Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.03.1988 - 

"Nixdorf-Skandal" kein Einzelfall:.

Mitnahme-Effekte auch bei DV-Dienstleistungen

Von Harald Seiffert*

Von "Paderborner Posse" bis "Skandal" reichen die Titulierungen dafür, daß bei der Nixdorf Computer AG vier leitende Herren ihren Hut nahmen. Zwar wurde angeblich niemand geschädigt, jedoch erzielte das Quartett - vielleicht wächst es ja auch noch zu einem ganzen Orchester - auf eine Art und Weise einen persönlichen Vermögenszuwachs, der mit den Leitlinien des Paderborner Unternehmens sicher nicht ganz in Einklang zu bringen ist.

Vier Mitarbeiter der Nixdorf Computer AG wurden wegen ihrer Verwicklungen in eine Schmiergeldaffäre entlassen. Die Staatsanwaltschaft Paderborn ermittelt wegen Betrugs und Untreue, nachdem zwei der Beteiligten selbst Anzeige erstattet haben. Offensichtlich sind mindestens seit 1979 immense Summen aus der Druckindustrie und der Werbebranche als Schmiergelder geflossen, und man vermutet erst die Spitze eines Eisbergs.

Erstaunlich das öffentliche Erstaunen über solche Vorgänge. Was erwartet man denn? Eine ähnlich naive Blindheit ist noch mindestens in zwei weiteren Bereichen anzutreffen. Der erste wird durch Spionagetätigkeiten in Politik, Parlament, Regierung und Verwaltung gebildet. Großes Hallo, wenn an höchster Stelle - es sei nur an den Fall Guillaume erinnert - ein Ost-Agent enttarnt wird. Dabei muß man sich doch fragen, wo sonst sollten diese Leute sitzen? Doch sicher nur da, wo es für den Auftraggeber interessant ist.

Der zweite Bereich sind Unregelmäßigkeiten in der Beschaffung von Fremdleistung in der DV-Branche. Allerdings sind die Enttarnungen hier wesentlich seltener und meist auch weniger spektakulär.

Dabei muß man sich fragen, wo sonst noch fließen mit so schöner Regelmäßigkeit und in relativ kurzen Abständen derart enorme Investitionsmittel? Wo sonst noch sind so viele Funktionen, die unter Sicherheitsaspekten besser getrennt wären, doch weitgehend in einer Hand? Selbstverständlich können beispielsweise die Beschaffungsaktivitäten für die DV vom Einkauf durchgeführt werden, aber ebenso selbstverständlich liefern häufig genug die Vorgaben der DV-Abteilung auch schon die Vorentscheidung für ein bestimmtes Produkt. Ebenso liegt nach seiner Lieferung in ihren Händen die Kontrolle der Funktionsfähigkeit und seine Abnahme.

Gehen Sie doch einmal systematisch alle Manipulationsmöglichkeiten im DV-Bereich durch, die zur persönlichen Bereicherung Ihrer Mitarbeiter dienen können. Sicher nicht auf Anhieb, aber bei einigem Nachdenken wird Ihnen eine Menge einfallen. Am Anfang stehen die Ausschreibung, das Auswahlverfahren und die Auftragsvergabe. Wenn es sie Oberhaupt gibt, enthalten in den meisten Fällen die Beschaffungsrichtlinien nur einen sehr weit gefaßten Rahmen, der nicht differenziert nach Hardware, Individual- und Standardsoftware. Entsprechend groß sind die Möglichkeiten, Freiräume zu nutzen. Zugeständnisse sind einem potentiellen Auftragnehmer auf der einen Seite dann leicht möglich, wenn irgendwo genügend Lücken in den vertraglichen Bedingungen offengelassen werden, meistens bei der Leistungsbeschreibung, die den Profit zu Lasten des Auftraggebers letztlich doch noch sicherstellen. Diese Praktiken schlagen dann nicht allzu große Wellen, wenn der- oder diejenigen, deren Wohlverhalten erkauft wurde, kräftig genug mithelfen, dies zu vertuschen.

Es geht aber noch viel einfacher. Niemand wollte gerade im EDV-Bereich die These aufstellen, daß der Zuschlag bei einer Ausschreibung nur nach dem Preis erfolgen sollte. Bereits längere, gemeinsame Zusammenarbeit und ähnliche Kriterien spielen eine große Rolle und lassen bei größeren Projekten Preisunterschiede von einigen hunderttausend Mark bei sonst gleichen Leistungen durchaus gerechtfertigt erscheinen. Könnte man da nicht auf den Gedanken kommen zu teilen?

EDV-Revision ist ein aktuelles Schlagwort, mit dem sich viel Geld verdienen läßt, besonders in der Ausbildung von EDV-Revisoren und Seminaren. Wie eine Posse mutet es jedoch an, wenn man sein Seelenheil als EDV-Revisor allein in der Dokumentation sucht oder, weiter fortgeschritten, für Programme Funktionstests durchführt, die geldnahen Prüffelder aber außer acht läßt. Wie kann es sonst sein, daß Aufträge zur Erstellung von Individualsoftware an ein Unternehmen vergeben werden, in dem auch die Ehefrau des DV-Leiters tätig ist, und nirgendwo in seinem Arbeitsvertrag steht, daß solche Verbindungen selbstverständlich offenzulegen sind? Wie kann es sonst sein, daß in die engere Personalauswahl eines Unternehmens gekommene, hochqualifizierte Programmierer überraschend ihre Arbeitsverträge nicht hier, sondern, ohne daß Annoncen geschaltet wurden, mit einem Softwareunternehmen abschließen, das als Auftraggeber des personalsuchenden Unternehmens tätig ist?

Ein weiterer, eklatanter Schwachpunkt in der Praxis ist die Abwicklung von Projekten zur Erstellung von Individualsoftware, die zwar zum größten Teil nach draußen vergeben werden, bei denen aber eine mehr oder weniger große Mitarbeit des eigenen Personals unumgänglich ist. Wer kontrolliert, ob die Leistung der unternehmenseigenen Mitarbeiter nicht zu einem mehr oder weniger großen Teil auch die fremd zu erbringenden Arbeiten umfaßt?

Und wer kennt nicht die umfangreiche Software, die von niemandem im Unternehmen beherrscht wird, die aber immer wieder wegen fortgesetzter Anpassungen oder auftretender Fehler Eingriffe nötig macht? Wie gut, daß dann der eine Externe, der sich damit auskennt, stets zur Stelle ist. Wer kontrolliert hier die abgerechneten Stunden und vor allen Dingen ihre Notwendigkeit? Das Schlimmste, was den von dieser Geldquelle Profitierenden passieren kann, ist das meist rasch wieder aufgegebene Ansinnen, einen unternehmenseigenen Programmierer in die schwierige Materie einarbeiten zu wollen.

Neben den größeren Fischen haben wir in unserer Revisionstätigkeit auch festgestellt, daß gerade im EDV-Bereich jede Menge "Basisarbeit" geleistet wird. Beispielsweise hatte der DV-Leiter eines mittleren Systems vordergründig wegen des so zu erzielenden Mengenrabatts einen Vorrat an Rechnungsformularen auf Endlospapier geordert, der für mindestens fünf Jahre reichte. Dies fiel erst auf, als sich die Rechtsform des Unternehmes änderte und etliche Kilo Papier in den Reißwolf gelangten. Nach intensiven Recherchen wurde danach jedoch noch viel mehr aktenkundig. Die Manipulationen waren möglich gewesen, obwohl die englische Mutter des Unternehmens in ihrem Tochterunternehmen wie üblich ein ausgeklügeltes Reporting-System vorgeschrieben hatte. Und damit wird es ganz deutlich, EDV-Revision kann sich zwar auf Formulare, Dokumentation und ähnliches stützen, wenn sie jedoch in der Lage sein soll, nicht nur Unregelmäßigkeiten, sondern Manipulationen aufzudecken, kommt sie nicht ohne das fantasievolle Hineindenken in die Möglichkeiten krimineller Manipulationen aus. Leider fehlt in den meisten Unternehmen entweder eine EDV-Revision überhaupt, oder sie hat zwar gute unternehmensinterne Kenntnisse, läßt jedoch die Schwachstellenerfahrung externer Revisoren vermissen. So wird Kriminelles weder aufgedeckt - das Geschäft blüht im Stillen - noch werden präventiv wirkende Kontrollmaßnahmen eingeführt.

Bis zum nächsten Skandal, dann können sich wieder alle laut entrüsten.