Fraud Prevention ohne Silodenken - Gast: Jean-Paul Feidt

00:00:09: Forensic Investigations – der Podcast.

00:00:23: Herzlich willkommen zu Forensik Investigations, der Podcast!

00:00:27: Hier erhaltet ihr regelmäßig neue Episoden zu Themen rund um forensische Sonderuntersuchungen, Wirtschaftskriminalität und Compliance.

00:00:35: Mein Name ist Patrick Schneider.

00:00:36: ich bin Certified Fraud Exeminar- und Unterstützerunternehmen bei der Durchführung von internen Sonderuntersuchungen sowie der Verbesserung ihrer internen Kontrollsysteme.

00:00:49: Herzlich willkommen zu einer neuen Folge von Forensic Investigations.

00:00:52: Heute befassen wir uns mit der Vorbeugung von Betrug in Unternehmen, denn der größte Schaden durch Fraud entsteht oft nicht durch besonders cleverer Täter sondern durch ganz normale gut gemeinte Fehlentscheidungen innerhalb der Organisationen.

00:01:06: Silo-Denken, KPI-Logik, isolierte Fachbereiche und klare Prozesse all das summiert sich und darüber spreche ich heute mit einem Gast der Fraud Prevention Nicht als Tool oder Einzelfall Thema versteht sondern als Fachbereichsübergreifendes Organisationsproblem.

00:01:22: Jean-Paul, schön dass du heute da bist!

00:01:24: Ja herzlichen Dank für die Einladung.

00:01:26: ich freue mich sehr und super spannendes Thema und kann gar nicht genug Aufmerksamkeit bekommen.

00:01:31: deswegen freue ich mich auf unser Gespräch heute.

00:01:34: ja ich freu mich auch aber bevor wir jetzt einsteigen wäre es schön wenn du dich einmal kurz vorstellen könntest damit die Leute wissen wer du so bist was du machst und vielleicht können wir dann auch direkt zur ersten frage übergehen warum beschäftigst du dich so intensiv mit fraud prevention?

00:01:47: Ja, ich fange erst mal damit an was ich mache.

00:01:49: Also mein Name hat mir schon geklärt.

00:01:51: Ich bin Jean-Paul Bin selbstständiger Berater in der fraud prevention und in einer nutshell Ich sorge dafür dass Unternehmen mehr Geld zur verfügung haben indem ich sie resilient gegen fraud aller art mache.

00:02:02: Dann sagen wir ehrlich am ende geht es ein bisschen zum eins Geld zu verdienen und nicht unnötig liegen zu lassen Und das ist meine Aufgabe unternehmen da zu unterstützen.

00:02:13: Ja,

00:02:13: wie bin ich da reingekommen?

00:02:15: Wie jeder ordentliche Fraudexperte bin ich einfach an das Thema reingeputzelt.

00:02:20: Das ist der klassische Weg in die Fraud Prevention.

00:02:22: Ich war immer sehr brell aufgestellt ursprünglich mal Bankaufmann dann Experte für Internetrecht hat auch ein Block zu dem Thema zwischenzeitlich mal Information Security Officer speziatifizierter Datenschutzbeauftragter Aber immer sehr kaufmännisch geprägt und bin dann auch zum Anfang meiner Karriere im Forderungsmanagement gelandet, was erst mal nur bedingt, was mit Fraud Prevention zu tun hat aber schon so den ersten Brückenschlag gegeben hat.

00:02:47: Ja und dann bin ich in einem meiner Jobs plötzlich einfach in das Thema reingeraten.

00:02:52: also ich kam an und dann war ich plötzlich zuständig für den Test von zwei Fraud Systemen oder hatte eigentlich auch keine Ahnung was ein Fraud-System ist und musste mich da so Stück für Stück in das thema reinfremeln.

00:03:02: ja und dann stehst du da hast eigentlich keine Ahnung von dem Thema.

00:03:05: Mein Chef meint hier, wie willst du dir das denn erarbeiten?

00:03:07: Ich so ja, wer ist denn der Experte dafür hier.

00:03:08: Da meine ich, mein Chef, das bist Du!

00:03:10: Das ist ja großartig.

00:03:12: Dann lese ich mir das vielleicht an... Also nee lesen wirst du da gar nix, das steht nämlich nirgends.

00:03:17: und da habe ich dann auch schnell gelernt in der Ford Prevention fragst du dich durch wir finden Sachen raus passt ja irgendwie alles.

00:03:23: wieder zum Thema.

00:03:25: Dann habe ich mich Stück für Stück über die Jahre in das Thema reingearbeitet.

00:03:28: Ich habe bei Firmü-Bombrige gearbeitet, bei Douglas, bei Autopayments und so immer Stück für Stück Wissen aufgebaut, immer weitergepurzelt, immer mehr Spaß dran gehabt und man kann sich das jetzt so vorstellen wie eine Riesenlawine, die immer größer wird an Wissen und Erfahrung.

00:03:44: und dementsprechend ist das jetzt eigentlich mein Lieblingsgebiet, in dem ich auch wirklich großen Herwert leisten kann.

00:03:51: Wenn ich jetzt Unternehmen berate, kann ich sie eigentlich von allen Themen beraten.

00:03:55: Von der erste Analyse über Ausschreibung, Tutintegrationen, Schnittstellenanbindung bis zur Überführungen des operative Tagesgeschäfts bin also sozusagen einerseits Experte andererseits Systemanalist und am Ende auch Übersetzer in die Unternehmer rein weil ich eben die ganz verschiedenen Brillen aufsetzen kann von regulatorik über operatives Tagesgeschäft über Produktdenken über gesamtheitliche Steuerung.

00:04:20: Ja, vielen Dank für diesen schnellen Durchmarsch durch deine Vita.

00:04:23: Es ist mal wieder so das es ein Lebenslauf, den man nicht einfach nachahmen kann.

00:04:29: also den gibt's dann nur einmal so und ich stelle trotzdem fest dass es wohl sein Gutes hat, dass du so viele verschiedene Stationen durchgegangen bist denn sonst könntest du wahrscheinlich das Thema nicht von so vielen Blickwinkeln informiert betrachten.

00:04:43: Du hast gerade auch gesagt, dass ... du deinen Chef damals gefragt hast ja wer ist denn der Experte?

00:04:47: Und dann hat er gesagt du bist der Expert.

00:04:49: Bist du weiterhin der Ansicht, dass man Fraud Prevention nicht lernen kann?

00:04:54: Ja in der Tat.

00:04:54: Das ist tatsächlich eigentlich der einzigen mögliche Ansatz, Fraud prevention zu lernen.

00:05:00: Klar kannst du dich irgendwo hinsetzen im Internet ein bisschen was lesen auf mal eine Messe gehen und ich werde noch nachher im Detail mal darüber sprechen in welcher Ausprägung das gehen kann.

00:05:08: Das Problem ist tatsächlich, ich bin auch der Meinung wenn du nicht wirklich mal operativ gearbeitet hast verstehst du schonmal einen ganz wesentlichen Teil der fraud prevention nicht.

00:05:17: auf der anderen Seite ist es wirklich so.

00:05:19: die Leute kommen aus verschiedenen Blickwinkeln in das Thema rein.

00:05:21: Es gibt die klassisch operativen dann gibt's die Produktleute.

00:05:25: Die haben eine völlig andere Sicht auf das Thema weil ihnen auf der operative Blickwinkel fehlt was da auch oft zu Frictions führt Weil das sind zwar Bereiche die ineinander geraten und meistens setzt sich weil es irgendwie cooler ist als Ops, was auch ein großer Denkfehler in dem ganzen Spiel ist.

00:05:41: Dann hast du noch die regulatorische Brille und obendrauf ist ja das Business.

00:05:46: also wenn sich alle dann um Fraudbalken am Ende steht deine Geschäftsführung und sagt warum stoppt ihr mir hier die Kunden?

00:05:51: Und dann kannst du wieder mal erklären warum hast Du da Fraud?

00:05:54: Also langer Redekurzer Sinn Wenn du nicht den ganzen Wahnsinn eines Unternehmens kennengelernt hast.

00:05:59: Auch in unterschiedlichen Ausprägungen, auch in unterschiedliche Geschäftsmodellen Kennst du immer einen Teil der Wahrheit?

00:06:05: Das würde ich gar nicht bestreiten und kannst dich auch auf den Teil der Wahnsinn spezialisieren.

00:06:09: Aber so den unfassenden Ansatz hast du wirklich erst dann, wenn du ein Unternehmen dauerhaft an verschiedenen Themen gearbeitet hast und möglichst in verschiedenen Geschäftsfeldern unterwegs bist.

00:06:19: Was wichtig ist, Fraud ist nicht gleich Fraud.

00:06:21: Das kommt auch noch obendrauf.

00:06:23: Jeder redet zwar über Fraud aber jeder meint eigentlich was anderes dazu?

00:06:26: Ich habe jetzt immer wenn ich hier über Fraude rede meine ich Unternehmensbetrug oder Betrug im Unternehmen.

00:06:31: das heißt Mitarbeiter die sich um Unternehmen befinden versuchen das Unternehmen zu betrügen.

00:06:35: Aber natürlich gibt es dann auch immer diese Außen Angriffe zum Beispiel dass sich Lieferanten absprechen Ja, sowas.

00:06:43: Das ist schon auch ein Thema was hier mit behandelt wird und wo man auch vom Fraud spricht.

00:06:47: Und das ist dann ganz andere Problematik.

00:06:49: also wie beschützt man sich davor?

00:06:51: Ist da die nächste Frage?

00:06:52: Ist das jetzt ein Problem von Leuten?

00:06:54: Nein!

00:06:55: Das ist wahrscheinlich ein Problem für welchen Systemen die man nicht vernünftig nutzt.

00:06:58: Korrekt.

00:06:59: Ja und du hast tatsächlich, das sind so die Sachen, die sind noch relativ klar.

00:07:02: aber sobald du im e-Commerce unterwegs bist wirst du ja tagtäglich im großen Umfang attackiert und da redest du nicht von zwei Leuten sich absprechen sondern dann bist du von professionellen Banden, die tagtäglich alle Unternehmen der Derasi hubhaft können wirklich attackieren mit Bots mittlerweile mit Agentic AI Die ganze Entwicklung die wir jetzt bei KI sehen ist natürlich wo viel Licht darauf geschatten.

00:07:25: sagen wir mal so Betrug wird jetzt auch nicht in dem Ausmaß verfolgt, indem man es könnte.

00:07:32: Einfach aufgrund der Tatsache dass halt auch Ressourcen der Polizeibehörden und Co.

00:07:36: begrenzt sind und das natürlich ganz andere Themen gibt die dann an den Punkt vielleicht auch höhere Priorität haben.

00:07:42: Vielleicht auch zurecht in einem Tat.

00:07:44: Ja ich stelle mir einfach vor wenn ein Unternehmen, das sich tagtäglich tausende von Angriffen ausgesetzt sieht jeden einzelnen jetzt anzeigen würde und den nachverfolgen würde, dann wird man zu nichts anderem mehr kommen.

00:07:53: Insofern ist man wahrscheinlich einfach froh Angriff abgewährt Verteidigungslinie ein bisschen höher wieder aufgebaut und jetzt haben wir wieder Ruhe für ein paar Tage vielleicht.

00:08:02: Das wäre wahrscheinlich so eher der Ansatz, dass man eben sagt ja, wir möchten erstmal unbeschadet rauskommen.

00:08:09: Du hast vorhin was zu AI gesagt und da fällt mir dein Post ein den du noch nicht veröffentlicht hast auf LinkedIn und zwar ging es darum um den ganz normalen Tag.

00:08:17: innerhalb von werden es normalen Unternehmen, also da gibt's dann verschiedene Problemchen die auftreten.

00:08:22: zum Beispiel kommen leere Retourenpakete an.

00:08:25: Kommen sich vorstellen jemand kauft was und schickt das dann leer zurück und Es wird einfach abgescannt ohne zu schauen ist da etwas drin?

00:08:32: oder es gibt eine erstattung Und die wird eben einfach nicht geprüft ob dass eigentlich eine rechtmäßige erstattungen ist.

00:08:37: es wird einfach durchgewunken.

00:08:39: Oder wahllose und unbedacht eingesetzte ai-tools weil momentan alle sagen wir brauchen AI Wir brauchen KI und das ist das tollste.

00:08:47: Dann geben wir jetzt allen bitte einmal Co-Pilot oder Chat GPT.

00:08:53: Und da war ein Satz drin in deinem Post, der war ungefähr so in dem Sinne alle meines Gut aber niemand optimiert das System.

00:09:01: Warum ist es aus deiner Sicht so?

00:09:03: Und warum fällt das Unternehmen gerade beim Thema Fraud so schwer systematisch zu denken?

00:09:07: Ja!

00:09:08: Das ist eine gute Frage.

00:09:10: Ich sage mal gerne, Fraud ist ein Spiegel der Organisation.

00:09:13: Und gerade die Komplexität einer großen Organisation ist wirklich nicht zu unterschätzen, um das mal zu veranschaulichen was ich meine.

00:09:20: Nehmen wir mal die Front- and Security Themen.

00:09:22: alleine wenn du dir anguckst auf welchen Ebenen die alle stattfinden Hast du unzählige Themen?

00:09:27: Ich fange jetzt einfach nur mal vorne an.

00:09:29: Da hast du wahrscheinlich deine Information Security, die kümmert sich um Cybersecurity.

00:09:33: Dann hast du KYC, B to C beispielsweise wenn du einen Kunden verkaufst, die sind vielleicht den Produkt angesiedelt.

00:09:39: dann hast du Payment Fraud, die liegen im operativen Bereich.

00:09:41: Dann hasst du dafür nochmal Unterabteilungen für Payment fraud weil Kreditkarte ist was anderes als Beinau per later.

00:09:47: Und dann hinten ist noch ein Dispute Handling.

00:09:49: Das liegt vielleicht wieder im Customer Care in einer anderen Einheit, dann hast du Refund Return, wofür wir gerade gesprochen haben also Kunden die einerseits Kulansgutschriften versuchen auszunutzen andererseits Retouren sind wieder bei der Logistik.

00:10:01: Dann hast du vielleicht noch Betrug im Lager und dann hast Du Lost Prevention.

00:10:04: Diese finden dann eher beispielsweise bei Händlerketten in den Läden vor Ort statt und so kannst du das Spiel jetzt immer weiter machen.

00:10:11: Also ich könnte jetzt noch mindestens fünf bis zehn mögliche Abteilungen aufzählen auch noch so ein Unternehmen.

00:10:17: Das heißt, nehmen wir mal so Großunternehmen.

00:10:19: da hat in der Regel keiner den kompletten Durchblick.

00:10:22: was läuft eigentlich wo?

00:10:23: Das ist dann tatsächlich eine Herausforderung weil fraudster sehen das Ganze schon wieder ganzheitlich und ich sage immer der fraudster schätzt sich gar nicht um deine Organisation Struktur, er freut sich drüber weil der unterscheidet nicht nach BtoB-Frode und BtoC-Fraud und vielleicht Refond & Reef Turnen Der sieht nur die Lückenumsysteme.

00:10:42: Dann gibt es ein weiteres Problem.

00:10:43: Systemisches Denken ist eine bestimmte Art zu denken, die ist sagen wir mal überfordert für den einen zu unbequem für die anderen.

00:10:52: das heißt man muss sich schon wirklich reinarbeiten und dann wieder die verschiedenen Blickwinkel auch verstehen.

00:10:58: Dann kommt hinzu, dass wird in großen Unternehmen gerade den Großen nicht immer wertgeschätzt.

00:11:03: Weil wenn du im Unternehmen erkennt ein oder andere vielleicht der Konzern gearbeitet hat da dein Tanzeplätzchen überschreitest kriegst so richtig auf die Finger weil dann ist wirklich jemand nicht angetan weil du dich einen Bereich einmischst indem du dich nicht einmischen sollst.

00:11:16: also das ist tatsächlich auch doch ein Thema und Da kommt der menschliche Faktor dazu.

00:11:22: Systemisch und Großdenken Ist eine Herausforderung in Unternehmen aus verschiedenen Gründen.

00:11:28: Es wird manchmal sogar bestraft ist aber tatsächlich die einzige Möglichkeit um durch das Thema durchzusteigen.

00:11:35: Das ist natürlich immer schön gesagt und klingt auch gut, dass es bestimmt auch für die Führungskräfte was sie sowieso machen müssten.

00:11:41: also wenn jetzt jemanden Bereich überblickt ist aber häufig schon auch in der C-Level-Ebene so, dass man sich nicht in die Bereiche der anderen einmischt.

00:11:48: Wie kann ich denn jetzt dafür sorgen?

00:11:50: Dass Junior, der in der Retour einfach durchwinkt weil er keine Ahnung hat ganzheitlich an irgendwas anderes denkt, das ist mal glaube ich froh, dass er seinen eigenen Job versteht und also es muss ja bis nach unten hindurch exerziert werden.

00:12:03: Das reicht ja nicht, dass der Teamleiter holistisch denkt sondern es müssten ja im Prinzip alle so denken.

00:12:08: Und genau da ist dann die Frage wenn... Momentan bestraft wird, in vielen Fällen ist es so.

00:12:13: Was wissen wir?

00:12:14: Also die falsche Person nicht zum CC-Gesetz oder nicht zum Call eingeladen?

00:12:18: und schon hat man da eine interne politische Streitigkeit, die sich über Jahrzehnte ziehen kann!

00:12:24: Wie kriegt man das hin, das zu

00:12:24: belohnen?!

00:12:25: Und wie misst man das auch?

00:12:27: Das sind ja dann die realen Probleme in so einem Unternehmen.

00:12:29: Ja, in der Tat.

00:12:31: Man redet oft von Führung von unten und von unten kann man das Spielfeld aufräumen.

00:12:35: In dem Fall bedingt klar kann man jeden Tag kämpfen aber es fängt tatsächlich hier bei Management an.

00:12:40: Das ist eine Organisationsentscheidung, die du hier treffen willst.

00:12:43: also wenn ich dir jetzt gerade vorhin die ganzen Abteilungen aufgezählt habe wer sich in einem Unternehmen ein bisschen ausgähnen im großen weiß die verteilen sich tatsächlich über verschiedene Geschäftsführungsbereiche Und da fängt das ja dann schon an.

00:12:54: Das heißt eigentlich müsste es auf höchster Ebene nicht den berühmten Chief Revenue Officer geben, den gibt's auch aber tatsächlich hier den Chief Risk Officer der das ganze Thema unter seine Fittiche nimmt und dann mal anfängt ganzheitlich zu denken.

00:13:08: also würde ich einen großen oder neuer aufbauen.

00:13:10: in der perfekten Welt denn wir wissen alle historisch gewachsen kriegste schwierig wieder raus.

00:13:15: Würdest du eigentlich all diese Themen zusammenfassen, sinnvoll aufstrukturieren und dann gegebenenfalls am Wertstrom ausrichten?

00:13:22: Vielleicht noch mit einer übergeordneten Regulatorik Abteilung.

00:13:25: Wer weiß aber wirklich gucken was gehört zusammen?

00:13:27: Was kann man auch zusammen fassen?

00:13:29: Und das muss von oben kommen!

00:13:31: Das ist jetzt natürlich der Wunsch einer perfekten Organisation.

00:13:34: Jetzt wissen wir alle Unternehmen bestehen seit x Jahren kriegste so nicht hin.

00:13:39: Aber was du ändern kannst, ist der Tone from the top.

00:13:42: Wenn du schon in Panik gerätst weil du Fraud findest hast du ein Problem im Unternehmen und ich kenne Unternehmensstrukturen.

00:13:49: da haben die Leute wirklich ein tolles Muster entdeckt und hatten Angst es der Geschäftsführung mitzuteilen Weil die Überlegung war wenn wir das jetzt gefunden haben wird's wieder heißen warum habt ihr das denn nicht vorhergefunden?

00:14:00: dass das vielleicht gar nicht möglich war interessiert erst mal keinen.

00:14:03: aber wenn man schon Angst davor haben muss Froth zu entdecken, weil du dir über die Konsequenzen Gedanken machen musst.

00:14:10: Ist das halt ein Thema und das kenne ich selber aus der operativen Arbeit?

00:14:12: Du findest was und denkst dir selber um Gottes Willen, dass hätte ich doch früher sehen müssen!

00:14:17: Und dann gehst du zur Geschäftsführung oder zu deinem Chef und er hat zwei Möglichkeiten gesagt hey das hast du super gemacht, weil ehrlicherweise den Schaden den du jetzt verhindert hast potentiell ist wahrscheinlich eine Million.

00:14:27: Oder er sagt, was hast du da getan?

00:14:28: Warum hast du es früher gefunden?

00:14:30: Überlegen sich Leute.

00:14:31: Tatsächlich ist gar nicht mehr zu finden!

00:14:33: Weil bis das aufhält sind sie dann wieder weg.

00:14:35: Wenn es jetzt so eine übergeordnete Stelle gibt Die ist ja natürlich nach wie vor dreifach angewiesen dass die Menschen aus den einzelnen Abteilungen melden.

00:14:42: wenn es jetzt nur irgendwo eine Lücke gibt Siehst Du das auch?

00:14:45: Das ist man quasi als jemand der dann Schwachstellen auf zeigt, dass es dann irgendwie wie so eine Art Nest-Beschmutzer gilt.

00:14:51: Weil man ja im Prinzip ein System hat was wahrscheinlich zehn Jahre alt ist wo alle schon immer sauber drin arbeiten.

00:14:56: und dann kommt einer uns sagt wenn man das und das ist doch schrot da sind doch Fraud Einfallstore Wie kriegt man das aufgebrochen?

00:15:03: Und vor allem wie kriegt die Denken weg?

00:15:05: Das ist eben schwierig glaube ich.

00:15:06: Ja das hat tatsächlich nochmal verschiedene Facetten.

00:15:09: Er hat unsere Systeme angegriffen.

00:15:12: Also da kann ich aus Erfahrung sagen, dann machst du den nicht bei jedem Freund wenn er neuen Unternehmen kommt gerade wenn das Produktteam seit zwanzig Jahren sitzt.

00:15:21: Das löst so eigentlich auch nur durch eine einheitliche KPI-Steuerung nämlich.

00:15:24: das Problem ist viel in der Unternehmenszeit.

00:15:27: Gehen wir mal in dem Bonibereich also wenn wir schonmal Belohnungen sind.

00:15:29: Ein Frontteam wird in der Regel gar nicht belohnt mit großen Incentives oder auch mit einem Boni Und das Gesamtunternehmen wird meistens an Zahlen gesteuert, die dem vielleicht sogar entgegenlaufen.

00:15:40: Wenn du eine Umsatzsteuerung hast und dein Ziel ist Umsatz Plus fürs ganze Unternehmen von zehn Prozent – und du hast im Fraught-Team das Verhindert Fraught verhindert automatisch, dass der Umsatz steigt.

00:15:49: Das heißt, du verhinderst am Ende sogar, obwohl du das Richtige machst, dass alle anderen ihren Bonus bekommen weil wenn von den zehn Prozent plus zwei Prozent aber insgesamt Fraught waren Ja, willst du die dann trotzdem durchlaufen lassen und allen den Bonus zahlen?

00:16:03: oder wäre es vielleicht nicht sinnvoller?

00:16:05: Man steuert ganzheitlich an vernünftigen Zahlen wie zum Beispiel wirklich Ertrag.

00:16:09: Und nicht fauler Umsatz.

00:16:11: Das heißt das ist da sind wir wieder mit dem Thema gesundheitliches Denken.

00:16:15: Du brauchst eigentlich eine einheitliche KWI-Steuerung über's ganze Haus.

00:16:17: damit löste nämlich dann all diese Probleme.

00:16:19: Zum einen weißt du wo ist dein Betrug zum anderen weiß auch ganz genau was hat das Team verhindert?

00:16:24: Was mal schwierig zu messen ist, sind die false positives.

00:16:27: Das darf natürlich auch nicht passieren dass ein Team denkt hey ich muss so viel fraud stoppen wie möglich und dann wenn ich belohnt.

00:16:33: das wäre auch ein fataler Fehler weil am Ende des Tages is fraud prevention for me business enables.

00:16:39: Wenn du jetzt in Fraud Prevention Training machst für Mitarbeiter wen hast du da klassischerweise in deinem Training sitzen?

00:16:44: Sind das hauptsächlich Führungskräfte oder auch Mitarbeiter die an solchen mal Knutenpunkten sitzen?

00:16:50: Also ich mache das immer sehr individuell, das hängt ja auch sehr vom Bedarf ab.

00:16:54: Gibt die Training sicherlich für Leute, die noch nie mit dem Thema zu tun hatten?

00:16:57: Da ist ein ganzheitlicher Ansatz sehr gut!

00:17:00: Kann man auch ein bisschen tiefer reingehen gerade wenn sie sich um das Thema kümmern sollen.

00:17:03: dann gibt es die Management-Ebene.

00:17:05: Die interessiert jetzt auch nicht jedes Detail der Fraud Prevention, sondern die möchte vielleicht wirklich eher den gesamtheitlichen Zusammenhang mal erfassen.

00:17:11: Da machen dann auch Workshops zum Beispiel Sinn, dass ich mich einfach nach vorne stelle und was erzähle das kann ich immer.

00:17:16: aber am Ende des Tages möchte ich ja helfen und mehr Wett leisten und da macht es dann eher Sinn wenn man sie mal hinsetzt.

00:17:23: Und gemeinsam haben Wertstromen die Risiken für das Unternehmen erarbeitet.

00:17:26: deswegen Das würde wieder für einen einfacheren Mitarbeiter nicht so viel Sinn machen weil er das gar nicht beurteilen könnte.

00:17:33: Das klingt sehr individuell, um ehrlich zu sein.

00:17:35: Weil Unternehmen ist jetzt nicht so wie jedes andere also ein Unternehmen gleich nicht dem anderen.

00:17:41: Vielleicht gibt es welche die sehr ähnlich aufgestellt sind aber doch hat dann jedes einzelne seine eigenen Probleme weil ja jeder die Betrugsprävention auf die eigene Art und Weise schon aufgebaut hat Und dann sind sie vielleicht in einem Bereich sehr stark und im anderen schwach.

00:17:53: Hast du schon mit so Redteaming gearbeitet, dass du sagst ich teste selbst oder jemand testet vorher die möglichen Angriffspunkte und dann gehen wir genau darauf ein?

00:18:01: Oder ist es eher so das Unternehmen nach einem Fraudvorfall zu dir kommt und sagt ja wie können wir das in Zukunft verhindern.

00:18:07: Redteam kann Sinn machen wenn du wirklich überhaupt niemanden hast der den Durchblick hast.

00:18:10: ansonsten würde ich immer sagen sprich erstmal mit deinen Leuten gerade wenn du operative Leute hast.

00:18:15: sie sind nicht immer sehr gut darin das zu übersetzen.

00:18:18: Da brauchst du dann auch vielleicht jemanden, der die Sprache spricht.

00:18:21: Weil operative Leute sprechen eine völlig andere Sprache als Produktmenschen und haben einen anderen Ansatz.

00:18:26: Und insofern klar, Red Teaming ist eine grundsätzlich gute Sache, die du dir vielleicht dann auch wenn du schon in the Run One Respusion unterwegs bist einbauen solltest, auch so als Dauerschleife.

00:18:36: aber am Anfang würde ich immer sagen sprich mit deinen Leuten schaue dir deine Orga an Und am Ende, auch wenn Unternehmen sehr individuell aufgebaut sind ist es immer die gleiche Methodik.

00:18:47: Das heißt du kommst da relativ schnell ans Ziel, wenn du weißt welche Fragen stellen musst.

00:18:51: Dann sind wir natürlich in der nächsten Baustelle was eigentlich das richtige Tool für das Problem.

00:18:57: und da kann ich nur ein Spoiler geben Es gibt nicht dass eine Tool das alle rettet also wo man sagen würde kauf das Tool und alle deine Sorgen sind dahin sondern tatsächlich, da geht es dann darum einen Dienstleister zu finden der sehr spezifisch auf deine Bedürfnisse ausgerichtet ist.

00:19:12: Möglicherweise auch ein oder zwei je nachdem die dann aber auch sauber zusammenspielen.

00:19:17: und dann geht's tatsächlich darum wie verbinde ich meine Daten so zielführend dass nicht irgendwo auf der Strecke was liegen bleibt?

00:19:24: wenn ich jetzt bei Tools bin und Daten Du hast gesagt, Datenschutz hast du schon gemacht IT Security.

00:19:29: Das sind jetzt nur zwei Bereiche und die sich selbst schon nicht immer einig sind über wie schütze ich jetzt einen bestimmten Datentyp?

00:19:36: Weil der eine sagt er ist ein Unternehmensdaten, der andere sagen er ist in Personbezogenen Daten.

00:19:40: wäre es jetzt dafür zuständig dafür eben den richtigen Schutz aufzubauen und nach welchem System geht man davor?

00:19:46: Jetzt kommen dann noch andere Bereiche dazu Und theoretisch hat man ja jetzt eine Risikolandkarte und alles müsste auf bestimmte Prozesse oder Fälle im Prinzip runtergebrochen werden, also was passiert in Fall abc.efg?

00:20:01: und dann aus welcher Sicht müsste man das betrachten?

00:20:04: Und wie weit sind wir da eigentlich vorangeschritten?

00:20:08: Das stelle ich mir ziemlich kompliziert.

00:20:10: vor Vor allen Dingen in Fällen wo es eine sagt für uns ist das ein Business Risiko und die anderen sagen ja für uns aber ist es wichtig dass das genau nicht geschützt wird.

00:20:22: Beispielsweise gibt es dann vielleicht Daten, die aus DSGVO-Sicht besonders geschützt werden und aus Sicht des Unternehmens sind sie vielleicht nicht schützenswert bzw.

00:20:30: wäre sogar gefährlich weiter zu verschlüsseln oder so etwas.

00:20:33: Natürlich am Ende des Tages ist das eine Geschäftsentscheidung, das sage ich zum Beispiel auch als Ford Prevention Expert.

00:20:40: Ich treffe dich nicht die finale Entscheidung über deine Strategie.

00:20:43: Ich kann dir ja nur aufzeigen, was sind die Möglichkeiten, die du hast?

00:20:46: Und gerade wenn wir im Datenschutz sind, ich meine der risikobasierte Ansatz ist da ja nichts Neues.

00:20:51: man sagt halt okay das passiert.

00:20:54: Wenn Du das machst trifft Deine Entscheidung wo?

00:20:56: was ist Dir grade wichtiger?

00:20:58: und am Ende des Tages sehe ich mich da auch tatsächlich und habe mich auch immer als Dienstleister gesehen schon in der Front Prevention.

00:21:04: Meine Erschmauer nie jeden Front aufzuhalten Kann ich auch.

00:21:07: dann weiß ich aber tötig vielleicht das Business.

00:21:10: Und insofern ist es dann meine Aufgabe beispielsweise, sich hinzusetzen und einen Business Case zu rechnen.

00:21:15: Um zu sagen okay war Zufreunde das hier ist der Case.

00:21:18: wenn du das machst, ist das das Risiko?

00:21:20: Wenn Du das machst is das das risiko?

00:21:21: Das sind die Chancen.

00:21:22: ich gibt dir noch eine Empfehlung dazu aber am Ende musst du natürlich für dich die Entscheidung treffen willst du das so oder nicht?

00:21:29: Ja was sind denn ausländer sich zu den häufigsten Fehler die Unternehmen im Bereich Fraud Prevention machen?

00:21:34: Ja, sie nehmen das Thema nicht ernst.

00:21:36: Also da fängt es ja an... Irgendjemand meinte mal seine Umsatz-Tültungsmaschine.

00:21:41: Ich verstehe den Kollegen der mir das gesagt hat weil seine Kunden haben grundsätzlich nicht gezahlt aber er hat die Provision gekriegt.

00:21:46: dann fände ich das auch uncool wenn ich immer drauf gucke.

00:21:49: Aber Unternehmen nehmen das thema einfach nicht ernst.

00:21:51: Es weiß ja auch keiner wo's eigentlich hingehört.

00:21:53: Das ist so.

00:21:54: Deswegen gibt's hier diese ganzen fragmentierten Abteilungen Und die gibt's ja nicht weil irgendjemand was böses will sondern weil die meisten gar nicht mal den Zusammenhang herstellen dass da etwas getrennt wurde Eigentlich zusammengehört, weil in der Regel passiert Folgendes.

00:22:06: In irgendeiner Abteilung passiert was.

00:22:08: Nehmen wir Retouren.

00:22:09: Retouern stellt fest, oh Gott!

00:22:10: Wir haben platzierte Menge Retourenausbuchungen.

00:22:13: Dann setzen Sie da jemanden drauf, der sich drum kümmert.

00:22:16: Kastet mal kehrstellt irgendwelche Leute nutzen unseren Refund aus?

00:22:19: Dann setzen sie jemanden darauf, dass ich darum kümmere.

00:22:21: dann hast du dort ein Team.

00:22:23: Das baut sich einfach auf.

00:22:25: und wirklich der größte Fehler ist das Thema nicht ganzheitlich zu betrachten.

00:22:28: Also wenn man es einmal ernst genommen hat, ist schon mal gut da muss man's ganzheitliche betrachten und die Fragmentierung aufbrechen.

00:22:34: Und insofern C-Level Abwehrnis ist das A&O.

00:22:38: also es muss oben in der Geschäftsführung verankert sein und das ist eigentlich auch im Interesse von einem.

00:22:44: Ja, dir ist gerade ein Beispiel genannt von einem ehemaligen Kollegen der im BTOB Bereich sich darüber beschwert hat dass du Umsatz verhinderst.

00:22:52: Also die Incentives würden es nicht belohnen, beziehungsweise man würde kein Incentive mehr kriegen wenn man jetzt Throb verhindert und daher hat der Manager oder die Person die da an einem Schalthebe sitzt überhaupt keinen Grund irgendwas in seiner Lage zu ändern weil er seine Provision kriegt ob jemand danach Zeit oder nicht.

00:23:09: Oft ist das aber so dass diese Incentifs natürlich allein sind mit dem Ziel des Unternehmens also Umsatzsteigerung, Profitsteigerungen.

00:23:16: Das ist ja schön und gut dass man sagt wir müssen diese Inzentives ändern.

00:23:21: Nur kriegt man die Leute dann noch motiviert und kann sich die Menschen davon überzeugen, dass das Unternehmensziel Umsatzsteigerung oder Profitsteigerungen auch erreicht werden kann mit Leuten, die nicht das gleiche Ziel haben.

00:23:33: Sondern wo man sagt ja du sollst Rob verhindern.

00:23:36: Aber das ist tatsächlich das Problem.

00:23:37: in so einem Fall hast du eine Kaufmännische Ziele-Setzung und eine vertriebliche Zielsetzung.

00:23:42: wenn die Vertriebliche Zielsetzung sagt um Satz durchsetzen auf jeden Fall um jeden Preis Und das dann noch unterstützt, ist das ein Problem.

00:23:50: Auf der anderen Seite wie gesagt was hast du von Umsatz, der dir hinten einfach komplett abgeschrieben wird?

00:23:55: Das ist ja, da meine ich wieder die Buchhaltung ist dein Freund.

00:23:59: Das sieht zwar vorne rübsch aus aber es hinten halt trotzdem deine Wertberichtigung von hundert Prozent je nachdem wo du unterwegs bist.

00:24:05: und irgendwann halt wenn es überhaupt zum Inkasso abgibst, da kriegste deinen vielleicht nix zurück und zahl's noch oben drauf oder hast eine komplette Abschreibung.

00:24:13: und wir reden ja nur nicht von den ganzen anderen Kosten die du drum herum hattest Weil dann hattest du den Mahnlauf, dann hättest du Telefonate.

00:24:20: Dann hat das zu Klärungsgespräche... ...dann hattst du vielleicht noch eine Geschäftsführung die hingereist ist um den Kunden doch noch zu überreden.

00:24:26: Ich nenne jetzt keine Namen aber ich kenne riesige Unternehmen die jahrelang nur auf Umsatz gesteuert haben und Fraudausfälle im achtstelligen Bereich hatten bis sie es endlich gemerkt haben und was dagegen getan haben.

00:24:37: weil es gibt halt auch Geschäftsmodelle Da fließt das Geld und da steht es dann tatsächlich auch rein.

00:24:43: Und das ist tatsächlich auch immer ein Fall oder ein Thema, wenn ein Business Case so luxuriös ist dass es dir eigentlich egal ist Dann verzichten Unternehmen tatsächlich teilweise ohne es zu wollen auf zehn zwanzig Millionen zusätzlich bis dann halt irgendwann doch der Baum brennt und dann fangen sie an zu reagieren.

00:25:01: Und auch da so funktionieren Unternehmen halt auch, solange es gut läuft und du deine Zahlen erfüllst hat ja erstmal keine Interesse daran ist anders zu machen.

00:25:08: wenn sich die Zahlen oder die KPI-Steuerung ändert und plötzlich heißt das muss auch... Dann hast du ja wenigstens noch einen Ansatzpunkt den du optimieren kannst.

00:25:15: also da funktioniert ein Unternehmen halt manchmal sehr eignützig.

00:25:20: man kennt das ja Beispielsweise auch aus der Personalbesetzung.

00:25:23: Der Kollege, der fünfundzwanzig Mann hat – obwohl er drei braucht – muss genau so viel abbauen wie der Kollege, den fünf Mann hat, der alle sechs braucht, weil am Ende muss jeder irgendwie fünfund zwanzig abbauen und dann lacht sich der eine Kollegin zwölfzig und der andere steht da.

00:25:38: also Inzitivierung und Belohnungen in der Corporate World sind sicherlich ein Thema das man aus vielen Blickwinkeln von Kaufmensch bis tiefempsychologisch sehr gut betrachten könnte.

00:25:48: aber ich glaube, dass heute nicht das Ding macht.

00:25:50: Nee, absolut nicht.

00:25:51: Also ich kann ja nur mal aus der anderen Ecke berichten wie das gehandhabt wurde.

00:25:56: Es gab eine zeitlang so refer a friend Initiativen bei verschiedenen Beratungsunternehmen.

00:25:59: Das gibt dann Unternehmen die einen auf der Stelle bezahlen sobald die Person des Unternehmens

00:26:05: Betritt

00:26:06: Die man refert hat und es gibt welche die bezahlen einem nach einem Jahr wenn die Person noch da ist, also das ist ein bisschen der Nachhaltigkeitsansatz dahinter.

00:26:12: Natürlich ist es dann nicht ganz so belohnt für einen Vertriebler, wenn er sagt oh, für den Cell werde ich in einem Jahr bezahlt!

00:26:18: Wenn er sich als werteitig rausstellt.

00:26:21: Andererseits natürlich auch ein bisschen disziplinierend, dass man die Leute drauf trainiert wirklich nur solche Cells abzuschließen von denen sie glauben, dass nachher auch Umsatz folgt.

00:26:30: Aber psychologisch wie du sagst ja... Der andere Fall, den Du beschrieben hast das Unternehmen erst dazu neigen, was zu machen wenn der Baum brennt.

00:26:38: Ich mache Investigations, das ist ja natürlich klar weil einigen denke ich mir, man hätte auch vorher einfach mal bisschen hingucken können, due diligence ist ja nicht zum Spaß da.

00:26:48: jetzt beschäftigen wir uns hier damit mit Themen die man eigentlich vorher hätte abklappern können und ich glaube dass es halt genau das Problem.

00:26:55: am Anfang sind alle noch in Partymodus und wollen Umsatz machen und schnell die Abschlüsse machen um.

00:27:00: wenn's dann schief geht und man sagt man steht es mit dem Rücken zur Wand ist plötzlich guter Rateuer und man möchte eine schneller einfache Lösung, die aber wie du sagst ein kulturelles Problem ist oder wo man sagen müsste ja das muss von oben gesteuert werden.

00:27:15: Und von heute auf morgen umswitschen ist sicherlich auch nicht einfach vor allen Dingen für große Organisationen.

00:27:22: Also jetzt alles so.

00:27:23: gerade schon mal das KMU oder das Mittelständische Unternehmen angesprochen.

00:27:27: Wie kann denn jetzt ein kleines Unternehmen mit einem begrenzten Budget sofort Was ändern, um eben nicht blind gegenüber Fraudrisiken zu sein?

00:27:36: Was wäre so dein, sagen wir mal eine Low-Hanging Fruit die du jemandem empfehlen würdest der in einem KMU arbeitet und sich mit Fraud Prevention noch gar nicht groß befasst hat.

00:27:44: Einmal in den Bücher gucken, mal schauen wie sehen die Zahlen eigentlich aus?

00:27:48: sind da irgendwelche Auffälligkeiten?

00:27:52: Ja,

00:27:52: und dann tatsächlich sehr zielgerichtet die Lücke schließen.

00:27:57: Also das ist ja wieder was Individuelles.

00:27:58: ich sage immer jedes Unternehmen baut sich seine Angriffsszenarien selber.

00:28:01: deswegen kann ich jetzt nicht sagen jedes KMU hat dasselbe Problem.

00:28:05: In der Regel hat jedes Kmu irgendwo ein Problem es weiß noch nicht wo und da hilft es dann wirklich zu gucken Wo liegt der Geldabfluss?

00:28:12: Den kann man hier nicht erkennen Und dann den Geld abfluss zurück zum Prozess verfolgen.

00:28:16: und wenn das nicht so einfach umsetzbar ist externe Hilfe

00:28:20: Oder wie in dem Fall, den du vorhin beschrieben hattest, wo kommt Geld nicht rein?

00:28:24: Wo es aber reinkommen sollte und dann sich einfach durchklicken zu der Person.

00:28:28: Also wer ist das eigentlich da?

00:28:29: die ganzen Kunden an Bordet, die dann am Ende nicht zahlen?

00:28:31: Und dann weiß man okay, da ist irgendwo ein Problem!

00:28:34: Also sein wir ehrlich.

00:28:34: so habe ich einen meiner Jobs bekommen weil mein Follow-ups Manager brauchte.

00:28:37: Da war genau das Problem.

00:28:39: Die Leute haben nicht gezahlt.

00:28:40: Also stellt man jemanden tatsächlich in dem Fall dafür ein, der dafür sorgt dass sie zahlen.

00:28:45: und ja das schließt dann eigentlich schön im Bogen wer ich bin und wo ich herkomme.

00:28:48: Ich habe im klassischen Forderungsmanagement angefangen Da er dann schnell festgestellt, dass das sehr beschränkt ist in seiner Art und Weise wie man mit Geldrisiken und Abflüssen umgeht.

00:28:57: Und so habe ich mich halt in die Betrugsprävention reingearbeitet.

00:29:02: Das heißt zur Not könnte ich heute immer noch ein BtoB-Mahnlauf mittlerweile auch auf höchstem Niveau aufsetzen.

00:29:08: Ist nicht mein Kerngeschäft, aber tatsächlich eine nette Fingerübung, wenn man es sogar gemacht hat!

00:29:13: Vielen, vielen Dank für deine Insights und ich glaube du könntest wahrscheinlich noch viel erzählen über das Thema.

00:29:18: Das war jetzt ja nur ein ganz oberflächlicher Einstieg.

00:29:22: nicht umsonst machst Du ja auch Workshops zu dem Thema mit Unternehmen jeglicher Couleur in jeglicher Größe.

00:29:26: wie lange dauert so'n Workshop bei dir?

00:29:28: ist es einen Eintag oder zwei Tage?

00:29:30: Oder würdest Du am liebsten den ganzen Monat Workshop machen?

00:29:32: Nein das ist ja auch dann tatsächlich überflüssig einen Monat workshop zu machen individuell ein bis zwei tage manchmal reichen ja auch schon vier stunden.

00:29:40: also da sage ich auch tatsächlich Das schaut man sich an.

00:29:44: Was ist der Bedarf?

00:29:45: Der wird dann vorbereitet und wie gesagt, dann steigt man ein.

00:29:50: zumal wenn du zwei Tage Front durch Ballast hat auch keiner irgendwann mehr die Aufmerksamkeit.

00:29:55: also das wird sich tatsächlich dann eher abgestuft.

00:29:57: in einem sehr großen Unternehmen lohnen das heißt Vier bis acht Stunden erste Runde, Großunternehmen vielleicht mal zwei Tage.

00:30:04: Wobei das sich fast nötig ist als notwendig.

00:30:07: und dann hat man schon einen guten Überblick und dass gute.

00:30:09: aus dem Workshop kann man sehr schnell Ableitung treffen und weiß wo man suchen muss.

00:30:14: also auch meine Erfahrung oder was noch einfacher ist bevor man dann Angst hat von einem Workshop und was das alles mit sich bringt und Leute einladen.

00:30:22: ich setze mich einfach mal vier Stunden mit den Teams zusammen und unterhalte mich mit ihnen Dann weiß ich in der Regel auch alles, was ich wissen muss.

00:30:29: Also das geht von sehr einfach pragmatisch bis schon detailliert mit Fachwissen aufgebaut.

00:30:35: da kann man einfach mit mir sprechen und das Gute bei mir ist für sowas wie Erstgespräche oder allgemeine Anfragen nämlich auch kein Geld.

00:30:42: weil ich immer der Meinung bin erst mal muss ich das Problem verstehen und dass kann fünfzehn Minuten dauern das kann auch mal eine Stunde dauern.

00:30:49: Und wenn man dann sagt, dann habe ich es immer nicht verstanden.

00:30:51: Da macht tatsächlich auch mal ein Workshopsinn, dass man sich mit den entsprechenden Teams im Haus zusammensetzt, sie unterhält alles runterschreibt und ab.

00:30:58: dann ist das Thema in der Regel gut lösbar.

00:31:02: Ich kann einen Fahrplan aufbauen, der dann im schnellstmöglichen Modus zum Ziel

00:31:06: führt.".

00:31:07: Ja, vielen Dank also an die Unternehmen bevor man jetzt seine Mitarbeiter sinnlos auf irgendwelche Veranstaltungen schickt wo sie ganz viel Informationen kriegen aber das Problem bekommen dass sie nicht in der Lage sind das auf ihr Unternehmen zu transferieren weil es ja auch schwierig ist.

00:31:20: Vielleicht doch lieber mal einen Workshop der ganz individuell auf das persönliche oder das eigene Unternehmen zugeschnitten ist.

00:31:27: Ich danke dir vielmals für deine Zeit und die ganzen vielen Informationen.

00:31:31: wenn euch die Folge gefallen hat dann liket sie teilt sie Und wenn ihr euch mit John Paul verknüpfen wollt oder mal über euer Unternehmen sprechen wollt, eure Probleme dann könnt ihr euch gerne mit ihm verlinken.

00:31:43: Ich habe seinen Link in Profil in den Shownotes hinterlegt.

00:31:47: Vielen Dank und bis zum nächsten Mal!

00:31:49: Danke John Paul für deine Zeit.

00:31:51: Ja ich danke dir, hat Spaß gemacht.