Grundlegende Prävention: Cybersicherheit war noch nie so wichtig

Sep 21, 2023

Kunst von OYOW

Die britische Rentenaufsichtsbehörde, die Aufsichtsbehörde zum Schutz betrieblicher Renten, hat Anfang des Jahres mehr als 300 Rentenpläne darauf aufmerksam gemacht, dass ihre Pläne möglicherweise durch einen Datenverstoß bei Capita mit Sitz in London, einem externen Verwalter der Pläne, gefährdet wurden . Obwohl es den Anschein hat, dass keine Teilnehmerdaten betroffen waren, ist eine Untersuchung im Gange. Capita verfügt über Daten von Hunderttausenden britischen Rentenplanteilnehmern, und die potenziellen Auswirkungen eines Verstoßes sind erheblich.

Der Angriff – und ein weiterer in den USA gegen die Rentenkonto-Portabilitätsplattform The Retirement Clearinghouse im März – verdeutlicht die Notwendigkeit für institutionelle Anleger, der Cybersicherheit besondere Aufmerksamkeit zu schenken, nicht nur intern, sondern auch bei Anbietern und bei ihren Investitionen.

Cyberangriffe nehmen zu und Allokatoren, Investoren und Pensionspläne stellen allesamt wertvolle Ziele dar. Auch die Art und Weise, wie Angreifer Organisationen angreifen, wird immer raffinierter. In einigen Fällen bemerken Unternehmen möglicherweise nicht einmal, dass ihre Systeme kompromittiert sind, wenn ein Angreifer jemanden dazu verleitet hat, freiwillig Informationen preiszugeben.

Finanzaufsichtsbehörden versuchen, der wachsenden Bedrohung gerecht zu werden: In den USA haben die Securities and Exchange Commission und das Arbeitsministerium kürzlich neue Richtlinien und Vorschläge zur Cybersicherheit für Allokatoren, Vermögensverwalter und Broker/Händler herausgegeben.

Wenn es um Cybersicherheit geht, müssen institutionelle Anleger auf mehreren Ebenen denken. Intern muss die Organisation selbst geschützt und ihre Mitarbeiter geschult werden, um Schwachstellen zu minimieren. Auf Anbieterebene neigen Allokatoren dazu, sich auf die gleichen Anbieter zu konzentrieren, und diese Tendenz könnte sich, wie bei Capita, nachteilig auf sie auswirken, wenn sie alle gleichzeitig demselben Angriff ausgesetzt sind. Schließlich müssen Allokatoren das Risiko im Hinblick auf die Sorgfaltspflicht bei ihren Investitionen berücksichtigen.

„Das Problem wurde bisher größtenteils fälschlicherweise als technisches/operatives Problem analysiert“, sagte Larry Clinton, Präsident und CEO der in Washington ansässigen Internet Security Alliance, in einer Rede beim Forum by CIO im Mai. Cybersicherheit „ist ein unternehmensweites Risikomanagementproblem.“

Im Alltagsbetrieb werden Cybersicherheitspraktiken häufig verunglimpft. Jeder kennt und hasst den Prozess, ein „sicheres“ 14-stelliges Passwort zu haben, das man sich nicht merken kann, dann eine SMS mit einem Code zu bekommen, dann einem Roboter zu sagen, dass man kein Roboter ist, bevor man sich schließlich anmelden darf. Biometrie mag einfacher sein, aber möchte jemand wirklich biometrische Daten an einen Arbeitgeber weitergeben?

So landen alle wieder bei Passwort, Code, Rätsel, Login. Trotz alledem besagen Daten von PwC, dass nur 14 % der Unternehmen die letzten drei Jahre ohne Datenschutzverletzung überstanden haben. Perry Carpenter, Strategiebeauftragter beim Cybersicherheitsschulungsunternehmen KnowBe4, sagt, dass ein Großteil des Problems im Ansatz zur Cybersicherheit liegt.

„Wir müssen uns nur umschauen und feststellen, dass das Problem keineswegs gelöst ist“, sagt er. „Viele unserer Verfahren widersprechen der menschlichen Natur und wecken bei den Menschen den Wunsch, sich abzumelden. Oftmals investieren Unternehmen nicht in die regelmäßige Aktualisierung und Aktualisierung ihrer Systeme, was sie angreifbar macht. Wenn man sich auf das Patchen konzentriert und am Menschen arbeitet.“ Level könnten Sie 90 % der Angriffe vereiteln.“

Laut Carpenter umfasst die Arbeit „auf der menschlichen Ebene“ mehr als nur eine grundlegende Cybersicherheitsschulung, die die Menschen daran erinnert, sich vor Phishing-E-Mails in Acht zu nehmen; Dazu gehört auch, die verschiedenen Möglichkeiten zu durchdenken, wie Menschen auf Systeme zugreifen, und die Sicherung dieser Umgebung so einfach wie möglich zu gestalten.

„Wenn man Menschen mit Stufen überhäuft, werden sie nach Wegen suchen, um die Stufen zu umgehen“, erklärt er. „Sobald sie es tun, werden sie zufrieden sein, aber sie haben auch gerade eine Schwachstelle in Ihrem System entdeckt. Es ist wahrscheinlich, dass Gegner sie auch gefunden haben oder werden.“

Carpenter fügt hinzu, dass Technologen dazu neigen, zu glauben, dass neue Technologien alles lösen werden. Die Mitarbeiter im Bereich Cybersicherheit konzentrieren sich möglicherweise darauf, die neueste Sicherheitstechnologie einzuführen. Dies bedeutet jedoch, dass alte Systeme stillschweigend veraltet sind und neue Eintrittspunkte für digitale Angreifer entstehen. „Patching ist eine wichtige Praxis, denn es genügt ein einziger Zugangspunkt und ein System kann kompromittiert werden“, sagt Carpenter. „Man hofft vielleicht, dass das neue System es erkennt, aber das gelingt oft erst, wenn es zu spät ist.“

Clinton, deren Organisation zusammen mit der National Association of Corporate Directors Leitlinien zu Cyber-Risiken für globale Unternehmensvorstände veröffentlicht hat, riet: „Vorstände sollten Cyber-Risiken aus unternehmensweiter Sicht betrachten und die möglichen rechtlichen Auswirkungen verstehen. Sie sollten diskutieren.“ Informieren Sie sich beim Management über Cybersicherheitsrisiken und -vorsorge und betrachten Sie Cyberbedrohungen im Kontext der allgemeinen Risikotoleranz der Organisation.“

Prozess und Patching sind für Anbieter ebenso wichtig. Allokatoren sollten die Unternehmen, mit denen sie zusammenarbeiten, nach ihrem Ansatz zur Cybersicherheit befragen. Jack Tamposi, stellvertretender Direktor der US-amerikanischen Institutional-Praxis beim Beratungsunternehmen Cerulli Associates, sagt, dass Cybersicherheit eine der am häufigsten ausgelagerten Dienstleistungen ist und Cybersicherheitsanbieter auch Beratung zu Compliance- und Regulierungsfragen anbieten. Das bedeutet, dass Allokatoren fragen müssen, ob ihre Administratoren und andere Drittanbieter – wie Capita – ihre Cybersicherheit auslagern, und wenn ja, wie dieser Prozess aussieht.

Kristopher „Kriffy“ Perez, Mitbegründer von Global PayTech Ventures und leitender Berater am Future Today Institute, hat kürzlich aus erster Hand erfahren, was es bedeutet, bei Anbietern Due Diligence anzuwenden. Perez berät im Rahmen seiner Arbeit bei Future Today zum Thema Cybersicherheit aus Investorensicht und tätigt durch seine Arbeit bei Global PayTech Ventures auch Investitionen in Finanzdienstleistungsunternehmen.

Perez hat kürzlich den Drittanbieterprozess bei Global PayTech überarbeitet, nachdem sich ein Angreifer Zugriff auf das System verschafft hatte und sich per E-Mail als Mitglied des Investmentteams ausgab. Der Angreifer war kurz davor, sich selbst als Kontakt zur Bank von Global PayTech anzugeben und erstellte sogar gefälschte Partner-E-Mail-Adressen, um den Eindruck zu erwecken, dass alle an Bord waren.

Diese Art von Angriff, Business Email Compromise genannt, richtet sich oft gegen Investoren und Finanzunternehmen, da sie schwer zu erkennen ist und zu erfolgreichen Überweisungen an den Angreifer führen kann, bevor jemand den Verstoß bemerkt. Es ist schwierig, diese Überweisungen zurückzufordern, wenn sie freiwillig von jemandem genehmigt wurden, der scheinbar für den Investor arbeitet. Im Fall von Perez wurde der Angriff von Sicherheitssystemen Dritter abgefangen, bevor das Geld den Besitzer wechselte, führte jedoch zu einer internen Untersuchung der Lieferantenbeziehungen.

„Wenn dir jemand sagt, dass es erwischt wurde und es nicht noch einmal passieren wird, sagst du: ‚Okay, aber das war ein ziemlich aufwändiger Angriff‘“, sagt er. „Wir hielten es für notwendig, zu prüfen, was wir tun können, um die Komplexität unseres Schutzes zu erhöhen.“

Die Mitarbeiter von Perez absolvierten außerdem ein umfassendes Cybersicherheitsschulungsprogramm der Bank des Unternehmens, um sicherzustellen, dass die Mitarbeiter auf dem gleichen Stand waren. „Wenn etwas passiert, besteht die Möglichkeit, den Prozess zu verstärken“, sagt Perez. „Die Leute kümmern sich mehr; sie sind nicht selbstgefällig.“

Ein zentraler Bestandteil jedes Cybersicherheitsprogramms ist die Einhaltung von Vorschriften. Ohne sie kann es für Anleger zu Fehlinvestitionen oder Treuhandproblemen kommen, wenn kein angemessener Schutz vorhanden ist.

Gerry Stegmaier, Partner in der Technologie- und Datengruppe der Anwaltskanzlei Reed Smith, sagt, aus treuhänderischer Sicht sei es wichtig, die Überwachung der Cybersicherheit zu operationalisieren.

„Der Weg vom Serverraum zum Vorstandszimmer wird immer kürzer, und allen, von Investoren bis hin zu Regulierungsbehörden, wird langsam klar, dass Cybersicherheit keine Aufgabe ist, die man ankreuzen muss, sondern eine wesentliche Governance-Frage“, sagte er.

Clintons Äußerungen betonten ähnliche Punkte. Er sagte, es sei für Vorstände von entscheidender Bedeutung zu verstehen, dass „Cybersicherheit kein IT-zentriertes Anhängselthema ist, sondern vielmehr in den gesamten Prozess von Geschäftsentscheidungen auf unternehmensweiter Basis eingebunden werden muss“, und fügte hinzu, dass „Vorstände dies vom Management erwarten sollten.“ Cyber-Risiken empirisch und wirtschaftlich im Einklang mit dem Geschäftsplan einschätzen zu können.“

Zu diesem Zweck sollten Anleger – unabhängig davon, ob sie sich ihre eigenen Prozesse, die Prozesse der Anbieter ansehen oder eine potenzielle Investition sorgfältig prüfen – nach der formellen Einführung eines Cybersicherheitsprogramms suchen, sagt Stegmaier. Dieses Programm regelmäßig einem Benchmarking unterziehen; und achten Sie auf die Einhaltung spezifischer Standards wie ISO/IEC 27001, einem internationalen Standard zur Verwaltung der Informationssicherheit.

„Sie möchten in der Lage sein, die Wiederholbarkeit, Nachhaltigkeit und Nachweisbarkeit eines Cybersicherheitsprogramms zu prüfen“, sagt er.

Dieser Rahmen sollte auch dann gelten, wenn ein Allokator nur die Absicht hat, Kommanditist eines Investmentfonds zu werden, und keine Direktinvestitionen in bestimmte Unternehmen tätigt.

„Oft ist die Art und Weise, wie ein Vermögensverwalter die Cybersicherheit in seinem Fonds angeht, ein Indikator dafür, wie er dies nachgelagert in Portfoliounternehmen oder anderen Investitionen tun wird“, erklärt Stegmaier.

Die Einführung solcher Prozesse kann auch dazu beitragen, treuhänderische Risiken zu mindern.

„Perfekte Sicherheit gibt es nicht“, sagt Stegmaier. „Es besteht also die Tendenz, sich auf die Ausfallsicherheit zu konzentrieren: Wie schnell können wir reagieren, wenn etwas passiert? Aber wenn Sie das tun, werden Sie zu wenig in Prävention, Erkennung und Abhilfemaßnahmen in Ihr Programm investieren.“ „Es wird noch viel mehr Vorfälle geben, die sonst leicht vermeidbar wären. Und aus rechtlicher Sicht ist die Wahrscheinlichkeit, dass Ihre Leistung als unzureichend eingestuft wird, viel größer.“

Schlagworte: Cerulli Associates, Cyberrisiko, Cybersicherheit, Datenschutzverletzung, Arbeitsministerium, Gerry Stegmaier, Global PayTech Ventures, Internet Security Alliance, Jack Tamposi, KnowBe4, Larry Clinton, National Association of Corporate Directors, Perry Carpenter, Reed Smith, Wertpapiere und Börsenkommission, Sonderdeckung: Risikomanagement, Rentenaufsichtsbehörde, Renten-Clearinghaus

„Papier des japanischen GPIF schlägt eine neue Möglichkeit vor, Alts mit traditionellen Vermögenswerten zu vergleichen.“