Cybersicherheit und Datenschutz im Family Office

Warum das Bedrohungsmodell des Family Office nicht dem eines Unternehmens entspricht

Cybersicherheitskonzepte für Unternehmen basieren auf einem klaren Angreiferprofil: opportunistische Akteure, die auf grosse Datenmengen aus sind, Ransomware-Gruppen, die Betriebsstörungen anstreben, und staatliche Akteure, die es auf geistiges Eigentum abgesehen haben. Bei Family Offices treten diese Bedrohungsvektoren kaum in nennenswertem Ausmass auf. Ihre Angreifer sind geduldiger, zielgerichteter und im direkten, persönlichen Sinne stärker finanziell motiviert. Ein erfolgreicher Einbruch in ein Single Family Office kann verwertbare Informationen über Liquiditätsbestände, Immobilienbesitz, Trust-Strukturen, Passdaten und persönliche Terminpläne liefern, alles in einem einzigen Repository. Der erwartete Ertrag pro Angriff, bereinigt um die Erfolgswahrscheinlichkeit, ist wesentlich höher als bei einem Angriff auf ein mittelgrosses Unternehmensnetzwerk, und die Investitionen in die Verteidigung sind fast immer geringer.

Branchenumfragen zeigen immer wieder, dass weniger als 30 Prozent der Single Family Offices einen eigenen Mitarbeiter für Cybersicherheit beschäftigen. Die meisten verlassen sich auf einen generalistischen IT-Dienstleister, dessen Hauptkompetenz im Desktop-Support und der Sicherstellung der Netzwerkverfügbarkeit liegt. Diese Kluft zwischen der Raffinesse der Bedrohungen und den Abwehrkapazitäten ist das strukturelle Problem, mit dem sich dieser Artikel befasst.

Das Bedrohungsmodell eines Family Office ähnelt eher dem einer privat geführten Wealth-Management-Gesellschaft als dem eines mittelständischen Unternehmens, doch spiegeln die Investitionen in die Sicherheit diese Realität nur selten wider.

Die für Family Offices spezifische Angriffsfläche

Business E-Mail Compromise und Identitätsbetrug

Business E-Mail Compromise (BEC) ist für einen überproportionalen Anteil der finanziellen Verluste im Family-Office-Bereich verantwortlich. Das Internet Crime Complaint Center des FBI stuft BEC weltweit durchweg als die Kategorie der Cyberkriminalität mit den höchsten Verlusten ein; die gemeldeten Gesamtverluste überstiegen in einem einzigen der jüngsten Jahre branchenübergreifend $2,7 Milliarden. Family Offices sind in dieser Zahl im Verhältnis zu ihrer Anzahl überproportional vertreten. Die Bedingungen, die BEC wirksam machen, sind strukturell in jedem Family Office vorhanden: ein kleines, eng verbundenes Team, das es gewohnt ist, schnell auf mündliche oder schriftliche Anweisungen eines Auftraggebers zu reagieren; eine Kultur der Diskretion, die Eskalation verhindert; Überweisungsbefugnisse, die auf eine oder zwei Personen konzentriert sind; sowie unregelmässige Transaktionsmuster, die es erschweren, anomale Zahlungen zu erkennen.

Angriffe durch Identitätsbetrug lassen sich typischerweise in drei Szenarien einteilen. Erstens: Der Angreifer erlangt Zugriff auf das E-Mail-Konto eines externen Beraters und nutzt diesen vertrauenswürdigen Kanal, um den CFO zur Überweisung von Geldbeträgen anzuweisen. Zweitens: Der Angreifer fälscht während einer Auslandsreise die E-Mail-Adresse eines Auftraggebers und fordert eine dringende Überweisung. Drittens verschafft sich der Angreifer über kompromittierte Zugangsdaten eines Mitarbeiters Zugang zum E-Mail-System des Family Office und überwacht die Korrespondenz monatelang unbemerkt, bevor er aktiv wird. Dieses dritte Szenario, mitunter als «Long-Dwell-Intrusion» bezeichnet, ist besonders schädlich. Der Angreifer kann den Zeitpunkt seines Eingriffs so abstimmen, dass er mit einer grossen, echten Transaktion zusammenfällt, wodurch sich die betrügerische Anweisung kaum noch vom legitimen Datenverkehr unterscheidet.

Risiken durch Dritte und das Ökosystem

Family Offices agieren innerhalb eines dichten Ökosystems externer Partner: Privatbanken, Anwaltskanzleien, Steuerberater, Kunsthändler, Anbieter medizinischer Concierge-Dienstleistungen, Immobilienmakler und Verwalter von Hauspersonal. Jede dieser Beziehungen beinhaltet einen gewissen Grad an Datenaustausch, häufig per E-Mail und oft ohne formelle Datenverarbeitungsvereinbarungen. Jeder dieser Partner stellt einen potenziellen Einstiegspunkt dar. Angreifer, denen ein direkter Zugriff auf das Büro nicht gelingt, werden versuchen, einen schwächeren Knoten in diesem Ökosystem zu kompromittieren und diesen Zugang zu nutzen, um an die Daten oder Vermögenswerte der Familie zu gelangen. Dieses Angriffsmuster über die Lieferkette spiegelt wider, was Sicherheitsforscher im Unternehmenskontext dokumentiert haben. Die Family-Office-Variante ist jedoch persönlicher und schwerer zu erkennen, da es sich um langjährige, informelle Beziehungen handelt.

Konvergenz von physischer und operativer Sicherheit

Für UHNW-Familien verschmelzen Cyberrisiken und physische Sicherheitsrisiken auf eine Weise, die in Unternehmensrichtlinien selten berücksichtigt wird. Ein kompromittiertes Kalendersystem legt nicht nur geschäftliche Informationen offen, sondern gibt auch Aufschluss über den physischen Aufenthaltsort der Zielperson, deren Reisegewohnheiten und Sicherheitsvorkehrungen. Ein Einbruch in das Hausverwaltungssystem kann offenlegen, welche Immobilien wann bewohnt sind. Angreifer mit weitreichenden Zielen, darunter Entführungen zur Erpressung von Lösegeld, die in mehreren Rechtsordnungen nach wie vor eine akute Bedrohung darstellen, betrachten die digitale Informationsbeschaffung als erste Phase einer physischen Operation. Family Offices müssen daher operative Daten strenger einstufen als ein vergleichbares Volumen an Finanzdaten, da sich das Schadensprofil bei deren Offenlegung grundlegend unterscheidet.

Regulatorische Pflichten, die Family Offices häufig übersehen

Das Datenschutzrecht legt dem Family Office als Verantwortlichem direkte rechtliche Pflichten auf, nicht nur den Banken und Anlageverwaltern, mit denen es zusammenarbeitet. In der Europäischen Union gilt die GDPR für jedes Family Office, das personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig davon, wo das Unternehmen selbst domiziliert ist. Dies umfasst nicht nur Daten von Begünstigten, sondern auch Daten über Mitarbeiter, Hausangestellte und Ansprechpartner bei Gegenparteien. Bei Verstössen gegen die Compliance drohen Bussen von bis zu 4 Prozent des weltweiten Jahresumsatzes, ein Betrag, der für ein Family Office mit schlanker Kostenstruktur erheblich sein kann.

Über die GDPR hinaus verdient die Schnittstelle zwischen Cybersicherheit und den Pflichten zur Finanzberichterstattung besondere Beachtung. FATCA und der Common Reporting Standard (CRS) erfordern eine genaue und sichere Übermittlung von Finanzkontodaten an die Steuerbehörden. Ein Datenleck, durch das CRS-Meldungen offengelegt werden, schafft ein doppeltes Problem: Meldepflichten gemäss Datenschutzrecht sowie potenzielle Hinweise auf Mängel bei der Aufbewahrung von Unterlagen im Rahmen der Steuer-Compliance. Die BEPS-Säule-2-Regeln der OECD, die mittlerweile in mehr als 30 Rechtsordnungen in Kraft sind, erhöhen das Volumen sensibler Finanzdaten, die erfasst, gespeichert und übermittelt werden müssen. Mit jeder neuen Compliance-Ebene vergrössert sich die Angriffsfläche.

In den Vereinigten Staaten sind Family Offices, die gemäss der Family-Office-Regelung des Dodd-Frank-Gesetzes von der Registrierungspflicht als Anlageberater bei der SEC ausgenommen sind, weitgehend von den Cybersicherheitsanforderungen für Anlageberater gemäss den SEC-Vorschriften befreit. Sie unterliegen jedoch weiterhin den Gesetzen zur Meldung von Datenschutzverletzungen auf Bundesstaatenebene. Diese unterscheiden sich in den 50 Bundesstaaten erheblich und können eine Meldung innerhalb von 30 bis 72 Stunden nach Feststellung einer Datenschutzverletzung vorschreiben, bei der personenbezogene Daten betroffen sind. Jedes Family Office mit Mitarbeitern, Begünstigten oder Vermögenswerten, die über mehrere Bundesstaaten verteilt sind, sollte seine Meldepflichten im Voraus erfassen, und nicht erst im Falle eines Vorfalls.

Eine vierstufige Sicherheitsarchitektur für Family Offices

Ebene 1: Identitäts- und Zugriffsmanagement

Die Massnahme mit der höchsten Rendite im Bereich der Cybersicherheit eines Family Office ist ein strenges Identitäts- und Zugriffsmanagement. Das bedeutet: Multi-Faktor-Authentifizierung (MFA) wird auf jedem System, das mit Finanzdaten oder personenbezogenen Informationen in Berührung kommt, ausnahmslos durchgesetzt. Es bedeutet, das Prinzip der geringsten Berechtigungen anzuwenden, der Haushaltsmanager hat keinen Zugriff auf Anlageunterlagen, der Anlageberater keinen Zugriff auf medizinische Akten. Es bedeutet, ein genaues Verzeichnis darüber zu führen, wer Zugriff auf welche Daten hat, das mindestens vierteljährlich überprüft wird, und Zugangsdaten unverzüglich zu widerrufen, wenn Mitarbeiter oder Auftragnehmer das Unternehmen verlassen. Privilegierte Administratorzugriffe sollten separat verwaltet werden, mit zeitlich begrenzten Sitzungskontrollen und vollständiger Protokollierung.

Ebene 2: Netzwerk- und Endpunktkontrollen

Durch Netzwerksegmentierung wird die Arbeitsumgebung des Family Office von den privaten Geräten der Familie, von Gastnetzwerken auf den Familienanwesen sowie von allen Systemen getrennt, die vom Hauspersonal verwaltet werden. Es handelt sich dabei nicht um rein theoretische Unterscheidungen: In mehreren dokumentierten Vorfällen sind Angreifer über ein Heimnetzwerk eingedrungen, das gemeinsam mit den Systemen des Family Office genutzt wurde, und haben sich von dort lateral in Finanzunterlagen vorgearbeitet. Tools zur Endpunktüberwachung sollten alle Bürogeräte abdecken, einschliesslich Mobiltelefone, die zur Genehmigung von Transaktionen genutzt werden. Das Patch-Management muss konsequent durchgeführt werden; ein erheblicher Anteil erfolgreicher Angriffe nutzt bekannte Schwachstellen aus, für die seit mehr als 90 Tagen Patches verfügbar sind.

Ebene 3: Datenklassifizierung und Verschlüsselung

Nicht alle Daten in einem Family Office weisen dasselbe Risikoprofil auf. Ein praktisches Klassifizierungsschema unterscheidet mindestens zwischen öffentlichen, internen, vertraulichen und eingeschränkten Informationen. Als «eingeschränkt» gelten dabei Identitätsdokumente von Begünstigten, Gesundheitsdaten, Trust-Strukturen, Sicherheitsvorkehrungen und unveröffentlichte Estate-Planning-Unterlagen. Eingeschränkt zugängliche Daten sollten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt, in zugriffskontrollierten Umgebungen gespeichert und Aufbewahrungsrichtlinien unterworfen sein, die die Zugänglichkeit im Zeitverlauf begrenzen. Das Family Office sollte eine Datenübersicht führen: ein dokumentiertes Verzeichnis, welche personenbezogenen und finanziellen Daten es besitzt, wo diese gespeichert sind, wer darauf zugreifen darf und an welche Dritten sie weitergegeben wurden. Dies ist nicht nur bewährte Sicherheitspraxis, sondern auch eine Voraussetzung für die GDPR-Compliance.

Ebene 4: Drittanbieter-Risk-Management

Jeder externe Dienstleister mit Zugriff auf Familiendaten sollte vor der Beauftragung einer Mindestsicherheitsprüfung unterzogen und danach regelmässig überprüft werden. Diese Prüfung muss nicht für jeden Anbieter erschöpfend sein, sollte jedoch in einem angemessenen Verhältnis zur Sensibilität der betreffenden Daten stehen. Anwaltskanzleien und Privatbanken erfordern eine gründlichere Due Diligence als das Rechnungsportal eines Landschaftsgärtners. Datenverarbeitungsvereinbarungen, in denen die Pflichten jeder Partei gemäss den geltenden Datenschutzgesetzen festgelegt sind, sollten immer dann vorliegen, wenn ein Dienstleister personenbezogene Daten im Auftrag des Family Office verarbeitet. Klauseln zur Meldung von Vorfällen, die Dienstleister verpflichten, das Family Office innerhalb eines festgelegten Zeitraums nach einem Datenschutzverstoß zu benachrichtigen, sind unerlässlich, und fehlen häufig in Standardverträgen.

Governance und die menschliche Ebene

Technische Kontrollmassnahmen versagen, wenn sie nicht durch ein solides Governance-Gerüst gestützt werden. Jedes Family Office sollte unabhängig von seiner Grösse drei Dokumente vorhalten: eine schriftliche Richtlinie zur Informationssicherheit, einen Plan zur Reaktion auf Sicherheitsvorfälle und einen Plan zur Aufrechterhaltung des Geschäftsbetriebs. Die Richtlinie zur Informationssicherheit legt die Erwartungen an alle Mitarbeiter und Auftragnehmer fest. Der Plan zur Reaktion auf Sicherheitsvorfälle weist spezifische Rollen zu, definiert Entscheidungsbefugnisse und legt die Meldepflichten fest, die bei der Entdeckung eines Sicherheitsvorfalls greifen. Der Geschäftskontinuitätsplan regelt, wie das Büro funktioniert, wenn seine primären Systeme nicht verfügbar sind, was während und unmittelbar nach einem Ransomware-Angriff der wahrscheinliche Zustand ist.

In die Mitarbeiterschulung sollte mehr investiert werden, als dies üblicherweise der Fall ist. Allgemeine Unternehmens-Phishing-Simulationen, bei denen einem Mitarbeiter eine verdächtige E-Mail von einem gefälschten Paketdienstleister gezeigt wird, haben im Family-Office-Kontext nur begrenzten Nutzen. Schulungsszenarien sollten auf die tatsächlichen Arbeitsabläufe des Büros zugeschnitten sein: eine dringende Überweisungsanweisung von der persönlichen E-Mail-Adresse eines auf Reisen befindlichen Auftraggebers, ein Anruf von jemandem, der sich als Privatbankier der Familie ausgibt und eine Kontobestätigung anfordert, oder die Bitte eines neuen Haushaltsangestellten, Zugang zu einem gemeinsamen Dokumentenspeicher zu erhalten. Diese Szenarien spiegeln dokumentierte Angriffsmuster wider und führen in Schulungsübungen zu einer messbar besseren Sensibilisierung.

Governance ist ebenso wichtig wie Technologie. Ein schriftlich festgelegter Plan zur Reaktion auf Vorfälle, der jährlich getestet wird, reduziert sowohl die Dauer als auch die Kosten eines Sicherheitsvorfalls stärker als jede einzelne technische Kontrollmassnahme.

Cyberversicherung: Deckungslücken und wie man sie schliesst

Der Markt für Cyberversicherungen hat sich seit 2020 erheblich verschärft. Versicherer verlangen nun als Voraussetzung für den Versicherungsschutz nachgewiesene Belege für bestimmte Kontrollmassnahmen, darunter die Einführung von MFA, Endpunktüberwachung, Netzwerksegmentierung sowie einen getesteten Plan zur Reaktion auf Sicherheitsvorfälle. Family Offices, die diese Kontrollmassnahmen nicht nachweisen können, müssen entweder mit einer Ablehnung des Versicherungsschutzes rechnen oder mit Policen, deren Ausschlussklauseln die Auszahlung in den wahrscheinlichsten Schadensszenarien erheblich einschränken. Die Kosten für die Umsetzung grundlegender Kontrollmassnahmen sind fast immer geringer als die Prämienerhöhung, die sich aus deren Unterlassung ergibt.

Family Offices sollten zudem die Schnittstellen zwischen ihrer Cyberversicherung und anderen bestehenden Versicherungen überprüfen. Policen für Vorstandsmitglieder und Führungskräfte, Entführungs- und Lösegeldversicherungen sowie Kriminalitätsversicherungen weisen jeweils Deckungsgrenzen auf, die zu Lücken führen können, wenn ein Cybervorfall finanzielle Verluste, Reputationsschäden oder Verluste im Bereich der physischen Sicherheit nach sich zieht. Ein qualifizierter Versicherungsmakler mit spezifischer Family-Office-Erfahrung, der jährlich im Zuge der sich wandelnden Bedrohungslage beigezogen wird, stellt für jedes Büro, das Vermögenswerte von über $200M verwaltet, eine angemessene Betriebsausgabe dar. Die Überprüfung sollte sich nicht nur auf die Prämienhöhe beziehen, sondern auch auf die konkret abgedeckten Szenarien, die für Social-Engineering-Schäden geltenden Sublimits sowie die Deckung von PR-Kosten im Falle eines Datenlecks, von dem eine prominente Familie betroffen ist.

Praktische Schritte: Wo anfangen?

Für Family Offices, die bisher noch keine strukturierte Sicherheitsüberprüfung durchgeführt haben, ist eine Lückenanalyse anhand eines anerkannten Referenzrahmens der geeignete Ausgangspunkt. Sowohl das NIST Cybersecurity Framework als auch die CIS Controls (derzeit in Version 8) bieten mehrstufige Umsetzungsleitlinien, die sich auf kleine Organisationen skalieren lassen. Keines der beiden wurde speziell für Family Offices entwickelt, doch beide bieten eine glaubwürdige Grundlage, auf der ein Family Office seine prioritären Lücken identifizieren kann. Die Ergebnisse der Bewertung sollten direkt in einen priorisierten Massnahmenplan einfliessen, der klare Verantwortlichkeiten, realistische Zeitpläne und ein definiertes Budget enthält. Ohne diese Struktur führen Bewertungen zu Berichten, die ungelesen bleiben, während sich die Bedrohungslage weiterentwickelt.

Die Governance-Entscheidung mit den weitreichendsten Auswirkungen, die ein Family Office treffen kann, ist die Benennung einer namentlich genannten Person auf Führungsebene, die für die Informationssicherheit verantwortlich ist. Dies erfordert nicht die Einstellung eines hauptamtlichen Chief Information Security Officers. Für die meisten Single Family Offices bietet die Beauftragung eines virtuellen CISO auf Teilzeitbasis in Verbindung mit einem klar definierten internen Verantwortlichen die erforderliche Aufsichtsstruktur, um ein Sicherheitsprogramm langfristig aufrechtzuerhalten. Voraussetzung ist jedoch, dass die Person in dieser Rolle einen direkten Zugang zum Eigentümer oder Familienrat hat, die Befugnis besitzt, Feststellungen weiterzuleiten, und den Auftrag erhält zu prüfen, ob die Kontrollmassnahmen tatsächlich funktionieren, und nicht nur auf dem Papier bestehen. Sicherheitsprogramme, die nur auf dem Papier existieren, sind in der Praxis schlimmer als gar kein Programm, weil sie eine falsche Sicherheit vermitteln, die selbst zur Schwachstelle wird.