Der White Collar Hacking Contest erforscht, wie Unternehmen von innen bedroht sind
Die Erforschung von Methoden von Wirtschaftskriminalität, aber auch die damit verbundenen ethischen Fragen, sind die Ziele des Projekts von Michael Schermann und Matthias Uhl, das im Rahmen des Programms "Fellowship Hochschullehre" durch den Stifterverband gefördert wird. Im Gespräch mit Tim Pritlove erläutert Michael Schermann, wie er auf die Idee gekommen ist, diesen interessanten Bereich zu erforschen und welche Rolle dabei insbesondere der "White Collar Hacking Contest" spielt.
Transkript
Tim Pritlove
Hallo und herzlich willkommen zu Forschergeist, dem Podcastprojekt des Stifterverbandes für die deutsche Wissenschaft. Mein Name ist Tim Pritlove. Und ich begrüße alle hier zur 8. Ausgabe. Für die ich mich hier heute mal nach München begeben habe. Hier sind wir ja dabei mit diesen Gesprächen, einen Blick in die wissenschaftliche Arbeit auf vielen Ebenen zu werfen und dabei spielen auch neue Lehrkonzepte eine Rolle und eine ganz spezielle Konstellation wird hier an der TU München verfolgt, mit einem sehr eigenwilligen Thema, insbesondere wenn man sich anschaut, in welchem Institut wir uns befinden, nämlich im Institut für Informatik. Und das eigentliche Thema, um das es hier geht, neben den Lehrkonzepten, ist Wirtschaftskriminalität, um besser zu verstehen, was es damit auf sich hat, begrüße ich Michael Schermann.
Michael Schermann
Hallo.
Tim Pritlove
Hallo, willkommen bei Forschergeist.
Michael Schermann
Danke.
Tim Pritlove
Ja, fangen wir vielleicht erst mal mit dir an, bevor wir in dieses Thema eintauchen. Sag nochmal, wo sind wir denn jetzt hier genau?
Michael Schermann
Wir sind hier am Lehrstuhl für Wirtschaftsinformatik von Professor Kretschmar an der TU München in Garching. Ziemlich weit draußen von München. Und genau ich freue mich, dabei zu sein.
Tim Pritlove
Und was ist deine Position hier?
Michael Schermann
Ich bin Forschungsgruppenleiter und Habilitand hier am Lehrstuhl. Das heißt ich habe meine Promotion abgeschlossen und bereite mich jetzt quasi auf den Professor vor, zumindest versuche ich es. Und genau bin natürlich dabei auch gewisserweise selbstständig für Lehre verantwortlich und White Collar Hacking Contest, das worum es geht, ist halt ein Teil davon.
Tim Pritlove
Das heißt du hast hier genau was studiert?
Michael Schermann
Ich bin Wirtschaftsinformatiker.
Tim Pritlove
Wirtschaftsinformatiker.
Michael Schermann
Genau, ich habe Wirtschaftsinformatik studiert in Dresden und bin dann nach dem Studium hierher nach München zur Promotion und bin auch hier der Wirtschaftsinformatik treu geblieben, am Lehrstuhl für Wirtschaftsinformatik, insofern...
Tim Pritlove
Wie teilt sich denn das auf Wirtschaftsinformatik. Also es gibt ja so die reine Lehre sozusagen, also die Informatik-Informatik, aber dann eben auch immer diese Sonderformen. Wirtschaftsinformatik, medizinische Informatik mit verschiedenen Schwerpunkten. Wie teilt sich das auf in der Wirtschaftsinformatik? Ist das so 50/50 oder ist das so im Wesentlichen Informatik und dann hat man auch nochmal Wirtschaft.
Michael Schermann
Es gibt da alle Geschmacksrichtungen, die man so haben will. Typischerweise ist es schon 50/50, das heißt also die offizielle Sprachregelung ist, wir machen Informationssysteme in Wirtschaft und Verwaltung. Das heißt wir schauen uns an, nicht so sehr, wie man jetzt schnellere Computer baut, sondern welchen Effekt haben schnellere Computer in Unternehmen, in Verwaltung. Was ermöglichen sie, was wird schwieriger durch Rechner? Und solche Themen.
Tim Pritlove
Ja.
Michael Schermann
Und das macht es eigentlich ganz spannend, weil man einerseits natürlich mit Technik umgehen kann, mit Computern, mit IT-Systemen und andererseits natürlich auch so immer auf die Effekte gucken kann, die so was hat, auf die Menschen, auf Mitarbeiter, auf Führungskräfte auf Unternehmen, neue Geschäftsmodelle, alles diese Themen. Das heißt also ist schon sehr anwendungsorientiert zum Teil.
Tim Pritlove
Ist das mehr so Volkswirtschaft oder mehr so Betriebswirtschaft?
Michael Schermann
Betriebswirtschaft. Also Wirtschaftsinformatik ist eigentlich die Schnittmenge von Betriebswirtschaftslehre und Informatik, wenn man so will. Volkswirtschaft spielt eine kleine Rolle, wenn es zum Beispiel darum geht, eins der ganz großen Themen, besonders in der englischsprachigen Wirtschaftsinformatik, ist halt, welchen Effekt hat IT im Unternehmen überhaupt. Also hat es einen wertsteigernden Effekt. Und da werden dann sehr häufig volkswirtschaftliche Studien gemacht. Unternehmen, die Computer besser einsetzen als andere sind halt erfolgreicher oder so was in der Art. Und aber insgesamt macht es das halt sehr spannend, weil man genau so an der Schnittmenge ist und halt vom Ansatz her eigentlich schon so ein bisschen interdisziplinär unterwegs ist. Das heißt man muss mit Informatikern reden können und mit Betriebswirten. Und jeder, der mit entweder der einen Gruppe oder der anderen Gruppe schon mal zu tun hatte, weiß, dass das manchmal nicht ganz so einfach ist.
Tim Pritlove
Haben beide so ihre kodierte Sprache.
Michael Schermann
Genau. Das macht es spannend, weil man muss halt beide Sprachen kennen. Oder man muss zumindest so ein bisschen den Übersetzer spielen und das ist eigentlich ganz lustig.
Tim Pritlove
Und die Studenten, mit denen du es hier zu tun hast, die sind auch alle Wirtschaftsinformatiker?
Michael Schermann
Es sind in erster Linie Wirtschaftsinformatiker. Wir sind aber, haben genauso schon, ich sage mal, BWL-Studenten, wie auch Kerninformatiker, richtige Informatiker dabei gehabt. Es ist eigentlich bei dem Konzept, so wie wir es vorhaben, für alle was dabei. Ich muss mich natürlich in irgendeiner Form mit IT-Systemen beschäftigten, sonst ist es ein bisschen fern, aber prinzipiell kann da auch jeder mitmachen, der da Interesse hat. Von den Prüfungsregularien her ist es jetzt erst mal nur für die Informatiker und für die BWLer.
Tim Pritlove
Im Fokus der Arbeit steht ja das Thema Wirtschaftskriminalität.
Michael Schermann
Genau.
Tim Pritlove
Was verbirgt sich für dich hinter diesem Begriff. Also das könnte ja jetzt alles mögliche sein. Welcher Teil, also ist das der Teil, der sagt, dass Wirtschaft generell schon mal kriminell ist?
Michael Schermann
Nein. Also auch wenn wir solche Kommentare schon mal hatten, aber nein, was uns eigentlich interessiert ist, wie geschieht Missbrauch in Unternehmen. Warum klauen Mitarbeiter, warum unterschlagen sie Geld, warum gibt es Korruption und solche Sachen? Das ist so die Komponente, die uns sozusagen vom menschlichen Verhalten her interessiert. Warum machen die Leute das überhaupt? Da gibt es natürlich, sagen wir mal, die Standardantworten. Also warum klaue ich Geld? Damit ich mehr Geld habe. So einfach ist es dann manchmal halt auch nicht. Und da gibt es halt ein paar dahinterliegende Konzepte und Phänomene, die uns jetzt sehr interessieren. Die Wirtschaftskriminalität an sich ist ein super breites Feld, von irgendwelchen Bilanzskandalen über Fernseher, die im Lager runter gefallen wären, aber gar nicht runter gefallen sind, sondern dann bei Ebay verkauft werden bis hin, dass der Buchhalter in der Buchhaltung immer einen Cent aufaddiert und sozusagen sich über Jahrzehnte hinweg da irgendwie sein eigenes Vermögen irgendwo auf eine schwarze Kasse bringt.
Tim Pritlove
Also es ist, wir reden hier sozusagen eher von der Kriminalität von innen, in das Unternehmen hinein. Nicht jetzt Betrug oder sozusagen kriminelle Machenschaften auf wirtschaftlicher Ebene.
Michael Schermann
Nein, also tatsächlich Schaden, also eigentlich ist die offizielle Definition, man schadet dem Unternehmen, in dem man angestellt ist.
Tim Pritlove
Ja.
Michael Schermann
Also das ist eigentlich die Sache, die wir uns angucken. Also ich, man nehme den Fall, ich bin Buchhalter und ich bin in der Eingangsrechnung, Rechnungswesen und ich nehme halt eine Rechnung, die sozusagen für das Unternehmen bestimmt ist und bezahle sie aber nicht aufs Unternehmenskonto, sondern auf mein eigenes Konto. Damit habe ich dem Unternehmen Geld genommen, ich habe mich daran bereichert. Das sind so Fälle, die wir uns anschauen. Das sind jetzt vielleicht nicht unbedingt die Fälle, die sozusagen in der Presse auftauchen ständig, dafür sind sie sehr sehr häufig und haben einen sehr sehr hohen Schaden insgesamt gesehen. Und man versteht manchmal nicht so sehr genau, warum die Leute das eigentlich tun. Und das macht es dann wiederum interessant.
Tim Pritlove
Und damit setzt ihr euch aber auch auseinander?
Michael Schermann
Genau. Wobei wir uns damit jetzt nicht im allgemeinen auseinandersetzen, sondern eben sagen wir mal in Wirtschaftsinformatik wieder. Wir setzen uns halt im Prinzip damit auseinander, welche Rolle haben jetzt moderne Informationssysteme darin. Also man könnte jetzt meinen, dass mit Computern kann man alles sehen, ist volle Überwachung auch im Unternehmen, da dürfte so was nicht mehr passieren. Dem ist aber nicht so. Man kann genauso gut die Computer dafür nutzen, um andere wirkungsvollere Wirtschaftskriminalität zu machen. Und das ist eigentlich genau die spannende Schnittstelle, an der wir dann schauen, wann hilft IT, wann schadet es wem und warum.
Tim Pritlove
Ist ja ganz interessant, dass eigentlich gerade im Hinblick auf Unternehmen und IT und Sicherheit, darüber reden wir ja im Prinzip, gemeinhin eigentlich immer so Angriffsszenarien von außen primär gesehen werden. Wenn man irgendwie von der Sicherheit eines Unternehmens spricht, dann sind es immer so Hacke mit Maske kommt von außen über das böse Internet. Ja die kommen auch. Aber sie sind vielleicht sehr versiert, aber sicherlich sehr wenige, im Vergleich zu den potenziellen Gefahrenquellen, die auf der anderen Seite des Kabels sind. Einfach den Mitarbeitern selber oder vielleicht auch den Unternehmensführern, wollen wir jetzt mal keinen raus nehmen.
Michael Schermann
Genau. Also im Prinzip ist es tatsächlich genau der spannende Aspekt. Also ich meine natürlich gibt es die Angreifer von außen, die gibt es im Prinzip auf zwei Ebenen. Man kann also auf dieser technischen, auf der IT-Ebene, kann man ein Unternehmen angreifen. Man kann es natürlich aber auch auf einer, ich sage mal, wirtschaftlichen Ebene angreifen. Wirtschaftsspionage. Ich versuche irgendwie Patentkriege zu machen und solche Themen. Und dem ist sozusagen genau gegenüber gesetzt im Unternehmen natürlich das gleich Szenario, wenn man so will. Das heißt also der eigene Administrator, der Vollzugriff hat, kann mich natürlich genauso angreifen als das Unternehmen. Aber genauso sind die eigenen Mitarbeiter dann natürlich eine potenzielle Gefahrenquelle, was das betrifft. Und wir kümmern uns sozusagen in dem Projekt oder in der Richtung nicht so sehr um diese technischen Aspekte, also uns geht es nicht um Passwortklau oder um irgendwelche technischen Schwachstellen ausnutzen oder was auch immer.
Sondern uns geht es tatsächlich um die betriebswirtschaftliche Ebene. Das heißt also, deswegen heißt es auch so, White Collar, das sind sozusagen die Leute, die den Anzug anhaben, der weiße Kragen, der soll es verdeutlichen.
Tim Pritlove
Im Gegensatz zum Blue Collar, den Mitarbeitern.
Michael Schermann
Und die haben andere Mittel, die sind technisch nicht so versiert. Was denen ihre Waffe ist, die kennen das Unternehmen besonders gut. Die kennen die Prozesse, die wissen, wo wer hinguckt, die wissen, wer welche Kontrollfunktion übernimmt usw. usf. Die kennen die politischen Machenschaften im Unternehmen. Die wissen ganz genau, was da abgeht. Und das sind quasi den ihre Schwachstellen, die sie ausnutzen.
Tim Pritlove
Ja.
Michael Schermann
Vieles dabei – also hört sich jetzt alles so negativ an, das ist, ich will ja jetzt nicht den Eindruck erwecken, dass so ein Unternehmen nur aus Kriminellen, die sozusagen die ganze Zeit das eigene Unternehmen angreifen. Vieles davon passiert auch schleichend. Ich meine, der klassische Bleistift, den man mal mit nach Hause nimmt oder den Brief, den man jetzt mit einer Briefmarke aus dem Unternehmen beklebt, der aber sozusagen privat ist, sind natürlich Sachen, die jetzt, wenn man es jetzt wirklich binär sieht, auch schon Wirtschaftskriminalität sind. Ich habe meinem eigenen Unternehmen den Wert einer Briefmarke quasi unterschlagen. Das ist jetzt natürlich ein bisschen kleinkariert und viele Unternehmen erlauben das auch. Dass man sagt, okay, von mir aus nutzt das Internet für private Zwecke und solche Sachen.
Aber da gibt es natürlich so eine graue Zone dazwischen. Und was uns eigentlich aus Forschersicht interessiert ist, wieso passiert es, dass Menschen aus dieser grauen Zone heraus dann tatsächlich in die schwarze Zone, dann wirklich zu Wirtschaftskriminellen werden.
Tim Pritlove
Das heißt das ist gar nicht eine reine technische Auseinandersetzung, wie es funktioniert, sondern auch das warum?
Michael Schermann
Ja genau. Also das ist auch, es geht auch vor allen Dingen um das Warum. Das interessante ist, dass die Leute, die das dann tatsächlich machen, natürlich auch technisch versiert sind. Weil, ich meine heute gibt es kein Unternehmen mehr, in dem solche Prozesse nicht mehr computergestützt ablaufen, das heißt sie müssen natürlich dann auch in den Systemen, die sie benutzen müssen, ihre Wirtschaftskriminalität so abbilden, dass sie niemand anderem auffällt. Sie müssen dann auch entsprechend technisch versiert sein. Jetzt nicht auf einer Administratorenebene oder so, aber sozusagen auf der Benutzerebene sehr technisch versiert.
Tim Pritlove
Prozesse verstehen und nachbilden können.
Michael Schermann
Genau. Und das ist eigentlich das interessante, wo man dann sagt, okay, das ist etwas was so noch gar nicht wirklich untersucht wurde. Also es gibt jede Menge Studien in diesem Bereich, die aber sehr aus einer Accounting-Sicht, also Buchhalter. Wie kann man so was entdecken, welche Methoden gibt es da sozusagen. Warum das aber passiert, warum Leute so was machen, da gibt es das berühmte Fraud-Triangle, also das Kriminalitätsdreieck, aber viel mehr darüber hinaus gibt es nicht.
Tim Pritlove
Was ist das?
Michael Schermann
Das ist Fraud oder so. Wirtschaftskriminalität entsteht dann, wenn sozusagen jemand eine Motivation dazu hat. Ich habe also, ich bin jetzt schon 20 Jahre im Unternehmen, ich kann mir jetzt auch mal was leisten. Eine gewisse Begründung dafür. Also das war jetzt eher die Begründung. Also Rationalisierung, warum mache ich das. Motivation könnte sein, ich habe gerade finanziell privat ein bisschen Probleme und dann gibt es die Gelegenheit, die dann dazu da sein muss. Also ich bin in der Lage, ich weiß wie das abläuft, ich weiß wie man sozusagen da 10.000 Euro aus dem Unternehmen rausholt. Und wenn man die drei Sachen zusammen hat, dann ist es halt sehr wahrscheinlich, dass sozusagen die Leute es tatsächlich auch tun. Jetzt hat man natürlich so drei Eckpunkte, an denen man da angreifen kann. Und gerade die Gelegenheiten, man sagt ja auch, Gelegenheit macht Diebe, da bieten natürlich IT-Systeme, Computer ein hervorragendes Einfallstor in dem Sinne.
Und das ist so ein bisschen das, wo wir uns drauf konzentrieren wollen, ist tatsächlich welche Rolle spielen IT-Systeme darin. Und ich meine, idealerweise finden wir halt einerseits natürlich Wege, besser zu verstehen, warum so etwas passiert und andererseits natürlich auch bessere Wege, wie man so was aufdecken kann.
Tim Pritlove
Würde mich noch einmal interessieren. Wie seid ihr überhaupt auf dieses Thema gekommen. Das ist alles interessant und spannend.
Michael Schermann
Ein bisschen ungewöhnlich gebe ich zu. Ich habe mich schon immer so für Sicherheitssysteme interessiert während des Studiums und habe dann hier als ich dann promoviert habe, habe ich mich eher mit Risikomanagement auseinandergesetzt. Also wie gehen Unternehmen mit Risiken um, warum entstehen Risiken usw. Dann habe ich eigentlich mal mehr oder weniger nach einem Konzept gesucht, wie man so was Leuten beibringen kann. Und ich meine, eine Sache ist halt, wie bringt man Leuten Sicherheit bei, eine coole Methode ist, sozusagen so einen Hacking-Contest zu machen. Da gibt es ein Buch dazu, das habe ich mal gelesen. Und da habe ich gedacht, okay, du willst nicht einfach nur einen Hacking-Contest machen, sondern irgendwas, was jetzt eher Wirtschaftsinformatiker interessieren würde. Und dann habe ich halt sozusagen gesagt, okay, wo im Unternehmen werden IT-Systeme genutzt, wo kann man hacken. Und das war dann sozusagen die Wirtschaftskriminalität.
Wo nutzen Leute IT-Systeme, um damit irgendwas zu machen? Und dann kam halt der Begriff „White Collar Hacking Contest“ her. Und das ist dann sozusagen, da ist die Idee geboren. Dann ist natürlich eine Sache, die dazu noch wichtig ist, dass wir hier am Lehrstuhl haben wir halt auch Zugang zu großen Unternehmensinformationssystemen. Und so dass es natürlich auch von den Möglichkeiten hier, ich sage mal, einfach war, so was mal aufzusetzen und so was auszuprobieren.
Tim Pritlove
Bevor wir vielleicht auf diesen von dir schon erwähnten „White Collar Hacking Contest“ als Lehrkonzept kommen, würde ich ganz gern nochmal kurz ein bisschen bei den Dimensionen der Wirtschaftskriminalität bleiben. Also welche Ausprägungen habt ihr euch denn jetzt näher angeschaut. Also was und vielleicht gibt es ja auch reale Beispiele, die jetzt schon im Wirtschaftsleben auch bekannt geworden sind, wo jetzt so ähnliche Problemstellungen schon aufgetreten sind.
Michael Schermann
Also was ich schon gemeint habe, also die Wirtschaftskriminalität ist halt ein sehr breites Feld, da geht es von den großen Bilanzfälschungsskandalen, also World Com, Enron, die sozusagen da publik geworden sind. Überfälle, wo ich sage mal Korruption eher eine Rolle war. Deutsche Konzerne sind da ja auch nicht ganz unbeteiligt gewesen. Bis hin zu dem Feld, was sich typischerweise Occupational Fraud nennt, das ist dann tatsächlich der Fraud von Mitarbeitern und uns interessieren die ersten beiden, also die großen Skandale und auf die Korruption interessiert uns jetzt eher nicht so sehr, weil das häufig aus anderen Motiven gemacht wird. Das ist unsere Vermutung. Und es passiert überhaupt nicht in IT-Systemen.
Also da spielt IT eigentlich keine Rolle, sondern das wird dann woanders gemacht. Was uns tatsächlich interessiert ist dieser Mitarbeiter-Fraud, weil natürlich in Workflow-Systemen usw. dort dann tatsächlich diese Sachen abgebildet werden. Es gibt da alle möglichen Klassifikationen von solchem Fraud, aber ein ganz einfaches Beispiel, damit man sich das mal vorstellen kann, ist, man hat ein IT-System da ist halt ein Lieferant hinterlegt, die Firma Müller und ich möchte jetzt die Rechnung, die ich der Firma Müller bezahlen möchte, aber nicht der Firma Müller zahlen, sondern in mein eigenes Konto. D.h. ich gehe in den Stammdatensatz der Firma Müller, ändere die Kontonummer auf meine eigene, überweise das Geld und ändere das danach wieder zurück.
Das ist jetzt so der ganz triviale Fall, den kann mittlerweile jedes System ausfiltern. Nichtsdestotrotz passiert das noch häufig genug. Also auch dafür, dass es eigentlich technisch möglich ist, das ist so ein Flipflop. Man sieht also wenn man in die Datenanalyse guckt sieht man, da wurde eine Kontonummer geändert, eine Rechnung, und wieder zurück geändert. Ist manchmal nicht ganz einfach, weil es natürlich auch ein Fehler gewesen sein kann. Also das ist sozusagen, was es aus technischer Sicht spannend macht, ist von den Dingen, können halt auch nur Fehler gewesen sein. Wenn man sich so einen klassischen Datensatz aus einem Unternehmen anguckt, dann passiert das ja nie so, wie man es sich vorher gedacht hat, sondern es ist immer Flexibilität da mit drin, da sind irgendwelche Prozessabweichungen mit drin.
Ein gutes Beispiel ist, wir schauen uns eigentlich immer nur Einkaufsprozesse an, also d.h. ein Unternehmen kauft das Teil dann am Ende. Und da gibt es eigentlich in den Systemen sozusagen ganz formale Schritte, die abgelaufen werden. Also zuerst muss irgendeiner sagen, ich möchte irgendetwas bestellen. Dann muss das jemand genehmigen, dann wird es bestellt, dann wird es bezahlt, gibt es einen Wareneingang usw. und sofort. So ganz viele Schritte. Ganz oft passiert es aber nicht so in dieser Reihenfolge. Das beste Beispiel ist, man ist auf einer Messe, man möchte irgendetwas ausstellen und man hat sozusagen – man braucht vor Ort einen Handwerker, weil irgendetwas kaputt gegangen ist, der muss das fixen. Wenn wir jetzt sozusagen diesen Prozess durchgehen würden, sind zwei Wochen rum, die Messe ist vorbei, kein Mensch kann das mehr machen.
Also dann wird sozusagen der Prozess umgangen und man holt einfach den Handwerker um die Ecke, obwohl der nicht ausgeschrieben war und was auch immer, alle diese Sachen. Und wenn man jetzt als Datenanalyst auf diesen Datensatz drauf gucken würde, würde man sagen, da ist doch etwas schief gelaufen, da hat doch jemand den Prozess verletzt. Sodass da also diese sehr feine Grenze ist, was ist tatsächlich normales Geschäftsverhalten, weil man irgendwie flexibel handhaben musste oder unvorhergesehene Sachen passiert sind und was ist dann tatsächlich kriminell. Also was ist dann wirklich eine Unterschlagung gewesen oder so etwas.
Tim Pritlove
Für diesen Occupational Fraud, also diesen Betrug innerhalb des Unternehmens durch Mitarbeiter dann so aus den Daten ablesen zu können, das erfordert natürlich auch die Präsenz eines entsprechenden IT Systems, was über solche Locking, Back-up etc. Fähigkeiten, wie sind denn da eure Erfahrungen? Ich kenne jetzt eine Menge Firmen, die so etwas nicht haben. Da werden so die Computerdatenbanken einfach so benutzt, wie sie eben so sind.
Michael Schermann
Na gut, also wir nutzen jetzt für unseren Fall nutzen wird einfach ERP-Systeme, also Enterprise Ressource Planning Systeme, also tatsächlich Systeme, die sozusagen Unternehmensprozesse abbilden. Da sind solche Sachen standardmäßig abgebildet. Die werden jetzt natürlich tendenziell eher von größeren Unternehmen genutzt. Was wir uns aber anschauen sind sagen wir mal Geschäftsvorfälle. Wo die gespeichert sind, ist letztendlich erst einmal egal. Man kann das einfach wenn man das auf einem Excel Blatt drunter schreiben, Rechnungseingang, Rechnungsausgang was auch immer. Das schauen wir uns an und analysieren das aus einer forensischen Sicht. Wenn man so möchte.
Das heißt das System an sich ist jetzt gar nicht so wichtig. Sondern es sind eher die Daten, die das System macht. Und natürlich, umso komplexer und umso ausgereifte das System ist, umso mehr lockt es dann auch mit und je mehr kann man dann auch machen. Umso mehr False Positives sieht man natürlich dann auch. Also umso mehr Dinge bezeichnet man als Fraud, die dann nach näherem hinschauen gar kein Fraud waren.
Tim Pritlove
Du bist der jetzt in dem Projekt nicht die alleinige Führungskraft, du hast noch einen Kollegen.
Michael Schermann
Genau.
Tim Pritlove
Der auch noch einen anderen Schwerpunkt hat in dem Projekt.
Michael Schermann
Genau, das ist der Matthias Uhl, die es von dem Lehrstuhl Wirtschaftsethik hier an der TU München.
Tim Pritlove
Ach, hier gibt es einen Lehrstuhl für Wirtschaftsethik selbst?
Michael Schermann
Genau. Ob der jetzt tatsächlich, ich glaube schon der heißt Lehrstuhl für Wirtschaftsethik. Und ich habe das erste Mal den White Collar Hacking Contest mitgemacht und habe von der Uni den Tipp bekommen, dass wir da einen Wirtschaftsethiker haben, der da mal einen Vortrag halten soll, damit sozusagen die Studenten nicht nur die Fraud-Seite kennen. Und dadurch sind wir in Kontakt gekommen und haben uns sofort interessante Forschung an den Kopf geworfen und da ist eine Kooperation daraus entstanden, die jetzt eigentlich ganz spannend ist. Und mit dem Konzept jetzt auch so ein bisschen Hand und Fuß bekommt. Im Prinzip ist das ja, wenn ein Mitarbeiter oder irgendjemand, eine wirtschaftskriminelle Handlung begeht, hat er natürlich vorher bewusst oder unbewusst eine moralische Entscheidung getroffen. Also o. k. ich mach das jetzt.
Die Leute sind sich immer über die Konsequenzen bewusst und jeder weiß, dass wenn ich etwas klaue, dann kann ich dafür bestraft werden. Die Frage ist halt, wann senken sich irgendwelche Hemmungen, Hemmschwellen so weit ab, dass es tatsächlich dann passiert. Und das sind halt diese ethischen Fragestellungen, die insbesondere den Matthias interessieren, aber mich entsprechend auch in diesem Kontext. Und es gibt da schon eine ganze Reihe Forschungen, die zum Beispiel durchaus zeigt, dass Technik auch einen Einfluss auf ethisches Urteilsvermögen hat. Und das macht dann ein sehr interessantes Dreieck. Also aus dem Thema Wirtschaftskriminalität, aus dem Thema IT, und aus dem Thema Ethik, in dem man sich dann ein bisschen bewegen kann.
Tim Pritlove
Wie lange forscht ihr jetzt schon dran?
Michael Schermann
Das ist eine gute Frage. So 2-3 Jahre machen wir mit dem White Collar Hacking Contest rum. Wir haben schon so ein Experiment mal gemeinsam gemacht, wo es um das Thema geht, also so 2-3 Jahre denke ich mal.
Tim Pritlove
Und gibt es, was jetzt diese ethische Komponente betrifft, auch schon Erkenntnisse? Seid ihr in diesem Rahmen auch schon so auf... Antworten gestoßen?
Michael Schermann
Genau, also was vielleicht die Spezialität von dem Lehrstuhl und von dem Matthias insbesondere ist, ist die sogenannte experimentelle Ethik. D.h. also, Ethik ist ein Zweig der Philosophie, jetzt lehne ich mich ein bisschen aus dem, jetzt erzähle ich über etwas, was eigentlich gar nicht mein Themengebiet ist. Aber soweit ich das verstehe, Ethik ist ein Teil der Philosophie, d.h. es ist nicht unbedingt, es gehört nicht unbedingt zu den empirischen Wissenschaften. Und die experimentelle Ethik geht jetzt aber genau da hin und untersucht tatsächlich mal ethische Fragestellungen, also was ist gut, wann entscheiden sich Leute darum, ob etwas gut ist in der Realität. D.h. also man macht Experimente mit Menschen. Man gibt denen irgendwelche, also man beeinflusst die in gewisser Weise und schaut dann, wie sie sich am Ende des Tages verhalten.
Und ein Forschungsthema, was so ein bisschen aus dem White Collar Hacking Contest heraus geboren ist, ist halt, wann betrügen Menschen denn? Also ab welchem Zeitpunkt und welche Motivlage muss herrschen, damit jemand tatsächlich betrügt? Und wir haben das jetzt zwar noch nicht veröffentlicht, aber in einem kleinen Experiment haben wir zum Beispiel mal gesagt, o. k. wir haben Studenten in einen Hörsaal gesetzt und haben die sozusagen Bingo spielen lassen und sie konnten im Prinzip auf einem Extrablatt eintragen, was sie denn gewonnen haben. Und wir konnten nicht direkt überprüfen, ob sie das tatsächlich gewonnen haben. Und haben die unter verschiedene Konstellationen gesetzt. Also die einen mussten das Geld, was sie da eintragen unten für sich konnten sie am Ende einen Zettel abgeben und haben genau das Geld bekommen, was auf dem Zettel stand. Die anderen haben sozusagen für eine Spendenorganisation, die sich aussuchen durfte, also das Geld, das haben sie gar nicht immer bekommen, sondern es hat eine Spendenorganisation bekommen. Und die dritte Gruppe war so ein Mischmasch aus den ersten beiden.
Die konnten selbst entscheiden, wie viel Geld sie eintragen konnten und wie viel sie selber behalten wollen, und wie viel sie spenden. Und ganz interessant, die Ergebnisse, also erste Analysen, die wir mal gemacht haben aus den Ergebnissen, sind halt der nach, das eigentlich überhaupt gar keine Kriminalität besteht in dem Setting, was jetzt eigentlich auch gar nicht so verwunderlich ist, weil die saßen alle in einem großen Hörsaal, man konnte sozusagen sehen, was der andere macht, es ist also relativ wenig Anonymität.
Tim Pritlove
Viel soziale Kontrolle.
Michael Schermann
Genau. Und also wir hatten auch auf den Bögen waren so Nummern drauf, die im Prinzip natürlich so den Anschein erwecken konnten, dass es getrackt werden konnte. Die einzige Gruppe, in der sich tatsächlich, sagen wir mal, messbar etwas anderes getan hat, ist die, die sozusagen rein für jemand anderes Bingo gespielt haben. Also die sozusagen nur für eine Spendenorganisation Bingo gemacht hat. Die hatten selbst von dem Geld gar nichts, sondern es hat alles die Spendenorganisation bekommen. Und die haben, also wir haben im Prinzip nur geschaut, das Bingo hat sozusagen im Schnitt einen gewissen Auszahlungswert, und alle beiden Gruppen waren nicht signifikant unterschiedlich von diesen durchschnittlichen Auszahlungswert, bis auf diese dritte Gruppe, die hatte halt einen viel höheren Auszahlungswert.
Und da haben wir dann halt, die Interpretation, die wir jetzt momentan weiter untersuchen ist die, wenn im Prinzip Leute, wenn nicht ihre eigene Motivlage, ich habe nicht geklaut für mich, sondern ich habe geklaut für einen guten Zweck, für jemand anderen, dann ist sozusagen dieses eher abschreckende Setting spielt es keine Rolle mehr. Und das ist jetzt etwas, was natürlich, wenn man es wieder in ein Unternehmen zurück tragen möchte, äußerst interessant ist, weil natürlich viele Unternehmen sagen, für die Firma, wir wollen sozusagen den Erfolg der Firma verteidigen und ausbauen usw. und so fort. D.h. also ich persönlich habe da ja gar nichts daran. Ich kriege mein Gehalt, egal ob es der Firma gut oder schlecht geht, zumindest mal kurzfristig gesehen. Aber genau die Motive, die ich verfolge, haben sozusagen mit meinen eigenen moralischen Vorstellungen nichts mehr tun.
Das hat offensichtlich eine Auswirkung. Und das macht es dann sozusagen, das ist eigentlich ein ganz interessantes Feld, wo man dann sieht, o. k. Dinge die man eigentlich, also wie man in der Managementlehre sah, man muss den gemeinsamen Erfolg immer das gemeinsame Ziel voranstellen, könnte natürlich dann sagen wir mal moralische oder ethische Konsequenzen haben.
Tim Pritlove
Klingt jetzt aber so, als ob ihr in diesen Test quasi die reale Situation in einem Unternehmen so habt nicht wirklich effizient nachstellen können. Weil die Studenten alle so ehrlich Häute sind.
Michael Schermann
Also zum Glück, sagen wir so. Also ist ja auch ein positives Zeichen.
Tim Pritlove
Ja sonst würden ja auch die Kosten für das Ganze unendlich wachsen.
Michael Schermann
In dem Experiment ist es ein Labor Experiment, man versucht so viel wie möglich zu kontrollieren, auf mögliche Einflüsse von außen wie auch immer, man versucht das sogenannte Treatment, das womit man sozusagen versucht irgendwelche Effekte zu erzeugen so basal wie möglich zu halten. D.h. man macht keinen großen Aufwand, sondern man gibt denen einfach einen Zettel und die müssen irgendeine Aufgabe spielen. In Unternehmen wird selten Bingo gespielt. Und das ist natürlich einerseits, damit will man natürlich ein gewisses, will man am Ende des Tages sagen, o. k. das was wir gesehen haben, basiert einzig und allein auf diesem Treatment, was wir gegeben haben. Und versucht dann sozusagen da alles mögliche zu kontrollieren. Das machts, man sagt also interne Validität, man hat sozusagen intern das, was man sieht in den Daten, ist auch tatsächlich dadurch hervorgerufen, was man getan hat.
Aber die externe Validität und inwieweit das übertragbar ist auf die Realität, ist dann natürlich immer fraglich. Und genau deswegen haben wir auch diesen White Collar Hacking Contest, da versuchen wir das tatsächlich mal so realitätsnah wie möglich hinzukriegen. Dass man da mal sieht, wie kann so etwas tatsächlich ablaufen. Man kann nicht mit der einen Methode alle Fragen beantworten, man muss da immer mit unterschiedlichen Blicken und mit unterschiedlichen Methoden arbeiten.
Tim Pritlove
Damit sind wir im Prinzip bei diesem Lehrkonzept auch angekommen. Um es vielleicht auch mal anzusprechen, eure Tätigkeit hier wird ja auch gefördert, also das Lehrkonzept, an dem ihr arbeitet, wird hier explizit gefördert, im Rahmen eines sogenannten Fellowships Hochschullehre des Stifterverbandes. Und ihr bildet hier so ein Tandem.
Michael Schermann
Ein Tandem genau.
Tim Pritlove
Ziel der ganzen Sache ist, quasi neue Lehrkonzepte hier zu erforschen und zu fördern. Jetzt hast du es schon ein paar Mal erwähnt, jetzt müssen wir es noch einmal ein bisschen genauer aufschlüsseln. Also dieser White Collar Hacking Contest ist das jetzt noch mal ein, ist das der Name für alles oder ist das jetzt nur noch mal eine einzelne Aktivität im Rahmen der gesamten Forschung?
Michael Schermann
Genau. Also in dem Konzept oder in dem Tandem Fellowship ist es jetzt erst mal der Name für alles. Das liegt aber so ein bisschen historisch begründet, dass wir halt auf der Basis des White Collar Hacking Contest, den wir gemacht haben, haben wir das jetzt einfach einmal weitergeschrieben. Ob das jetzt der endgültige Name letztendlich ist, dass wird sich zeigen. Der White Collar Hacking Contest ist im Prinzip ein Seminar, in dem Studenten in Teams eingeteilt werden. Und sie kämpfen quasi gegeneinander. Deswegen Contest, also sie stehen im Wettbewerb miteinander. Sie stehen aber nicht sozusagen im direkten Wettbewerb, also sie müssen nicht wirklich sich gegenüberstehen, das kommt dann erst später. Sondern sie kriegen ein ERP-System und das ist rundenbasiert.
Tim Pritlove
Dieses Enterprise...
Michael Schermann
Enterprise Ressource Planning System. Es ist rundenbasiert, d.h. also man muss sich vorstellen, das Seminar geht los und in der ersten Veranstaltung bekommen Sie im Prinzip die Aufgabe, jetzt eine Doppelzahlung in dem System zu hinterlegen. D.h. sie müssen sich erst einmal aneignen, o. k. wie gehe ich mit dem System überhaupt um, wie läuft dieser Prozess ab, und wie kann ich dann tatsächlich eine Doppelzahlung hinterlegen.
Tim Pritlove
Was heißt das?
Michael Schermann
Doppelzahlung bedeutet, dass die Rechnung zweimal bezahlt wird.
Tim Pritlove
Einmal da wo es hin soll und einmal da wo es nicht hin soll.
Michael Schermann
Genau. Und das geben wir in der ersten Runde einfach vor, damit die erst mal mit den Systemen klarkommen und untereinander klarkommen sich kennenlernen usw. und so fort. Zur Hälfte der ersten Runde wird dann sozusagen von den Systemen ein Dump gezogen, also wir machen sozusagen eine Kopie der jeweiligen Datenbank. Und dann werden die Datenbanken unter den Teams ausgetauscht. D.h. also das Team A bekommt die Datenbank von Team B und hat jetzt die Aufgabe, da drin zu untersuchen, was den Team B da gemacht hat. Und Team B bekommt natürlich den Datensatz von Team A.
Tim Pritlove
Als es geht nicht nur darum, böse zu sein, sondern man muss sich erst einmal etwas einfallen lassen, was man Böses tun kann. Aber im zweiten Schritt, muss man dann quasi auch noch mal Detektiv spielen.
Michael Schermann
Genau, also man muss herausfinden, was ein anderes Team für böse Sachen gemacht hat. Und am Ende des Tages gewinnt natürlich ein Team, damit die sich nicht untereinander austauschen. Und genau, da werden diese Datensätze getauscht und dann sitzen die Leute im Prinzip vor einem riesengroßen Datensatz und müssen erst einmal im Prinzip die Datenbankebene von den Systemen, in denen sie vorher irgendetwas eingegeben haben, verstehen. Und wo wird etwas eingetragen, wo wie was wie hängen die Sachen zusammen. Jetzt ist es natürlich so, dass wir an der Uni jetzt irgendwie keinen lebendes System haben, in dem irgendwie ständig etwas gebucht wird, wo man sozusagen etwas verstecken könnte darin, sondern die Daten, die das andere Team macht, sind relativ klar ersichtlich. Man muss einfach nur nach der Zeit ordnen und dann sieht man sozusagen, was ist in den letzten zwei Wochen passiert, und da ist nicht so viel passiert drum herum, sondern nur das, was das andere Team gemacht hat.
Tim Pritlove
Man muss jetzt keine eigene Datenforensik betreiben, und selber da Festplatten auslesen, aber das wäre ja im Prinzip das vergleichbare Ding. Wenn jetzt ein Unternehmen von irgend einem Datenforensik, Polizei oder wer auch immer das macht, zum bestimmten Zeitpunkt einfach mal so alles gesichert wird, dann würde man auf vergleichbaren Daten arbeiten.
Michael Schermann
Die kriegen dann so und jetzt das ist eigentlich das Spannende, sie wissen zwar, wo jetzt der Fraud drinsteckt, weil sie ja genau wissen, dass das andere Team auch Fraud gemacht hat, aber sie müssen es jetzt erklären. Und das ist eigentlich das, das wo die Studis wirklich lernen, wie die Systeme funktionieren und wie die Unternehmensprozesse funktionieren, weil sie sozusagen sie kriegen fünf Tabellen, 27 Datensätze und müssen jetzt im Prinzip erklären, wie die einzelnen Datensätze in den Tabellen zusammengehören und was sie tatsächlich bedeuten und was sozusagen die Motivation dessen war, der die da gemacht hat. So, dass das Daten finden gar nicht so die Herausforderung ist, in dem späteren Umgang dann vielleicht schon. Sondern tatsächlich das erklären. Und das ist auch etwas, wo zumindest mein Eindruck ist, die stellen unglaublich viel an. Weil sie kapieren, wie so ein System funktioniert. Sie kapieren, wo so etwas abgelegt wird, wie die Unternehmensprozesse ablaufen und sie müssen es tatsächlich erklären können.
Das heißt sie müssen verstanden haben, was das andere Team gemacht hat. Wir hatten ja vorn schon so ein bisschen geredet, dass es ja auch durchaus um Buchungen und was auch immer geht und Fehler geht und sie müssen jetzt halt tatsächlich erkennen, warum ist das jetzt tatsächlich Fraud und nicht einfach nur ein Fehler.
Tim Pritlove
Ja.
Michael Schermann
Weil das andere Team lernt ja auch noch. D.h. die machen viele Buchungen oder viele Transaktionen, die gar kein in dem Fall Fraud waren, sondern die haben irgendetwas ausprobiert und es hat nicht geklappt. Und das ist eigentlich ganz interessant, wo die Studenten dann aus meiner Sicht sehr viel lernen. Und dieses Konzept machen wir in der Regel über drei Runden. Das bildet dann so ein ganzes Semester ab und in jeder Runde darf man, kriegen die Studenten ein bisschen mehr Freiheit. In der ersten Runde haben wir den Fraud-Fall noch vorgegeben, in der zweiten Runde dürfen Sie sich etwas selber aussuchen und in der dritten Runde müssen die einen konkreten Betrag verstecken, 100.000 €.
Tim Pritlove
Egal auf welche Art und Weise?
Michael Schermann
Egal auf welche Art und Weise. Weil dann hat man am Ende des Tages ein relativ gutes Maß, welches Team gewonnen hat. Also ich kann 100.000 € verstecken, wenn das andere Team 50.000 € davon gefunden hat, dann habe ich halt nur noch 50.000 € übrig und ich kann natürlich im anderen Team ebenfalls auch Daten rausholen. So das man da ein gutes Maß hat und am Ende des Tages mehr oder weniger objektiv sagen kann, wer denn jetzt das beste Team gewesen ist. Und eigentlich ist das coole daran aus einer Lehrer-Perspektive, dass sie die ganzen wie gehe ich mit dem System um, wie funktionieren solche Datenbanken, wie mache ich solche Datenanalysen, mehr oder weniger en pessant??? mitkriegen. Und das ist eigentlich eine, finde ich sehr faszinierende Art und Weise, man muss gar nicht so viel tun, man muss eigentlich nur sagen Hilfestellung geben und die machen das dann schon.
Tim Pritlove
Es hat jeder eine etwas andere Sicht auf den Begriff Hacking, ich persönlich verstehe da vor allem ein gewisses Maß an Kreativität darunter, es wird ja häufig einfach so per se als Angriff und destruktive Maßnahme gesehen. Ich denke da sind wir auch etwa auf derselben Definitionsebene. Welcher Grad an Kreativität wird denn da so freigesetzt. Seid ihr von den Ergebnissen überrascht gewesen oder gibt es da immer wieder kehrende Pendants????
Michael Schermann
Natürlich gibt es immer wieder wieder kommende oder wieder aufkommende Muster. Aber über die Zeit hinweg lernen natürlich die anderen Teams, was so die klassischen, wo man so hingucken muss. D.h. also, es wird natürlich, umso weiter man im Seminar fortschreitet, umso schwieriger wird es natürlich noch Fraud zu machen, der möglicherweise nicht entdeckt wird. Und die Studenten werden das schon ordentlich kreativ, was das betrifft.
Tim Pritlove
Kannst du mal ein paar Beispiele sagen, was da so ist?
Michael Schermann
Zum Beispiel ist eine Sache, die jetzt im letzten Sommer war, ist, die haben sozusagen – das ist schwierig - Frachtkosten, und in dem System waren die Frachtkosten so abgebildet, dass im Prinzip für bestimmte Strecken auf dem Globus waren bestimmte Frachtkostensätze pro Tonne angegeben. Die sind gepflegt in dem System, die werden eigentlich normalerweise von jemand anderem geupdatet, immer mal wieder, wenn sich das ändert. Und was sie aber gemacht haben, ist sie haben im Prinzip für eine bestimmte Strecke die Frachtkosten einfach erhöht. Also von 80 € pro Tonne auf 110 € pro Tonne. Sie haben auch eine Begründung reingeschrieben, nämlich wegen Piraten, die dort in dem Gebiet operieren. Das ist ja jetzt nicht so ein ganz unrealistisches Szenario. Wenn man im Mittelmeerraum oder irgendwo unterwegs ist. Und das war also wirklich alles offensichtlich da, der Fraud bestand im Prinzip nur darin, dass in der Region, für die sie die Strecke da erhöht haben, da gibt es gar keine Piraten, sondern Piraten gibt es 500 km weiter weg.
D.h. also man muss eigentlich schauen, man muss diese Strecke auf eine Karte legen, und dann feststellen, wo muss man die Piraten daneben liegen und dann muss man sehen, ach guck da gibt es ja gar keine Piraten. Das macht es also auch den Studenten sehr deutlich, dass man eben nicht alles in den Daten findet. Man muss also sozusagen das Zeug interpretieren können, man muss es mit anderen Datensätzen verknüpfen können.
Tim Pritlove
Und ist das gefunden worden? Also ich meine, wenn immer so eine andere...
Michael Schermann
Das ist nicht gefunden worden in dem Fall glaube ich. Also das interessante ist, das gegnerische Team hat natürlich herausgefunden, was also die haben gesehen, dass die Frachtkosten erhöht worden, nur die Begründung, da gibt es Piraten, konnten sie halt nichts mehr dagegen sagen.
Tim Pritlove
Also war es sozusagen eine plausible Multiplikation, die nicht als Betrug auffiel in dem Moment.
Michael Schermann
In dem Moment, also wir machen das immer so, wenn so eine Runde vorbei ist, müssen die Studenten natürlich in irgendeiner Form präsentieren, was sie gefunden haben.
Tim Pritlove
Das Geld muss ja dann auch geflossen sein.
Michael Schermann
Genau, und das ist etwas, was wir vielleicht was jetzt immer mehr dazu gekommen ist, wo wir immer mehr darauf achten, dass es auch realistisch bleibt. Dass das Geld irgendwie raus muss aus der Firma. Wenn ich jetzt der Firma 30 € pro Tonne mehr bekommen habe, dann freut sich die Firma vielleicht, aber ich als persönlich als Fraudster habe ja nichts davon.
Tim Pritlove
Wie wird das jetzt abgezweigt?
Michael Schermann
Und die haben im Prinzip durch Schenkungen von Gemälden zwischen verschiedenen Firmen, haben sie dann sozusagen das Geld herausbekommen.
Tim Pritlove
An Gemälden?
Michael Schermann
Naja, also so Kunst hat ja immer einen sehr subjektiven Wert, d.h. also wenn ich irgendjemand ein Bild verkaufe, was 10.000 € Wert hat und ich verkaufe es für 100.000 €, dann kann ich das natürlich irgendwie rechtfertigen, weil ich sage, für mich ist das 100.000 € wert, aber damit ist das Geld erst einmal aus der Firma heraus bei einem befreundeten Künstler oder was auch immer. Und dann wird das Geld sozusagen geteilt. Heißt also wir wollen ja nicht, das Seminar geht nicht darum, jetzt irgendwie die tollsten Fraud-Fälle der Welt zu begründen. Aber die Studenten lernen dadurch natürlich unglaublich viel darüber. Ich meine schon allein die müssen das präsentieren und es präsentieren immer zuerst die Detektive, also die sagen was haben sie gefundenen Daten, wie würden sie das interpretieren und dann präsentieren die Fraudster. Die sagen dann, was tatsächlich gemacht wurde. Und da gibt es dazwischen, versuchen wir das immer so wie so eine Investigation, wie man sich das im Fernsehen vorstellt, die sitzen sich gegenüber und sagen, da ist doch etwas schief gelaufen. Und wenn ich dann sage, naja, da gibt es Piraten und der andere hat die Karte nicht und legt es dann nicht hin und weiß nicht, dass es da keine Piraten gibt, dann kann er in dem Moment halt nicht sagen.
Und auch diese Situation mal zu erzeugen, dass man im Prinzip solche Sachen rechtfertigen muss, nachweisen muss, über das hinausgehen, was man tatsächlich findet, das ist glaube ich unglaublich interessant und unheimlich wertvoll für die Studenten.
Tim Pritlove
D.h., das kommt auch ganz gut an?
Michael Schermann
Ja, also bis jetzt kommt es richtig gut an. Also wir haben auch immer Firmenpartner mit dabei gehabt, also aus denen man die, Wirtschaftsprüfungsgesellschaften, wir haben auch aus großen Unternehmen Leute, die sozusagen in der internen Revision arbeiten mit dabei gehabt, die so ein bisschen den Studenten geholfen haben, zu zeigen, o. k. das ist jetzt ein realistischer Weg, oder das ist ein unrealistischer Weg oder das würde man soundso erkennen. Um da auch einfach so ein bisschen den Realitätsscheck noch hinzubekommen. Und die waren durchaus interessiert, an den Dingen, die die Studenten da gemacht haben. Also das war jetzt nicht so, dass die das schon 100.000 mal gesehen haben und gesagt haben, ja klar dass ist der und der Fall.
Tim Pritlove
Das war jetzt auch nicht so One-Way mit sie liefern nur Beratung und das war es, sondern die waren sozusagen auch interessiert daran, was jetzt hier eigentlich für neue Missbrauchsszenarien entworfen werden, weil kann ja durchaus sein, dass die in den Firmen auch schon zum Einsatz kommen.
Michael Schermann
Ich meine, ob das jetzt, also wir arbeiten natürlich in Testsystemen usw. Ob das jetzt natürlich alles tatsächlich so umsetzbar ist in richtigen Unternehmen ist nicht, aber es ist natürlich mal...
Tim Pritlove
Gut, aber die Kreativität, die da freigesetzt wird, ist ja keine andere als die, die dann letzten Endes in einem Unternehmen auch zur Geltung kommt.
Michael Schermann
Richtig. Das heißt also bei denen war schon immer so, hatte ich den Eindruck, schon immer so, ah ist das jetzt was, was durchaus für uns auch interessant wäre oder könnte man da bei uns nicht auch mal nachgucken. Und das hilft den Studierenden natürlich auch, zu sehen, ist das überhaupt, was ich da gerade mache, hat das irgendeine Relevanz zu dem, was draußen passiert. Und gibt natürlich auch einen Motivationskick, wenn da jemand drin sitzt und sagt, uh das ist aber tatsächlich interessant.
Tim Pritlove
Also sozusagen interdisziplinär auch über den universitären Kontext hinaus. Also nicht nur, dass es sich auf zwei verschiedene Lehrstühle verteilt, sondern es wird auch aktiv dann mit der Wirtschaft gearbeitet?
Michael Schermann
Ja, wir hatten auch das letzte Mal zwei Unis, also die Hochschule Heilbronn und die TU München haben zusammen das gemacht. Das heißt es waren Studenten aus Heilbronn und Studenten aus München. Die sind dann auch immer hin und her gefahren, haben sich sozusagen kennengelernt und so. Das war super. Also die Studis haben das glaube ich richtig gut gefunden. Und ich meine, die Kreativität steckt natürlich einerseits in dem Fraud drin, aber andererseits auch in der Analyse. Das was ich gemeint habe. Man schaukelt sich natürlich so ein bisschen hoch und man sieht dann schon über die Zeit hinweg, dass die machen sich schlau, was gibt es für Analysemethoden, was könnte man noch tun, um noch besser ran zu kommen, um noch leichter an Daten ran zu kommen und auch auf der Seite ist sehr sehr viel Kreativität zu sehen, dass die sich sozusagen andere Datenquellen zusammen machen.
Ein Team hat sich eine eigene Datenanalysemethode da zusammengeschrieben, um sozusagen einfacher und schneller mit solchen Sachen umzugehen. Wir werden jetzt in zukünftigen White Color Hacking Contests durchaus auch mal andere Tools verwenden. Also zum Beispiel Process-Mining das ist im Prinzip so was wie Daten-Mining ist, aber eben auf einer Prozessebene. Das heißt man sieht in den Daten die einzelnen Prozessschritte, um dann solche Abweichungen besser zu sehen und besser zu verstehen.
Tim Pritlove
Erst wurde das geändert, dann das etc. Also der zeitliche Verlauf.
Michael Schermann
Der zeitliche Verlauf genau. Und das sind eigentlich jetzt ganz neue Technologien, da gibt es noch nicht so viele, die das machen. Wir arbeiten da mit einer Münchner Firma zusammen. Und das ist eigentlich das, wo auch die Studenten dann wieder den Fokus auf die Analyse legen kann und dann tatsächlich sagen kann, ist okay, da steckt eigentlich die Kreativität drin. Und das ist eigentlich sehr flexibel gehalten. Also man sozusagen jedes Mal den Schwerpunkt anders legen und auch dann sehr flexibel auf die Interessen, Fähigkeiten und Bedürfnisse der Studenten eingehen. Ich meine sie lernen in dem Seminar, egal was sie tun, unglaublich viel. Aber es gibt dann halt ich sage mal eher die Informatiker, die dann sozusagen tatsächlich irgendwie noch mal einen Algorithmus ausprobieren wollen oder was auch immer. Und die sind dann natürlich genauso wertvoll wie jemand, der sagt, ich habe da ein cleveres Konzept, wie man das mal ausprobieren könnte aus einer Prozesssicht. Und da können die dann auch miteinander einfach arbeiten.
Dann haben die plötzlich wieder so einen Connex??? über den sie sich verständigen können und sagen, probiere doch mal das und das in deinen Datenanalysen aus. Und daraus kommt das das was wir wollen.
Tim Pritlove
Also Studenten werden hier sozusagen zu handfesten Wirtschaftskriminellen ausgebildet.
Michael Schermann
Nein.
Tim Pritlove
Da gibt es ja dann noch die Ethik.
Michael Schermann
Erstens gibt es die Ethik noch und zweitens die Bewertung und die Benotung und den Contest gewinnen kann man eigentlich nur auf Basis dessen, was man gefunden hat. Also umso mehr Fraud ich finde, umso besser bin ich.
Tim Pritlove
Belohnt wird sozusagen nur die Detektivarbeit.
Michael Schermann
Nur die Detektivarbeit.
Tim Pritlove
Ach.
Michael Schermann
Genau. Und da legen wir den Wert drauf. Ich meine natürlich man macht sich nichts vor. Also wenn ich umso besser mein Fraud-Fall ist, umso schwieriger wird die Detektivarbeit für die anderen Teams. Also das ist so ein zweischneidiges Schwert in dem Fall. Aber ich hab noch nicht den Eindruck, dass wir jetzt sozusagen Kriminelle damit erzeugen, sondern eher Leute, die viel besser die Systeme verstehen, mit denen sie umgehen.
Tim Pritlove
Naja ich witzel ja auch nur. Was ich gerade persönlich sehr interessant, ohne da jetzt zu sehr drauf eingehen zu wollen, aber die Parallen zu der tatsächlichen IT-Security-Tätigkeit, die ja jetzt mittlerweile schon etabliertes Wirtschaftsfeld ist. Es gibt da viele große Unternehmen, da werden Milliarden verdient und ausgegeben. Ist ja im Prinzip auf einer technischen Ebene genau was ähnliches. Auch da gilt es immer wieder diese Strategien potenzieller Angreifer nachzuvollziehen und entsprechende Lösungen zu finden und zusammen auch mit so forensischen Methoden, aber eben auch vor allem mit so verstehen wie die Ticken, versuchen das ganz zu machen. Ihr macht im Prinzip genau das gleiche, bloß eben auf so einer wirtschaftlichen Prozessebene, sodass ja jetzt, abgesehen von dem eigentlichen wirtschaftlichen Verständnis, im Prinzip ja auch eine Expertise herausgebildet wird, die man schon fast auch schon als eigenes Wirtschaftsfeld begreifen könnte.
Also ich weiß ja gar nicht, ob solche Wirtschaftsprüfer in dem Sinne heutzutage schon, ich meine die sind ja eher so auf dem buchhalterischen Level, aber so Datenprüfer, Prozessprüfer in dem Sinne als Berufsbild gibt es da schon irgendetwas, was sich so abzeichnet?
Michael Schermann
Doch schon. Es gibt, also die großen Wirtschaftsprüfer die haben da alle auch ihre Tools. Und die haben auch Spezialisten dafür und das sind natürlich auch Leute, mit denen wir in dem Lehrformat dann auch zusammenarbeiten, die wir an Bord holen und die wir dabei haben. Was aber durchaus ein Punkt ist, dass natürlich so bisher findet der Kampf gegen Wirtschaftskriminalität oder in dem Fall immer Expost??? statt. Das heißt es ist passiert, und man so im Schnitt 18 Monate später stellt man fest, da ist irgendwas passiert, jetzt müssen wir da mal rein gucken. Und eigentlich der spannende Punkt ist natürlich, das so nahe wie möglich an den eigentlichen Fraud-Fall ran zu bekommen. Und deswegen ist zum Beispiel Process-Mining eine Sache, da kann man sozusagen relativ schnell, relativ nah an den Zeitpunkt ran gucken und feststellen, was da so ist.
Das ganze Thema In-Memory-Datenbanken, also Datenbanken, die schneller gehen. Man kann sozusagen während das Unternehmen normal arbeitet kann man sozusagen gleichzeitig forensische Analysen machen auf dem System. Das geht bisher typischerweise nicht, weil die Systeme ausgelastet sind durch den Betrieb. Und man jetzt natürlich nicht da mal eben eine Datenbank abziehen kann mit 25 Millionen Einträgen, dann geht das Produktivsystem in die Knie und dann hat man das eigentliche Geschäft lahmgelegt. Und das sind natürlich jetzt technische – Stichwort Big-Data – natürlich technische Verfahren, die jetzt aufkommen, die man dafür nutzen kann und das macht es natürlich wieder spannend. Weil ich meine, es gibt natürlich auch so was wie Firewalls, irgendwelche internen Kontrollen, die natürlich versuchen, solche Dinge zu machen. Aber wie gesagt, der interne Mensch weiß natürlich ab einem gewissen Zeitpunkt, wie man so was umgehen kann. So dass solche Datenanalysen durchaus einen Effekt haben.
Und umso näher man die an den Punkt ran kriegt, wo der Fraud tatsächlich passiert ist, möglicherweise sogar über den Punkt hinaus, also man kann es tatsächlich verhindern, das ist eigentlich sagen wir mal auf einer technischen Ebene, auf einer datenanalytischen Ebene die Forschung, das sozusagen so nahe wie möglich an den Punkt ran zu kriegen.
Tim Pritlove
Wenn nicht sogar noch …
Michael Schermann
Wenn nicht sogar darüber hinaus.
Tim Pritlove
... so ein prädiktives System zu bauen, was so quasi schon anhand von Bewegungen sagt, mh das sieht mir jetzt nicht richtig aus.
Michael Schermann
Ja, also ich meine, das Konzept ist im Prinzip nicht neu, das wird schon gefühlt seit 100 Jahren diskutiert. Das Problem ist, das Problem der False-Positives. Man kriegt halt genau den Handwerker, der auf der Messe in Spanien …
Tim Pritlove
Geholfen hat.
Michael Schermann
... geholfen hat, den kriegt man jetzt plötzlich als den großen Fraud-Fall vorgelegt. Und damit lähmt man natürlich. Also wenn da 20 Millionen Transaktionen im Monat.
Tim Pritlove
Das fördert dann sozusagen die Demokratie.
Michael Schermann
Wenn man das dann alles stoppt, also wenn man sagt, das ist eine komische Transaktion, die stoppen wir jetzt mal, damit lähmt man natürlich ein Unternehmen einfach. Und da den Mittelweg zu finden, ist natürlich auf einer technischen Ebene super interessant.
Tim Pritlove
Sind denn eigentlich, es gibt doch diese – ich weiß gar nicht, unter welchem Label das hier läuft – diese ISO9000 Zertifizierung für Business-Prozesse, die so ja im Prinzip die Nachvollziehbarkeit aller einzelnen Schritte gewährleisten soll. Zur Qualitätssicherung. Also mit dem Ziel der Qualitätssicherung. Nach dem Motto, ich kann immer erzählen, wo kam es her, wer hat es gebaut, zu welchem Zeitpunkt. Wo es ja viel mehr darum geht, was weiß ich, Lieferketten etc. Zu machen. Aber im Prinzip steckt da ja auch die Nachvollziehbarkeit sämtlicher Business-Prozesse mit drin. Sind das auch Sachen, die ihr euch anschaut? Also ist das diese Standardisierung an der Stelle. Weil das wäre ja im Prinzip so ein interessantes Angriffsfeld. Dass man quasi genau diese Logik, die ohnehin durch diese Zertifizierungssysteme einem Unternehmen schon vorgegeben wird.
Ich weiß nicht, wie gut die erfüllt werden, aber irgendeine Form von Überprüfung gibt es ja zu irgendeinem Zeitpunkt, dass man im Prinzip genau auf dieser Abstraktionsebene versucht auch, diese Datenforensik und Analyse zu betreiben?
Michael Schermann
Es gibt da schon jede Menge Standards. Ob die jetzt gesetzlich vorgeschrieben sind oder das in irgendeinem Unternehmenskremien entworfen wurden ist glaube ich unerheblich. Das Problem dabei, das Problem an dem Standard ist natürlich, dass dafür Standardsituationen geschaffen wurden. Und selten gibt es halt Standardsituationen in der freien Wirtschaft. Und das ist genau das, was es eigentlich sehr schwierig macht, ist eben genau den notwendigen Workaround, den man machen musste, damit jetzt irgendwas klappt, von einem Fraud zu unterscheiden. Aus einer datentechnischen Ebene sehen die nahezu identisch aus. Wenn nicht sogar identisch. Es geht halt tatsächlich um die Interpretation, um das drumherum, um besser zu verstehen, was da ist. Und das ist eine Sache, da hilft kein Standard. Und ich meine, ganz ganz viele Fraud-Fälle werden nur aufgedeckt, weil irgendjemand einen Tipp gibt. Oder auch nur durch Zufall.
Man ist über irgendwas gestolpert und stellt fest, huch. Ich meine das klassische Beispiel ist ja auch so eins, was man – Buchhalter müssen bestimmte Urlaubsfristen nehmen. Also die müssen dann da Urlaub nehmen. Und dann guckt man, ob sozusagen in er Urlaubszeit sich das Unternehmen anders verhält als nicht in der Urlaubszeit. Das sind so Sachen, die man einführt, die werden auch in solchen Standards vorgeschrieben. Aber jetzt hat der sozusagen, macht der immer irgendwas anderes, weil das gerade das Geschäft so erfordert. Und vieles davon ist halt nicht nach dem Standard.
Tim Pritlove
Wie viele Studenten nehmen an diesem Hacking-Contest üblicherweise teil?
Michael Schermann
Also wir haben den jetzt zweimal gemacht bisher. Und so 10-15.
Tim Pritlove
Aber es gibt den Plan jetzt, diese Veranstaltung auch so ein bisschen ins Netz zu tragen und ein bisschen breitbeiniger aufzustellen. Was habt ihr da konkret vor und wie seht ihr da so das Skalierungspotenzial?
Michael Schermann
Also das ist genau das Problem. Bisher läuft die Veranstaltung als wirklich Kleingruppenarbeit. Da muss man intensiv coachen, da muss man intensiv Leute dabei haben. Ich mache das auch nicht alleine. Da sind immer Mitarbeiter mit dabei, die mich dabei unterstützen von der technischen Seite her usw. Und das ist sehr aufwendig. Und vieles von dem kann man aber eigentlich auch wegstreichen und dann könnte man es ins Netz stellen und im Prinzip beliebig große Studentenmengen ansprechen. Und eine Sache, die man durchaus wegstreichen könnte ist, das klingt jetzt ein bisschen komisch, aber man könnte diese Fraud, also ich muss selber Fraud begehen Phase, einfach wegstreichen. Weil dafür braucht man halt diese ERP-Systeme, sonst kann ich ja den Fraud da nicht rein bauen.
Die sind ja aber das rare Gut, weil davon haben wir nicht so viele und wir können die nicht für 100.000 Leute auf der Welt bereitstellen, aber wir haben ja jetzt durch zwei Runden White Color Hacking Contest haben wir ja jetzt einen Satz an Daten. Wir haben ja jetzt Fraud-Fälle, wir wissen genau was da passiert ist. Wir wissen genau, wie man ihn finden muss. Und das ist so ein Teil, den wir jetzt uns vorstellen, dass wir den als so eine...
Tim Pritlove
Wiederverwendbare Datenbasis.
Michael Schermann
Genau, als Anschauungsbeispiele ins Netz stellt. Und im Prinzip die Studierenden aus der ganzen Welt im Prinzip können da sozusagen hingehen und sagen, okay ich will mir das jetzt mal anschauen und dann können sie sich einerseits durch so eine konzeptionelle Ebene durchklicken. Was ist da sozusagen betriebswirtschaftlich passiert, was ist da los? Und aber in einer zweiten Ausbaustufe natürlich auch sagen wir mal die Daten angucken. Und da arbeiten wir ja mit dem Cylonisy-Processmining-Tool??? hier aus München zusammen, die dann halt tatsächlich so eine Oberfläche anbieten, wo man sich den Prozess anschauen kann. Und dann kann man sozusagen an dem Prozess ein bisschen rumspielen. Man kann sozusagen eigene Analysen fahren und kann dann sozusagen, ich sage mal, aus einer grafischen Oberfläche visualisiert nachvollziehen, was denn da eigentlich passiert ist. Und das kann man dann in verschiedenen Ausbaustufen hinstellen. Man kann das für so eine 90 Minuten Vorlesung kann man das sozusagen schon vorgefertigt nehmen, dass man nur so ein bisschen einstellen muss.
Für eine komplexere Veranstaltung kann man das aber auch einfach nur die weiße Oberfläche und man muss sich dann selbst die eigenen Analysen zusammenbauen.
Tim Pritlove
Also kann im Sinne von, könnte man jetzt mal machen.
Michael Schermann
Sind wir gerade dabei.
Tim Pritlove
Seid ihr gerade dabei, das zu tun.
Michael Schermann
Genau. Also wir haben jetzt aus den ersten beiden Contests sozusagen uns jetzt die Daten zusammengesammelt und die ein bisschen aufbereitet. Und das Ding läuft ja erst seit „Januar“ und da werden wir jetzt sozusagen das vorbereiten und aufbereiten und dann, wenn man es dann hat, kann man es im Prinzip einfach ins Netz stellen und man macht die darunter liegenden ERP-Systeme einfach nicht mehr.
Tim Pritlove
Ja, an wen wendet sich das?
Michael Schermann
Also im Prinzip erst mal natürlich an Leute, die diesen White Color Hacking Contest auch, die das einfach...
Tim Pritlove
Wirtschaftsinformatiker.
Michael Schermann
Wirtschaftsinformatiker, aber auch BWL-er, aber durchaus auch in anderen Spezialveranstaltungen. Also wenn jetzt zum Beispiel einer, ich sage mal, der macht einen Kurs zu Supplied-Chain-Management, also wo sozusagen Lieferkettenmanagement behandelt wird. Dann kann er natürlich jetzt so einen Fraud-Case nehmen, da interessiert ihn der Fraud jetzt erst mal nicht, sondern ihn interessant einfach sozusagen, wie läuft so eine Lieferkette ab. Die kann er dann einfach da auch nehmen und kann natürlich den Fraud als ein Beispiel nehmen, was da schiefgehen kann und was nicht schiefgehen kann usw. Also eigentlich ist das dann am Ende relativ flexibel einsetzbar. Wir werden uns jetzt natürlich erst mal für den ersten Schritt darauf fokussieren, dass man genau diese Analysephase aus einer interdisziplinären Sicht unterstützt. Das heißt also um diese Fälle rum soll es dann natürlich auch irgendwie so eine Plattform geben, auf der man sich sozusagen als Team zusammenfindet und dann gemeinsam so einen Fall bearbeitet. Gemeinsam die Daten durchforstet. Und da wäre dann natürlich schon unser Wunsch, dass dann da, ich sage mal, BWL-Studenten und Informatik-Studenten, da gemeinsam in so einem Team drin arbeiten.
Der eigentliche Witz an der Geschichte ist, man könnte natürlich jetzt auch wieder einen Contest daraus machen und sagen, man lädt Praxispartner ein, die solche Fälle neu stellen. Also die im Prinzip die Situation beschreiben oder synthetische Daten rausgeben, die jetzt einen Fall beschreiben. Das heißt wir selber wissen gar nicht mehr, was für ein Fraud-Fall da drin ist. Man gibt das sozusagen als einen Wettbewerb nach draußen und sagt, hier gibt es einen Datensatz, hier gibt es eine Fallbeschreibung dazu, löst das mal. Und dann können sozusagen Studenten aus der ganzen Welt dahin kommen und sagen, okay, das wäre unser Vorschlag. Wir hätten gedacht, dass dort dort und dort das drin ist. Und dann kann man es irgendwann auflösen oder so.
Tim Pritlove
Aber es wäre ja sicherlich auch ganz interessant, so die Kreativität der Masse dazu zu nutzen, noch neuen Fraud einzusammeln.
Michael Schermann
Richtig.
Tim Pritlove
Nicht so ganz verstanden, inwiefern dann diese ERP-Systeme jetzt ein limitierender Faktor sind. Ist das so eine reine Lizenzproblematik oder?
Michael Schermann
Unter anderem auch.
Tim Pritlove
Unter anderem das.
Michael Schermann
Ich meine, also die sind ja jetzt nicht ganz billig an sich. Und wir haben...
Tim Pritlove
Das sind ja jetzt keine Produktionssysteme. Die werden ja nur...
Michael Schermann
Richtig aber trotzdem. Ich meine also es gibt natürlich Hochschulkooperationen und Hochschulangebote, die dann sozusagen andere Unis nutzen können. Es ist aber trotzdem ein gewisser Aufwand. Und ich muss natürlich sozusagen vor Ort jemanden haben, der den Studenten helfen kann, mit diesem System umzugehen.
Tim Pritlove
SAP-Berater.
Michael Schermann
SAP-Berater. Gibt es ja. Also das ist ja nicht ganz ungewöhnlich. Das ist ja auch sozusagen an vielen Universitäten gibt es das, aber eben nicht an allen. Und das ist natürlich schon, jetzt wenn man so ein bisschen globaler denkt, gibt es natürlich auch Regionen in dieser Welt, die sich so was möglicherweise gar nicht leisten können.
Tim Pritlove
Ja gut, aber müssten nicht die Hersteller, also jetzt haben wir SAP genannt, so als typischer Vertreter von so wirtschaftsmiddlewear??? nicht ein großes Interesse daran haben, an solchen Programmen auch mitzuwirken?
Michael Schermann
Ja durchaus. Also wir reden mit denen auch. Also das kann durchaus sein, dass wir das gemeinsam mit SAP oder wem auch immer als so einen Kurs anbieten. Aber ich meine, das ist ja so ein bisschen, eine Idee ist ja auch, das einfach so zu machen, dass es von möglichst vielen genutzt werden kann. Also die Teilnehmerhürden würde ich gerne so niedrig wie möglich senken. Und natürlich eine Sache, über die wir jetzt gerade intensiv hirnen ist, wie man diese Fraud-Phase unterstützen kann, ohne jetzt tatsächlich die Systeme zu haben. Deswegen haben wir es jetzt erst mal, weil das noch zu komplex ist.
Tim Pritlove
Erstmal den Detektivbereich.
Michael Schermann
Erstmal den Detektivbereich genommen. Der ist auch schon spannend genug und man kann da auch ordentlich kreativ werden. Genau. Und wenn man das mal draußen hat, dann gibt es natürlich sozusagen den ethischen spannenden Teil, weil man natürlich sagt, okay, wenn man das so ein bisschen in eine Lehrveranstaltung einbindet, kann man natürlich sagen, okay, das ist ja jetzt kein Fraudster unter uns. Also es wird ja niemand zugeben, dass er jetzt Fraudster wäre oder gern sein möchte oder was auch immer. Das heißt also diese ganzen ethischen Fragestellungen sind immer sehr abstrakt. Wenn man das in der Vorlesung hat, dann redet man immer über Themen, die sozusagen unglaublich abstrakt sind. Die Philosophen haben da natürlich auch ein Faible dafür, so was möglichst abstrakt zu formulieren.
So dass wir natürlich da jetzt schauen wollen, ob man anhand mit diesem Thema jetzt nicht das ein bisschen „erden“ kann. Und innerhalb dieses Themas tatsächlich Leute dazu bringen kann, in Situationen zu geraten, in die sie eigentlich ursprünglich gar nicht hätten geraten wollen. Und das sind so ein bisschen Szenarios, die wir uns jetzt so ein bisschen überlegen. Da wissen wir ehrlich gesagt noch nicht, wie wir dahin gehen sollen. Deswegen gibt es ja zum Glück das geförderte Programm, dass wir das halt ein bisschen plastischer machen und dass dann die Leute/die Studis verstehen, dass wir eigentlich tagtäglich irgendwelche moralische Entscheidungen machen. Oder relativ von dem, was wir machen, ist moralisch getrieben. Und wenn ich jetzt, um auf unsere Studie da zurück zu kommen, wenn ich jetzt plötzlich feststelle, dass sobald meine eigenen moralischen Levels nicht betroffen sind, werde ich plötzlich kriminell, ist das natürlich wichtig, zu wissen. Und auch wichtig, zu vermitteln.
Tim Pritlove
Auf welcher Ebene wird es denn jetzt davon jetzt auch eine wissenschaftliche Ausarbeitung geben?
Michael Schermann
Genau, also einerseits sind wir natürlich sozusagen auf der technischen Ebene unterwegs. Gerade in Richtung Echtzeit-Datenanalysen. Das wird aber sozusagen der technische Bereich sein. Wo wir sagen, okay, da gibt es neue Architekturvorschläge, neue Verfahren, wie man so was machen könnte. Und im Ethikbereich wird es tatsächlich darum gehen, dass wir sozusagen Experimente machen, also innerhalb diesen Kontextes wollen wir wirklich versuchen, Experimente zu machen. Und das gute daran ist ja, dass Studenten durchaus an der Uni als Subjekte für solche Experimente genommen werden können und auch genommen werden und genutzt werden, weil, ich sage mal, moralische Grundprinzipien sind halt an den Menschen gekoppelt und nicht so sehr an seine Situation.
Und das ist eigentlich das spannende, also das wäre so der Wunschtraum, dass wir eigentlich das Thema Forschung mit dem Thema Lehre verbinden können. Das heißt man kann also das gute von beiden Welten nutzen. Und eine Idee wäre tatsächlich, dass wir so eine ethische Fragestellungen irgendwie in Form einer App verfügbar machen, dass die Studenten sich diese runterladen können. In der Vorlesung kann man diese App dazu nutzen, um irgendwelche ethischen Fragestellungen zu visualisieren und man kann es aber gleichzeitig dafür nutzen, um irgendwie tatsächlich große Experimente damit zu machen, wo man zufällig ausgewählten Leuten bestimmte Aufgaben gibt und dann guckt, wie sie reagieren.
Und das ist eigentlich, ich sage mal, so ein Dual-Use Gut, wo man sagt, man kann es für die Lehre verwenden, aber eben auch für die Forschung. Und wenn uns das gelingen sollte, dann haben wir glaube ich da ein ganz interessantes Setup.
Tim Pritlove
Ja. Michael ich glaube, jetzt haben wir auch alles gesagt, was man dazu sagen kann oder haben wir noch irgendwas wichtiges vergessen?
Michael Schermann
Nein, nicht das ich wüsste.
Tim Pritlove
Ich finde das ganz spannend, dass – wie soll ich sagen – dass ihr da so einen Bereich bearbeitet, in dem einfach so zwei mindestens zwei Sachen zusammenkommen. Also einerseits durch diese Vermischung von Wirtschaft und Informatik an sich schon mal, dann noch mit dieser ethischen Dimension, aber dass das auch so einen kreativen spielerischen Charakter auch hat. Das ist ja so, ich möchte meinen, dass im Studium immer vieles davon getragen ist, Fakten einfach einzusammeln. Bücher lesen, auswendig lernen etc. Ich will nicht sagen, dass es nirgendwo eine kreative Komponente gibt, aber in dem Moment, wo Inhalte auch wirklich über so ein spielerisches Moment vermittelt werden, dass sie dann auch das Potenzial haben, auf der einen Seite sehr viel mehr Kreativität freizusetzen als das vielleicht sonst, weil man sonst in einer anderen Art und Weise gefordert ist und zumindest nach meiner Erfahrung, dass wenn man spielerisch an Sachen herangeht, das auch auf eine ganz andere Art und Weise auch verhaften. Dass das einen ganz anderen Fußabdruck bei einem selbst hinterlassen in dem Moment. Ist das auch so eine Erfahrung, die ihr gemacht habt?
Michael Schermann
Ja definitiv. Ich glaube, was mich wirklich begeistert an diesem ganzen Konzept, deswegen mache ich da auch die ganze Zeit dran rum, die Studis machen Dinge oder machen eigentlich alles, ohne dass ich es ihnen sage. Also ich muss nicht großartig Vorlesungen halten oder irgendwelche Sachen, die dann dröge irgendwie herkommen, sondern die gehen selber suchen. Also wir haben dann halt, die mussten sich halt mit den Systemen auseinandersetzen und dann fangen sie halt automatisch an, zu googlen und finden sich irgendwelche Webseiten, Foren und was auch immer, in denen über die Tabellenstrukturen, was auch immer, wo man was findet, raus finden.
Und dann haben wir einen Blog, also alles, was sozusagen die Studenten machen, müssen sie da reinschreiben und über den Teil diskutieren die dann auch. Sie diskutieren nicht über was für einen Fraud sie machen und was sie gefunden haben, aber sie helfen sich sozusagen untereinander mit den einzelnen Methoden und Techniken. Und das finde ich super faszinierend, dass ich eigentlich als „Lehrer“ gar nicht sagen muss, was jetzt gelernt wird, sondern mehr oder weniger nur so ein bisschen Grenzen aufgebe. Okay, also man muss sich innerhalb des Einkaufsprozesses bewegen. Und wenn jetzt ein Studententeam ankommt und sagt, ja wir wollen aber ein neues Werk gründen und in dem ist dann der Fraud drin, dann muss ich sagen, okay, das wird jetzt ein bisschen komplex und ufert aus.
Aber also die Studis fangen halt an, sich sozusagen selbst mit dem Thema zu beschäftigen und das ist das eigentlich, das finde ich unglaublich cool, das zu sehen. Na klar, also Kreativität und so weiter, aber dass die wirklich von sich aus über das Ziel hinausstoßen, was wir eigentlich geben und sich mit Dingen beschäftigen, die wir selber auch gar nicht vorhergesehen haben, wo wir dann auch reagieren müssen, wo wir dann auch erst mal die Unterlagen dazu lesen müssen und was auch immer. Das finde ich total cool.
Tim Pritlove
Wäre das dann nicht auch eine interessante Stoßrichtung, dass in dem Moment, wo man jetzt versucht dieses – und da seid ihr ja im Prinzip dabei – dieses Konzept quasi als Mooc, als massive-online-cores zu konzeptionieren. So dass man quasi diese Gamification, diesen spielerischen Ansatz dort auf eine ganz andere Art und Weise noch mit einbaut. Also ich weiß nicht, ich wollte jetzt nicht auf Highscorelisten hinaus, aber erfahrungsgemäß, in dem Moment, wo man sagen wir mal Ergebnisse erzeugen kann, Vergleichbarkeiten, auch wenn es nur so spielerische Vergleichbarkeiten sind, also dass quasi die eigene Detektivarbeit auch quantifiziert wird und dass das eine Attraktivität erzeugen könnte?
Michael Schermann
Ich meine klar, was mich halt, das ist das, was mich fasziniert, und das muss man irgendwie in die Onlinewelt übertragen oder wenn man so einen Onlinekurs machen will. Die Frage wie kann ich ehrlich gesagt noch gar nicht genau beantworten. Natürlich es gibt Plattformen, in denen das sozusagen auf einer Codingebene schon ganz gut passiert. Also es gibt relativ viele Plattformen, wo sozusagen Coding-Competitions ausgeschrieben werden, wo dann irgendwelche Algorithmen entwickelt werden müssen. Da hat man dann auch ein relativ gutes Maß, an dem man sagen kann, okay 99% Qualität oder so was und da kann man sich dann wirklich messen und kann dann Ranking machen usw. Soweit sind wir in dem Fall jetzt noch nicht, das müssen wir erst mal raus finden, was dann sozusagen gute Maße sind. Aber klar, da muss es hingehen, weil erst dann kriegt man diesen, hey ich muss jetzt zwar eigentlich was anderes machen, aber ich will jetzt noch eine halbe Stunde lang dran rumfrickeln bis ich das jetzt endlich so hab, dass ich da sozusagen den anderen aus den USA da überholt habe oder so was.
Und eine Idee, die da ist, in diesem ganzen Wirtschaftskriminilitätsthema wird immer über sogenannten Red Flags geredet. Also das heißt das sind irgendwelche Datenkontrollen, die halt anschlagen. Also Datensätze werden getauscht zurück und vorwärts und wieder zurück getauscht. Und eine Sache, die man natürlich machen könnte, man könnte sagen, okay, ihr müsst – also Qualitätsmaß – ihr müsst einen Fraud-Fall implementieren, der mit so wenig wie möglich Red Flags anstößt. Also gebt so wenig wie möglich Alarm. Oder genau andersherum. Also man findet sozusagen in der Analyse genau, man findet halt neue Red Flags, auf die vorher noch keiner gekommen ist. Die aber super gut genau auf so einen bestimmten Fraud-Fall hinweisen. Da gibt es schon so ein paar Sachen, aber man muss auch ehrlich zugeben, da muss man glaube ich ein bisschen rum experimentieren, bis man so was tatsächlich dann gefunden hat und das dann dahin macht. Aber ich meine, dazu sind wir ja da.
Tim Pritlove
Minesweeper für Wirtschaft.
Michael Schermann
So nach dem Motto.
Tim Pritlove
Ja, Michael vielen Dank.
Michael Schermann
Gern geschehen.
Tim Pritlove
Das war es.
Michael Schermann
Super.
Tim Pritlove
Das war es hier bei Forschergeist, die 8. Ausgabe, ich sage nochmal vielen Dank fürs Zuhören und bis bald, bis zum nächsten Forschergeist. Tschüss.
Shownotes
Links
This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License
Pingback: [Stifterverband] Forschergeist: Der White Collar Hacking Contest | netzlesen.de
Wird es wieder ein Transkript geben, wie bei Folge 7?
Vielen Dank im Voraus!
Ja, wird die Woche nachgeliefert.
Finde die Idee super und habe das ganze gleich mal an die entsprechenden Stellen meiner TH weitergeleitet.
Danke. Interessant. Leider mit überflüssig vielen englische Vokabeln in der deutschen Sprache. Wenn man diese 1:1 übersetzen kann, finde ich das in der Vielzahl eher unangenehm. Auch die Studierenden sollten eine faire Chance erhalten, eine vernünftige deutsche Fachsprache zu erlernen.
Danke für den Hinweis. Ist mir auch aufgefallen. Leider ist die Wissenschaftskommunikation in unserem Bereiche zu 99 Prozent auf Englisch. Um so entspannter man dann über seine Ideen redet, desto mehr verfällt man in den Slang. Ich gelobe aber Besserung ;)
Pingback: Michael Schermann
Pingback: The white-collar hacking contest is featured in the podcast “Forschergeist” | The 2014 White-collar Hacking Contest – Experience Fraud Forensics!
Pingback: Podcast Empfehlungen - Gelderfahrung