Technische Schutzmassnahmen wie Firewalls und Spamfilter schützen nicht vor einem Mitarbeitenden, der auf einen bösartigen Link klickt. Vermögensverwalter sind wegen der verwalteten Vermögen und sensiblen Kundenbeziehungen attraktive Ziele für Phishing, Business E-Mail Compromise, Social Engineering und Ransomware. Die FINMA benennt Cyberrisiken in Aufsichtsmitteilung 03/2024 explizit und erwartet regelmässige, dokumentierte Awareness-Schulungen als aufsichtsrechtliche Erwartung. Wirksames Training umfasst simulierte Phishing-Kampagnen, branchenspezifische Inhalte und eine lückenlose Dokumentation für Prüfzwecke. Schwerwiegende Cyber-Vorfälle sind der FINMA meldepflichtig (Art. 29 Abs. 2 FINMAG, Aufsichtsmitteilung 05/2020): Erstmeldung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden. Die wichtigste Präventionsmassnahme ist der geschulte Mensch.
Stellen Sie sich folgendes Szenario vor: Ein Mitarbeitender eines Vermögensverwalters erhält eine E-Mail, die scheinbar von einer Depotbank stammt. Der Absender wirkt vertraut, das Logo stimmt, der Inhalt klingt plausibel. Es geht um eine «dringende Aktualisierung der Zugangsdaten» – ein Link ist beigefügt. Der Mitarbeitende klickt.
Was folgt, ist ein klassischer Phishing-Angriff. Zugangsdaten werden gestohlen. Ohne wirksame Multi-Faktor-Authentifizierung kann ein Angreifer unter Umständen auf Kundendossiers, E-Mail-Korrespondenz und interne Systeme zugreifen. Ob ein solcher Vorfall der FINMA gemeldet werden muss, hängt vom Schweregrad und von den konkreten Auswirkungen ab.
Dieses Szenario ist nicht erfunden. Es gehört zu den häufigsten Angriffsmethoden, die die FINMA in ihrem jährlichen Risk Monitor und in der FINMA Guidance 03/2024 explizit als wesentliches Risiko für beaufsichtigte Institute benennt.
Warum Vermögensverwalter besonders attraktive Ziele sind
Cyberkriminelle gehen dahin, wo Wert ist. Vermögensverwalter verwalten erhebliche Vermögen, pflegen enge und vertrauensbasierte Beziehungen zu wohlhabenden Privatkunden und kommunizieren regelmässig über E-Mail und digitale Plattformen. Das macht sie zu attraktiven Zielen für:
-
Phishing und Spear-Phishing: Gezielte E-Mails, die auf eine bestimmte Person oder Organisation zugeschnitten sind
-
Business E-Mail Compromise (BEC): Angreifer geben sich als Geschäftsführer oder Partner aus und fordern Überweisungen oder Datenweitergabe
-
Social Engineering: Anrufe, bei denen sich jemand als IT-Support, Bankmitarbeitender oder Behörde ausgibt
-
Ransomware: Verschlüsselung aller Daten mit Lösegeldforderung
Die FINMA Guidance 03/2024 hält fest, dass Angriffe auf die Lieferkette seit 2020 mehr als die Hälfte der gemeldeten Cyberangriffe ausmachen. Kein einzelnes Institut ist also nur für sich selbst verantwortlich, sondern auch für die Sicherheitslage seiner Dienstleister.
Die Meldepflicht und was sie bei Cyber-Vorfällen bedeutet
Tritt ein wesentlicher Cyber-Vorfall auf, gilt: Gemäss Art. 29 Abs. 2 FINMAG und FINMA Aufsichtsmitteilung 05/2020 sind beaufsichtigte Institute verpflichtet, schwerwiegende Cyber-Vorfälle der FINMA zu melden. Nicht jeder Cybervorfall löst automatisch eine Meldepflicht aus – massgeblich sind Schweregrad und konkrete Auswirkungen. Cyberangriffe, die als «mittel», «hoch» oder «schwerwiegend» eingestuft werden, müssen gemeldet werden.
-
Erstmeldung: innerhalb von 24 Stunden beim zuständigen FINMA-Kundenberater
-
Vollständige Meldung: innerhalb von 72 Stunden über die EHP-Plattform der FINMA
-
Bei «schwerwiegenden» Angriffen gilt die 24-Stunden-Frist auch ausserhalb von Bürostunden
Wer in einem solchen Moment noch nicht weiss, welches System betroffen ist, welche Daten kompromittiert wurden und wer intern zuständig ist, wird diese Fristen nicht einhalten. Fehlende oder verspätete Meldungen sind selbst prüfungsrelevante Befunde.

Technische Massnahmen allein reichen nicht
Viele Unternehmen investieren in Firewalls, Endpoint-Schutz, Spamfilter und Verschlüsselung. Das ist richtig und wichtig. Aber diese Massnahmen haben eine entscheidende Schwachstelle: Sie schützen nicht vor einem Mitarbeitenden, der auf einen bösartigen Link klickt.
FINMA Guidance 03/2024 hält das explizit fest: «In order for protective measures to be effective, it is essential that employees at all levels of the hierarchy are regularly informed about and trained on cyber risks, know and understand the most common methods of attack such as phishing and know who to contact within the company if they spot any signs of a cyber attack.»
Die FINMA formuliert dies klar als aufsichtsrechtliche Erwartung an beaufsichtigte Institute.
Was gutes Awareness-Training ausmacht
Security Awareness Training ist nicht ein einmaliges Onboarding-Video, das Mitarbeitende einmal im Jahr ansehen. Wirkungsvolles Training funktioniert anders:
Simulierte Phishing-Kampagnen: Mitarbeitende erhalten regelmässig simulierte Phishing-E-Mails, die echten Angriffen nachempfunden sind. Wer auf den Link klickt, wird direkt auf eine Lernseite weitergeleitet – kein Vorwurf, aber eine unmittelbare Lernmöglichkeit. Die Klickraten zeigen messbar, wo Schulungsbedarf besteht.
Branchenspezifische Inhalte: Ein Awareness-Programm für Vermögensverwalter sollte Szenarien zeigen, die im Berufsalltag vorkommen: Phishing-E-Mails, die von Depotbanken kommen, gefälschte Dokumentenfreigaben, Telefonanrufe, bei denen sich jemand als IT-Support ausgibt.
Dokumentierte Durchführung: Die FINMA erwartet, dass Schulungen und deren Durchführung dokumentiert sind – das ist ein Prüfpunkt, den Aufsichtsorganisationen explizit abfragen. Ein Awareness-Programm ohne Nachweise ist aus regulatorischer Sicht kaum belastbar.
Regelmässige Aktualisierung: KI-generierte Phishing-E-Mails sind heute sprachlich kaum noch von echten Mails zu unterscheiden. Awareness-Programme müssen laufend aktualisiert werden, um wirksam zu bleiben.
Was Dinotronic für Sie umsetzt
Bei Dinotronic bieten wir Security Awareness Training als festen Bestandteil unserer Managed Security Services für FINMA-regulierte Vermögensverwalter und Family Offices an. Das umfasst simulierte Phishing-Kampagnen, branchenspezifische Schulungsinhalte, regelmässige Berichte über den Trainingsfortschritt und die lückenlose Dokumentation für Prüfungszwecke.
Als Microsoft-Partner mit ISO 27001:2022 Zertifizierung und über 30 Jahren Erfahrung im Managed Service Bereich verstehen wir Cybersicherheit nicht als isoliertes Thema, sondern als integralen Bestandteil einer robusten IKT-Governance. Technische Schutzschichten und ein geschultes Team ergänzen sich – beides ist notwendig.
Denn am Ende ist die wichtigste Sicherheitsmassnahme nicht das teuerste Tool – es ist der Mensch, der weiss, was er tun soll, wenn er eine verdächtige E-Mail erhält.
Möchten Sie wissen, wie gut Ihre Mitarbeitenden auf Phishing-Angriffe vorbereitet sind? Wir führen gerne eine simulierte Phishing-Kampagne als Einstieg durch.
Download-Tipp: IKT-Checkliste für Vermögensverwalter
Aus der Praxis mit FINMA-regulierten Vermögensverwaltern und Family Offices entstanden: Unsere Checkliste fasst die wichtigsten IKT-Anforderungen kompakt zusammen und hilft, Lücken in Governance, Sicherheit und Dokumentation sichtbar zu machen.