Im Rahmen der ersten Runde des White-collar Hacking Contest im Wintersemester 2014 an der Hochschule Heilbronn, sollten wir einen von Herrn Professor Dr. Schacht erhaltenen Fraudfall („betrügerische Handlung“) in dem dafür vorgehsehnen SAP System anlegen.

Das Ziel der ersten Runde ist es ein Verständnis über mögliche Fraudfälle, den Methoden zur Fraud Investigation und den Umgang mit SAP zu erlangen. Die erste Runde ist in zwei Hälften geteilt und dauert insgesamt 4 Wochen. In den ersten zwei Wochen sollte von jedem Team, ein Fraudfall in SAP angelegt werden. In den letzten zwei Wochen sollen wir als „Detektive“ agieren und den Fraudfall eines anderen Teams in SAP aufdecken.

Bei unserem Fraudfall handelte es sich um den Geschäftsführer, dessen Bankkonto von seinen vielen Urlauben und Anschaffungen überzogen ist, trotzdem möchte er aber seiner Frau einen teuren Diamant Ring kaufen. Als Lösung für sein Dilemma, sollte er unerkannt, Geld aus dem Unternehmen entwenden um damit seiner Frau einen Diamant Ring zu kaufen.

Anhand des Procure to Pay Prozesses, welcher uns in den Vorlesungen vorgestellt wurde, wollten wir unser Vorhaben umsetzen.

Procure to Pay Prozess:
1. Bestellanforderung
2. Lieferantenauswahl
3. Bestellung
4. Benachrichtigung Lieferant
5. Versand der Waren
6. Wareneingang
7. Rechnungsprüfung
8. Zahlungsabwicklung

Zuerst machten wir Überlegungen, wie wir diesen Fall in SAP abbilden könnten. Da alle in unserem Team, noch nicht viel Erfahrung mit SAP gemacht haben, dauerte es eine ganze Weile die Prozesse zu verstehen.

Wir hatten mehrere Ideen, um unseren Fraudfall in SAP anzulegen. Zum Beispiel das private Bankkonto unseres Geschäftsführers bei einem bereits bestehenden Lieferanten zu hinterlegen, oder eine direkte Banküberweisung an das vorgesehene Konto zu tätigen, wozu uns aber verständlicherweise die Rechte fehlten.

Wir kamen dann aber schließlich zur folgender Vorgehensweise, um den Fraudfall in SAP anzulegen:

Zuerst einen neuen Lieferanten (Kreditor) anlegen. Dieser Lieferant sollte falsche allgemeine Informationen und die Zahlungsinformationen eines Bankkontos des Geschäftsführers enthalten. Der Lieferant sollte die gleichen Rohstoffe wie die bereits vorhandenen Lieferanten in seinem Sortiment haben, um nicht gleich entdeckt zu werden, darum wollten wir einen bereits bestehenden Lieferanten als Vorlage verwenden.

Wir wollten nun mehrere manuelle Bestellanforderungen im Gesamtwert von 10.000 Euro (10 x 1000€) generieren. Diese Bestellanforderungen sollten dann von uns in Bestellungen, an den falschen Lieferanten, umgewandelt werden. Der Lieferant versendet aber keine Waren, da er überhaupt keine Waren in seinem eigenen Sortiment hat. Der Wareneingang verzeichnet den erfolgreichen Eingang, obwohl die Waren nicht vorhanden sind. Der Lieferant stellt eine Rechnung im Wert der bestellten Güter aus und diese wird vom Unternehmen erfolgreich geprüft. Die Zahlungsabwicklung erfolgt manuell auf das Konto des Lieferanten und somit eben auf das Konto des Geschäftsführers der nun das nötige „Kleingeld“ zusammen hat um seiner Ehefrau einen Diamantring zu kaufen. Zusätzlich sollten weitere Bestellungen von den bereits bestehenden Lieferanten getätigt werden. Mit den weiteren Bestellungen sollte mittels der Masse an Bestellungen eine Unübersichtlichkeit erzeugt werden, wodurch die an das falsche Bankkonto getätigten Buchungen schwer bzw. nicht auffindbar wären.

 

Unser Vorgehen hörte sich in der Theorie gut an, doch war es für uns nicht einfach in der Praxis umsetzbar. Da wir den Aufwand für die Einarbeitung in SAP massiv unterschätzt haben, waren wir nicht erfolgreich den Fraudfall innerhalb der vorgegebenen Zeit, ins SAP System einzutragen.

Da bereits der zweite Teil der ersten Runde „Aufdeckung eines Fraudfalls“ begonnen hat, bleibt keine Zeit der nicht erreichten Aufgabenstellung hinterher zu trauern. Wir sind jetzt mitten drin einen Fraudfall als Detektive aufzudecken und sehr zuversichtlich dieses Ziel zu erreichen und dadurch unsere SAP Kenntnisse stetig zu verbessern.