Skip to content
Schreibtisch
Michael FreulerJul 13, 2026 8:00:02 AM7 min read

Awareness-Training im Wealth Management

Awareness-Training im Wealth Management
6:40
Key Takeaways

Technische Schutzmassnahmen wie Firewalls und Spamfilter schützen nicht vor einem Mitarbeitenden, der auf einen bösartigen Link klickt. Vermögensverwalter sind wegen der verwalteten Vermögen und sensiblen Kundenbeziehungen attraktive Ziele für Phishing, Business E-Mail Compromise, Social Engineering und Ransomware. Die FINMA benennt Cyberrisiken in Aufsichtsmitteilung 03/2024 explizit und erwartet regelmässige, dokumentierte Awareness-Schulungen als aufsichtsrechtliche Erwartung. Wirksames Training umfasst simulierte Phishing-Kampagnen, branchenspezifische Inhalte und eine lückenlose Dokumentation für Prüfzwecke. Schwerwiegende Cyber-Vorfälle sind der FINMA meldepflichtig (Art. 29 Abs. 2 FINMAG, Aufsichtsmitteilung 05/2020): Erstmeldung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden. Die wichtigste Präventionsmassnahme ist der geschulte Mensch. 

Stellen Sie sich folgendes Szenario vor: Ein Mitarbeitender eines Vermögensverwalters erhält eine E-Mail, die scheinbar von einer Depotbank stammt. Der Absender wirkt vertraut, das Logo stimmt, der Inhalt klingt plausibel. Es geht um eine «dringende Aktualisierung der Zugangsdaten» – ein Link ist beigefügt. Der Mitarbeitende klickt.

Was folgt, ist ein klassischer Phishing-Angriff. Zugangsdaten werden gestohlen. Ohne wirksame Multi-Faktor-Authentifizierung kann ein Angreifer unter Umständen auf Kundendossiers, E-Mail-Korrespondenz und interne Systeme zugreifen. Ob ein solcher Vorfall der FINMA gemeldet werden muss, hängt vom Schweregrad und von den konkreten Auswirkungen ab.

Dieses Szenario ist nicht erfunden. Es gehört zu den häufigsten Angriffsmethoden, die die FINMA in ihrem jährlichen Risk Monitor und in der FINMA Guidance 03/2024 explizit als wesentliches Risiko für beaufsichtigte Institute benennt.

Warum Vermögensverwalter besonders attraktive Ziele sind

Cyberkriminelle gehen dahin, wo Wert ist. Vermögensverwalter verwalten erhebliche Vermögen, pflegen enge und vertrauensbasierte Beziehungen zu wohlhabenden Privatkunden und kommunizieren regelmässig über E-Mail und digitale Plattformen. Das macht sie zu attraktiven Zielen für:

  • Phishing und Spear-Phishing: Gezielte E-Mails, die auf eine bestimmte Person oder Organisation zugeschnitten sind

  • Business E-Mail Compromise (BEC): Angreifer geben sich als Geschäftsführer oder Partner aus und fordern Überweisungen oder Datenweitergabe

  • Social Engineering: Anrufe, bei denen sich jemand als IT-Support, Bankmitarbeitender oder Behörde ausgibt

  • Ransomware: Verschlüsselung aller Daten mit Lösegeldforderung

Die FINMA Guidance 03/2024 hält fest, dass Angriffe auf die Lieferkette seit 2020 mehr als die Hälfte der gemeldeten Cyberangriffe ausmachen. Kein einzelnes Institut ist also nur für sich selbst verantwortlich, sondern auch für die Sicherheitslage seiner Dienstleister.

Die Meldepflicht und was sie bei Cyber-Vorfällen bedeutet

Tritt ein wesentlicher Cyber-Vorfall auf, gilt: Gemäss Art. 29 Abs. 2 FINMAG und FINMA Aufsichtsmitteilung 05/2020 sind beaufsichtigte Institute verpflichtet, schwerwiegende Cyber-Vorfälle der FINMA zu melden. Nicht jeder Cybervorfall löst automatisch eine Meldepflicht aus – massgeblich sind Schweregrad und konkrete Auswirkungen. Cyberangriffe, die als «mittel», «hoch» oder «schwerwiegend» eingestuft werden, müssen gemeldet werden.

  • Erstmeldung: innerhalb von 24 Stunden beim zuständigen FINMA-Kundenberater

  • Vollständige Meldung: innerhalb von 72 Stunden über die EHP-Plattform der FINMA

  • Bei «schwerwiegenden» Angriffen gilt die 24-Stunden-Frist auch ausserhalb von Bürostunden

Wer in einem solchen Moment noch nicht weiss, welches System betroffen ist, welche Daten kompromittiert wurden und wer intern zuständig ist, wird diese Fristen nicht einhalten. Fehlende oder verspätete Meldungen sind selbst prüfungsrelevante Befunde.

Infografik mit den FINMA-Meldefristen für Cybervorfälle

Technische Massnahmen allein reichen nicht

Viele Unternehmen investieren in Firewalls, Endpoint-Schutz, Spamfilter und Verschlüsselung. Das ist richtig und wichtig. Aber diese Massnahmen haben eine entscheidende Schwachstelle: Sie schützen nicht vor einem Mitarbeitenden, der auf einen bösartigen Link klickt.

FINMA Guidance 03/2024 hält das explizit fest: «In order for protective measures to be effective, it is essential that employees at all levels of the hierarchy are regularly informed about and trained on cyber risks, know and understand the most common methods of attack such as phishing and know who to contact within the company if they spot any signs of a cyber attack.»

Die FINMA formuliert dies klar als aufsichtsrechtliche Erwartung an beaufsichtigte Institute. 

Was gutes Awareness-Training ausmacht

Security Awareness Training ist nicht ein einmaliges Onboarding-Video, das Mitarbeitende einmal im Jahr ansehen. Wirkungsvolles Training funktioniert anders:

Simulierte Phishing-Kampagnen: Mitarbeitende erhalten regelmässig simulierte Phishing-E-Mails, die echten Angriffen nachempfunden sind. Wer auf den Link klickt, wird direkt auf eine Lernseite weitergeleitet – kein Vorwurf, aber eine unmittelbare Lernmöglichkeit. Die Klickraten zeigen messbar, wo Schulungsbedarf besteht.

Branchenspezifische Inhalte: Ein Awareness-Programm für Vermögensverwalter sollte Szenarien zeigen, die im Berufsalltag vorkommen: Phishing-E-Mails, die von Depotbanken kommen, gefälschte Dokumentenfreigaben, Telefonanrufe, bei denen sich jemand als IT-Support ausgibt.

Dokumentierte Durchführung: Die FINMA erwartet, dass Schulungen und deren Durchführung dokumentiert sind – das ist ein Prüfpunkt, den Aufsichtsorganisationen explizit abfragen. Ein Awareness-Programm ohne Nachweise ist aus regulatorischer Sicht kaum belastbar.

Regelmässige Aktualisierung: KI-generierte Phishing-E-Mails sind heute sprachlich kaum noch von echten Mails zu unterscheiden. Awareness-Programme müssen laufend aktualisiert werden, um wirksam zu bleiben.

Was Dinotronic für Sie umsetzt

Bei Dinotronic bieten wir Security Awareness Training als festen Bestandteil unserer Managed Security Services für FINMA-regulierte Vermögensverwalter und Family Offices an. Das umfasst simulierte Phishing-Kampagnen, branchenspezifische Schulungsinhalte, regelmässige Berichte über den Trainingsfortschritt und die lückenlose Dokumentation für Prüfungszwecke.

Als Microsoft-Partner mit ISO 27001:2022 Zertifizierung und über 30 Jahren Erfahrung im Managed Service Bereich verstehen wir Cybersicherheit nicht als isoliertes Thema, sondern als integralen Bestandteil einer robusten IKT-Governance. Technische Schutzschichten und ein geschultes Team ergänzen sich – beides ist notwendig.

Denn am Ende ist die wichtigste Sicherheitsmassnahme nicht das teuerste Tool – es ist der Mensch, der weiss, was er tun soll, wenn er eine verdächtige E-Mail erhält.

Möchten Sie wissen, wie gut Ihre Mitarbeitenden auf Phishing-Angriffe vorbereitet sind? Wir führen gerne eine simulierte Phishing-Kampagne als Einstieg durch.

Download-Tipp: IKT-Checkliste für Vermögensverwalter

FAQ zu Cybersecurity-Awareness-Trainings

Ist Awareness-Training für Vermögensverwalter eigentlich Pflicht? Die FINMA formuliert regelmässige Information und Schulung der Mitarbeitenden klar als aufsichtsrechtliche Erwartung an beaufsichtigte Institute. Hinzu kommt: Aufsichtsorganisationen fragen die dokumentierte Durchführung von Schulungen bei Prüfungen explizit ab. Ein Awareness-Programm ohne Nachweise ist aus regulatorischer Sicht kaum belastbar. Faktisch führt für FINMA-beaufsichtigte Vermögensverwalter also kein Weg daran vorbei. 
Warum reichen technische Massnahmen in der Cybersicherheit nicht aus? Technische Massnahmen wie Firewall und Endpoint-Schutz sind richtig und wichtig, haben aber eine entscheidende Schwachstelle: Sie schützen nicht vor einem Mitarbeitenden, der auf einen bösartigen Link klickt oder am Telefon Zugangsdaten preisgibt. Die FINMA hält in der Aufsichtsmitteilung 03/2024 explizit fest, dass Schutzmassnahmen nur wirksam sind, wenn Mitarbeitende auf allen Hierarchiestufen regelmässig über Cyber-Risiken informiert und trainiert werden. Technik und geschulte Menschen ergänzen sich, beides ist notwendig.
Wie oft sollten Cybersecurity-Awareness-Trainings durchgeführt werden? Ein einmaliges Refresher-Video pro Jahr reicht nicht. Wirkungsvolles Training ist ein laufender Prozess: regelmässige simulierte Phishing-Kampagnen, branchenspezifische Inhalte und kontinuierliche Aktualisierung der Szenarien. Letzteres ist wichtiger denn je, weil KI-generierte Phishing-E-Mails sprachlich kaum noch von echten Mails zu unterscheiden sind. Ein Programm, das vor zwei Jahren aufgesetzt und seither nicht angepasst wurde, bildet die aktuelle Bedrohungslage nicht mehr ab. 
Was passiert, wenn jemand bei einer simulierten Phishing-E-Mail klickt? Nichts Schlimmes, was ja genau Sinn und Zweck ist. Wer in einer Simulation auf den Link klickt, wird direkt auf eine Lernseite weitergeleitet: kein Vorwurf, sondern eine unmittelbare Lernmöglichkeit. Die Klickraten zeigen zudem messbar, wo Schulungsbedarf besteht, und dokumentieren den Fortschritt über die Zeit. Wichtig ist eine Fehlerkultur, in der Mitarbeitende verdächtige E-Mails auch melden, statt Vorfälle aus Angst zu verschweigen. 
Muss jeder Phishing-Vorfall der FINMA gemeldet werden? Nein, nicht jeder Cybervorfall löst automatisch eine Meldepflicht aus. Massgeblich sind Schweregrad und konkrete Auswirkungen: Cyberangriffe, die als «mittel», «hoch» oder «schwerwiegend» eingestuft werden, müssen gemäss Art. 29 Abs. 2 FINMAG und FINMA-Aufsichtsmitteilung 05/2020 gemeldet werden. Dann gilt: Erstmeldung innerhalb von 24 Stunden beim zuständigen FINMA-Kundenberater, vollständige Meldung innerhalb von 72 Stunden über die EHP-Plattform. Bei «schwerwiegenden» Angriffen gilt die 24-Stunden-Frist auch ausserhalb von Bürostunden. 
Haben Vermögensverwalter ein erhöhtes Risiko für Cybervorfälle? Cyberkriminelle gehen dahin, wo Wert ist: Vermögensverwalter verwalten erhebliche Vermögen, pflegen vertrauensbasierte Beziehungen zu wohlhabenden Privatkunden und kommunizieren intensiv über E-Mail und digitale Plattformen. Das macht sie anfällig für Spear-Phishing, Business E-Mail Compromise, Social Engineering und Ransomware. Dazu kommt das Lieferketten-Risiko: Gemäss FINMA-Aufsichtsmitteilung 03/2024 machen Angriffe auf die Lieferkette seit 2020 mehr als die Hälfte der gemeldeten Cyberangriffe aus. Jedes Institut trägt also auch Verantwortung für die Sicherheitslage seiner Dienstleister. 
Michael Freuler

Michael Freuler

Head of Solution Consulting and Marketing

Abonnieren Sie unsere monatlichen Newsletter

Unsere Newsletter geben interessante Einblicke in neue Trends.

Sie haben Fragen? Kommen Sie gerne direkt auf uns zu! Wir freuen uns von Ihnen zu hören

Kommen Sie gerne direkt auf uns zu!