Wie sich die Informationssicherheit auf Private Markets auswirkt

Informationssicherheit wird zu einem wichtigen Thema in der Private-Equity-Branche. Andreas Englisch, CISO von AssetMetrix, spricht über die wichtigsten Herausforderungen, Entwicklungen und Must-haves für Unternehmen in der Zukunft.

Wie hat sich Ihrer Meinung nach die Informationssicherheit im Private Capital in den letzten Jahren entwickelt?

Auch wenn ich in den letzten Jahren keine große Revolution im Bereich der Informationssicherheit des Privatkapitals gesehen habe, so hat sich doch ein Punkt herauskristallisiert: der „Security-First-Ansatz“: Unsere Philosophie sollte immer lauten: „Was es wertvoll macht, könnte es auch angreifbar machen“. In unserem Fall bedeutet dies, dass wir uns bewusst sein müssen, welche Informationen wir in den öffentlichen Raum stellen, und dass wir abschätzen müssen, ob es sich lohnt, das Risiko einzugehen.

Worin sehen Sie derzeit die größten Herausforderungen für die Informationssicherheit im Bereich des Private Capital?

Je globaler und regulierter unser Geschäft wird, desto höher ist das Risiko eines Verstoßes gegen eine Vorschrift. Daher könnte sich auch unser Risiko für Sanktionen erhöhen, wenn wir nicht alles tun, um es unter unserem Schwellenwert für die Risikobereitschaft zu halten.

Was sind Ihrer Meinung nach die wichtigsten Themen, auf die sich Asset Owner, Manager und Servicer im Jahr 2023 aus Sicht der Informationssicherheit konzentrieren sollten?

Dienstleister müssen zunehmend ein starkes Sicherheitskonzept etablieren und müssen jede Identität, mit der sie Geschäfte machen wollen, so einwandfrei wie möglich nachweisen. Reputation ist das A und O. Es ist wesentlich schwieriger, einen durch einen Cybersicherheitsvorfall verlorenen Ruf wiederzuerlangen, als ihn zu erhalten. Wir können auch beobachten, dass Kunden versuchen, eine überzeugende Aussage über das Risikomanagementprogramm und die Cybersicherheitsstrategie ihres Dienstleisters zu erhalten.

Was sind Ihre wichtigsten Prognosen für die Entwicklungen im Bereich der Informationssicherheit für Private Capital in den nächsten 2-3 Jahren?

Wenn Ihr Unternehmen auf eine private oder öffentliche Cloud umsteigt, sollte dies auch für Ihre Cybersicherheitsstrategie gelten. Dies bedeutet, dass Sie das neue „Zero-Trust-Cloud-Mantra“ anwenden müssen, d. h.: „Erlauben Sie keinen Zugriff auf ein System in Ihrer Cloud, bevor Sie es nicht wieder und wieder … und wieder überprüft haben“. Es könnte sich ein „Just-in-Time-Zugang“ herausbilden, bei dem die Benutzer – und noch dazu die Administratoren – Zugriffsrechte nur für einen bestimmten und begrenzten Zeitraum erhalten, wenn sie sie wirklich benötigen: Vom „Least Privilege“ zur „Least Time“.

Warum sollte die Informationssicherheit eines der Schwerpunktthemen in der Branche sein?

Alles und jeder ist über eine Cloud verbunden, die im Grunde nur der „Computer eines anderen“ ist. Im Grunde müssen Sie akzeptieren, dass er eines schönen sonnigen Tages gehackt werden wird.

Soziale Medien werden Bots mit künstlicher Intelligenz wie ChatGPT mit den Informationen über Ihre Mitarbeiter und Ihr Unternehmen füttern, die ihnen heute vielleicht noch fehlen, um die noch fortschrittlicheren Phishing-Angriffe von morgen zu entwickeln.

3 Hauptangriffsquellen, denen die Branche am meisten ausgesetzt ist

Phishing ist nach wie vor der wichtigste Angriffsvektor und wird diese Position auch vorerst behalten, aber es gibt „Konkurrenz“ wie Online-Identitätsdiebstahl, Angriffe über die Software-Supply-Chain oder ausgeklügelte „“evil twins“, die versuchen könnten, Nutzer dazu zu bringen, sich mit ihnen statt mit den vorgesehenen öffentlichen WLAN-Hotspots zu verbinden, um als „Man-in-the-Middle“ interessanten Netzwerkverkehr abzuhören.

Grundlegende Anforderungen, die erfüllt werden müssen, um als sicher zu gelten – was sind die Mindestanforderungen zum „Überleben“?

Natürlich gibt es im Sicherheitsbereich keine Patentlösungen, aber aus unserer Erfahrung und den bewährten Praktiken unserer Branche wird deutlich, dass Sie die folgenden Anforderungen erfüllen müssen, wenn Sie allen künftigen Herausforderungen langfristig gewachsen sein wollen:

• Sie müssen über einen "Cyber Security Incident Response Plan" verfügen.
• Ihr SIEM (Security Information and Event Monitoring) muss 24 Stunden an 7 Tagen in der Woche überwacht werden.
• IT-Sicherheit ist auch eine "soziale Technologie", daher müssen Sie "fast regelmäßig" Tabletop-Übungen und Schulungen zur Sensibilisierung durchführen.
• Die Multi-Faktor-Authentifizierung ist und wird immer eine der Schlüsselkontrollen in Ihrem Security Control Framework sein.
• Wenn es eine Regel gibt, dann diese: "Jede Preventive Control wird eines Tages versagen", also müssen Sie vorbereitet sein und eine solide "Sicherheitsteststrategie" sowie genügend Detective Controls in der Tasche haben, um alle falsch-negativen Fälle zu bewältigen.

Informationssicherheitstrends in anderen Branchen, die PE verfolgen/beachten sollte

• "User Behavior Analytics" (manchmal auch als "Network Behavior Anomaly Detection" bezeichnet und eine Weiterentwicklung von "Extended Detection and Response") ist immer noch teuer in der Ausführung und komplex in der Wartung, scheint sich aber als einziges Gegenmittel gegen die raffiniertesten "Advanced Persistent Threats" zu etablieren.
• Inhalte sind der Schlüssel zu PE, so dass "Content Disarm and Reconstruction"-Funktionalität früher als wir glauben eine vorherrschende Anforderung werden könnte um Ransomware zu entkommen.

Featured Insights