Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.12.1975 - 

Leser-Meinungen zum 200 000-Mark-Schwindel bei der Linde AG

Die Praktiker befürworten manuelle Kontrolle

MÜNCHEN - "Programm-Manipulationen: 200 000 Mark erschwindelt" berichtete Computerwoche in Nummer 47: Ein 39jähriger Systemanalytiker der Linde AG, München, hatte sich selbst dreimal auf die Gehaltsliste gesetzt und seit März 1974 monatlich zwei 5000-Mark-Gehälter zusätzlich kassiert.

Die Reaktion der Praktiker: Weil beim Computer ebenso wie beim simplen Additionsstreifen Endsumme nicht gleich Endsumme sein müsse, könne auf manuelle Kontrolle nicht verzichtet werden. In den drei Leserbriefen, die Computerwoche auf dieser Seite abdruckt, nehmen Leser zu dieser Frage der Überprüfung von Computer-Abrechnungen Stellung.

60 Minuten pro Monat reichen für die Sicherheits-Überprüfung

Kein Mensch ist dagegen gefeit, von einem Mitmenschen auf das Kreuz gelegt zu werden, wenn dieser eine erkennbare Lücke ausnützt um auf unredliche Weise an Geld zu kommen.

Wenn aber ein Unternehmen wie die Linde AG mit einem so simplen Trick geschädigt wird,. so ist das geradezu beängstigend. Wie kann es vorkommen, daß die Summe und Anzahl der Gehaltstaschen nicht mit der Summe und Anzahl der Banküberweisungen (ohne vermögenswirksame Überweisungen) abgeglichen wird, wo doch jedermann weiß, daß die Abstimmung die beste Kontrollmöglichkeit ist, festzustellen, ob Produktivläufe fehlerfrei waren? Wenn natürlich diese Programme entsprechend geändert wurden, ist es aus dieser Abstimmung nicht zu ersehen. In dem vorliegenden Fall wurde aber mit Datenträgeraustausch gearbeitet und deshalb ist doch von den einzelnen Banken eine Mitteilung gekommen, wieviele Anweisungen und mit welcher Gesamtsumme zur Zahlung angewiesen worden sind. Dabei muß der Fehler auftauchen. Oder sollte die Fachabteilung alles unbeschwert hinnehmen, die Abstimmungen wie so oft auf irgendwelche Additionen beschränken und die Listen einfach ablegen? Dann ist die Fachabteilung durch ihre Arbeitsweise mitschuldig.

Ich glaube der Grund liegt hier in der mangelnden Transparenz der EDV-Organisation und der fehlenden Integration der Fachabteilung in die Organisation. Diese Unübersichtlichkeit steigt proportional zu der Größe der EDV-Abteilung. Die Größe einer EDV-Abteilung sollte auch nicht von der Größe des Unternehmens oder der Leistungsfähigkeit des verwendeten Computers abhängig sein, sondern von der Vielzahl der Anwendungen und entsprechenden Verknüpfungen. Ich finde es äußerst ungesund, wenn sieh 3 Personen hauptamtlich mit Lohn und Gehalt beschäftigen, denn gerade Lohn- und Gehaltsprogramme sollten zu der Kategorie mit dem geringsten Änderungsdienst gehören, weil die entsprechenden Veränderungen sowieso von der Fachabteilung vorgenommen werden müssen.

So viele Änderungen (z. B. Akkordabteilungen) kann es gar nicht geben daß 3 qualifizierte Personen damit ausgelastet sind. Als Beispiel möchte ich anführen, daß in dem Unternehmen in welchem ich beschäftigt bin, 902 Gehalts- und Firmenrentenempfänger und 756 Lohnempfänger mit allen Nebenauswertungen abgerechnet werden wobei der durchschnittliche Aufwand eines qualifizierten Systemanalytikers und Programmierers 3 Tage pro Monat beträgt - mit dem gesamten Änderungsdienst. Ich bin auch nicht mit Herrn Haider der Meinung, daß EDV-Leiter gelegentlich Kontroll- und Suchprogramme aufstellen sollen. Wir haben bei dem gesamten Zahlungsverkehr umfangreiche Abstimmungen, die Manipulationen rechtzeitig erkennen lassen, und die keinen zusätzlichen Aufwand darstellen, da die Daten alle vorhanden sind. Beim Gehaltsprogramm ist es als Summenblatt eine genaue Aufschlüsselung der einzelnen Abzugsarten und Zuschläge sowie des gesamten Brutto- und Nettogehaltes, der Anzahl und Summe der Gehaltsüberweisungen und Anzahl und Summe der Gehaltstüten. Die monatliche Überprüfung unserer Gehaltsabrechnung beträgt nach Aussage unseres Personalleiters ca. 60 Minuten, wobei die Einzelsummen des Summenblattes gegeneinander aufgerechnet werden.

Dieser Aufwand muß im Rahmen der Sicherheit aufgebracht werden.

Peter Brettschneider, Betriebswirt, Geislingen

"Besondere Gefahr beim Bandaustausch"

Wir haben Ihren Bericht mit ganz besonderem Interesse gelesen. Nachdem wir monatlich für etwa 500 Betriebe 15 000 Lohnabrechnungen erstellen, können wir mit einigen Erfahrungen auf diesem Gebiet aufwarten. Was uns unbegreiflich erscheint: Wurden in diesem Fall überhaupt keine Kontrollen mehr durchgeführt? Eine solche Manipulation muß sich doch zwangsläufig in der Lohnsteuer, Kirchensteuer, Sozialversicherung niederschlagen. Wie konnte die Sollbuchung im Kostenbereich manipuliert werden?

Hat man denn keine Beschäftigtenzahl - , Versichertenzahl - und Personalstatistik? Wer unterschreibt den Sammelüberweisungsauftrag, und wie informiert er sich vorher über dessen Richtigkeit? Offenbar führte auch hier der EDV-Perfektionismus zur Computerhörigkeit.

Eine besondere Gefahr sehen wir im Bandaustausch. Wenn über mehrere Verarbeitungsphasen keine Belege mehr gefertigt werden, sind einem geschickten EDV-Manipulator viele Wege offen.

Eine externe Datenverarbeitung in manchen Bereichen zeigt sich hier auch von einer ganz neuen Seite als sehr sinnvoll!

Allmählich scheint der Glaube an die heilige Kuh "Computer" ins Wanken zu geraten. Es wäre aber auch Zeit, in den "Computerpriestern" wieder normale Menschen zu sehen welche mit Vor- und Nachteilen behaftet sind.

Andreas Meyer, Geschäftsführer der abs-Rechenzentrum GmbH, München.

"Kriminalität des Leichtsinnig"

Der CW-Artikel soll zeigen, daß es nun jemandem doch gelungen sei, Computer-Kriminalität zu begehen. Hier bin ich entschieden anderer Auffassung. Seit geraumer Zeit verfolge ich die immer wieder auftauchenden Artikel in den verschiedensten Publikationen über dieses Thema.

Dabei konnte ich bisher immer feststellen, daß zwar die betrügerischen Handlungen - wie beschrieben - in der EDV ausgelöst wurden, aber nur durch schwerwiegende Mängel in der Organisation der Fachabteilungen diese Versuche zum Erfolg führen konnten.

Ein wesentlicher Punkt, der scheinbar allzuoft nicht beachtet wird, ist die Tatsache, daß bei Einführung jeglicher Abrechnungssysteme immer dort, wo Werte (Geld) an Dritte weitergeleitet werden, ein möglichst lückenloses Kontrollsystem vorgesehen werden muß.

Die EDV sollte sein und bleiben was sie ist, nämlich Dienstleistungsbetrieb: Verarbeiten von Daten für einen Dritten. Dazu gehört dann zwangsläufig, daß dieser Dritte Kontrollen durchführen muß, weil er ja letztlich für die Daten verantwortlich ist. Es dürfen also die von der EDV gelieferten Auswertungen, zumindest in diesem Bereich, nicht als gegeben hingenommen werden.

Wir überweisen seit einigen Jahren per Datenaustausch die Gelder für die Bereiche: Lohn/Gehalt/Kreditoren/Betriebsrente und Vermögensbildung. Von Anfang an haben wir Kontroll-Listen ausgedruckt, so daß Unregelmäßigkeiten jederzeit aufgedeckt werden können. Dazu gehört dann eben auch, daß die Nettosummen nachaddiert werden müssen, weil auch bei der EDV, genau wie bei einem simplen Additionsstreifen, Endsumme eben doch nicht Endsumme sein muß.

Vertrauen ist gut - Kontrolle ist besser. Wird dieser Grundsatz von der Fachabteilung beherzigt und, wie bereits erwähnt, die Organisation und der Ablauf eines Abrechnungs-Systems ständig überwacht, dann können wir die Schlagzeile "Computer-Kriminalität" schnell streichen. In den bekannten Fällen müßte es heißen: "Kriminalität des Leichtsinns".

Herbert Gärtner, Leiter des Rechenzentrums für Vereinigten Aluminium-Werke AG, Grevenbroich

Univac lockt mit Umstellhilfe für Honeywell-Anwender

BLUE BELL (Pa) - Die Umstellung von den 200/2000-Modellen auf die 90/30 will Univac bisherigen Honeywell-Anwendern mit einem neuen Paket von Umstellhilfen schmackhaft machen: Es gibt Programme zur automatischen Übersetzung von Honeywell- in Univac-Cobol-Quellenprogramme sowie von Honeywell-Easycoder- in Univac-Cobolprogramme. Ein drittes Programm ermöglicht die Umstellung von Dateien im Honeywell-Format auf das Univac-Format. Die Umstellung kann auf einer anwendereigenen 90/30 oder in einem Univac-RZ erfolgen. Unter dem Betriebssystem OS/3 sollen laut Univac sich die umgestellten Ex-Honeywell-Programme in nichts von direkt für 90/30 geschriebener Software unterscheiden.