Transportkriminalität / Lagerkriminalität
 
Lager- und Transportkriminalität sind eine häufige Erscheinungsform von Mitarbeiterkriminaltät. Aber auch Externe sind verantwortlich für den Schwund im Lager- und Transportwesen. Aber nicht nur unerklärlicher Warenverlust, sondern auch Schadensfälle können auf eine strafbare Handlung
zurückzuführen sein.
Wirksame, reppressive Maßnahmen sind die Einschleusung eines V-Mannes, die Überwachung der Transportwege oder die Lagerobservation. Bei Schadensfällen bringen auch Gutachten Licht ins Dunkel. Präventive Wirkung haben die Einrichtung von Lieferantenschleusen oder Zutrittskontrollen.

Sachbeschädigung / Sabotage

Hintergrund für Sabotagehandlungen bzw. Sachbeschädigungen sind in den meisten Fällen unzufriedene Mitarbeiter. Trotzdem kann es sich aber auch um eine Aktion eines Konkurrenzunternehmens handeln. Erfolgreiche Interventionsmöglichkeiten sind eine professionelle Tatortarbeit, die Integration eines verdeckten Ermittlers, eine Observation oder die Videoüberwachung. Aber auch Interviews können zum gewünschten Ermittlungserfolg führen. Eine pauschale Befürwortung eines Mittels kann hier nicht ausgesprochen werden, da die Entscheidung im Einzelfall von weiteren Faktoren abhängt.

Produktpiraterie / Markenpiraterie / Anti-Piracy

Jährlich entstehen durch "Diebstahl geistigen Eigentums" Schäden in Milliardenhöhe. Im Menüpunkt Wirtschaftsspionage / Industriespionage wird bereits auf auf den Informationsabfluss eingegangen. Sind die Blaupausen und andere Informationen aber schon abhanden gekommen und ein Konkurrenzunternehmen produziert bereits Plagiate, müssen diese gefunden und vernichtet werden. Wichtig ist dabei, den Weg des Produktes vom Ende (Verkäufer/Käufer, z. B. auf Messen) bis zur Fertigungsstelle (Fertigungsunternehmen) zu kennen. Ein Aufbringen mit anschließendem Vernichten der Ware wird vielfach auf den westlichen Wirtschaftsraum beschränkt bleiben. Auch in Europa gibt es Lagerräume, die von östlichen Fertigungsunternehmen zur Zwischenlagerung genutzt werden. Östlichen Unternehmen die Produktion zeitnah zu untersagen, ist ein schwieriger Prozess und Aufgabe der wirtschaftlich orientierten Advokaten. Aber auch deutsche Unternehmen produzieren billig im Osten. Möglicherweise bestehen hier über Beteiligungen Verbindungen zu diesen Unternehmen und damit Hoffnung auf Kompensation. Unsere Aufgabe aber wäre es, die Handelswege offenzulegen und erreichbare Waren aufzubringen. Ein Ansatzpunkt ist z. B. der Besuch von Ausstellungen und Messen.

Geheimnisverrat / unauthorisierter Informationsabfluss

Nicht jeder unauthorisierter Informationsabfluss ist ein Spionagefall.
  • Weitverbreitet ist im Falle eines Unternehmenswechsels die Mitnahme von (Kunden-/Lieferanten- usw.) Daten in das neue Unternehmen. Vielfach versprechen sich die Mitarbeiter dadurch Vorteile beim neuen Arbeitgeber.
  • Häufig gesehen ist auch der Informationsabfluss bei Geschäftstelefonaten im öffentlichen Raum. Kaum einem Mitarbeiter ist bewusst, dass er mit seiner Wichtigtuerei damit Informationen an Unbefugte weitergibt.
  • Ebenso stellen die getragenen Dienstausweise in der Öffentlichkeit bereits eine Art der Kommunikation mit einem Interessierten dar. 
Insgesamt gilt: Prävention vor Repression. Die Maßnahmen stehen im Einklang mit den Spionageabwehrmaßnahmen. Eine Schulung und damit einhergehnde Sensibilisierung für solche Sachverhalte sind ein probates Präventionsmittel. Aber auch technische Mittel oder schlicht die Einschränkung von Zugangsmöglichkeiten zu sensiblen Unternehmensdaten sind kostengünstig, in der Regel leicht umzusetzen und wirksam. Obligatorisch sollte bei der Besetzung von strategisch wichtigen Unternehmenspositionen die Bewerberprüfung im Hinblick auf dessen Integrität sein.

Letztlich entscheiden nicht einzelne Maßnahmen über die Wirksamkeit eines Fraud-Prevention and Detection Systems, sondern das Zusammenwirken aller Maßnahmen.

Ausbildung Schutz und Sicherheit

Dienstleistungen rund um Schutz und Sicherheit sind nicht mehr nur originäre Aufgaben staatlicher Organe. Zunehmend übernehmen Unternehmen auch Aufgaben der öffentlichen Sicherheit. Die Sicherheitswirtschaft hat sich darauf eingestellt und die Ausbildungen in den letzten 10 - 15 Jahren entsprechend reformiert. Die Ausbildung im Sicherheitsgewerbe ist vielseitig und bietet Quereinsteigern und Fachkräften ein breites Spektrum an Qualifikationen. Häufige Fragen sind dabei diejenigen nach der Wertigkeit bzw. Einordnung der verschiedenen Qualifikationen. Zwar verfügt auch heute noch die weit überwiegende Mehrheit der in der Sicherheitswirtschaft tätigen Personen "nur" über Minimalausbildungen wie die Sachkundeprüfung nach §34a GewO und wird als Sicherheitsfachkraft verkauft, doch gibt es mit der Einführung der nach BBiG anerkannten Berufsausbildungen

  • Servicekraft für Schutz und Sicherheit (Ausbildungsdauer 2 Jahre) und
  • Fachkraft für Schutz und Sicherheit (Ausbildungsdauer 3,5 Jahre, inkl. der zusätzlichen Ausbildungsfelder Ermittlung, Aufklärung und Dokumentation)

sowie der Weiterbildung zum

  • geprüften Meister für Schutz und Sicherheit

auf operativer Basis professionelle Einsätzkräfte in der Sicherheitswirtschaft. Aufbauend hierauf wurden in den letzten Jahren auch akademische Ausbildungen eingeführt. So gibt es eine Vielzahl von Bachelor- und Masterstudiengängen mit Bezug zur Sicherheitswirtschaft. Auch ein Fachwirt für Schutz und Sicherheit war noch in 2003 geplant. Der Fachwirt für Schutz und Sicherheit wurde jedoch bis Dato (Stand 06/2013) nicht umgesetzt, gleichwohl ein Fachwirt für Schutz und Sicherheit von einigen Instituten angeboten wird. Die Bezeichnung oder der Titel Fachwirt ohne weitere Zusätze ist jedoch keine geschützte Berufsbezeichnung ähnlich dem Meister. Dies ändert sich mit den Zusätzen (IHK) oder (HWK). Ausschlaggebend ist, dass die Prüfungunter den Rahmenbedingungen einer fachwirtspezifischen Fortbildungsverordnung nach §§ 53, 54 Berufsbildungsgesetz) BBiG oder §§ 42, 42a Handwerksordnung (HandwO) durchgeführt wird. Diese Fachwirte sind dem Meister gleichgestellt. Mit Blick auf ein evt. nachfolgendes Studium (tertiärer Bildungsweg) sollte also unbedingt auf Anerkenntnis eines Fachwirtes geachtet werden. Ergänzend weisen wir darauf hin, dass im Weiterbildungsinformationssystem der IHK ein Fachwirt für Schutz und Sicherheit mit Stand 06/2013 nicht bekannt war.

Interessant sind weiter die Wertigkeiten der staatlich anerkannten Berufe im Vergleich zu den Studiengängen auf Bachelorniveau und Masterniveau. Lange Zeit gab es Streit unter den verschiedenen Institutionen, namentlich den Hochschulvertretungen und Handwerksvertretung, wie die Berufe des dualen Ausbildungssystemes einzuordnen sind. Auch waren die Begriffe bzw. Titel Meister oder Fachwirt  international kaum bekannt. Der Meistertitel wird nun mit Umsetzung der EU-Richtlinie zur Anerkennung von Berufsqualifikationen innerhalb der EU anerkannt und auf Stufe 6 des Europäischen Qualifikationsrahmen für lebenslanges Lernen gesetzt. Dies entspricht dem Bachelorniveau.  Daneben werden zweijährige Berufsausbildungen (Servicekraft für Schutz und Sicherheit) auf Stufe 3 und dreijährige (Fachkraft für Schutz und Sicherheit) sowie dreieinhalbjährige Berufsausbildungen auf Stufe 4 des EQR gesetzt. Der EQR umfasst insgesamt 8 Niveaus, wobei die Stufen 6, 7 und 8 den im Bologna-Prozess definierten Hochschulabschlüssen Bachelor, Master und Promotion entsprechen. Mit Einführung des EQR sollen Berufsqualifikationen international vergleichbar werden.

Tabelle mit den Stufen 1- 8 und den dafür notwendigen Fähigkeiten und Fertigkeiten

    Kenntnisse Fertigkeiten Kompetenz
      Im Zusammenhang mit dem EQR werden
Fertigkeiten als
kognitive Fertigkeiten
(unter Einsatz logischen, intuitiven
und kreativen Denkens) und praktische
Fertigkeiten
(Geschicklichkeit und Verwendung von Methoden, Materialien,
Werkzeugen und Instrumenten) beschrieben.
Im Zusammenhang mit dem EQR wird Kompetenz im Sinne der
Übernahme von Verantwortung und Selbstständigkeit beschrieben.
Niveau 1   • Grundlegendes Allgemeinwissen  • Grundlegende Fertigkeiten, die zur Ausführung
einfacher Aufgaben
erforderlich sind
 • Arbeiten oder Lernen unter direkter Anleitung
in einem vorstrukturierten
Kontext
Niveau 2    • Grundlegendes Faktenwissen in einem Arbeits- oder Lernbereich  • Grundlegende kognitive und praktische Fertigkeiten, die zur Nutzung
relevanter Informationen erforderlich sind, um Aufgaben auszuführen
und Routine-probleme unter Verwendung einfacher Regeln und
Werkzeuge zu lösen
 • Arbeiten oder Lernen unter Anleitung mit einem gewissen Maß an
Selbstständigkeit
Niveau 3    • Kenntnisse von Fakten, Grundsätzen, Verfahren und allgemeinen
Begriffen in einem Arbeits- oder Lernbereich
 • Eine Reihe kognitiver und praktischer Fertigkeiten zur Erledigung
von Aufgaben
und zur Lösung von Problemen, wobei grundlegende
Methoden, Werkzeuge,
Materialien und Informationen ausgewählt und
angewandt werden
 • Verantwortung für die Erledigung von Arbeits- oder Lernaufgaben
übernehmen
• bei der Lösung von Problemen das eigene Verhalten an die jeweiligen
Umstände anpassen
Niveau 4    • Breites Spektrum an Theorie- und Faktenwissen in einem Arbeits- oder
Lernbereich
 • Eine Reihe kognitiver und praktischer Fertigkeiten, die erforderlich sind,
um Lösungen für spezielle Probleme in einem Arbeits- oder Lernbereich
zu finden
 • Selbstständiges Tätigwerden innerhalb der Handlungsparameter von
Arbeits- oder Lernkontexten, die in der Regel bekannt
sind, sich jedoch
ändern können
• Beaufsichtigung der Routinearbeit anderer
Personen, wobei eine
gewisse Verantwortung
für die Bewertung und Verbesserung
der
Arbeits- oder Lernaktivitäten
übernommen wird
Niveau 5*    • Umfassendes, spezialisiertes Theorie- und Faktenwissen in einem
Arbeits- oder Lernbereich
sowie Bewusstsein für die Grenzen dieser
Kenntnisse
 • Umfassende kognitive und praktische Fertigkeiten die erforderlich sind,
um kreative Lösungen für abstrakte Probleme
zu erarbeiten
 • Leiten und Beaufsichtigen in Arbeits- oder Lernkontexten, in denen nicht
vorhersehbare
Änderungen auftreten;
• Überprüfung und Entwicklung der eigenen
Leistung und der Leistung
anderer Personen
Niveau 6**    • Fortgeschrittene Kenntnisse in einem Arbeits- oder Lernbereich
unter
Einsatz eines kritischen Verständnisses von Theorien und Grundsätzen
 • Fortgeschrittene Fertigkeiten, die die Beherrschung des Faches sowie
Innovationsfähigkeit
erkennen lassen, und zur Lösung komplexer und
nicht vorhersehbarer
Probleme in einem spezialisierten
Arbeits- oder
Lernbereich nötig sind.
 • Leitung komplexer fachlicher oder beruflicher
Tätigkeiten oder
Projekte und Übernahme von Entscheidungsverantwortung
in nicht
vorhersehbaren Arbeits- oder Lernkontexten
• Übernahme der Verantwortung für die berufliche Entwicklung von Einzelpersonen
und Gruppen
Niveau 7***    • Hoch spezialisiertes Wissen, das zum Teil an neueste Erkenntnisse in
einem Arbeits- oder Lernbereich anknüpft, als Grundlage für innovative
Denkansätze und/oder Forschung;
• Kritisches Bewusstsein für Wissensfragen in einem Bereich und an der
Schnittstelle
zwischen verschiedenen Bereichen
 • Spezialisierte Problemlösungsfertigkeiten
im Bereich Forschung
und/oder Innovation, um neue Kenntnisse zu gewinnen und neue
Verfahren zu entwickeln
sowie um Wissen aus verschiedenen
Bereichen
zu integrieren
 • Leitung und Gestaltung komplexer, unvorhersehbarer
Arbeits- oder Lernkontexte,
die neue strategische Ansätze erfordern
• Übernahme von Verantwortung für Beiträge
zum Fachwissen und zur
Berufspraxis
und/oder für die Überprüfung der strategischen Leistung
von Teams
Niveau 8****    • Spitzenkenntnisse in einem Arbeits- oder Lernbereich und an der
Schnittstelle zwischen verschiedenen Bereichen
 • weitest fortgeschrittene und spezialisierte
Fertigkeiten und Methoden,
einschließlich
Synthese und Evaluierung, zur Lösung zentraler
Fragestellungen in den Bereichen Forschung und/oder Innovation
und zur Erweiterung oder Neudefinition vorhandener Kenntnisse oder
beruflicher Praxis
 • Fachliche Autorität, Innovationsfähigkeit, Selbstständigkeit,
wissenschaftliche und berufliche Integrität und nachhaltiges
Engagement bei der Entwicklung neuer Ideen oder Verfahren in
führenden Arbeits- oder Lernkontexten, einschließlich
der Forschung

* Der Deskriptor für den Kurzstudiengang (innerhalb des ersten Studienzyklus oder in Verbindung damit), der von der Joint Quality Initiative als Teil des Bologna-Prozesses entwickelt wurde, entspricht den zur Erreichung von EQR Niveau 5 erforderlichen Lernergebnissen.
** Der Deskriptor für den ersten Studienzyklus des Qualifikationsrahmens für den Europäischen Hochschulraum, der von den für die Hochschulbildung zuständigen Ministern auf ihrer Tagung im Mai 2005 in Bergen im Rahmen des Bologna-Prozesses beschlossen wurde, entspricht den zur Erreichung von EQR-Niveau 6 erforderlichen Lernergebnissen.
*** Der Deskriptor für den zweiten Studienzyklus des Qualifikationsrahmens für den Europäischen Hochschulraum, der von den für die Hochschulbildung zuständigen Ministern auf ihrer Tagung im Mai 2005 in Bergen im Rahmen des Bologna-Prozesses beschlossen wurde, entspricht den zur Erreichung von EQR-Niveau 7 erforderlichen Lernergebnissen.
**** Der Deskriptor für den dritten Studienzyklus des Qualifikationsrahmens für den Europäischen Hochschulraum, der von den für die Hochschulbildung zuständigen Ministern auf ihrer Tagung im Mai 2005 in Bergen im Rahmen des Bologna-Prozesses beschlossen wurde, entspricht den zur Erreichung von EQR-Niveau 8 erforderlichen
Lernergebnissen.

Social Engineering

Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking ['hækɪŋ] (vgl. Hacker), so die Definition in Wikipedia vom 15. Mai 2011.

Ganz teilen wir diese Definition nicht. Bei ausreichendem "Berechtigtem Interesse" kann dieser Weg der Informationsbeschaffung durchaus rechtskonform sein. Natürlich sind die einschlägigen Rechtsvorschriften zu beachten. Die unterschiedlichen Formen des Social Engineering kollidieren mitunter mit verschiedenen Rechtsvorschriften. Wie immer, wenn es um das "Berechtigte Interesse" geht, ist eine sorgfältige Interessensabwägung unabdingbar.

Definition des Social Engineering:

Social Engineering ist die gezielte Informationsbeschaffung unter Verdeckung der eigentlichen Eigenschaft des Befragers (Social Engineer) und des Befragungsgrundes unter Ausnutzung menschlicher (Charakter-)Eigenschaften der Informationsquelle.

Social Engineering, im Speziellen Human Based Social Engineering ist eine effektive Möglichkeit an Informationen zu kommen, welche ansonsten die Informationsquelle dem Befrager bei einem offenem Interview verschweigen würde. Anwendung findet Social Engineering in seinen verschiedensten Facetten u. A. auch in der nachrichtendienstlichen Vernehmung , auch Intelligence Interview. Unterstützend und im WWW frei verfügbar sind auf elektronischer Basis ein Social Engineering Toolkit mit einem entsprechendem Social Engineering Tutorial als Anleitung (Computer Based Social Engineering).

 

Achtung: Das bloße Behaupten, man sei Staatsanwalt oder Polizist ist nach gängiger Rechtsprechung nicht strafbar, solange keine zusätzliche Amtshandlung (eine Handlung, zu der ausschließlich Amtsinhaber berechtigt sind) begangen wird.

Die simple Frage nach dem Personalausweis oder einem Arbeitgeber stellt keine Amtshandlung dar. Jedem ist es erlaubt, nach Namen, Arbeitgeber oder Ausweis zu fragen. Eine Amtshandlung wäre z. B. das Verlangen einer "unbeschränkten Auskunft aus dem Zentralregister". Diese steht ausschließlich den in § 41 Bundeszentralregistergesetz genannten öffentlich-rechtlichen Einrichtungen zu. Somit ist das Verlangen im Wege einer dienstlichen Anweisung dieser Auskunft unter der Deckidentität "Staatsanwalt"  eine Amtshandlung und damit strafbar (§ 132 StGB, § 132a). Je nach Variante kommen weitere Vergehen in Betracht.

Achtung: Ist die verlangte Auskunft kostenpflichtig, z. B. bei kommerziellen Datenbankbetreibern oder einem Einwohnermeldeamt, kommt möglicherweise eine Bestrafung im Rahmen des § 263 Betrug in Betracht. Der Social Engineer verschafft sich durch Täuschung des Opfers nicht nur die Information sondern auch einen Vermögensvorteil.

Der Autor dieser Zeilen rät grundsätzlich von solchem Vorgehen ab. Die besten Erfahrungen mach(t)en wir mit einem offenen und sachlichen Vortrag der Problematik. Um dem Vorwurf des "Entgelt-Unterschleifs" zu begegnen und wenn es schnell gehen muß, wird das Auskunftsersuchen per Fax oder per Internet gestellt und unmittelbar im Anschluß der fernmündliche Kontakt mit dem Sachbearbeiter hergestellt.

Grundsätzlich wird unterschieden zwischen

  • Human Based Social Engineering - Wie beim Reverse Social Engineering findet hier ein direkter Kontakt zwischen Social Engineer und Informationsquelle statt. Beide Arten stellen die schwierigste Art des Social Engineering dar, da hier in Echtzeit Entscheidungen gefällt werden müssen und die Reaktionen der Informationsquelle unmittelbaren, direkten Einfluss auf das weitere Vorgehen haben. Ausgenutzt werden Gutgläubigkeit, Hilfsbereitschaft, Autoritätshörigkeit, Unwissenheit, Konfliktangst aber auch potentiell negative Eigenschaften der Informationsquelle wie Neid, Gier, Hang zum Tratsch und noch einige weitere.
  • Reverse Social Engineering - Eigentlich zugehörig zum Human Based Social Engineering wird bei dieser Technik  der Informationsquelle angeboten, ein fiktives Problem, welches in beider Verantwortung verursacht worden sein kann, zu beseitigen. In einer Variante spielt der Social Engineer Opfer (unter der fiktiven Angabe, er selbst sei Verursacher des Problems) und Retter in der Not in einer Person und zielt dabei auf die Hilfsbereitschaft der Informationsquelle ab.
  • Computer Based Social Engineering - Hier findet kein direkter Kontakt zwischen Social Engineer und Informationsquelle statt. Wie der Name schon sagt, findet die Kontaktaufnahme unter Zuhilfenahme von elektronischen Medien, z. B. Email, persönliches Nachrichtensystem in Social Networks oder auch über Foren oder Webseiten statt. Am bekanntesten ist hier wohl das Phishing. Weder sind große finanzielle Investments zu tätigen noch ist großes Fachwissen nötig, um eine entsprechende Mail zu erstellen und zehntausendfach zu versenden.

Für Ermittler von überwiegender Bedeutung sind dabei das Human Based Social Engineering und das Reverse Social Engineering. Unter einer Legende wird über standartisierte Verfahren eine Informationsquelle kontaktiert und versucht, eine bestimmte Auskunft zu bekommen.  Excellente Kenntnisse der länderspezifischen Bürokratie und der berufsspezifischen Fachtermini sind Voraussetzung für eine erfolgreiche Informationsabschöpfung. Beliebt ist der Kontakt mit der Quelle unter Angabe, man sei von einer Behörde. Auch Laien versuchen mitunter so an Informationen zu kommen. 

Social Engineering stellt eine der größten Gefahren - wenn nicht die Größte - in Sachen Geheimschutz und Know-How-Schutz dar. Social Engineering ist aber auch eine Möglichkeit für private Ermittlungsdienste, schnell und unkonventionell an Informationen zu kommen.

Wer das Social Engineering beherrscht, beherrscht auch die effektiven Abwehrmaßnahmen.