Hart, aber herzlich
Wenn es brennt, blüht sie zur Höchstform auf: Sonja Stirnimann begleitet Unternehmen in Krisen und bei Fällen von Wirtschaftskriminalität, Non-Compliance und Cyberangriffen.
«Wir schauen uns alle Leute sehr genau an, bevor wir sie einstellen.» – Sonja Stirnimann, CEO und Gründerin, Structuul AG. (Bild: Louis Rosenthal)
Als sie sechs Jahre alt ist, steht für Sonja Stirnimann fest: «Ich will Unternehmerin werden.» Das grosse Vorbild ist ihr Grossvater, der ein Familienunternehmen gegründet und jahrelang erfolgreich geführt hat.
Zehn Jahre später wird Stirnimann auch die Richtung klar, in die sie gehen wird. Bei ihrer Banklehre hat sie mit 16 ihren allerersten Fall von «Unregelmässigkeiten» – Non-Compliance – auf dem Tisch. Und entscheidet: «Ich will Wirtschaftsprüferin werden.» Ihre Beweggründe als Teenagerin: «Ein Wirtschaftsprüfer darf überall reinschauen, darf alles fragen – und versteht so die Zusammenhänge und das Gesamtbild.»
Strategisch ans Ziel
Sie recherchiert, wie sie an dieses Ziel kommt und legt sich ihre Strategie von da an akribisch zurecht. Sie besucht die höhere Fachschule für Wirtschaft, absolviert ein Ergänzungsstudium in Finanzmathematik und Statistik und schliesst 2004 ihre Ausbildung zur Wirtschaftsprüferin ab. Parallel dazu lässt sie sich in Deutschland und den USA zur Wirtschaftsmediatorin ausbilden.
Das Ziel ist erreicht – ihr Wissenshunger aber noch lange nicht gestillt. Die Ausbildung zum Certified Fraud Examiner ist für Sonja Stirnimann eine logische Konsequenz ihrer täglichen Arbeit. Ihren internationalen Executive MBA in Financial Services & Insurance absolviert sie später an den Universitäten St. Gallen, Vlerick Gent und HEC Montreal.
Bis sie schliesslich ihren Traum vom eigenen Unternehmen verwirklicht, vergehen einige Jahre. Stirnimann steht unter anderem im Dienst von international agierenden Unternehmen wie Holcim, EY, UBS und Deloitte – jeweils in ihrem Fachgebiet: Finanzen, Wirtschaftsprüfung und -beratung, Governance, Risikomanagement und Compliance.
2015 gründet Sonja Stirnimann die Structuul AG. Mit ihrem Team unterstützt sie Unternehmen präventiv wie auch in Ereignisfällen zu Non-Compliance: Wirtschaftskriminalität, Datenklau, Cyberangriffe. Meist als eine Art «Task Force», wenn bereits etwas passiert ist. Die wichtigste Aufgabe dabei sei, die Reputation der Geschädigten zu schützen und ihre Handlungsfähigkeit sicherzustellen.
Doch sollten Unternehmen nicht eher versuchen, zu verhindern, dass es überhaupt so weit kommt? Genau das sei eine der Herausforderungen, erklärt Stirnimann. «So lange nichts passiert ist, sehen viele keinen Handlungsbedarf. Es trifft ja immer nur die ‹anderen›.» Zudem werde insbesondere der Erfolgsfaktor Mensch unterschätzt. Oder negativ ausgedrückt: der Risikofaktor Mensch.
Die Mehrheit der Delikte werde von aktuellen, ehemaligen oder freien Mitarbeitenden begangen. Die Prävention müsse also schon beginnen, wenn Mitarbeiter eingestellt werden. Einer von Stirnimanns Hauptkritikpunkten am HR ist denn auch, dass dieses Kandidaten oft nicht sorgfältig genug prüfe: «Es ist weder schwierig noch teuer, einen Background-Check mit öffentlich verfügbaren Daten zu machen.»
Auch wenn es darum geht, die Echtheit der Unterlagen zu prüfen, die Bewerbende einschicken, seien Unternehmen zu unvorsichtig. Obwohl sie dadurch leicht unehrliche Kandidaten aussortieren könnten: Das Geschäft mit gefälschten Diplomen und Abschlüssen grassiert und nicht wenige Bewerbende schummeln bei ihrem Lebenslauf.
Hacking ohne Code
Um externe Angriffe abzuwehren und interne Non Compliance zu erkennen, müssten alle Mitarbeitenden sensibilisiert werden. Nur bei den Führungskräften anzusetzen, sei falsch. «Gerade Empfangsmitarbeitende, der Telefondienst oder das Reinigungspersonal nehmen wichtige Rollen ein», erklärt Stirnimann.
Wie sich ein Unbefugter über diese Mitarbeitenden leicht Zugang zu Geschäftsräumlichkeiten verschaffen kann, zeigt ein Beispiel: Zuerst wird die Firma einige Tage beobachtet. So findet der Unbefugte heraus, wann die Reinigungstruppe am Morgen ankommt. Um diese Zeit tritt er als vermeintlicher Lieferant mit einer sperrigen Schachtel vor die Tür und bittet das Reinigungspersonal freundlich, ihm die Tür zu öffnen. Der «Lieferant» ist innert Minuten im Gebäude. Er braucht nur ein wenig schauspielerisches Talent und ein hilfsbereites Opfer, das zu wenig sensibilisiert ist. Das ist Hacking ohne Code.
Social Engineering nennt sich die Technik, Menschen dazu zu bringen, etwas zu tun, das sie normalerweise niemals tun würden – um etwa an Informationen zu kommen oder sich Zutritt zu Räumlichkeiten zu verschaffen.
Ein weiteres Beispiel? Social Engineers beobachten ein Unternehmen und dessen Mitarbeitende über lange Zeit. So wissen sie etwa genau, wie die Leute in diesem Unternehmen kommunizieren. Wenn sie genug Informationen gesammelt haben, schlagen sie zu. Bekannt wurden mehrere Fälle von sogenanntem CEO-Fraud – auch in unseren Breitengraden.
Dabei weisen Betrüger zum Beispiel den CFO im Namen des CEO an, eine grössere Summe auf ein Konto zu überweisen. Meist soll das schnell gehen, weil der Deal sonst angeblich platze. Sprache, E-Mail Adresse, Tonfall – nichts lässt den CFO Verdacht schöpfen. Das Problem: «Ich kann Ihnen mit einer App eine E-Mail schicken mit der Adresse Ihrer Chefin als Absender», erklärt Stirnimann. «Sie würden nicht merken, dass diese eigentlich von mir kam.»
Also überweist der CFO die Summe auf das angegebene Konto. Und schon ist der Schaden angerichtet. «Das passiert üblicherweise am Freitagnachmittag, kurz vor Schliessung der Banken», erklärt Stirnimann. «Dann haben die Betroffenen oft keine Chance mehr, den Vorgang zu stoppen.»
Auch gegen solche Fälle können sich Unternehmen schützen, indem sie ihre Mitarbeitenden sensibilisieren. Es reiche allerdings nicht, für alle Mitarbeitenden eine Schulung zu organisieren: «Auf welche Techniken von Social Engineering Menschen ansprechen, unterscheidet sich je nach Generation und Berufsgattung», erklärt Stirnimann. Ein Babyboomer lasse sich anders manipulieren als eine Millenial. Ein Empfangsmitarbeiter anders als eine Managerin. «Es ist wichtig, dass man diese feinen Unterschiede beachtet. Denn genau hier liegt das Risiko.»
Buchtipp
Im Fokus stehen die verschiedenen Ausprägungen menschlicher Risiken. Es will Verantwortliche dabei unterstützen, Risikofaktoren und deren Frühwarnindikatoren rechtzeitig zu erkennen und proaktiv zu agieren.
In fünf Stufen führt das Buch durch alle relevanten Phasen von der Prävention bis zur Vorgehensweise im Ernstfall.
Sonja Stirnimann, 2018: Der Mensch als Risikofaktor bei Wirtschaftskriminalität. Handlungsfähig bei Non-Compliance und Cyberkriminalität. Wiesbaden: Springer Gabler. 347 Seiten.
Wiederholte Background-Checks
Wie findet man Mitarbeitende für solch sensible Aufgaben, wie Structuul sie wahrnimmt? «Mit Inseraten haben wir eher negative Erfahrungen gemacht», sagt Stirnimann. Mittlerweile rekrutiere sie fast ausschliesslich über ihr persönliches Netzwerk, welches sie sich über die Jahre hinweg aufgebaut habe. «Trotzdem schauen wir auch diese Leute sehr genau an, bevor wir sie einstellen.» Einen umfassenden Background-Check durchlaufen alle Mitarbeitenden von Structuul – immer wieder, nicht nur bei der Einstellung. «Selbstverständlich hole ich dafür ihr Einverständnis ein.»
Nebst ihrem Kernteam arbeitet Stirnimann mit einem grossen Netzwerk von Kooperationspartnern im In- und Ausland zusammen. Wie gross ihr Kernteam ist und wer für sie arbeitet, möchte Stirnimann nicht öffentlich beantworten. Auch auf ihrer Website finden sich wenig Informationen zum Unternehmen und keine Mitarbeiternamen. «Es ist uns wichtig, unsere Leute zu schützen», erklärt sie.
Sie verrät nur so viel: Bei Structuul arbeiten Wirtschaftsprüfer, Betriebsökonomen, IT-Spezialisten, Juristen und Psychologen – alle mit mindestens zehn Jahren Berufserfahrung. «Unsere Kunden sind Geschäftsleitungsmitglieder, Verwaltungsräte, Head of Compliance oder Internal Audit, ebenso wie Behörden jeglicher Art – da ist jahrelange Erfahrung und Expertise unabdingbar.» Genau so wichtig wie die Erfahrung ist Stirnimann die «Fähigkeit, auf verschiedenen Flughöhen zu agieren» – sprich, dass sich ihre Leute nicht zu schade sind, mit anzupacken.
80 Prozent als Maximalpensum
Was ihr Team über sie sagen würde? «Hart, aber herzlich», antwortet Stirnimann und lacht. «Ich erwarte 100-prozentiges Commitment meiner Leute», führt sie aus. «Gleichzeitig haben wir auch immer eine respektvolle und gute Stimmung, wenn wir arbeiten. Und eine gute Portion Humor hilft – auch in ernsten Situationen.»
Ihre Mitarbeitenden sollen neben der Arbeit Zeit für einen Ausgleich haben – sei das für andere Mandate und Engagements, Familie, Sport, Hobbys oder Haustiere. Deshalb arbeitet bei Structuul niemand mehr als 80 Prozent in Jahresarbeitszeit. «Erstens möchte ich nicht, dass jemand im Team ausbrennt. Zweitens gibt uns dieses Pensum auch einen gewissen Puffer für Spitzenzeiten. Da arbeiten wir schon auch mal ausserhalb offizieller Bürozeiten.» Stirnimann selbst nutzt diese 20 Prozent insbesondere für ihre Mandate als Verwaltungsrätin.
Über den Atlantik
Um im Alltag ihren eigenen Ausgleich zu finden, verbringt Sonja Stirnimann Zeit mit ihrem sechsjährigen Sohn und ihrem Mann, spielt Golf oder Saxofon und macht so viel Sport wie möglich.
Manchmal sucht sie aber auch in ihrer Freizeit das Abenteuer – etwa beim Segeln. Stirnimann hat vor zehn Jahren den Atlantik überquert – mit einer Crew, die sie nur wenige Stunden zuvor kennengelernt hatte.
Genau wie den Wunsch, Unternehmerin zu werden, hegt Sonja Stirnimann auch den Traum vom Segeln seit ihrer Kindheit. Auch bei diesem Traum dauert es eine Weile, bis sie ihn sich erfüllt.
Mit knapp 30 macht sie den Segelschein und anschliessend den Hochseeschein. Ein paar Jahre später nimmt sie Urlaub, sucht sich ein Segelschiff, das von der Karibik nach Europa übersetzt, und steigt in den Flieger Richtung Karibik. «Man wollte mir nicht sagen, wer sonst noch auf dem Schiff sein wird. Aus Datenschutzgründen – damals noch nicht wirklich ein Thema, aber trotzdem so gehandhabt», erzählt Stirnimann.
Sie trifft die Menschen und nimmt sich drei Stunden Zeit, abzuwägen und zu entscheiden, ob sie das Risiko eingehe, mit diesen «Wildfremden» den Atlantik zu überqueren. «Nach diesen drei Stunden entschied ich: okay, ich tu’s. Sonst wäre ich wieder nach Hause geflogen.»
Zur Person
Sonja Stirnimann (43) ist Gründerin und CEO der Structuul AG. Als Expertin für Wirtschaftskriminalität, Non-Compliance und Cyberkriminalität berät Sonja Stirnimann Verantwortungsträger internationaler Unternehmen im Umgang mit diesen Themen. Zudem unterstützt sie auch Behörden mit Ermittlungen.
Ihre berufliche Laufbahn begann mit einer Banklehre. Als sie das erste Mal an der Aufarbeitung eines Falls von Non-Compliance mitwirkte, beschloss sie, Wirtschaftsprüferin zu werden.
Sonja Stirnimann ist heute Ökonomin, diplomierte Wirtschaftsprüferin, Certified Fraud Examiner, hat einen Executive MBA in Financial Services & Insurance, ein Ergänzungsstudium in Finanzmathematik und Statistik und ist Wirtschaftsmediatorin. Sie gibt ihr Wissen an verschiedenen Universitäten, Fachhochschulen und in Berufsverbänden weiter.
Sie ist zudem in verschiedenen Verwaltungsräten sowie Mitglied einer Ethik-Kommission.
Structuul AG
Die Structuul AG mit Sitz in Rotkreuz berät und unterstützt natürliche Personen und Unternehmen bei der Beantwortung sensibler Fragestellungen in den Bereichen Governance, Risk und Compliance. Sie ist spezialisiert auf die Prävention, das Erkennen und die Aufarbeitung von Non-Compliance und Wirtschaftskriminalität in Unternehmen sowie auf die Betreuung Betroffener.