverständigen in einem Ermittlungsverfahren steht nach Maßgabe der Bestimmungen der §§ 161a Abs. 1 S. 2, 73 StPO im Ermessen des Staatsanwalts.
- Die Auswahl des Sachverständigen steht während eines Ermittlungsverfahrens im pflichtgemäßen Ermessen des zuständigen Staatsanwalts.
- Die Vergabe von Sachverständigenaufträgen stellt kein öffentliches Beschaffungsverfahren dar. Vielmehr regeln die bundesweit geltenden Verfahrensordnungen die Gutachtenvergabe in gerichtlichen und staatsanwaltlichen Verfahren.
- Für die Vergütung von Sachverständigen sind die Bestimmungen des 3. Abschnittes des Justizvergütungs- und -entschädigungsgesetzes (JVEG) maßgeblich.
- Der Sachverständige ist kraft seiner Stellung ein unabhängiges Beweismittel. Er darf von keiner der am Strafprozess beteiligten Personen abhängig sein oder werden.
- Fast alle Staatsanwaltschaften hatten Einzelfallregelungen, die ein Vier-Augen-Prinzip bei der Vergabe von Gutachtenaufträgen vorsahen. Durch Rundverfügung der Generalstaatsanwaltschaft wurde in die Wege geleitet, dass dieses Prinzip nunmehr bei allen Staatsanwaltschaften bei der Erteilung der Gutachtenaufträge ohne Rücksicht auf das Auftragsvolumen anzuwenden ist.
Fazit und Ausblick
In komplexen Fällen von Wirtschaftskriminalität ist der Einsatz von IT-Forensik der Schlüssel zum Fahndungserfolg. Dies gelingt in der Regel nur durch die Beauftragung von Sachverständigen für IT-Forensik. Im Hinblick auf den erforderlichen Spezialisierungsgrad und die für IT-Forensiker von der Privatwirtschaft gebotenen Karrierewege werden die Ermittlungsbehörden trotz eigener Kapazitäten in den LKA und beim BKA weiterhin – auf rechtlich einwandfreier Grundlage – auf die Unterstützung spezialisierter Unternehmen setzen. Im Hinblick auf die flexible Abdeckung von Ermittlungs-Lastspitzen ist dies im Übrigen auch im Interesse der Steuerzahler, da staatliche IT-Forensiker, die zur Abdeckung von Lastspitzen vorgehalten würden, einen enormen Kostenblock auch in „auslastungsschwächeren“ Zeiten bedeuten würden.
Über die Autoren: Dr. Frank Hülsberg & Dr. jur. Burkhard Fassbach
Dr. Frank Hülsberg ist Wirtschaftsprüfer und Steuerberater. Er ist Mitglied des Vorstands bei Warth & Klein Grant Thornton und verantwortet das Ressort Technology & Innovation. Zudem leitet er den Beratungsbereich Governance, Risk, Compliance & Technology. Seine Schwerpunkte liegen hier auf Wirtschaftskriminalität, Cyber Security, Data Analytics, Prozessdigitalisierung sowie IT-Strategieberatung und -umsetzung.
Dr. jur. Burkhard Fassbach ist seit 1998 als Rechtsanwalt zugelassen. Nach einer Promotion im US-amerikanischen Reorganisationsrecht bei Professor Manfred Wolf an der Johann Wolfgang Goethe-Universität praktizierte er zunächst bei der Kanzlei Wellensiek im Insolvenzrecht. Seit vielen Jahren ist er in den Bereichen Compliance, Organhaftung und D&O-Versicherung spezialisiert und durch zahlreiche Publikationen ausgewiesen.
IT-Forensik als Schlüssel zum Erfolg in der Bekämpfung von Wirtschaftskriminalität (1)
Gegenstand der IT-Forensik
Neben den klassischen Beweismitteln wie Vernehmungsprotokollen, Zeugenaussagen und papiergebundenen Informationen nehmen digitale Beweismittel einen immer größeren Raum in Ermittlungsverfahren bei Wirtschaftsstraftaten ein. Hierzu zählen elektronische Dokumente, digitale Bilder, E-Mails, Chatprotokolle sowie verschlüsselte Informationen oder Spuren von Angriffen auf Netzwerke sein. Die IT-Forensik befasst sich mit der Sicherung, Sichtbarmachung, Aufbereitung und Bereitstellung digitaler Daten mit dem Ziel der Auswertung durch die beauftragenden Ermittlungsbereiche. Als Beweismittel fallen Datenträger unzähliger Formate, Fest- und Wechselplatten, Speicherkarten aller Formate, Chipkarten, optische Medien sowie Mobiltelefone/Smartphones und SIM-Karten an. Auch physikalisch defekte Datenträger sowie verschlüsselte oder passwortgeschützte Daten können unter Umständen (bei zivilen IT-Forensikern in den Grenzen des Datenschutz- und Strafrechts) noch ausgewertet werden. Besondere Herausforderungen ergeben sich zunehmend aus der Nutzung von Speicherkapazitäten im Internet, so genannten Cloudspeichern, aus komplexen IT-Architekturen der Unternehmen, aus Archivierungs- und Löschkonzepten sowie aus der schieren Menge der digitalen Beweismittel. Hierdurch erhalten die Sicherstellung der Vollständigkeit der Beweismittel, die Verarbeitungskapazität sowie die Komplexitätsreduktion immer größere Bedeutung.
Beauftragung von IT-Forensikern durch Wirtschaftsunternehmen
Für die Aufklärung und Aufarbeitung der „Dieselthematik“ bei Volkswagen, AUDI und Porsche hat IT-Forensik einen wesentlichen Beitrag geleistet. Die Aufsichtsräte wurden bei der Aufklärung der Ursachen der Dieselthematik von einer Rechtsanwaltskanzlei begleitet, die eine umfassende Prüfung von Pflichtverletzungen und Schadensersatzansprüchen durchgeführt hat. Die Untersuchung bezog sich auf die Entwicklung, Installation, Vertrieb und sonstige Verwendung von bestimmten Softwarefunktionen in der Motorsteuerung von Dieselmotoren, die zu Abweichungen zwischen den Abgasemissionen im Prüfstands- und Realbetrieb führten, und alle damit zusammenhängenden Sachverhalte. (Vgl.:Gemeinsamer Bericht von Aufsichtsrat und Vorstand der VOLKSWAGEN AG zu den Tagesordnungspunkten 10 und 11) Es war die mit Abstand umfangreichste und aufwändigste Untersuchung in einem Unternehmen in der deutschen Wirtschaftsgeschichte. Es wurden für die Aufarbeitung über 65 Petabyte Daten analysiert; insgesamt wurden mehr als 480 Millionen Dokumente in Datenräume überführt. Ein Petabyte sind eine Billiarde Bytes, eine Zahl mit 15 Nullen. Auf Papier ausgedruckt würden die gesicherten Daten einen Stapel ergeben, der mehrmals um die Erde reicht. 1,6 Millionen Dateien wurden überprüft. Dazu gehörten auch staatsanwaltschaftliche Ermittlungsakten, Berichte des US-Monitors Larry Thompson sowie behördliche und gerichtliche Verfahren. (Vgl.: JUVE Artikel vom 26.03.2021, Diesel: Gleiss-Bericht zum VW-Skandal sprengt alle Dimensionen, abrufbar: https://www.juve.de/nachrichten/namenundnachrichten/2021/03/diesel-gleiss-bericht-zum-vw-skandal-sprengt-alle-dimensionen )
Diese Mittel stehen Großunternehmen ohne Weiteres zur Verfügung. Wie ist aber die Situation der Strafverfolgungsbehörden? Besteht hier noch „Waffengleichheit“, oder wird die Strafverfolgung in Zukunft zu einer aussichtslosen Angelegenheit? Absorbieren Beratungsunternehmen und Industrie die qualifiziertesten IT-Experten, so dass digitale Beweismittel unzureichend oder gar nicht mehr ausgewertet werden können?
Über die Autoren: Dr. Frank Hülsberg & Dr. jur. Burkhard Fassbach
Dr. Frank Hülsberg ist Wirtschaftsprüfer und Steuerberater. Er ist Mitglied des Vorstands bei Warth & Klein Grant Thornton und verantwortet das Ressort Technology & Innovation. Zudem leitet er den Beratungsbereich Governance, Risk, Compliance & Technology. Seine Schwerpunkte liegen hier auf Wirtschaftskriminalität, Cyber Security, Data Analytics, Prozessdigitalisierung sowie IT-Strategieberatung und -umsetzung.
Dr. jur. Burkhard Fassbach ist seit 1998 als Rechtsanwalt zugelassen. Nach einer Promotion im US-amerikanischen Reorganisationsrecht bei Professor Manfred Wolf an der Johann Wolfgang Goethe-Universität praktizierte er zunächst bei der Kanzlei Wellensiek im Insolvenzrecht. Seit vielen Jahren ist er in den Bereichen Compliance, Organhaftung und D&O-Versicherung spezialisiert und durch zahlreiche Publikationen ausgewiesen.
verantwortlich sein
ist da kein anderer
als ich
der für mich
übernehmen kann
was alles
ich doch ganz
alleine
war und tat
ich bin’ s nicht
mehr
und bin doch
einmal der
gewesen
dem dieses sein
und diese taten
zuzurechnen
sind
ich selbst in mir
verstehe
den nicht mehr
der all das war und tat
doch alle anderen
sehen mich
und sehen
keine große differenz
ein graues haar
vielleicht fünf kilo mehr
doch nichts
das mich
von dem entlastet
was jener tat
aus dem nun ich
geworden bin
da draußen
muss ich
für ihn stehen
auch wenn ich
von ihm
fortgegangen bin
und bleiben
gar nicht möglich war
Über den Autor: Alexander Soth
geboren und aufgewachsen in Süddeutschland, lebt seit vielen Jahren in Berlin. Neben seiner Arbeit als freiberuflicher Unternehmensberater im Bereich des Executive Search Consulting schreibt er mit literarischem Anspruch. Seit einiger Zeit präsentiert er seine essayistischen Texte und Kurzgeschichten in öffentlichen Lesungen. Er beteiligt sich an Literaturwettbewerben und arbeitet an einer längeren Erzählung.
Breaking the engine of crime
Suspicious Activity Reports (SARs) are the lifeblood of many a criminal investigation. Timely and accurate reports submitted by financial institutions reveal links and uncover wrongdoing that, if not checked, has the capacity to destroy lives all over the world. For states in the EU, a SAR regime is a must. Yet all is not well. Europol, the international police agency, has called for reform of the current arrangements.
Europol’s report[1] makes for fascinating and terrifying reading. Financial Institutions and national Financial Intelligence Units (FIUs) have, since its publication in 2017, already begun to tackle some of the issues raised.
1: Efficiency
Millions of SARs are filed every year across the EU but only about 10 per cent are ever investigated and less than one per cent of the criminal proceeds confiscated. From the criminal perspective, money laundering is a low detection and prosecution crime
2: Defensive filing
The majority of SARs filed across the EU are defensive in nature and come from just two countries: the UK and the Netherlands. These are filed by institutions covering themselves against possible prosecution, rather than passing on intelligence.
The UK has recognised the severity of this problem and has recently pledged about £3.5million to redesign the SAR regime and boost both technology and human resources at Companies House, the agency responsible for company registration.
3: Deposing the cash king
The majority of the SARs filed pertain to cash deposits, withdrawals and transfers. Cash is still king in the criminal world, and the SARs created are vital – but they report on activity in the low end of the criminal value chain. Cash SARS identify the runners who structure funds and are far removed from the ultimate beneficial owners.
These three problems, combined, mean that the indicators of crimes that cause the biggest harm to our societies are underreported. Cyber crime is predicted to generate $6 trillion for criminals by 2020 – outstripping the sale of illicit drugs. Mind you, human trafficking is overtaking drug dealing – and a third of the victims are children, who generate the greatest return for traffickers. Corruption – specifically corrupt officials – continues to deprive countries of billions of dollars’ worth of much-needed income. This disproportionately affects emerging economies.
But there’s also a compounding issue. Banking innovation is ramping up thanks to Open Banking and other initiatives. More and more organisations are performing roles that, until now, were the domain of financial institutions.
One example is Mexican startup AIRTM, a peer to peer cryptocurrency. Using AIRTM, it’s possible to convert any currency into another currency or value. Users can deposit money using a typical banking service, but also with store cards, gift cards, pre-paid cards, cash and cryptocurrency. That value can then be transferred and withdrawn almost anywhere by anyone the value is transferred to in almost any currency – around 200 are currently available. AIRTM is registered as an MSB and complies with the AML regulations, and so it files SARs. Four years ago, it didn’t even exist as a business, let alone a reporting entity.
This company is just an example of many fintechs –growing in number and scale rapidly. Open Banking regulations such as PSD2 regulation speeds that innovation- and it also means they’re filing SARs. And that presents a further challenge for SAR authorities.
Meanwhile, criminal groups are far freer to go about their business. SAR regimes operate on national and regional levels, but organised crime operates across borders. Using networks built on trust and intensive vetting of members, they don’t face the same problems sharing intelligence, skills or resources.
There is a response: Project protect in Canada is one example, and the Joint Money Laundering Intelligence Task Force (JMLIT) in the UK is another. Across the EU, the Fifth AML Directive (5AMLD) mandates better information sharing, with technology at the core.
What can financial institutions do?
The problem remains that the volume of reports is high – and getting higher. Removing false positives is a start for most financial institutions, followed by improving the quality of reports filed to make them more effective.
As the Europol report says: “Even very small changes in the algorithms behind these automatic systems can dramatically affect the number of reports filed, both positively and negatively.”
Some banks already use transaction filtering with a small set of extra context-driven rules to reduce the number of false positive reports they get – and that can help reduce the number of defensive SARs. Note that filtering and rules is not the same as a machine learning exercise.
Banks following this process reported a reduction of close to 60% and in some cases even 90%. Imagine the joy of your investigators and the massive difference it gives on the volume and quality of reporting.
The second thing banks can do to is improved reporting to reduce the low proportion of SARs that are investigated; in part, more accurate reports will be generated by the transaction filtering approach above, but this can be really kicked into high gear by building a smarter, faster and intelligence-led reporting regime. This can only happen if institutions are able and willing to share more information, not just with regulators but with peers and industry groups. Advanced analytics programs running across the sector can connect the dots of behaviour and interactions that provide evidence of criminal behaviour.
The output is something that’s regularly talked about but rarely delivered: Super SARs. The technology exists today to facilitate secure and encrypted information sharing between all the participants responsible for preventing money laundering. But the will has to be there – and the technology has to be easy to upgrade and cost-effective, not least because its successful employment will inevitably lead to criminals changing their tactics.
About the Author: Mariola Marzouk
Mariola Marzouk, Global Head of Financial Crime and Fraud Insights at BAE Systems, is responsible for addressing customers’ business challenges. Her primary focus is to be the ‘eyes and ears’ of the market, generating actionable intelligence to ensure a proactive approach to mitigating risks faced by financial institutions and law enforcement. Mariola developed a deep passion for Financial Crime and Fraud prevention during her Forensic Accounting MSc studies and ACAMS certification. Her role within the Market and Product Strategy team allows exposure to the results of cyber and financial crime convergence across many industries at a global level.She has over nine years of Market and Strategic Insights experience within the technology industry spanning across M&A, Fast Moving Consumer Goods and the Financial Sector.
Auf den Spuren von GRC – Ein Kommentar mit Augenzwinkern
Ökonomisches Prinzip, maximaler Nutzen, Effizienz, Effektivität – das Streben des Homo oeconomicus, das Streben des wirtschaftlich rationalen Teils menschlichen Daseins. Ihm sind Errungenschaften wie Integrierte Management Systeme (IMS) und dessen Abkömmlinge wie Total Quality Management (TQM), Enterprise Risk Management (ERM) und der vielenorts angepriesene „Heilsbringer“ jedes Unternehmensleiters namens Governance Risk and Compliance (GRC) zu verdanken.
Ein hocheffizientes Managementsystem, das eine nachhaltige Unternehmensführung ermöglicht, klingt gut und wäre es auch, würde es eine faktische Umsetzung und nicht nur bloße Phrasendrescherei über Wertschöpfung, Effizienz, Effektivität, Ganzheitlichkeit und Integration erfahren. Die Umsetzung ist möglicherweise nicht zuletzt deshalb so verzwickt, weil GRC schwer zu greifen ist. Nach jedem Fachartikel, nach jeder Podiumsdiskussion, nach jedem Fachvortrag stellt man sich meist erneut die Frage, was denn nun GRC im Konkreten sei – dabei führt Rekapitulation oftmals zur Kapitulation.
Vielleicht ist GRC auch einfach nur ein Schritt zurück in die richtige Richtung?
Krisen- und skandalgetriebener Reaktionismus sowie das eine oder andere Gerichtsurteil haben zu einer Art „kambrischen Compliance-Explosion“ geführt. Anorganisch gewachsene Compliance-Organisationen müssen nun, nachdem doch die ein oder andere davon aus dem Nichts erschaffen wurde, ihren Weg zurück zum Business finden. Das ist gut so! Nur auf diese Weise kann Compliance das Geschäft unterstützen, Akzeptanz hinzugewinnen und so der Gefahr entweichen, irgendwann als bloße Modeerscheinung in die Bedeutungslosigkeit abzudriften. Alle Bemühungen, die Tugenden des ehrbaren Kaufmanns mit dem tüchtigen Homo oeconomicus zu verbinden, wären vergebens.
Nur beschränkt sich die anscheinend endlose Selbstfindung von GRC längst nicht mehr auf die ominöse „Integration“ von Risikomanagement und Compliance. Neben der Internen Revision und dem Internen Kontrollsystem (IKS), welche man nach Belieben ebenfalls unter das Risikomanagement subsummieren mag, werden auch Qualitätsmanagement, Controlling, Unternehmenssicherheit sowie eine Dunkelziffer weiterer Funktionen kurzerhand in den GRC-Topf geworfen. Dennoch oder vielleicht gerade deshalb kommt man nicht zu „Potte“.
Die Diskussionen um GRC scheinen sich aus neutraler Perspektive im Kreis zu bewegen. Sie kreisen in einem Orbit um den Kern der Debatte: die (Auf-)Forderung nach einer verbesserten Zusammenarbeit zwischen Governance-Funktionen zum Wohle des Unternehmens und seiner Stakeholder. Wem die konkrete aufbau- und ablauforganisatorisch manifestierte Umsetzung dieser Zusammenarbeit glückt und damit GRC greifbar macht, dürfte auch jetzt noch als Pionier gelten.
Über den Autor: Manuel Treiterer, LL.B.
Manuel Treiterer ist studierter Wirtschaftsjurist (LL.B.). Im Rahmen seines Studiums absolvierte er Praktika in Stabsfunktionen zweier Großkonzerne der Automobilindustrie sowie bei einer Anwaltskanzlei und einer Rechtsberatung für Compliance Management. Aktuell studiert Herr Treiterer Legal Management (LL.M.) an der HTWG Konstanz und verantwortet darüber hinaus verschiedene Projekte beim Compliance Channel.