Das Fraunhofer-Institut für Sichere Informationstechologie (SIT) hat das "Benfordsche Gesetz", das schon lange auch zum Aufspüren von Unregelmäßigkeiten in Bilanzen und Abrechnungen verwendet wird, weiterentwickelt. Mit der "modellbasierten Ziffernanalyse", die sich selbstlernend dem Untersuchungsumfeld anpasst, werden bisherige Schwächen der Benfordschen Methode ausgebessert. Die EY-Forensikspezialisten konnten mit der neuen Methode bereits einen Betrugsfall in der Realität aufklären.
Foto: mirpic, Fotolia.com
1938 entdeckte der Physiker Frank Benford ein Zahlengesetz, dessen Grundlagen vom Mathematiker Simon Newcomb schon mehr als fünfzig Jahre früher gelegt worden waren. Sinngemäß sagt dieses als "Benfordsches Gesetz" oder korrekterweise auch "Newcomb-Benford's Law" bezeichnete Gesetz aus, dass in jedem natürlich entstandenen Zahlenwerk - von Steuererklärungen über Einwohnerzahlen bis zu Flugplänen von Airlines - die Häufigkeit der Ziffern 1 bis 9 und ihre relative Häufigkeit zueinander einer nachweisbaren Gesetzmäßigkeit folgen. Und daher praktisch kaum umgangen werden können.
Bisherige Methode zu fehleranfällig
"Bei der Aufklärung von Betrugs- und Manipulationsdelikten machen sich forensische Wirtschaftsprüfer dieses Zahlengesetz zu Nutze", erklärt Ingolf Mollat aus der EY-Spezialeinheit für Wirtschaftskriminalität und Korruption. "Denn wenn ein Betrüger Rechnungen oder Buchhaltungsdaten manipuliert, greift er in die natürliche Verteilung der Zahlen ein. Mittels einer speziellen Software können wir diese Abweichungen erkennen und dann den Hinweisen nachgehen."
Das Problem für die Wirtschaftsprüfer waren bislang allerdings die Besonderheiten von Unternehmensdaten, die weniger natürlichen, als mehr marktbedingten Gesetzmäßigkeiten unterliegen. Daher schlug die Benfordsche Methode des Öfteren zu Unrecht an. Mollat erklärt das anhand eines Beispiels: "Definiert der Einkauf eines Unternehmens beispielsweise Preisobergrenzen von 5.000,00 EUR, werden viele Angebote knapp unter dieser Grenze liegen. Das heißt die Ziffer 4 tritt sehr viel häufiger auf, als in der pauschalen Benford-Verteilung festgeschrieben. Die Ziffernanalyse würde sehr oft unnötig Alarm schlagen. Mit dem Ergebnis, dass die Effizienz der Untersuchung leidet, weil die Prüfer den Hinweisen ‚zu Fuß‘ nachgehen müssen.".
Den Fraunhofer-Experten gelang es nun aber, unternehmensspezifische Bedingungen mit zu berücksichtigen und in der "modellbasierten Ziffernanalyse" umzusetzen. Dazu Christian Winter, Experte für IT-Sicherheit vom Fraunhofer SIT: "Wir haben die Schwächen der Benford-Analyse gebrochen, indem wir es geschafft haben, ein lernendes System zu entwickeln. Die modellbasierte Ziffernanalyse ersetzt die pauschale Gesetzmäßigkeit nach Benford durch ein flexibles Modell, das mit bestehenden Unternehmensdaten gefüttert wird". Besonderheiten wie Buchungsgrenzen lassen sich hier berücksichtigen - damit gelangt eine automatisierte Analyse schneller und präziser zu verdächtigen Daten.
Praxistest bestanden
Dass die modellbasierte Ziffernanalyse den Praxistest besteht, zeigte schon ihr erster Einsatz, der gleich erfolgreich war. Eine Aufsichtsbehörde verdächtigte einen internationalen Versicherungskonzern, gesetzlich geforderte Rückstellungen für Groß- und Langzeitschäden manipuliert zu haben, um die Jahresbilanz zu schönen. Die modellbasierte Ziffernanalyse wurde parallel eingesetzt, um einen statistischen Beleg zu erhalten, dass einige Sachbearbeiter zu Ende des Geschäftsjahres die Rückstellungen manuell verändert hatten.
Und in der Tat: EY konnte mit Hilfe konventioneller Datenanalysen und der neuen Form der Ziffernanalyse von Fraunhofer SIT verdächtige Transaktionen entdecken, die gegen die Zahlengesetzmäßigkeit des Unternehmens verstießen. Mit den gesammelten Untersuchungsergebnissen konfrontiert, stimmten die beschuldigten Mitarbeiter schließlich einer Auswertung ihrer E-Mail- und firmeninternen Instant-Messaging-Kommunikation zu. In dieser fanden sich dann konkrete Hinweise auf die begangenen Delikte.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.