Cybersicherheit und Datenschutz für Family Offices: Kontrollmassnahmen

Warum eine Richtlinie ohne Kontrollmechanismen ein ungedeckter Wechsel ist

Die meisten Family Offices verfügen über eine Cybersicherheitsrichtlinie. Weniger davon verfügen über eine Kontrollbibliothek. Der Unterschied ist bedeutender, als er auf den ersten Blick erscheint. Eine Richtlinie legt die Absicht fest: Daten müssen verschlüsselt werden, der Zugriff muss auf autorisiertes Personal beschränkt sein, Vorfälle müssen innerhalb eines festgelegten Zeitraums gemeldet werden. Eine Kontrollbibliothek beschreibt die Realität: Welcher Verschlüsselungsstandard wird auf welche Datenspeicher angewendet, von wem wird er getestet, nach welchem Zeitplan, und welche Nachweise werden aufbewahrt? In der Lücke zwischen beiden entstehen Sicherheitsverletzungen, und genau dort finden Aufsichtsbehörden ihre Beanstandungen.

Der regulatorische Druck konzentriert sich zunehmend auf diese Lücke. Die EU-Datenschutz-Grundverordnung (GDPR) verpflichtet Verantwortliche zur Umsetzung geeigneter technischer und organisatorischer Massnahmen, ein Standard, den Aufsichtsbehörden in Deutschland, Frankreich und den Niederlanden so auslegen, dass damit dokumentierte und getestete Kontrollmassnahmen gemeint sind, nicht bloss Absichtserklärungen. Das britische Information Commissioner's Office ist im Rahmen des UK GDPR zu ähnlichen Schlussfolgerungen gelangt. In den USA schreibt die geänderte Regulation S-P der SEC, die für kleinere Unternehmen 2024 in Kraft trat, schriftliche Incident-Response-Programme vor, die konkrete Sicherheitsvorkehrungen beschreiben und keine allgemeinen Verpflichtungen enthalten. Family Offices, die die Schwelle für registrierte Anlageberater überschreiten, fallen unmittelbar in den Geltungsbereich dieser Verordnung.

Eine Richtlinie gibt an, was Sie beabsichtigen zu tun. Eine Kontrollbibliothek gibt an, was Sie tatsächlich tun, und ob es funktioniert.

Aufbau einer Kontrollbibliothek

Eine Kontrollbibliothek ist ein Verzeichnis diskreter, überprüfbarer Sicherheits- und Datenschutzkontrollen, von denen jede einer Richtlinienanforderung, einer regulatorischen Verpflichtung oder einem anerkannten Standard, etwa dem NIST Cybersecurity Framework oder ISO 27001, zugeordnet ist. Für ein Single Family Office, das Vermögenswerte in mehreren Rechtsräumen verwaltet, umfasst eine gut strukturierte Bibliothek in der Regel zwischen 80 und 150 einzelne Kontrollmassnahmen, gegliedert in Bereiche. Weniger als 80 Kontrollmassnahmen deuten fast immer auf eine unvollständige Abdeckung hin; deutlich mehr als 150 weisen in der Regel auf Redundanzen oder eine Überdimensionierung hin, die sich in der betrieblichen Praxis nicht bewähren wird.

Die fünf zentralen Kontrollbereiche

Zugriffskontrolle und Identitätsmanagement umfassen Authentifizierungsanforderungen, die Steuerung von Zugriffsrechten, die Sitzungsverwaltung sowie die Prozesse zur Einrichtung und Löschung von Konten. Auf diesen Bereich entfällt durchweg der Grossteil der ausgenutzten Sicherheitslücken in Finanzdienstleistungsumgebungen. Branchenbezogene Vorfallsdaten zeigen, dass kompromittierte Zugangsdaten bei mehr als der Hälfte aller erfolgreichen Angriffe auf Wealth-Management-Unternehmen eine Rolle spielen. Zugriffskontrollen sind damit sowohl die oberste Priorität als auch der in der Praxis am häufigsten unzureichend getestete Bereich.

Datenschutzkontrollen regeln Verschlüsselungsstandards, die Klassifizierung von Daten, Aufbewahrungsfristen und Mechanismen für grenzüberschreitende Datenübermittlungen. Für ein Family Office mit Begünstigten in der EU und Anlagepositionen in US-amerikanischen Unternehmen muss dieser Bereich mehrere Anforderungen abdecken: die Vorschriften für Datenübermittlungen gemäss GDPR (Standardvertragsklauseln oder Angemessenheitsbeschlüsse), die Meldepflichten gemäss FATCA und CRS sowie alle geltenden Datenschutzgesetze auf US-Bundesstaatenebene. Der California Consumer Privacy Act und seine 2020 durch den CPRA eingeführten Änderungen begründen ein Recht auf Löschung und Berichtigung, das in direktem Konflikt mit den Aufbewahrungspflichten für Finanzunterlagen stehen kann. Diese Spannungen müssen in schriftlichen Kontrollverfahren aufgelöst werden, nicht dem Ad-hoc-Ermessen überlassen bleiben.

Netzwerk- und Endpunktsicherheit legt Konfigurationsrichtlinien, Zeitpläne für das Patch-Management sowie Anforderungen an die Netzwerksegmentierung fest. Als nützlicher Richtwert gilt, dass kritische Patches innerhalb von 14 Tagen nach ihrer Veröffentlichung installiert sein sollten, ein Standard, der mit den Leitlinien des britischen National Cyber Security Centre und der US-amerikanischen Cybersecurity and Infrastructure Security Agency übereinstimmt. Kontrollmassnahmen in diesem Bereich eignen sich besonders gut für automatisierte, kontinuierliche Tests und sollten entsprechend umgesetzt werden.

Erkennung von und Reaktion auf Vorfälle legt fest, wie Sicherheitsereignisse identifiziert, klassifiziert, eskaliert und gemeldet werden. Gemäss GDPR muss eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden, sofern dies möglich ist. Die Kontrollmassnahmen müssen daher nicht nur definieren, was eine meldepflichtige Verletzung darstellt, sondern auch, welcher interne Eskalationsweg sicherstellt, dass der zuständige Entscheidungsträger rechtzeitig informiert wird. Viele Family Offices stellen bei Tabletop-Übungen fest, dass ihre internen Eskalationsketten eine Verzögerung von 48 Stunden verursachen, bevor eine befugte Person informiert wird, womit praktisch keine Zeit für eine wohlüberlegte Meldung an die Aufsichtsbehörde verbleibt.

Dritte und Lieferkette betrifft die Sicherheitslage von Verwahrstellen, externen Anlageverwaltern, Family-Office-Administratoren, Fondsverwaltern und allen weiteren Dienstleistern, die Zugriff auf Kerndaten oder Family-Office-Systeme haben. Eine Kontrollbibliothek, die intern strenge Standards anlegt, aber keine Anforderungen an Dritte stellt, ist wesentlich unvollständig. Vertragliche Verpflichtungen, jährliche Sicherheitsfragebögen und regelmässige Bestätigungen gemäss einem gemeinsamen Standard wie SOC 2 Typ II bilden die operative Mindestinfrastruktur für diesen Bereich.

Eigentümerschaft: die wichtigste Governance-Entscheidung

Jede Kontrollmassnahme in der Bibliothek muss einen namentlich benannten Verantwortlichen haben. Keine Abteilung, keine Funktion, kein Ausschuss, eine namentlich genannte Person. Dies ist die Governance-Entscheidung, die die meisten Family Offices falsch treffen, und die Folgen ziehen sich über mehrere Prüfungszyklen hin. Diffuse Verantwortlichkeit ist bei einer Überprüfung nur schwer zu erkennen. Wenn eine Kontrollmassnahme der «IT» untersteht, macht sich niemand Gedanken darüber, ob sie im letzten Quartal getestet wurde. Wenn sie einem namentlich genannten Chief Operating Officer oder einem namentlich genannten externen IT-Leiter untersteht, ist die Verantwortlichkeit eindeutig, und entweder liegt ein Testprotokoll vor oder nicht.

Für Family Offices ohne einen eigens zuständigen Chief Information Security Officer, was weltweit auf die Mehrheit der Single Family Offices zutrifft, muss die Zuständigkeit dennoch mit derselben Präzision zugewiesen werden. Der praktische Ansatz besteht in einem dreistufigen Modell. Die Verantwortung für technische Kontrollmassnahmen liegt bei demjenigen, der das jeweilige System verwaltet, unabhängig davon, ob es sich um einen internen Mitarbeitenden oder einen externen Dienstleister handelt. Die Verantwortung für administrative Kontrollmassnahmen, etwa Verfahren zur Überprüfung von Zugriffsrechten und den Abschluss von Schulungen, liegt beim Chief Operating Officer oder einer gleichwertigen Person. Die Verantwortung für strategische Kontrollmassnahmen, einschliesslich der jährlichen Überprüfung des Rahmenwerks und der Beobachtung regulatorischer Entwicklungen, liegt bei einem Principal oder einem benannten externen Berater mit dokumentierter Befugnis, auf der Grundlage der Ergebnisse zu handeln.

Diffuse Verantwortlichkeit überdauert Prüfungszyklen. Durch die namentliche Zuordnung der Zuständigkeiten wird verhindert, dass Feststellungen in den Grauzonen zwischen Abteilungen verschwinden.

Testzyklen, die die operative Realität widerspiegeln

Kontrollprüfungen sollten nach Kontrollart gestaffelt werden, nicht auf einen jährlichen Rhythmus standardisiert sein. Jährliche Überprüfungen schaffen ein vorhersehbares Zeitfenster für scheinbare Compliance, das die ganzjährige Sicherheitslage nicht abbildet. Eine fundiertere und betrieblich sinnvollere Struktur sieht drei Prüfintervalle vor.

Die kontinuierliche automatisierte Überwachung betrifft technische Kontrollmassnahmen, die durch bereits im Einsatz befindliche Systeme gemessen werden können: Patch-Compliance-Raten, fehlgeschlagene Authentifizierungsversuche, Verschlüsselungsstatus von Datenspeichern sowie Konfigurationsabweichungen von der Baseline. Diese Kontrollmassnahmen sollten mindestens wöchentlich ein Dashboard für den benannten Verantwortlichen erzeugen, mit automatischen Warnmeldungen bei Überschreitung von Schwellenwerten. Die Einrichtungskosten sind im Verhältnis zum Nutzen gering. Bereits eine Lücke von 30 Tagen zwischen einer Konfigurationsabweichung und deren Erkennung kann bei einem gezielten Angriff entscheidend sein.

Die vierteljährliche Management-Review umfasst administrative und verfahrenstechnische Kontrollen: Abschluss der Zugriffsprüfung, Schulungs-Compliance-Quoten, Status der Drittanbieter-Fragebögen sowie Überprüfung des Vorfallsprotokolls. Dieser Rhythmus fügt sich nahtlos in den Governance-Kalender der meisten Family Offices ein, die in der Regel vierteljährlich Sitzungen ihrer Investment- und Operations-Committees abhalten. Die Einbettung der Kontrollprüfung in diese bestehende Struktur reduziert Reibungsverluste und stellt sicher, dass die Ergebnisse die zuständigen Entscheidungsträger erreichen, ohne separate Governance-Infrastruktur.

Die jährliche unabhängige Bewertung sollte das gesamte Rahmenwerk abdecken. Dies unterscheidet sich von der jährlichen Prüfung, die viele Family Offices durchführen. Eine unabhängige Kontrollevaluierung prüft, ob die Massnahmen in der Praxis wirksam funktionieren, nicht lediglich, ob sie dokumentiert sind. Ein Prüfer, der ausschliesslich Dokumentation sichtet, führt eine Compliance-Prüfung durch. Wer hingegen Kontrollmassnahmen testet, indem er versucht, diese zu umgehen, Ausnahmeprotokolle überprüft und Mitarbeitende unterhalb der Führungsebene befragt, führt eine Assurance-Prüfung durch. Letztere ist wesentlich wertvoller und sollte der Standard sein.

Datenschutzpflichten aus verschiedenen Rechtsordnungen in einem einheitlichen Rahmen koordinieren

Ein Family Office mit Präsenz in mehreren Rechtsordnungen sieht sich mit vielschichtigen Datenschutz-Compliance-Pflichten konfrontiert, denen eine einzige Kontrollbibliothek gerecht werden muss, ohne eine administrativ unüberschaubare Parallelstruktur zu schaffen. Der praktische Ansatz besteht darin, in jedem Kontrollbereich den strengsten Standard zu ermitteln und Kontrollmassnahmen auf dieser Grundlage zu entwickeln. Rechtsordnungsspezifische Abweichungen werden anschliessend als Ausnahmen oder Nachträge dokumentiert.

Im Bereich der Betroffenenrechte ist die einmonatige Antwortfrist des GDPR für Auskunftsersuchen im Allgemeinen strenger als entsprechende Bestimmungen in US-Bundesstaatengesetzen, die in der Regel 45 bis 90 Tage vorsehen. Den GDPR-Standard als Grundlage festzulegen erfüllt alle Rechtsordnungen gleichzeitig und vermeidet die Pflege separater Antwortverfahren. Im Bereich der Meldung von Datenschutzverletzungen ist die 72-Stunden-Frist gemäss GDPR strenger als die 30-Tage-Frist gemäss der geänderten Regulation S-P der SEC; die GDPR-Frist gilt jedoch nur für personenbezogene Daten von betroffenen Personen in der EU. Ein einheitliches Verfahren, das bei allen Vorfällen eine sofortige Bewertung auslöst, mit einer 72-Stunden-Meldefrist bei betroffenen EU-Personendaten und einer 30-Tage-Frist für andere vorgeschriebene Meldungen, erfüllt beide Anforderungen innerhalb eines einheitlichen Rahmens.

Die zweite Säule der BEPS-Initiative erhöht die Komplexität für Family Offices mit operativen Einheiten in mehreren Rechtsordnungen zusätzlich. Der Rahmen für die globale Mindeststeuer auferlegt Datenerfassungs- und Berichtspflichten, die sich mit Datenschutzvorschriften überschneiden. Finanzdaten, die für Zwecke der zweiten Säule aggregiert werden, können Informationen über wirtschaftliche Eigentümer und wirtschaftliche Vereinbarungen enthalten, die ihrerseits der Vertraulichkeits- und Datenschutzpflicht unterliegen. Kontrollmassnahmen für steuerlich verwendete Daten sollten daher ausdrücklich in den Geltungsbereich des Datenschutz-Kontrollrahmens fallen, und nicht als separate Angelegenheit der Steuerfunktion behandelt werden.

Die Bibliothek aktuell halten

Eine Kontrollbibliothek, die nicht aktualisiert wird, ist keine Kontrollbibliothek, sie ist ein historisches Dokument. Das Verzeichnis muss einer Versionskontrolle unterliegen, wobei bei jeder Überarbeitung der Auslöser für die Änderung festzuhalten ist: eine regulatorische Aktualisierung, ein Prüfungsbefund, ein Sicherheitsvorfall, eine Änderung in der Struktur des Family Office oder eine Veränderung in einer wichtigen Drittbeziehung. Die Versionskontrolle erfüllt zwei Funktionen. Sie liefert Aufsichtsbehörden und Prüfern einen Nachweis, dass das Family Office auf neue Informationen reagiert, anstatt das Rahmenwerk als statisch zu betrachten. Zudem schafft sie ein institutionelles Gedächtnis, das Personalwechsel überdauert, was in einem kleinen Family Office andernfalls zum Verlust der Begründung für bestimmte Kontrollentscheidungen führen könnte.

Der Auslöser für Aktualisierungen, den die meisten Family Offices unterschätzen, sind Sicherheitsvorfälle, einschliesslich Beinahe-Vorfälle und solche, die keinen sichtbaren Schaden verursacht haben. Eine Phishing-E-Mail, die zwar vom Filter abgefangen wurde, aber fünf Posteingänge erreichte, bevor sie unter Quarantäne gestellt wurde, ist ein Hinweis auf eine Lücke in der Benutzerschulung oder bei den E-Mail-Filterkontrollen. Diese Lücke sollte zu einem dokumentierten Befund führen, einer dem Verantwortlichen zugewiesenen Abhilfemassnahme und einer aktualisierten Kontrollmassnahme mit überarbeitetem Test. Die Bibliothek sollte nach jedem Vorfall präziser werden, nicht nur nach jeder jährlichen Überprüfung. Diese iterative Verfeinerung unterscheidet eine Kontrollbibliothek, die die operative Realität widerspiegelt, von einer, die bloss Zielvorgaben abbildet, jene Unterscheidung, mit der diese Analyse begann.