Informationssicherheit wird zu einem wichtigen Thema in der Private-Equity-Branche. Andreas Englisch, CISO von AssetMetrix, spricht über die wichtigsten Herausforderungen, Entwicklungen und Must-haves für Unternehmen in der Zukunft.
Wie hat sich Ihrer Meinung nach die Informationssicherheit im Private Capital in den letzten Jahren entwickelt?
Auch wenn ich in den letzten Jahren keine große Revolution im Bereich der Informationssicherheit des Privatkapitals gesehen habe, so hat sich doch ein Punkt herauskristallisiert: der „Security-First-Ansatz“: Unsere Philosophie sollte immer lauten: „Was es wertvoll macht, könnte es auch angreifbar machen“. In unserem Fall bedeutet dies, dass wir uns bewusst sein müssen, welche Informationen wir in den öffentlichen Raum stellen, und dass wir abschätzen müssen, ob es sich lohnt, das Risiko einzugehen.
Worin sehen Sie derzeit die größten Herausforderungen für die Informationssicherheit im Bereich des Private Capital?
Je globaler und regulierter unser Geschäft wird, desto höher ist das Risiko eines Verstoßes gegen eine Vorschrift. Daher könnte sich auch unser Risiko für Sanktionen erhöhen, wenn wir nicht alles tun, um es unter unserem Schwellenwert für die Risikobereitschaft zu halten.
Was sind Ihrer Meinung nach die wichtigsten Themen, auf die sich Asset Owner, Manager und Servicer im Jahr 2023 aus Sicht der Informationssicherheit konzentrieren sollten?
Dienstleister müssen zunehmend ein starkes Sicherheitskonzept etablieren und müssen jede Identität, mit der sie Geschäfte machen wollen, so einwandfrei wie möglich nachweisen. Reputation ist das A und O. Es ist wesentlich schwieriger, einen durch einen Cybersicherheitsvorfall verlorenen Ruf wiederzuerlangen, als ihn zu erhalten. Wir können auch beobachten, dass Kunden versuchen, eine überzeugende Aussage über das Risikomanagementprogramm und die Cybersicherheitsstrategie ihres Dienstleisters zu erhalten.
Was sind Ihre wichtigsten Prognosen für die Entwicklungen im Bereich der Informationssicherheit für Private Capital in den nächsten 2-3 Jahren?
Wenn Ihr Unternehmen auf eine private oder öffentliche Cloud umsteigt, sollte dies auch für Ihre Cybersicherheitsstrategie gelten. Dies bedeutet, dass Sie das neue „Zero-Trust-Cloud-Mantra“ anwenden müssen, d. h.: „Erlauben Sie keinen Zugriff auf ein System in Ihrer Cloud, bevor Sie es nicht wieder und wieder … und wieder überprüft haben“. Es könnte sich ein „Just-in-Time-Zugang“ herausbilden, bei dem die Benutzer – und noch dazu die Administratoren – Zugriffsrechte nur für einen bestimmten und begrenzten Zeitraum erhalten, wenn sie sie wirklich benötigen: Vom „Least Privilege“ zur „Least Time“.
Warum sollte die Informationssicherheit eines der Schwerpunktthemen in der Branche sein?
Alles und jeder ist über eine Cloud verbunden, die im Grunde nur der „Computer eines anderen“ ist. Im Grunde müssen Sie akzeptieren, dass er eines schönen sonnigen Tages gehackt werden wird.
Soziale Medien werden Bots mit künstlicher Intelligenz wie ChatGPT mit den Informationen über Ihre Mitarbeiter und Ihr Unternehmen füttern, die ihnen heute vielleicht noch fehlen, um die noch fortschrittlicheren Phishing-Angriffe von morgen zu entwickeln.
3 Hauptangriffsquellen, denen die Branche am meisten ausgesetzt ist
Phishing ist nach wie vor der wichtigste Angriffsvektor und wird diese Position auch vorerst behalten, aber es gibt „Konkurrenz“ wie Online-Identitätsdiebstahl, Angriffe über die Software-Supply-Chain oder ausgeklügelte „“evil twins“, die versuchen könnten, Nutzer dazu zu bringen, sich mit ihnen statt mit den vorgesehenen öffentlichen WLAN-Hotspots zu verbinden, um als „Man-in-the-Middle“ interessanten Netzwerkverkehr abzuhören.
Grundlegende Anforderungen, die erfüllt werden müssen, um als sicher zu gelten – was sind die Mindestanforderungen zum „Überleben“?
Natürlich gibt es im Sicherheitsbereich keine Patentlösungen, aber aus unserer Erfahrung und den bewährten Praktiken unserer Branche wird deutlich, dass Sie die folgenden Anforderungen erfüllen müssen, wenn Sie allen künftigen Herausforderungen langfristig gewachsen sein wollen:
Informationssicherheitstrends in anderen Branchen, die PE verfolgen/beachten sollte
Wie Fondsmanager und Investoren Herausforderungen in Opportunitäten wandeln können
Wie die jüngsten EU-Vorschriften zeigen, sind Liquiditätsstresstests (Liquidity Stress Testing, LST) ein wichtiges Thema für Verwalter alternativer Investmentfonds (AIFM). Erfahren Sie mehr über LST Lösungen.
Dieser Artikel wirft einen Blick auf 3 ESG-bezogene Bereiche, in denen Technologie für Private Capital Investoren eine entscheidende Rolle spielen kann.