Cybersicherheit im modernen Family Office

Warum Family Offices bevorzugte Angriffsziele sind

Das Family Office nimmt im Finanzökosystem eine strukturell ungewöhnliche Position ein. Es verwaltet konzentriertes, multigenerationales Vermögen – häufig über Dutzende von Rechtseinheiten, mehrere Jurisdiktionen und ein breites Spektrum an Anlageklassen – mit einer Belegschaft, die für eine regulierte Finanzinstitution vergleichbarer Vermögensgrösse als äusserst schlank gelten würde. Ein Single-Family-Office mit einem verwalteten Vermögen von 1,5 Mrd. CHF beschäftigt typischerweise drei bis sieben Vollzeitmitarbeitende, ohne eine dedizierte Sicherheitsfunktion. Genau dieses Missverhältnis zwischen dem Wert der verwalteten Vermögen und der Tiefe der Abwehrstruktur macht den Sektor für professionelle Angreifer attraktiv.

Europäische Strafverfolgungsbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigen, dass Business-Email-Compromise-Schäden bei privaten Vermögensstrukturen – wozu Single- und Multi-Family-Offices zählen – in den vergangenen Jahren deutlich gestiegen sind, mit durchschnittlichen Verlusten von über 250.000 EUR pro bestätigtem Vorfall. Diese Zahlen unterschätzen den tatsächlichen Schaden mit hoher Wahrscheinlichkeit: Family Offices haben starke Reputationsanreize, Vorfälle nicht zu melden, und vielen kleineren Offices fehlt die forensische Kapazität, einen Einbruch überhaupt zu erkennen. Sowohl die ENISA als auch nationale Behörden wie das BSI und das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) haben festgehalten, dass vermögende Privatpersonen und ihre zugehörigen Strukturen ein wachsendes Schwerpunktziel für finanziell motivierte Kriminelle und staatlich gesteuerte Akteure darstellen.

Die Bedrohung ist nicht hypothetisch. Im Jahr 2022 erlitt ein europäisches Single-Family-Office einen Ransomware-Angriff, der drei Jahre konsolidierter Buchführungsunterlagen verschlüsselte und ein Lösegeld in Kryptowährung forderte. Ein weiterer Fall betraf ein Multi-Family-Office, bei dem ein raffinierter Social-Engineering-Angriff zu einer betrügerischen Überweisung im siebenstelligen Bereich führte. Beide Vorfälle wurden zunächst nicht öffentlich bekannt, mussten jedoch über regulatorische Kanäle offengelegt werden – einer unter den NIS-Richtlinien der EU, der andere im Rahmen der DSGVO-Meldepflichten. Die Lektion: Offenlegungspflichten weiten sich aus, auch für Strukturen, die historisch unterhalb der regulatorischen Aufmerksamkeitsschwelle operierten.

Das Bedrohungsmodell des Family Office

Die meisten Cybersicherheits-Frameworks – NIST CSF, ISO 27001, CIS Controls – wurden für grosse Institutionen konzipiert. Sie setzen eine dedizierte IT-Funktion, einen definierten Netzwerkperimeter und ein geschultes Personal voraus. Keine dieser Annahmen trifft auf das typische Family Office uneingeschränkt zu. Wirksame Abwehrmassnahmen erfordern ein Bedrohungsmodell, das der tatsächlichen Umgebung entspricht – nicht eines, das von einer Grossbank ausgeliehen wurde.

Principal-zentrische Angriffsflächen

Im Family Office ist der Principal – der Patriarch, die Matriarchin oder der erstgenerationelle Vermögensschöpfer – gleichzeitig das wertvollste Ziel und die Person, die am wahrscheinlichsten Kontrollen umgeht. Principals reisen häufig, nutzen persönliche Geräte für geschäftliche Kommunikation, unterhalten Beraterbeziehungen über informelle Kanäle (WhatsApp, Signal, private E-Mail) und sind es gewohnt, dass Anweisungen ohne Verzögerung ausgeführt werden. Angreifer wissen das. Spear-Phishing-Kampagnen gegen Family Offices beginnen typischerweise nicht mit einem Angriff auf das Office selbst, sondern mit Open-Source-Intelligence-Recherche (OSINT) über den Principal: Aufsichtsratsmandate, Philanthropie-Bekanntmachungen, Social-Media-Aktivitäten und öffentliche Grundbuchinformationen. Darauf aufbauend wird eine überzeugende Imitation eines vertrauten Beraters, Anwalts oder Familienmitglieds konstruiert und an den Financial Controller oder CFO des Offices gerichtet.

Die praktische Konsequenz: Die Angriffsfläche ist nicht das Netzwerk des Offices – es ist der gesamte digitale und soziale Fussabdruck des Principals. Kontrollen, die den E-Mail-Server des Offices absichern, während das private Gmail-Konto des Principals weiterhin als Kommunikationskanal für Investitionsgenehmigungen dient, sind keine Kontrollen – sie sind Sicherheitstheater.

Die vier primären Angriffsvektoren

Phishing und seine Varianten – Spear-Phishing, Vishing (sprachbasiertes Phishing) und Smishing (SMS-basiertes Phishing) – bleiben die dominierende Methode für den initialen Zugang. Für Family Offices verdient insbesondere die Vishing-Variante besondere Aufmerksamkeit. Analysen des britischen National Cyber Security Centre und vergleichbarer europäischer Behörden belegen, dass sprachbasiertes Social Engineering in einem erheblichen Anteil erfolgreicher Angriffe auf Vermögensverwaltungsstrukturen als primärer Zugriffsvektor diente. Der Angreifer gibt sich als Mitarbeitender einer Depotbank, eines Wirtschaftsprüfers oder eines Beraters aus und konstruiert Dringlichkeit rund um eine Transaktion, die sofortige Genehmigung erfordert. Die Servicekultur des Family Office – schnelle Reaktion auf den Principal und dessen Netzwerk – macht diesen Ansatz besonders wirksam.

Ransomware-Angriffe auf Family Offices haben seit 2020 erheblich zugenommen, teilweise als Folge des Ransomware-as-a-Service-Ökosystems, das die technische Hürde für den Start von Angriffen gesenkt hat. Das spezifische Risiko für Family Offices ist nicht nur die operative Störung – es ist die Bedrohung durch Datenexfiltration und Veröffentlichung. Viele Ransomware-Gruppen betreiben heute ein Double-Extortion-Modell: Sie verschlüsseln Daten und drohen gleichzeitig mit deren Veröffentlichung, sollte das Lösegeld nicht gezahlt werden. Für ein Family Office können die exfiltrierten Daten Trust-Urkunden, wirtschaftliche Eigentümerstrukturen, Steuererklärungen und persönliche Finanzinformationen mehrerer Familienmitglieder umfassen. Die Reputations- und Rechtsrisiken einer Veröffentlichung können den direkten finanziellen Schaden durch das Lösegeld bei Weitem übersteigen.

Account-Takeover-Angriffe (ATO) zielen auf die Zugangsdaten von Mitarbeitenden oder Beratern mit Zugang zu Depotkonten, Brokerage-Plattformen oder Bankportalen. Der Angriff erfolgt typischerweise über Credential Stuffing – die Verwendung bereits kompromittierter Nutzername-Passwort-Kombinationen gegen Finanzportale – oder über das Abfischen von Multi-Faktor-Authentifizierungs-Codes. Verizon-Daten zeigen, dass die überwiegende Mehrheit der Sicherheitsverletzungen bei Finanzkonten eine Komponente gestohlener Zugangsdaten enthält. Für Family Offices, die auf einen einzelnen Controller oder CFO für den Zugang zu allen Finanzportalen angewiesen sind, kann ein ATO-Ereignis einem Angreifer uneingeschränkten Zugang zu Handels- und Transferfähigkeiten verschaffen.

Supply-Chain-Angriffe – die Kompromittierung eines vertrauenswürdigen Drittanbieters, um Zugang zu den Systemen oder Daten des Family Office zu erlangen – stellen den technisch ausgefeiltesten und am meisten unterschätzten Angriffsvektor dar. Family Offices teilen regelmässig sensible Daten mit externen Buchhaltern, Steuerberatern, Rechtsanwälten, Fondsadministratoren und Verwahrstellen. Jede dieser Beziehungen ist ein potenzieller Einstiegspunkt. Die SolarWinds-Kompromittierung von 2020 hat im grossen Massstab gezeigt, wie ein einziger vertrauenswürdiger Anbieter zum Einfallstor in Hunderte von nachgelagerten Organisationen werden kann. Für Family Offices liegt das äquivalente Risiko bei ausgelagerten IT-Anbietern, konsolidierten Reporting-Aggregatoren und Dokumentenverwaltungsdiensten.

Die Angriffsfläche eines Family Office ist nicht sein Netzwerkperimeter – es ist der gesamte digitale und soziale Fussabdruck des Principals, kombiniert mit jeder Anbieterbeziehung, die das Office unterhält. Abwehrmassnahmen, die eine dieser Dimensionen ignorieren, sind strukturell unvollständig.

Auf das Family Office zugeschnittene Kontrollen

Effektive Cybersicherheit für ein Family Office ist keine Frage des Einsatzes der ausgefeiltesten Technologie – sie ist eine Frage der Identifizierung der wahrscheinlichsten und schadenintensivsten Risiken sowie der Implementierung von Kontrollen, die innerhalb einer schlanken Betriebsstruktur nachhaltig sind. Das folgende Framework ist nach Kontrolldomänen gegliedert, mit Schwerpunkt auf den spezifischen Lücken, die am häufigsten in Offices mit verwalteten Vermögen zwischen 500 Mio. und 2 Mrd. CHF/EUR beobachtet werden.

Identity and Access Management

Multi-Faktor-Authentifizierung (MFA) ist nicht länger optional – sie ist der Mindeststandard, der unter nahezu jedem regulatorischen Rahmen erwartet wird, der Family-Office-Aktivitäten berührt. Dies umfasst die organisatorischen Anforderungen von MiFID II Artikel 16 in der ESMA-Auslegung, den DORA-Rahmen (anwendbar ab Januar 2025 für Einheiten in seinem Anwendungsbereich) sowie die Erwartungen der FINMA im Bereich operationeller Resilienz und der BaFin im Kontext des Kreditwesengesetzes und der MaRisk. Dennoch zeigen Branchenerhebungen, dass ein bedeutender Anteil von Single-Family-Offices MFA nicht konsequent über alle Finanzportal-Zugänge hinweg eingeführt hat. Die Lösung ist technisch einfach, erfordert aber bewusste Durchsetzung: Jedes Konto mit Zugang zu Finanzsystemen muss hardware-basierte MFA (FIDO2-konforme Schlüssel) oder mindestens eine Authenticator-Anwendung nutzen. SMS-basierte MFA sollte aufgegeben werden; SIM-Swapping-Angriffe, bei denen ein Angreifer einen Mobilfunkanbieter überzeugt, die Telefonnummer des Ziels zu übertragen, wurden erfolgreich gegen Vermögensverwaltungspersonal eingesetzt.

Privileged Access Management (PAM) – die Praxis der Kontrolle, Überwachung und Protokollierung des Zugangs zu den sensibelsten Systemen – ist die Kontrolle, die in Family Offices, die bei der grundlegenden Cyberhygiene bereits Fortschritte gemacht haben, am konsequentesten fehlt. Das Konzept ist einfach: Nicht jeder Mitarbeitende sollte dauerhaften Zugang zu jedem Finanzsystem haben, und Administrator-Zugangsdaten sollten niemals für Routineaufgaben verwendet werden. In der Praxis betreiben viele Family Offices ihre primären Finanzsysteme mit einem einzigen gemeinsamen Administrator-Passwort, das mehreren Mitarbeitenden bekannt und selten rotiert ist. Die Implementierung eines PAM-Frameworks – auch eines schlanken – erfordert die Einrichtung unterschiedlicher Benutzerkonten mit rollenangemessenen Berechtigungen, die Einrichtung eines Prozesses zur Gewährung und zum Entzug von Zugängen bei Personalwechseln sowie die Protokollierung aller privilegierten Aktivitäten.

Transaktionsverifizierung und Überweisungskontrollen

Überweisungsbetrug ist die finanziell schädlichste Kategorie der Cyberkriminalität, von der Family Offices betroffen sind. Die zuverlässigste Kontrolle zur Verhinderung betrügerischer Überweisungen ist die Out-of-Band-Verifizierung: eine Anforderung, dass alle Überweisungsanweisungen oberhalb eines definierten Schwellenwerts vor der Ausführung über einen zweiten, unabhängigen Kanal bestätigt werden. Das bedeutet, dass eine per E-Mail eingegangene Anweisung durch einen Anruf an eine vorregistrierte Nummer bestätigt werden muss – nicht an eine Nummer, die in der E-Mail angegeben wird. Der Schwellenwert sollte konservativ gesetzt werden; viele Offices verwenden 25.000 CHF/EUR als Auslösepunkt, wobei die angemessene Höhe von den üblichen Transaktionsmustern des Offices abhängt.

Daueraufträge und Zahlungs-Whitelists – Listen vorab genehmigter Begünstigtenkonten – bieten eine zusätzliche Schutzschicht. Jede Überweisung an einen neuen Begünstigten sollte die Genehmigung von mindestens zwei autorisierten Unterzeichnern erfordern und vor der Ausführung eine Mindest-Bedenkzeit (typischerweise 24 bis 48 Stunden) einhalten. Diese Kontrollen erzeugen Reibung – aber es ist kalkulierte Reibung: Sie verlangsamen genau die Transaktionen, die Angreifer zu nutzen suchen, ohne den routinemässigen Betriebsablauf des Offices wesentlich zu beeinträchtigen.

Key Escrow und Schutz digitaler Vermögenswerte

Da Family Offices ihr Engagement in digitale Vermögenswerte ausgebaut haben – Erhebungen von Campden Wealth und dem Family Office Exchange zeigen, dass ein wachsender Anteil von Offices global Kryptowährungen oder andere digitale Vermögenswerte hält –, ist die Frage des Schlüsselmanagements wesentlich geworden. Private Keys für digitale Vermögenswerte entsprechen funktional der Kombination eines Tresors, der diesen Wert enthält. Den Schlüssel zu verlieren bedeutet, den Vermögenswert dauerhaft zu verlieren; ihn gestohlen zu bekommen, bedeutet dasselbe. Key Escrow – die Praxis, sichere, redundante Kopien privater Schlüssel bei vertrauenswürdigen Verwahrern unter definierten Zugangsbedingungen aufzubewahren – ist die institutionelle Standardantwort auf dieses Risiko.

Das Governance-Framework für Key Escrow sollte festlegen: Wer kann den Zugang zu hinterlegten Schlüsseln genehmigen, unter welchen Umständen, mit welchen Quorum-Anforderungen und durch welchen Verifizierungsprozess. Multi-Signatur-Wallet-Strukturen (Multisig), die eine definierte Anzahl unterschiedlicher privater Schlüssel für die Autorisierung einer Transaktion erfordern, bieten eine zusätzliche Schutzschicht, indem sichergestellt wird, dass kein einzelner kompromittierter Schlüssel ausreicht, um Vermögenswerte zu bewegen. Für Family Offices mit wesentlichen digitalen Vermögenswerten sollten die Escrow-Vereinbarung und die Multisig-Struktur in der Anlagerichtlinie des Offices dokumentiert und von Rechtsberatern in der jeweiligen Jurisdiktion überprüft werden.

Endpoint- und E-Mail-Sicherheit

Jedes Gerät, das sich mit den Systemen des Offices verbindet oder geschäftliche Kommunikation abwickelt, ist ein Endpunkt und stellt einen potenziellen Angriffspunkt dar. Der persönliche Laptop des Principals, der Heimcomputer des CFO, das Tablet eines Familienmitglieds, das zur Überprüfung von Anlageberichten verwendet wird – jedes dieser Geräte ist Teil der Bedrohungsfläche. Ein Mindest-Baseline für Endpoint-Sicherheit sollte umfassen: vollständige Festplattenverschlüsselung (BitLocker unter Windows, FileVault unter macOS), Endpoint Detection and Response (EDR)-Fähigkeit, automatisches Betriebssystem- und Anwendungs-Patching sowie eine dokumentierte Richtlinie zur Nutzung persönlicher Geräte für geschäftliche Zwecke (BYOD-Policy).

E-Mail bleibt das primäre Einfallstor für Phishing-Angriffe. DMARC (Domain-based Message Authentication, Reporting, and Conformance) in Kombination mit DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework) bietet einen Basisschutz gegen E-Mail-Spoofing – Angreifer, die die eigene Domain des Offices imitieren. DMARC ist technisch nicht komplex, erfordert aber eine sorgfältige Konfiguration und laufende Überwachung. Eine DMARC-Richtlinie auf 'reject' verhindert, dass gefälschte E-Mails Empfänger erreichen; eine falsch konfigurierte Richtlinie kann jedoch legitime Kommunikation blockieren. Die Implementierung sollte schrittweise erfolgen: zunächst 'monitor', dann 'quarantine', dann 'reject', mit Überwachung in jeder Phase.

Backup, Wiederherstellung und Ransomware-Resilienz

Die zuverlässigste Abwehr gegen Ransomware ist nicht die Erkennung – es ist die Wiederherstellungsfähigkeit. Ein Office, das seine Systeme und Daten aus sauberen, getesteten Backups innerhalb von 24 bis 48 Stunden nach einem Angriff wiederherstellen kann, befindet sich in einer grundlegend anderen Position als eines, das dies nicht kann. Die 3-2-1-Backup-Regel – drei Datenkopien, auf zwei verschiedenen Medientypen, mit einer Kopie ausserhalb des Standorts – bleibt der Grundstandard. Die entscheidende Ergänzung für Ransomware-Resilienz ist die Anforderung, dass mindestens eine Backup-Kopie in einem air-gapped oder unveränderlichen Format gespeichert wird: einem Format, das von auf dem verbundenen Netzwerk operierender Malware weder verschlüsselt noch gelöscht werden kann.

Backup-Systeme müssen getestet werden. Die Family Offices, die am stärksten von Ransomware-Angriffen betroffen waren, sind nicht jene ohne Backups – es sind jene, deren Backups nie getestet wurden und im Moment der Wiederherstellung versagten. Ein vierteljährlicher Wiederherstellungstest, bei dem ein definierter Datensatz aus dem Backup wiederhergestellt und auf Integrität überprüft wird, ist der Mindeststandard. Jährliche vollständige Systemwiederherstellungstests sind besser. Die Ergebnisse jedes Tests sollten dokumentiert und vom Governance-Komitee des Offices oder einem gleichwertigen Aufsichtsgremium überprüft werden.

Vendor Due Diligence als Cybersicherheitsimperativ

Der Supply-Chain-Angriffsvektor verlangt einen strukturierten Ansatz im Vendor-Risikomanagement. Regulatorische Rahmenbedingungen werden in diesem Punkt zunehmend explizit: MiFID II Artikel 16 verlangt, dass Investmentfirmen – eine Kategorie, die in einigen Jurisdiktionen Multi-Family-Offices erfasst – angemessene Richtlinien und Verfahren für ausgelagerte Funktionen implementieren. Das DORA-Regelwerk, das ab Januar 2025 gilt, stellt detaillierte IKT-Drittparteien-Risikomanagementanforderungen an Finanzeinheiten in seinem Anwendungsbereich. In der Schweiz erwartet die FINMA im Rahmen ihrer Aufsichtspraxis zu operationellen Risiken und Outsourcing, dass beaufsichtigte Institute eine angemessene Kontrolle über ausgelagerte Dienstleistungen behalten. Die BaFin konkretisiert vergleichbare Anforderungen durch die MaRisk und das BAIT-Regelwerk.

In der Praxis sollte Vendor Due Diligence für Cybersicherheitszwecke umfassen: einen Sicherheitsfragebogen vor Vertragsabschluss zu den Zugriffskontrollen, Verschlüsselungspraktiken, Incident-Response-Verfahren und Unterauftragnehmerbeziehungen des Anbieters; eine Überprüfung des aktuellen SOC 2 Typ II-Berichts oder eines gleichwertigen Drittprüfungsberichts; vertragliche Bestimmungen zu den Pflichten des Anbieters im Falle eines Sicherheitsvorfalls, einschliesslich Meldefristen und Kooperationspflichten; sowie eine jährliche Rezertifizierung zur Bestätigung, dass sich die Sicherheitslage des Anbieters nicht wesentlich verändert hat. Branchenerhebungen zeigen, dass weniger als 40 % der Single-Family-Offices jährliche Sicherheitsbewertungen ihrer ausgelagerten Anbieter durchführen – eine Lücke, die Regulatoren zunehmend unter die Lupe nehmen.

Besondere Aufmerksamkeit sollte Anbietern mit privilegiertem Zugang zu den Systemen oder Daten des Offices gelten: dem ausgelagerten IT-Dienstleister, dem konsolidierten Reporting-Aggregator, dem Fondsadministrator und dem Lohnbuchhaltungsdienstleister. Jeder dieser Anbieter hat technischen Zugang, um bei einer Kompromittierung erheblichen Schaden anzurichten, und sollte der strengsten Prüfungsstufe des Due-Diligence-Frameworks unterliegen. Auftragsverarbeitungsverträge (AVV) sind nach DSGVO Artikel 28 für Anbieter verpflichtend, die personenbezogene Daten von EU-Bürgern verarbeiten – eine Kategorie, die die meisten Family Offices mit europäischen Principals oder Begünstigten einschliesst.

Die Cybersicherheitslage eines Family Office ist nur so stark wie der schwächste Anbieter in seinem Ökosystem. Der ausgelagerte IT-Dienstleister, der Fondsadministrator und der konsolidierte Reporting-Dienst verfügen jeweils über privilegierten Zugang, der eine strukturierte, dokumentierte Due Diligence rechtfertigt – nicht ein Handschlag und die Hoffnung, dass schon nichts passieren wird.

Die Talentlücke und das Virtual-CISO-Modell

Der Cybersicherheits-Talentmarkt ist global stark angespannt. In diesem Umfeld kann ein Single-Family-Office mit einem verwalteten Vermögen von 800 Mio. CHF realistischerweise nicht mit einer Grossbank oder einem Technologieunternehmen um erfahrene Sicherheitsspezialisten konkurrieren. Die Vergütungslücke ist strukturell: Ein kompetenter Chief Information Security Officer (CISO) erzielt in führenden Finanzplätzen wie Zürich, Frankfurt oder Wien ein Grundgehalt zwischen 200.000 und 350.000 CHF/EUR, mit einer Gesamtvergütung, die oft darüber liegt. Das ist ein Vollzeit-Personalaufwand, den die meisten Family Offices für eine Funktion, die in der Selbstwahrnehmung des Offices dem Investment Management und dem Kundenservice nachgeordnet ist, nicht rechtfertigen können.

Das Virtual-CISO-Modell (vCISO) adressiert diese Einschränkung direkt. Ein vCISO ist ein erfahrener Sicherheitsverantwortlicher, der auf Fraktionsbasis engagiert wird – typischerweise 10 bis 20 Stunden pro Monat –, um strategische Sicherheitsführung, Governance-Aufsicht und Incident-Response-Koordination bereitzustellen. Die Engagement-Kosten liegen typischerweise bei 8.000 bis 20.000 CHF/EUR pro Monat, abhängig von Umfang und Seniorität, was einen Bruchteil eines Vollzeit-Äquivalents ausmacht. Das vCISO-Modell ist nicht für Offices mit komplexen, stark regulierten Tätigkeiten oder aktivem Incident-Management-Bedarf geeignet – in diesen Fällen ist eine dedizierte Sicherheitsfunktion angemessen. Für das typische Single-Family-Office bietet ein vCISO in Kombination mit einem kompetenten Managed Security Service Provider (MSSP) für das operative Monitoring jedoch ein Governance- und Betriebsmodell, das gleichermassen glaubwürdig und wirtschaftlich tragfähig ist.

Die Talentlücke reicht über die Führungsebene hinaus. Mitarbeitersensibilisierungstraining – die menschliche Schicht des Sicherheits-Stacks – wird in Family Offices systematisch vernachlässigt. Branchenweite Analysen zeigen konsistent, dass der menschliche Faktor bei der grossen Mehrheit aller Datenpannen eine Rolle spielt. Trainingsprogramme müssen nicht aufwändig sein: Eine vierteljährliche Phishing-Simulation in Kombination mit einer jährlichen 30-minütigen Sicherheitssensibilisierungssitzung, die das spezifische Bedrohungsmodell des Offices abdeckt, führt zu messbaren Verbesserungen der Erkennungsraten. Entscheidend ist, dass das Training rollenspezifisch gestaltet wird. Ein Financial Controller und die persönliche Assistenz des Principals sind mit unterschiedlichen Angriffsszenarien konfrontiert und benötigen unterschiedliche Vorbereitung.

Governance-Dokumentation als Voraussetzung für technische Kontrollen

Technologieinvestitionen ersetzen keine Governance. Ein Office, das ausgefeilte Sicherheitstechnologie einsetzt, ohne eine schriftliche Informationssicherheitsrichtlinie, einen Incident-Response-Plan und einen Business-Continuity-Plan zu besitzen, hat die richtige Reihenfolge umgekehrt. Governance-Dokumentation ist das Fundament – sie definiert, was das Office schützen möchte, wer dafür verantwortlich ist, was einen Vorfall darstellt und wie das Office reagieren wird. Technische Kontrollen sind die Umsetzung dieser Governance-Entscheidungen.

Eine Informationssicherheitsrichtlinie für ein Family Office muss kein 200-seitiges Unternehmensdokument sein. Eine kohärente, 10- bis 15-seitige Richtlinie, die folgende Bereiche abdeckt: die Klassifizierung der Datenanlagen des Offices (was ist vertraulich, was ist eingeschränkt, was ist öffentlich); die akzeptable Nutzung von Office-Systemen und persönlichen Geräten; Passwort- und MFA-Anforderungen; Pflichten im Lieferantenmanagement; sowie das Verfahren zur Meldung vermuteter Vorfälle – ist als Basis ausreichend. Die Richtlinie sollte jährlich überprüft und von der Geschäftsleitung des Offices unterzeichnet werden, um das institutionelle Bekenntnis zu signalisieren.

Ein Incident-Response-Plan definiert die Schritte, die das Office vom Moment des Verdachts auf einen Vorfall bis zu seiner Lösung unternehmen wird. Er sollte identifizieren: das initiale Reaktionsteam (typischerweise der Office Manager, der vCISO oder Äquivalent sowie externer Rechtsberater); die Kommunikationsprotokolle (wer wird benachrichtigt, in welcher Reihenfolge, über welchen Kanal); die regulatorischen Meldepflichten (die je nach Jurisdiktion variieren – unter der EU-DSGVO muss die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung personenbezogener Daten benachrichtigt werden; in der Schweiz gelten entsprechende Fristen nach dem revidierten Datenschutzgesetz nDSG); sowie den Nachbearbeitungsprozess. Der Plan sollte mindestens einmal jährlich durch eine Tabletop-Übung getestet werden – eine strukturierte Diskussion eines simulierten Vorfallszenarios, die Lücken im Plan aufzeigt, ohne eine tatsächliche Systemkompromittierung zu erfordern.

Regulatorischer Kontext und Offenlegungspflichten im DACH-Raum

Das regulatorische Umfeld für die Cybersicherheit von Family Offices entwickelt sich im DACH-Raum rasch weiter. In der Schweiz hat die FINMA ihren Fokus auf operationelle Resilienz und Cyber-Governance in den vergangenen Jahren deutlich verschärft. Das Rundschreiben 2023/1 zur operationellen Resilienz stellt klar, dass das Senior Management und der Verwaltungsrat persönlich für die Angemessenheit der Cyber-Kontrollen verantwortlich sind. Das revidierte Datenschutzgesetz (nDSG), seit September 2023 in Kraft, stellt neue Anforderungen an die Datensicherheit und die Meldung von Verletzungen der Datensicherheit. In Deutschland konkretisiert die BaFin ihre Cyber-Erwartungen an Finanzinstitute über MaRisk und BAIT; das BSI-Gesetz und das IT-Sicherheitsgesetz 2.0 schaffen ergänzende Anforderungen für kritische Infrastrukturen. In Österreich setzt die FMA entsprechende ESMA-Leitlinien um.

Auf EU-Ebene stellt DORA, das ab Januar 2025 gilt, für Family Offices, die als AIFM unter der AIFMD oder als Investmentfirmen unter MiFID II tätig sind, einen bedeutenden regulatorischen Schritt dar. DORA verlangt ein dokumentiertes IKT-Risikomanagement-Framework, obligatorische Meldung wesentlicher IKT-bezogener Vorfälle an die zuständige Aufsichtsbehörde sowie ein formales Programm zur Prüfung der digitalen operationellen Resilienz – einschliesslich bedrohungsgesteuerter Penetrationstests (TLPT) alle drei Jahre für bedeutende Einheiten. Die DSGVO-Pflicht zur Auftragsverarbeitung nach Artikel 28 für Anbieter, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt für praktisch alle Family Offices mit europäischer Clientel oder Begünstigten.

Die Botschaft der Regulatoren in der Schweiz, in Deutschland und Österreich ist konsistent: Cybersicherheits-Governance ist eine Angelegenheit des Verwaltungsrats und der Geschäftsleitung, keine IT-Abteilungsfrage. Diese Einordnung ist für jedes Family-Office-Governance-Komitee wegweisend: Sicherheit ist eine Treuhandpflicht, keine technische Frage.

Den Aufbau einer glaubwürdigen Sicherheitslage in der Praxis

Der praktische Weg zu einer glaubwürdigen Cybersicherheitslage im Family Office ist sequenziell, nicht simultan. Der Versuch, alle Kontrollen gleichzeitig zu implementieren, führt typischerweise zu einer teilweisen Umsetzung von vielem und einer vollständigen Umsetzung von nichts. Ein phasenweiser Ansatz – Governance-Dokumentation im ersten Quartal, Identity-and-Access-Management-Kontrollen im zweiten, Vendor-Due-Diligence-Framework im dritten, Backup- und Recovery-Tests im vierten – hat eine höhere Wahrscheinlichkeit, dauerhaft tragfähige Ergebnisse zu erzielen.

Eine Gap-Analyse gegen ein anerkanntes Framework – die CIS Controls Version 8 sind für Organisationen ohne dedizierte Sicherheitsfunktion am zugänglichsten – bietet eine objektive Ausgangslage, von der aus Prioritäten gesetzt werden können. Die ersten sechs CIS Controls (Inventar der Unternehmensanlagen, Inventar der Software-Anlagen, Datenschutz, sichere Konfiguration, Kontenverwaltung und Zugangskontrollverwaltung) adressieren die grosse Mehrheit der häufigsten Angriffsvektoren und sollten die erste Implementierungspriorität für jedes Office sein, das noch keine strukturierte Sicherheitsbewertung durchgeführt hat.

Cyber-Versicherung verdient eine gesonderte Erwähnung. Der Markt hat sich seit 2020 erheblich verhärtet: Prämien für Finanzdienstleistungseinheiten sind in vielen Jurisdiktionen um 50 % bis über 100 % gestiegen, Versicherer haben Sublimits für Ransomware-Deckung eingeführt, und die für die Deckung erforderlichen Fragebögen prüfen die Sicherheitskontrollen des Offices nun intensiv. Ein Office, das keine MFA-Implementierung, keinen getesteten Incident-Response-Plan und keine grundlegenden Endpoint-Kontrollen vorweisen kann, wird entweder abgelehnt oder erhält Konditionen, die bei hohen Kosten nur begrenzten Schutz bieten. Cyber-Versicherung ist kein Ersatz für Kontrollen – Versicherer sind mittlerweile versiert darin, Deckungsausschlüsse zu identifizieren, die greifen, wenn die eigene Fahrlässigkeit des Versicherten zum Schaden beigetragen hat –, aber sie ist ein wesentlicher Bestandteil der Risikotransfer-Strategie des Offices und sollte jährlich überprüft werden.

Cyber-Versicherung ist Risikotransfer, kein Risikomanagement. Ein Office, das seine Police als primäre Cybersicherheitsverteidigung betrachtet, wird im ungünstigsten Moment feststellen, dass die Vorstellung des Versicherers von 'angemessenen Kontrollen' erheblich von seiner eigenen abweicht.

Das Governance-Komitee – oder in einem Single-Family-Office ohne formale Komiteestruktur der Principal und die leitenden operativen Mitarbeitenden – sollte vierteljährlich ein Sicherheits-Briefing erhalten, das umfasst: die aktuelle Bedrohungslage, die für das Profil des Offices relevant ist; den Status offener Kontrollücken aus der letzten Bewertung; Vorfälle oder Beinahevorfälle im vorangegangenen Quartal; sowie die Ergebnisse des letzten Backup-Tests oder der letzten Tabletop-Übung. Dieser Briefing-Rhythmus schafft die institutionelle Disziplin, die Sicherheit von einem periodischen Projekt in eine laufende operative Funktion transformiert. Er erzeugt zudem eine Dokumentationsspur, die gegenüber Regulatoren und Versicherern belegt, dass die Führung des Offices Cybersicherheit als Governance-Angelegenheit behandelt hat – eine Unterscheidung mit realen finanziellen Konsequenzen, wenn ein Vorfall eintritt und Deckungsfragen oder regulatorische Behandlung bestimmt werden.