US-Schulbezirk setzt auf SAP und Biometrie

Feature | 26. März 2008 von Thomas Neudenberger 0

Der Polk County School District ist der achtgrößte Schulbezirk in Florida. Er zählt mit 95.000 Schülern an fast 160 Schulen zu den 40 größten der USA. 15.000 Mitarbeiter, mehr als die Hälfte davon Lehrer, machen den Schulbezirk zum größten Arbeitgeber im Polk County. Wie in jedem Unternehmen dieser Größe laufen auch im Schulbezirk täglich unzählige Finanztransaktionen ab – Vorgänge, die schwierig zu überblicken und zu steuern sind.

Das bietet Angriffspunkte für persönliche Bereicherung. Vor einigen Jahren schon bezahlte eine Sekretärin private Rechnungen von den Konten des Schulbezirks. Sie erstellte Bestellanforderungen für erfundene Briefkasten-Firmen, mit den echten Schecks des Schulbezirks bezahlte sie eigene Rechnungen. Der Betrug flog erst nach mehreren Jahren per Zufall auf.

65 Prozent mehr “Gehalt” erschwindelt

In einem aktuellen Fall nutzte die Chefsekretärin der Daniel Jenkins Academy in Haines City ihren Datenzugriff, um sich Überstunden zu genehmigen. Normalerweise fallen pro Jahr fünf bis fünfzehn Überstunden an – umgerechnet ein kleiner Betrag im Vergleich zum Jahresgehalt. Doch bei einer Revision der Überstunden führte die Sekretärin die Liste mit Abstand an: Mehr als 22.000 Dollar sollte sie zusätzlich erhalten, eine Steigerung der Jahreseinkünfte um satte 65 Prozent.

Der drohenden Entlassung kam sie mit ihrer Kündigung zuvor. Doch auch für ihre Chefin, die Schulleiterin, hatte die Affäre Folgen: Sie muss mit einem harschen Verweis rechnen, weil sie ihre Assistentin nicht scharf genug beaufsichtigt hat.

Es geht um ein altbekanntes Dilemma. In den einzelnen Schulen fungieren die Leiter als CEOs, Genehmigungen bei der Gehaltsabrechnung sind auf sie beschränkt. Doch wie auch in der Geschäftswelt haben die Assistenten oft Zugang zu den SAP-Benutzernamen und Kennwörtern der Leiter.

Die Sekretärin in Haines City missbrauchte hier ihre Vertrauensstellung. Das Problem: Die SAP-Lösung überprüft die Zugangsberechtigung und geht damit konform zu gültigen Compliance-Regelungen. Wer genau sich jedoch mit einem Passwort Zugang verschafft, konnte die SAP-Lösung beim Polk County School District bislang nicht nachvollziehen.

Damit steht der Schulbezirk nicht alleine da. Vielmehr ist es gängige Praxis, den Datenzugriff unter einem bestimmten Benutzerprofil per Passwort abzusichern. Immer und immer wieder öffnet dieses Verfahren jedoch Betrugsfällen Tür und Tor – und führt damit manchmal zu Verlusten in Millionenhöhe. Denn: Die Sicherheit basiert auf der Annahme, dass niemand ein fremdes Benutzerprofil verwenden kann. Doch freilich ist genau das der Hebel, an dem Wirtschaftskriminelle erfolgreich ansetzen.

Interner Betrug im Aufwind

2006 entstand in Nordamerika pro Vorfall ein Schaden von durchschnittlich rund 160.000 Dollar. Jeder vierte Betrug schlug mit über einer Million Dollar zu Buch, neun Fälle überschritten die Milliarden-Grenze, so die Certified Fraud Examiners, eine Organisation, die sich mit der Bekämpfung von Wirtschaftskriminalität befasst.

Im Schnitt dauert es 15 Monate, bis interner Betrug überhaupt auffliegt – meist nur Dank der Hilfe interner “Whistleblower”, wie auch beim Polk County School District. Die Dunkelziffer ist vermutlich enorm hoch.

Um eindeutig sicher zu stellen, wer eine Transaktion tatsächlich durchführt, müssen die Unternehmen die Person “hinter” dem Benutzerprofil sichtbar machen. Wie die meisten SAP-Kunden setzt der Polk County School District für seine Geschäftsprozesse die Anwendungen für das Personal- und Finanzwesen, das Anlagenmanagement, den Einkauf, die Lagerverwaltung, die Arbeitsaufträge und Projektsysteme.

Wie überall wurden auch im Schulbezirk Kennwörter weitergegeben und in alarmierendem Ausmaß Benutzer-IDs und Kennwörter auf Zettel notiert und an den Bildschirm geklebt oder einfach in der Schublade aufbewahrt. Mit den Betrugsfällen wurde es für den Polk County School District ein Muss, für einen direkten Nachweis des betreffenden Anwenders zu sorgen.

Nachweisbarkeit für jeden wichtigen Mausklick

Der Polk County School District setzte hierfür auf bioLock, eine von SAP America zertifizierte Lösung des Partners realtime North America Inc. Die Technologie für die biometrische Zugangskontrolle schützt jede Transaktion, jedes Feld, jeden Infotyp, jedes Datenelement oder jede Aufgabe unabhängig vom SAP-Benutzerprofil mit einem “biometrischen Türschloss”.

Der Polk County School District “montierte” dieses Schloss für Transaktionen im Personalwesen, bei Finanzvorgängen, elektronischen Überweisungen und Bestellungen. Damit ist jeder wichtige Mausklick abgesichert. Der Schulbezirk hat festgelegt, wer mit seinem biometrischen Muster eine Bestellanforderung freigeben oder Gehaltsabrechnung bestätigen darf.

Der Polk County School District kann somit klar nachweisen, welcher Anwender welche Transaktion durchgeführt hat. Nicht alle SAP-Anwender werden mit bioLock identifiziert, sondern nur etwa 100 – “Power-User”, die Zugang zu kritischen Daten oder Transaktionen haben.

2007 wird der IT-Welt vielleicht als Jahr des Datenmissbrauchs in Erinnerung bleiben – doch es ist nicht unwahrscheinlich, dass 2008 diesen traurigen Rekord noch übertrifft. Mit der biometrischen Technologie geht der Polk County School District im Hinblick auf Compliance mit gutem Beispiel voran. Niemand sollte einfach davon ausgehen, dass sich mit einem Kennwort nur der “echte” Benutzer anmeldet. Eine solche Denkweise in Reinkultur stellt Sicherheitsausgaben in Millionenhöhe in Frage – weil sich Betrüger im Zweifelsfall ohnehin mit gestohlenen Passwörtern Zugriff verschaffen.

Leave a Reply