Sicherheitsmassnahmen und persönliches Risk Management für UHNW-Familien

Warum das sichtbare Profil als Risikoindikator ungeeignet ist

Der Instinkt der meisten UHNW-Familien besteht darin, die Sicherheitsausgaben an der öffentlichen Präsenz auszurichten. Wenn die Familie sich zurückhält, keine Namen an Gebäuden anbringt und die Gesellschaftsspalten meidet, geht man davon aus, dass das Risiko entsprechend gering ist. Diese Annahme ist zunehmend unhaltbar. Vermögensdaten sind mittlerweile über eine Vielzahl öffentlicher und halböffentlicher Quellen verstreut: Register der wirtschaftlichen Eigentümer gemäss der Fünften Geldwäscherichtlinie der EU, Einträge beim Companies House im Vereinigten Königreich, UCC-Finanzierungserklärungen in den Vereinigten Staaten, Grundbuchauszüge sowie Gerichtsdokumente aus früheren Rechtsstreitigkeiten. Ein entschlossener Akteur benötigt kein Medienprofil, um sich ein detailliertes Bild vom Vermögen, den Reisegewohnheiten und den Wohnorten einer Familie zu machen.

Entführungen mit Lösegeldforderungen, die sich gegen wohlhabende Familien in Europa, Lateinamerika und Teilen Südostasiens richten, orientierten sich in der Vergangenheit nicht an Prominenz, sondern an öffentlich bekanntem Vermögen in Verbindung mit der wahrgenommenen Sicherheitslage. Branchendaten von auf Entführung und Lösegeld spezialisierten Versicherern deuten darauf hin, dass die Opferauswahl bei solchen Vorfällen mehrheitlich auf Recherchen aus öffentlich zugänglichen Quellen beruht, nicht auf Insiderinformationen. Die Recherchephase dauert dabei oft mehrere Wochen, bevor es zu einer Kontaktaufnahme kommt. Die Konsequenz für die Governance ist eindeutig: Das Bedrohungsmodell muss auf der Grundlage dessen erstellt werden, was extern über die Familie bekannt ist, nicht anhand der Selbsteinschätzung der Familie hinsichtlich ihrer eigenen Prominenz.

Eine Familie, die korrekte Angaben zu den wirtschaftlichen Eigentümern macht, Immobilien im eigenen Namen hält und deren Mitglieder in den sozialen Medien sehr präsent sind, hat damit praktisch ein Aufklärungsdossier veröffentlicht. Das Sicherheitsprogramm muss berücksichtigen, was potenzielle Gegner bereits wissen.

Erstellung eines strukturierten Bedrohungsmodells

Ein praktisches Bedrohungsmodell für UHNW-Familien ordnet fünf primäre Risikokategorien nach Eintrittswahrscheinlichkeit und Folgen: Entführung und rechtswidrige Freiheitsberaubung; Erpressung (einschliesslich virtueller Entführung und cybergestützter Finanzbetrugsdelikte); körperliche Übergriffe oder Belästigung; Datendiebstahl und Identitätsmissbrauch; sowie Rufschädigung durch Informationsmanipulation. Diese Risiken sind nicht voneinander unabhängig. Ein Social-Engineering-Angriff, der Zugriff auf das Gerät eines Familienmitglieds verschafft, kann Standortdaten liefern, die unmittelbar einen physischen Vorfall begünstigen. Sie als separate Probleme zu behandeln, die von unterschiedlichen Beratern betreut werden, stellt ein strukturelles Versagen dar.

Wahrscheinlichkeit versus Folgen

Die richtige Herangehensweise besteht nicht darin, lediglich die wahrscheinlichsten Bedrohungen zu ermitteln, sondern jene Kombinationen aus Wahrscheinlichkeit und Folgen zu identifizieren, die den höchsten Aufwand für Schutzmassnahmen erfordern. Für die meisten europäischen und nordamerikanischen UHNW-Familien ist die Wahrscheinlichkeit einer Entführung am Hauptwohnsitz in absoluten Zahlen gering, doch die Folgen sind katastrophal und irreversibel. Cybergestützter Finanzbetrug, der auf Familienkonten abzielt, tritt häufiger auf und hat begrenztere finanzielle Folgen. Doch dieselbe Datenpanne, die den Betrug ermöglicht, kann gleichzeitig persönliche Sicherheitsdaten offenlegen, mit weitaus schwerwiegenderen Konsequenzen. Das Bedrohungsmodell muss daher dynamisch und vernetzt sein und darf keine statische jährliche Checkliste darstellen.

Länderspezifische Risikoüberlagerungen

Reise- und Aufenthaltsmuster erfordern länderspezifische Überlagerungen. Das Risikoumfeld in der Schweiz, in Singapur oder in den Vereinigten Arabischen Emiraten unterscheidet sich erheblich von jenem in Mexiko-Stadt, Kapstadt oder Istanbul. Familien mit Wohnsitzen in mehreren Ländern oder häufigen Reisen in Märkte mit erhöhtem Risiko sollten standortspezifische Bedrohungsanalysen bei Sicherheitsberatungsunternehmen in Auftrag geben, die über echte Netzwerke vor Ort verfügen, und nicht auf allgemeine Reiserisikoberichte zurückgreifen. Das US-Aussenministerium, das britische Foreign, Commonwealth and Development Office sowie vergleichbare Einrichtungen veröffentlichen Länderrisikoeinstufungen, die als Ausgangspunkt dienen. Diese sind jedoch für die breite Bevölkerung konzipiert und oft zu grob gefasst für das spezifische Profil einer UHNW-Familie. Massgeschneiderte Bewertungen sind für jede Region in den beiden obersten Risikostufen erforderlich.

Die vier Ebenen eines Sicherheitsprogramms für Wohngebäude

Der Hauptwohnsitz ist der Ort, an dem die Familie im Laufe der Zeit den grössten Risiken ausgesetzt ist und an dem in der Regel der höchste Anteil der Sicherheitsinvestitionen gerechtfertigt ist. Ein gut strukturiertes Sicherheitskonzept für Wohnanlagen umfasst vier Ebenen: Perimeter- und Zugangskontrolle, Sicherheitsarchitektur im Innenbereich, Personal- und Auftragnehmermanagement sowie technologische Infrastruktur.

Perimeter- und Zugangskontrolle

Die Perimeter-Sicherheitsschicht umfasst physische Barrieren, Beleuchtung, Videoüberwachung sowie Zugangskontrolle. Der Standard für UHNW-Wohnanlagen in Gebieten mit geringerem Risiko sieht für alle nicht regelmässig anwesenden Besucher ein mindestens zweistufiges Zugangsverfahren vor, einschliesslich Wartebereichen für Fahrzeuge, die ein gewaltsames Eindringen oder «Tailgating» verhindern. In Gebieten mit höherem Risiko kann die Absicherung des Geländes bis hin zu Rammschutzbarrieren, verstärkten Torsystemen und einer Sicherheitsraum-Infrastruktur innerhalb der Wohnanlage reichen. Entscheidend ist, dass bei der Gestaltung alle Eingänge berücksichtigt werden, die von Mitarbeitenden, Lieferanten und Auftragnehmern genutzt werden, da diese die Einfallstore darstellen, die bei Vorfällen mit Beteiligung von Insidern am häufigsten ausgenutzt werden.

Überprüfung von Mitarbeitenden und Auftragnehmern

Haushaltspersonal stellt den beständigsten und am meisten unterschätzten Vektor für interne Bedrohungen dar. Eine Hintergrundüberprüfung zum Zeitpunkt der Einstellung ist notwendig, reicht jedoch nicht aus. Zu den bewährten Verfahren gehören eine strukturierte Referenzprüfung durch direkten Kontakt statt ausschliesslich schriftlicher Referenzen, regelmässige Nachüberprüfungen, insbesondere nach einschneidenden Lebensereignissen wie finanziellen Schwierigkeiten oder dem Scheitern einer Beziehung, sowie klare Richtlinien darüber, welche Informationen das Personal über Zeitpläne und Aufenthaltsorte der Familie weitergeben darf. Vertraulichkeitsvereinbarungen sind in vielen Rechtsordnungen nur begrenzt durchsetzbar, erfüllen jedoch eine wichtige Signalfunktion. Praktisch gesehen stellt ein segmentierter Informationszugang sicher, dass kein einzelnes Mitarbeitermitglied gleichzeitig einen vollständigen Überblick über die Bewegungen der Familie, finanzielle Vereinbarungen und die Sicherheitsinfrastruktur besitzt.

Sicherheitsräume und Notfallinfrastruktur

Ein gepanzerter Sicherheitsraum ist ein Standardelement der Wohnsicherheit für Familien, die in Gebieten der Sicherheitsstufe 2 oder höher leben, und wird auch in Gebieten der Stufe 1 zunehmend eingesetzt. Der Sicherheitsraum sollte über eigene, von den Hauptsystemen des Wohnhauses unabhängige Kommunikationsmittel verfügen, einen Vorrat an Verbrauchsgütern für mindestens 72 Stunden sowie medizinische Ausrüstung, die den spezifischen Bedürfnissen der Familie entspricht. Existenz und Standort des Sicherheitsraums sollten so wenigen Personen wie möglich bekannt sein; die Zugangsdaten sollten getrennt von allen anderen Zugangssystemen des Wohnhauses verwaltet werden.

Kommunikationshygiene und digitale Sicherheit

Die digitale Sicherheit ist durchweg die schwächste Komponente in den Sicherheitsprogrammen von UHNW-Familien. Dies liegt zum einen daran, dass sie am wenigsten sichtbar ist, und zum anderen daran, dass Disziplin innerhalb der Familie oft nur selektiv durchgesetzt wird, wodurch andere Familienmitglieder, insbesondere jüngere Generationen, am stärksten gefährdet sind. Ein robustes Programm erfordert eine konsequente Umsetzung bei allen Familienmitgliedern und auf allen Geräten.

Die Geräteverwaltung sollte einer klaren, mehrstufigen Architektur folgen. Geräte für sensible Finanzkommunikation, einschliesslich Anweisungen an Banken und Family-Office-Mitarbeitende, sollten physisch von Geräten für den allgemeinen Gebrauch getrennt sein und im Rahmen eines Mobile-Device-Management-Systems mit Fernlöschfunktion verwaltet werden. Verschlüsselte Kommunikationsanwendungen sollten der Standard für die gesamte Kommunikation innerhalb der Familie sowie zwischen der Familie und ihren Beratern sein; unverschlüsselte Kanäle bleiben der nicht vertraulichen Korrespondenz vorbehalten. E-Mails stellen nach wie vor einen ausserordentlich anfälligen Kanal dar, sowohl für das Abfangen als auch für Social-Engineering-Angriffe, und sollten nicht für Kommunikation verwendet werden, die Kontonummern, Reisepläne oder Zugangsdaten enthält.

Soziale Medien stellen ein spezifisches und unterschätztes operatives Sicherheitsrisiko dar. In Fotos eingebettete Standortdaten, Check-ins in Restaurants oder an Flughäfen sowie Informationen über regelmässige Abläufe, die von Familienmitgliedern oder deren Bekanntenkreis veröffentlicht werden, liefern das Ausgangsmaterial für Überwachung und gezielte Angriffe. Ein familienweites Social-Media-Protokoll, das jährlich überprüft und aktualisiert wird, sollte festlegen, welche Kategorien von Informationen öffentlich geteilt werden dürfen und welche einer vorherigen Genehmigung bedürfen. Diese Richtlinie ist bei jüngeren Familienmitgliedern zwar wenig beliebt, aber notwendig. Sie lässt sich am besten durch direkte Gespräche über konkrete Vorfälle aus dem Alltag etablieren, und nicht allein durch Richtliniendokumente.

Der häufigste Ansatzpunkt für finanziell motivierte Angriffe auf UHNW-Familien ist keine technische Schwachstelle in einem Sicherheitssystem. Es ist vielmehr das routinemässige Verhalten eines Familienmitglieds, das durch öffentlich zugängliche Informationen vorhersehbar wird.

Reisesicherheit und Personenschutz

Reisen stellen für die meisten Familien die Phase mit dem höchsten Risiko dar: Vorhersehbare Routinen in ungewohnten Umgebungen treffen auf variable lokale Infrastruktur und erzeugen so eine Vielzahl von Schwachstellen. Zu den Sicherheitsvorbereitungen vor Reiseantritt sollten eine Routenanalyse, die Überprüfung von Hotels oder Unterkünften, lokale Notfallkontaktprotokolle sowie ein Zeitplan für regelmässige Kommunikationschecks gehören. Bei Reisen in Gebiete der Stufen 2 und 3 ist der Einsatz von Personenschützern Standard. In Gebieten der Stufe 1 mit spezifischen Veranstaltungsrisiken, grossen öffentlichen Auftritten, kontroversen Geschäftsverhandlungen oder Familienstreitigkeiten mit zivilrechtlicher Dimension, kann ein Personenschutzteam auch in Umgebungen mit geringerem Risiko in ausgewählten Fällen gerechtfertigt sein.

Die Entführungs- und Lösegeldversicherung (K&R) ist fester Bestandteil des Risk Management für UHNW-Familien. Die Policen sollten jährlich im Zuge der Aktualisierung des Bedrohungsmodells überprüft werden. Das Vorhandensein der Police sowie deren Bedingungen sollten streng vertraulich behandelt werden: Bereits die Offenlegung des K&R-Versicherungsschutzes gegenüber Personen ausserhalb der Familie und ihrer engsten Berater kann das Risikoumfeld beeinflussen. Die Prämien für einen umfassenden K&R-Schutz, der mehrere Rechtsordnungen abdeckt und für die versicherte Person sowie deren unmittelbare Familie gilt, liegen in der Regel je nach Reiseverhalten im Bereich von einigen Tausend bis zu niedrigen Zehntausend Dollar pro Jahr, ausserordentlich geringe Kosten im Verhältnis zum übertragenen Risiko.

Reaktion auf Vorfälle: Vorbereitung im Vorfeld

Die Qualität der Reaktion einer Familie auf einen schwerwiegenden Sicherheitsvorfall hängt fast ausschliesslich von den Vorbereitungen ab, die vor dem Eintreten des Vorfalls getroffen wurden. Ein Notfallplan sollte eine klare Befehlskette festlegen: wer Entscheidungen trifft, wer mit den Strafverfolgungsbehörden kommuniziert, wer Krisenberater hinzuzieht und wer die externe Kommunikation steuert. Diese Rollen müssen zugewiesen, verstanden und getestet werden, bevor sie benötigt werden. Ein Plan, der zwar als Dokument vorliegt, aber noch nie durchgespielt wurde, ist wesentlich weniger wertvoll als einer, mit dem die zuständigen Personen bereits vertraut sind, selbst im Rahmen einer Tabletop-Übung.

Es empfiehlt sich, bereits im Vorfeld Beziehungen zu spezialisierten Krisenberatern sowie, separat davon, zu einer Firma mit fundierter Expertise in Geiselverhandlungen aufzubauen. Der Aufbau dieser Beziehungen unter Zeitdruck während eines laufenden Vorfalls führt zu Verzögerungen, Kosten und Fehlern. Jährliche Tabletop-Übungen unter Einbeziehung des Chief of Staff des Family Office, des leitenden Sicherheitsberaters und mindestens eines Familienoberhaupts stellen einen angemessenen Mindeststandard dar. Umfassendere Übungen unter Einbeziehung mehrerer Familienmitglieder und simulierter externer Kommunikation gelten als Best Practice für Familien mit komplexen, mehrere Jurisdiktionen umfassenden Strukturen.

Governance und Budget: Sicherheit im Family Office verankern

Sicherheit sollte als formelles Programm im Rahmen des Family Office geregelt werden, nicht ad hoc über einzelne Lieferantenbeziehungen. Ein einziger leitender Sicherheitsberater, sei er direkt angestellt oder auf der Grundlage eines strukturierten Beratungsvertrags tätig, sollte die Gesamtverantwortung für die Kohärenz des Programms in den Bereichen physische Sicherheit, digitale Sicherheit und Reisesicherheit tragen. Diese Person sollte direkt an das Familienoberhaupt oder den CEO des Family Office berichten, nicht über Verwaltungs- oder Facility-Management-Abteilungen, in denen Budgetzwänge häufig das strategische Urteilsvermögen beeinträchtigen.

Die Gesamtkosten für ein gut strukturiertes UHNW-Sicherheitsprogramm, das über zehn Jahre abgeschriebene Wohninfrastruktur, Personalüberprüfungen, Kommunikationsarchitektur, Personenschutz bei Reisen mit erhöhtem Risiko, K&R-Versicherung sowie Beratungshonorare umfasst, liegen in der Regel zwischen 0,10 % und 0,25 % des Nettovermögens pro Jahr. Bei einem Nettovermögen von $500M entspricht dies zwischen $500.000 und $1,25M pro Jahr. Ein einziger schwerwiegender Vorfall, eine Entführung, ein durch eine Kommunikationspanne ermöglichter Betrugsfall oder ein erheblicher Reputationsschaden durch einen Cyberangriff, verursacht Kosten, die ein Vielfaches dieses Jahresbetrags ausmachen, ganz abgesehen von Schäden, die finanziell nicht bezifferbar sind. Die wirtschaftlichen Argumente für ein strukturiertes Programm sind eindeutig.

Die Familien, die diese Risiken am effektivsten bewältigen, weisen ein gemeinsames Merkmal auf: Sie betrachten Sicherheit als fortlaufendes Programm mit eigenem Governance-Zeitplan, jährlicher Überprüfung und eigener Haushaltslinie, und nicht als reaktive Anschaffung, die durch einen konkreten Vorfall oder eine Nachricht über das Unglück einer anderen Familie ausgelöst wird. Dieser Wandel, von reaktiv zu proaktiv, von fragmentiert zu integriert, ist die folgenreichste Veränderung, die die meisten UHNW-Familien vornehmen können, um ihre tatsächliche Risikoexposition zu verringern.