Mehr Überblick, weniger Risiko: IT-Resilienz für unabhängige Vermögensverwalter

Wir haben mit Dimitri Petruschenko, Inhaber von PETRUSCHENKO CONSULTING, darüber gesprochen, warum genau hier viele Unternehmen noch Aufholbedarf haben und wie das EAM Resilience Program dabei unterstützt, mehr Klarheit zu schaffen.

Dimitri Petruschenko ist seit über 15 Jahren in der Technologiewelt des Schweizer Wealth Managements tätig. Zuletzt war er Mitgründer eines auf sogenannte EAMs, also External Asset Manager beziehungsweise unabhängige Vermögensverwalter, spezialisierten Unternehmens und führt heute seine eigene Beratungsboutique.

In der Zusammenarbeit mit unabhängigen Vermögensverwaltern habe ich immer wieder dasselbe gesehen. Fachlich sind die meisten sehr gut aufgestellt. Sie kennen ihre Kunden, ihre Portfolios und ihre Prozesse. Wenn es jedoch um die eigene IT-Organisation geht, fehlt oft der Überblick.

Das liegt nicht daran, dass das Thema unwichtig ist. Es fehlt vielmehr an einfachen und zugänglichen Möglichkeiten, sich strukturiert damit auseinanderzusetzen. Resilienz ist kein neues Thema, aber lange Zeit war es entweder ein technisches Audit für Grossbanken oder ein Beratungsprojekt, das sich kleinere EAMs schlicht nicht leisten wollten oder konnten. Genau diese Lücke wollte ich schliessen.

Im Kern handelt es sich um einen onlinebasierten Check, mit dem unabhängige Vermögensverwalter ihre IT-Organisation und ihre Cyber Resilienz einschätzen können, ohne technisches Detailwissen zu benötigen. Im Fokus stehen Fragen wie, wer wofür verantwortlich ist, welche Abhängigkeiten bestehen und wo mögliche Lücken liegen. Am Ende erhält man einen klar strukturierten Bericht mit konkreten Empfehlungen.

Wichtig ist auch zu erwähnen, was das Programm nicht ist. Es handelt sich nicht um ein technisches Audit. Es werden keine Systeme geprüft und keine Zertifizierungen vergeben. Zudem ist es kein Verkaufstool. Der Check ist bewusst einfach, kostenlos und unabhängig gehalten.

Die Lösung richtet sich in erster Linie an kleine und mittlere unabhängige Vermögensverwalter. In den meisten Fällen verfügen diese Unternehmen über kein eigenes IT oder Security Team, was in diesem Geschäftsmodell völlig normal ist.

Technisches Vorwissen ist nicht erforderlich. Wer sein Geschäftsmodell kennt und weiss, mit welchen Partnern er zusammenarbeitet, kann den Check direkt und ohne Vorbereitung durchführen.

Hier kommen zwei Entwicklungen zusammen. Zum einen haben sich die regulatorischen Anforderungen mit FIDLEG, dem Finanzdienstleistungsgesetz, und FINIG, dem Finanzinstitutsgesetz, deutlich erhöht. Das betrifft insbesondere die Organisation sowie den Umgang mit Drittparteien. Die FINMA erwartet explizit, dass EAMs ihre Abhängigkeiten kennen und steuern können.

Zum anderen hat sich die Bedrohungslage verändert. Cyberangriffe betreffen längst nicht mehr nur grosse Banken. Gerade kleinere Organisationen geraten zunehmend ins Visier, obwohl sie mit ähnlich sensiblen Daten arbeiten. Diese Kombination führt dazu, dass sich heute kaum noch jemand dem Thema entziehen kann.

Die Kernkompetenz eines Vermögensverwalters liegt in der Kundenbetreuung und im Portfoliomanagement und nicht in der IT.

Ein technisches Audit ist erst dann sinnvoll, wenn die grundlegenden Fragen geklärt sind. Dazu gehört, wer verantwortlich ist, welche Systeme im Einsatz sind und wie im Ernstfall reagiert wird.

Genau hier setzt das Programm an. Es schafft zunächst Transparenz und bildet damit die Grundlage für weitere Schritte. Ein Beispiel, das ich immer wieder erlebe: Ein EAM weiss genau, welche Depotbanken er nutzt und welches PMS er einsetzt. Aber wer konkret für seine Cloud-Umgebung verantwortlich ist oder was im Fall eines Ausfalls passiert, bleibt oft offen. Genau dort setzt das Assessment an.

Der Check erfolgt vollständig online und dauert in der Regel etwa 15 Minuten. Die Fragen beziehen sich nicht auf technische Details, sondern auf organisatorische Themen wie die Zusammenarbeit mit Dienstleistern, den Umgang mit Geräten, Sicherheitsmassnahmen und Prozesse.

Nach dem Assessment besteht die Möglichkeit, die Ergebnisse in einem kostenlosen Gespräch gemeinsam zu besprechen und einzuordnen. Das Angebot ist direkt mit dem Assessment verknüpft. Ziel ist es, die Ergebnisse im konkreten Kontext des EAM zu reflektieren und nächste Schritte zu definieren.

Für den Raum Zürich erfolgt dies in Zusammenarbeit mit der zurichnetgroup. Sie unterstützt Unternehmen insbesondere bei der technischen Umsetzung und bringt zusätzliche Praxiserfahrung im Finanz- und Regulierungsumfeld mit.

Ob und in welchem Umfang eine Zusammenarbeit entsteht, entscheidet selbstverständlich jedes Unternehmen selbst.

Die Rückmeldungen sind sehr positiv. Seit dem Start im Februar haben bereits über 800 Interessierte die Webseite besucht.

Was mich besonders gefreut hat ist, dass viele EAMs das Thema nicht als Belastung wahrgenommen, sondern als willkommene Gelegenheit, sich strukturiert damit auseinanderzusetzen. Gleichzeitig merke ich, dass das Bewusstsein für systemische Risiken, also die Verbindung zwischen EAM-Resilienz und der Stabilität des gesamten Wealth-Management-Ökosystems, noch wächst. Da ist noch Arbeit zu tun.

Der erste Schritt ist nicht die Einführung neuer Tools. Entscheidend ist zunächst ein klares Verständnis der eigenen Ausgangslage. Dazu gehört, welche Leistungen ausgelagert sind, an wen diese vergeben wurden und wer wofür verantwortlich ist. Diese Fragen wirken einfach, bleiben in der Praxis jedoch oft unbeantwortet.

IT-Infrastruktur und Cybersecurity sind das operative Fundament eines EAM. Auf ihnen ruht letztlich alles, von der Kundenbeziehung über die regulatorische Compliance bis hin zum Vertrauen der Bank. Wer dieses Fundament kennt, kann es gezielt stärken. Wer es nicht kennt, verwaltet ein Risiko, das er nicht sieht. Genau hier setzt der erste Schritt an und dafür reichen im Grunde bereits 15 Minuten.

IT-Resilienz beginnt nicht mit Technologie, sondern mit Transparenz. Viele unabhängige Vermögensverwalter haben ihre IT über Jahre aufgebaut, ohne ein vollständiges Gesamtbild zu haben. Genau hier setzt das EAM Resilience Program an und schafft in kurzer Zeit Klarheit über Strukturen, Verantwortlichkeiten und Risiken.

Wer seine Ausgangslage kennt, kann gezielt handeln und seine IT nachhaltig stärken.