Wie sich Single Family Offices gegen Cyberangriffe schützen können.
Single Family Offices hüllen sich meist in Schweigen, insbesondere wenn es um Cyberangriffe geht. Cyberexperte Martin Clements spricht mit einer Vertreterin eines solchen Office darüber, wie durch Sicherheitsmassnahmen das Geld und die vertraulichen Informationen von Begünstigten vor Kriminellen im Internet geschützt werden, und gibt Tipps, wie der Schutz noch verbessert werden kann.
Cyberangriffe sind ein Risiko für Single Family Offices
Die zehn grössten Single Family Offices (SFOs) in Nordamerika verwalten gemeinsam ein Vermögen von rund USD 451 Mia.1 Während sie laut ihren Bilanzen ähnlichen Bedingungen unterliegen wie ein grosses multinationales Unternehmen, setzen SFOs für Cybersicherheit in der Regel weniger Ressourcen ein – und sind dafür häufig weniger sensibilisiert.
Imogen Tempest, deren Aufgabenbereich in dem SFO, für das sie tätig ist, auch die Cybersicherheit einschliesst, meint: «In meinem vorherigen Job war ich für die IT-Infrastruktur einer Publikumsgesellschaft zuständig und hatte ungefähr 80 Leute in meinem Team. Hier arbeite ich mit einer einzigen Person über einen Drittanbieter. Die uns zur Verfügung stehenden Mittel sind wesentlich geringer. Wir wirken daher wahrscheinlich wie ein leichtes Ziel.»
Cyberkriminalität beschreibt einen arglistigen Angriff auf die IT-Sicherheitssysteme einer Organisation. Letztliches Ziel ist häufig Betrug, aber die Täter können es auch auf Informationen abgesehen haben, für deren Geheimhaltung die Familie zahlen würde – Informationen, die auch die Familie selbst gefährden können.
Lücken in der IT-Sicherheit rechtzeitig erkennen
Für SFOs, die verstehen möchten, auf welchem Stand ihre Cybersicherheit ist, ist ein Penetrationstest (Pen Test) zur Erkennung von Schwachstellen ein guter Anfang.
«Nachdem wir unseren ersten Pen Test durchgeführt hatten, sahen wir uns die Ergebnisse an und setzten Prioritäten im Hinblick auf die einzuführenden Massnahmen», so Tempest. Dieser Ansatz hat sich bewährt. So ergänzt sie: «Alle nehmen die Aufgaben, mit denen sie betraut werden, nun sehr positiv an, selbst die regelmässigen Passwortänderungen. Dafür müssen komplexe Passwörter erstellt werden, was sehr aufwendig sein kann.»
Cyberangriffe werden immer ausgeklügelter
Die richtigen Vorkehrungen im SFO zu treffen ist entscheidend, denn die Frage ist nicht, ob es zu einem Angriff kommt, sondern wann. Laut Tempest, die mit uns unter der Bedingung sprach, dass ihr Name geändert wird, um ein erhöhtes Risiko für einen Cyberangriff auf ihr SFO zu vermeiden, besteht die wahrscheinlichste Form einer Attacke im CEO-Betrug. Dabei geben sich die Täter in E-Mails als ein Mitglied des Senior Management aus, um eine betrügerische Zahlung zu veranlassen. Sie zeigt sich besorgt darüber, dass diese Nachrichten immer schwerer zu erkennen sind.
«Noch vor ein paar Jahren war es leicht, sie herauszufiltern, weil sie meist schlecht formuliert waren. Aber ich habe jüngst einige Beispiele gesehen, die glaubwürdiger sind. Wird jemand am Freitagnachmittag – zu einer Zeit, in der solche Dinge häufig auftreten – auf dem falschen Fuss erwischt, besteht eine gute Chance, dass eine Zahlung in Auftrag gegeben wird. Dann kann man nur hoffen, dass die Finanzabteilung aufmerksam genug ist, um zu erkennen, dass es sich um eine seltsame Anfrage handelt, und weitere Zahlungskontrollen eingerichtet hat, um solche Angriffe zu entschärfen. Doch dafür gibt es keine Garantie.»
Tempest weist darauf hin, das neben dem CEO-Betrug auch folgende Cyberbedrohungen bestehen: Phishing-Attacken, bei denen Kriminelle versuchen, an Informationen zu gelangen, mit denen sie auf Bankkonten zugreifen können; Angriffe mit Trojanern, bei denen Viren über schädliche Links ins IT-System geschleust werden; Hacking von Systemen zum Zugriff auf sensible Daten, die zur Erpressung verwendet werden können; Ransomware, durch die Kriminelle IT-Systeme solange lahmlegen können, bis sie ihr Lösegeld erhalten; und interner Betrug.
Diese Massnahmen zur Cybersicherheit lohnen sich
In jedem Fall bedarf es zum entsprechenden Schutz nicht nur Wachsamkeit, sondern auch Disziplin und gemeinsamer Verantwortung. Zum Glück sind dafür aber keine umfassenden Ressourcen oder hochentwickelten Technologien nötig. Tatsächlich lautet in dem SFO, bei dem Tempest arbeitet, die Maxime «Prävention».
«Die meisten Eindämmungsmassnahmen lassen sich recht kostengünstig umsetzen. Doch unsere Mitarbeitenden, was sie tun und die Informationen, die sie haben, sind unser wertvollstes Gut. Wir sollten daher bereit sein, zu deren Schutz Geld in die Hand zu nehmen», so Tempest. Dementsprechend hat ihr SFO einige wirksame Kontrollen vom Wesentlichen zum Komplexen eingerichtet. Dazu gehören:
- Multifaktor-Authentifizierung
- Rechtzeitige Anwendung von Software-Patches/Updates
- Einschränkung des Systemzugriffs auf vorab registrierte Geräte
- Monatliche Passwortänderungen mit komplexen Passwörtern
- Einsatz eines externen Spezialisten zum Zwecke der Beratung zur Cybersicherheit
- Überwachung von E-Mails und deren Bereinigung zur Entfernung von Viren mithilfe bewährter Software, insbesondere unter Anwendung einer CDR-Methode (Content, Disarm and Reconstruct)
- Ein Senior Executive, dessen Aufgabenbereich Cybersicherheit umfasst
- Personalschulungen zu Cybersicherheit und regelmässige Tests der Kenntnisse und Vorgehensweisen von Mitarbeitenden
- Minimierung der Onlinepräsenz von Familie und SFO, z. B. in Social Media, um die Möglichkeiten für Betrüger zu verringern, nützliche Informationen abzugreifen
Mitarbeiter für die Gefahr von Cyberangriffen sensibilisieren
Selbst mit einer Vielzahl von Kontrollen kommt ein SFO nicht gegen Kriminelle an, wenn die Kultur nicht stimmt. In diesem Zusammenhang muss auch klargemacht werden, dass IT-Sicherheit Priorität hat, selbst wenn dafür die Auswahl der Geräte, die Mitarbeitende und Begünstigte nutzen können, begrenzt wird. Tempest sagt dazu: «Wir arbeiten hier in einer Windows-10-Professional-Umgebung. Wenn jemand ein MacBook benutzen will, kann ich das leider nicht erlauben. Wir verwenden nur einen Standard. Das lässt sich viel einfacher kontrollieren.»
Sie behält auch die Umsetzung der Sicherheitsmassnahmen im Blick. So trifft sie sich beispielsweise einmal im Monat mit ihrer IT-Supportfunktion, um über Änderungen zu sprechen, die ggf. angesichts neuer Bedrohungen vorgenommen werden müssen. Sie fügt hinzu: «Ich möchte nicht, dass jemand glaubt, unsere IT-Sicherheit habe bei uns nicht oberste Priorität, denn das hat sie definitiv.»
IT-Sicherheit-Standards auch bei Mandanten etablieren
Wachsamkeit ist aber auch von den Mandanten gefragt. Sie sind wichtige Akteure in allen SFOs und denken dennoch allzu oft, die Regeln würden für sie nicht gelten – trotz der Tatsache, dass sie in der Regel mehrere Geräte nutzen und mehrere Wohnsitze und Büros haben, was die Wahrscheinlichkeit eines Angriffs deutlich erhöht.
Um die volle Unterstützung des Mandanten zu erhalten, führte Tempest mit ihm ein ehrliches Gespräch, in dem sie erklärte, warum er ggf. ein Ziel ist und welche Folgen ein erfolgreicher Cyberangriff haben könnte. Dazu zählten die kompromittierte Sicherheit der Familie oder Reputationsschäden sowie – offensichtlicher – Betrug. Gleichzeitig machte sie deutlich, wie wichtig es ist, an vorderster Front mit gutem Beispiel voranzugehen.
«Der Mandant ist das Vorbild, nach dem sich die anderen richten sollen. Ist er erst einmal an Bord, nehmen andere Menschen die Sache viel ernster als das sonst der Fall wäre», so Tempest.
Regelmässige Sicherheit Checks beugen Cyberangriffen vor
Tempest räumt ein, dass ihr Ansatz trotz der heute gut aufgestellten Cybersicherheit in ihrem SFO stets verbessert werden kann. Konkret bedeutet dies, dass sie noch simulieren muss, wo ein Angriff stattfinden könnte. «Das haben wir bei meinem vorherigen Arbeitgeber gemacht, aber hier noch nicht. Das bietet sicherlich Denkanstösse», meint sie.
Eine Simulationsübung beinhaltet vier Aspekte: Erstens erinnert sie daran, was im Falle eines Angriffs zu tun ist, zum Beispiel die Systeme herunterfahren und Zugriffsdaten überprüfen. Zweitens illustriert sie den Mitarbeitenden, dass die Cybersicherheit dem SFO ein wichtiges Anliegen ist und dass sie die richtigen Verfahren anwenden müssen. Drittens hilft sie, Bereiche zu ermitteln, wo noch mehr getan werden muss, um den besten Schutz zu gewährleisten. Schliesslich gilt: Sollte ein Angriff erfolgreich sein, minimiert ein kürzlich durchgeführter Pen Test die Wahrscheinlichkeit von Schuldzuweisungen auf rechtlicher oder persönlicher Ebene.
Tempest drückt es so aus: «Es bringt nichts, sich wegen all der Massnahmen, die man implementiert hat, auf die Schulter zu klopfen, wenn noch immer nicht klar ist, wo die Schwachstellen liegen oder wie mit ihnen umzugehen ist.»
Analoge Kopien federn einen Cyberangriff ab
Ein weiterer Aspekt, der leicht übersehen werden kann, ist die Ermittlung des wertvollsten Besitzes des SFO, der Informationen, die einen besonderen Schutz erfordern.
Dies kann beispielsweise die Nachfolgeplanung, Gesundheitsdaten der Begünstigten und gar Fotos betreffen. Werden diese Dinge lediglich in physischer Form in einem Safe gesichert, sind sie ausserhalb der Reichweite von Cyberkriminellen. Doch wenn streng vertrauliche Informationen in digitalem Format vorliegen müssen, ist es eine gute Idee, sie nur auf einem USB-Stick zu speichern – mit einer Originalkopie und bis zu zwei Backups für den Fall eines Verlusts, die alle getrennt voneinander aufbewahrt werden.
Tempest meint, sie kenne kein SFO mit besseren Cybersicherheitsmassnahmen als ihr eigenes, was nicht heisse, dass es solche nicht gäbe. Schon in diesem kurzen Gespräch stimmte sie zu, dass zusätzliche Massnahmen eingeführt werden könnten, und zwar nicht nur zum besseren Schutz des Vermögens ihrer Begünstigten, sondern auch der Begünstigten selbst. Angesichts der Entschlossenheit von Cyberkriminellen und der Zunahme von Cyberkriminalität ist es im Interesse jedes SFO sicherzustellen, dass es seine eigene Online-Landschaft kennt und alles zum Zwecke der Prävention unternimmt.
1 https://www.insead.edu/sites/default/files/assets/dept/centres/gpei/docs/insead-student-family-offices-global-landscape-and-key-trends-2020.pdf