Natürlich ist Angst kein guter Ratgeber, aber umgehen muss man mit dem Thema auf jeden Fall: Der Gefahr, Opfer eines Cyber-Angriffs zu werden. Passieren kann es jedem, wie unter anderem der jüngst viel besprochene Angriff auf das Buchungs-Portal Booking.com zeigt.
Auch in der Finanzbranche, die zunehmend auf Digitalisierung setzt, ist Cyber-Security ein wichtiges Thema, und so fand dazu am 19. Juni unser digitales Lunch Talk statt.
Die folgenden Panelisten beleuchteten das Thema von verschiedenen Seiten:
- Nur Demir, Senior Sales Managerin, Legal & General Investment Management
- Christian Eibel, COO UBS Asset Management Switzerland AG / CEO Credit Suisse Asset Management
- Jan Pohle, Partner bei der Wirtschaftskanzlei DLA Piper
- Nadine Schmitz, Partner, KPMG
Moderiert wurde die Runde von Fondsfrau Anke Dembowski.
Kein Kleingeld
Beim Thema Cyber Security geht es nicht um Kleingeld. Schätzungen zufolge belaufen sich die Kosten pro Angriff auf etwa 4,5 Mio. US-Dollar. Weiterhin wird vermutet, dass die Schäden seit 2020 jährlich um rund 15% steigen, um im Jahr 2025 dann 10,5 Billionen US-Dollar zu betragen.
Angesprochen wurden in der Diskussionsrunde Fragen zur aktuellen Bedrohungslage für die Asset Management-Branche, wie sich Resilienz (so gut es geht) herstellen lässt, und wie ein Unternehmen reagieren sollte, wenn es Opfer eines Cyber-Angriffs wird.
So viel steht fest: Für Asset Manager dürfte Erpressung die wichtigste Kategorie von Cyber-Angriffen sein: Dabei werden die Daten verschlüsselt und so die gesamte IT-Infrastruktur lahmgelegt.
Wichtiges Learning aus der Diskussion: Cyber-Security ist nicht nur eine Sache des IT-Sicherheitsbeauftragten, sondern die gesamte Organisation ist unbedingt mit ins Boot zu nehmen.
Einschlägige Regulatorik
Weil das Thema so gravierend ist, haben die Gesetzgeber bereits konkret reagiert. Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) wurde am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht und muss bis Oktober 2024 in nationales Recht umgesetzt werden.
Und außerdem gibt es DORA, den „Digital Operational Resilience Act“. Diese EU-Verordnung über die digitale operationale Resilienz im Finanzsektor findet ab dem 17. Januar 2025 Anwendung. Es handelt sich dabei um eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken (Informations- und Kommunikationstechnologie) und digitale operationale Resilienz.
Folgende Fragen wurden im digitalen Lunch-Talk beleuchtet:
Die Bedrohungslage
- Aus welcher Richtung befürchtet man Cyber-Angriffe? Und was genau wollen die Angreifer bezwecken? (Spionage oder Lösegeld-Forderungen?)
- Ist die Asset Management-Branche für Hacker überhaupt interessant? Sind nicht bei Banken oder Versicherungen mehr Geld oder sensiblere Daten zu vermuten?
- Umgekehrt, wenn Asset Manager Unternehmen analysieren und selektieren. Spielt es da eine Rolle, wie die Unternehmen gegen mögliche Cyber-Attacken aufgestellt sind?
Resilienz herstellen
- Wo ist die Bedrohung bei Asset Managern am größten? Im Betrieb selbst, bei der Nutzung von Cloud Computing? Oder eher bei den Zulieferern?
- Wie können sich Asset Manager schützen? Wo fängt man an? Was ist der 2. und der 3. Schritt?
- Wie sehen Notfallpläne aus? Was sind die ersten Dinge, die jedes Unternehmen auf jeden Fall tun sollte, damit im Fall der Fälle nicht totales Chaos ausbricht? Wer ruft wen an, und wie überhaupt – die Daten sind ja nicht zugänglich!
Wenn ein Angriff passiert ist
- Unternehmen möchten solche Angriffe nicht an die große Glocke hängen. Ab wann ist ein Cyber-Angriff meldepflichtig / ad-hoc-pflichtig?
- Zahlt man das geforderte Lösegeld? Falls ja, wie eigentlich?
- Darf ein angegriffenes Unternehme ohne Weiteres das Lösegeld zahlen? Es handelt sich ja womöglich um terroristische Vereinigungen.
Jeder Zuhörerin wurde klar: Es handelt sich um ein aktuelles und sehr spannendes Thema, an dem derzeit so gut wie jedes Unternehmen unserer Branche arbeitet. Wir danken den Panelisten für ihre guten Beiträge, Ideen und Ratschläge!
Anke Dembowski ist Finanzjournalistin und Autorin verschiedener Investmentfonds- und anderer Finanzbücher. Sie ist außerdem Mit-Gründerin des Netzwerks „Fondsfrauen".