Was umfasst Ihr Resilience Assessment konkret – und was wird bewusst nicht gemessen oder geprüft?

Das IT-Infrastruktur- und Cyber-Security-Assessment ist Teil des EAM Resilience Programs und als strukturierte Management-Standortbestimmung konzipiert. Im Fokus stehen organisatorische Klarheit, Verantwortlichkeiten und Abhängigkeiten – nicht technische Systemdetails.

Ziel ist es, die bestehende IT- und Cyber-Organisation einzuordnen, implizite Annahmen sichtbar zu machen und den angestrebten Zielzustand nachvollziehbar zu dokumentieren. Der daraus entstehende Bericht dient als Grundlage für Gespräche mit IT-Dienstleistern sowie als strukturierte Entscheidungsbasis im Governance- und Compliance-Kontext.

Bewusst nicht Bestandteil sind technische Audits. Es werden keine Systeme getestet, keine Konfigurationen geprüft und keine Zertifizierungen vergeben. Das Assessment ersetzt weder regulatorische Prüfungen noch spezialisierte IT-Sicherheitsanalysen. Resilienz wird damit nicht technisch gemessen, sondern organisatorisch eingeordnet.

Warum sind externe Vermögensverwalter aus Ihrer Sicht derzeit ein unterschätzter Risikobereich im Schweizer Wealth-Management-Umfeld?

Externe Vermögensverwalter sind ein wichtiger Bestandteil des Schweizer Wealth-Management-Systems, verfügen jedoch nicht über vergleichbare Ressourcen wie Banken. Sie arbeiten mit kleineren Teams und begrenzteren Budgets – bei gleichzeitig hohen regulatorischen Anforderungen.

Strukturell betreuen EAMs und Banken dieselben Kunden. Die Depots liegen bei der Bank, die Kundenbeziehung wird jedoch durch den Vermögensverwalter geführt. Entsprechend werden sensible Informationen auf beiden Seiten verarbeitet – allerdings in unterschiedlichen technischen und organisatorischen Umgebungen..

Kommt es zu einem Cybervorfall beim EAM, kann dies Informationen betreffen, die im direkten Zusammenhang mit der Depotbank stehen. In der Praxis zeigt sich, dass diese indirekten Risiken häufig unterschätzt werden – gerade weil die Bank technisch nicht direkt betroffen ist. Solche Fälle hat es in der Vergangenheit bereits gegeben. Auch wenn die Systeme der Bank selbst nicht kompromittiert werden, entstehen operative, regulatorische und reputative Auswirkungen im gemeinsamen Kundenumfeld. Unterschätzt wird dabei häufig die Kombination aus gemeinsamer Kundenbasis, hoher Vernetzung und unterschiedlichen Sicherheits- und Governance-Strukturen. Das Risiko ist daher systemisch – nicht isoliert.

Viele EAMs stützen sich stark auf externe IT- und Servicepartner. Wo sehen Sie typischerweise die grössten blinden Flecken – insbesondere im Hinblick auf Verantwortlichkeiten und Abhängigkeiten gegenüber Drittanbietern?

Die regulatorische Verantwortung bleibt klar beim EAM – auch wenn Leistungen ausgelagert werden. Outsourcing-Strukturen sind zu dokumentieren.

Der blinde Fleck liegt jedoch weniger in der formalen Ordnung als in der Transparenz über das tatsächliche Fundament der Organisation. Als Branche wissen wir sehr genau, mit welchen Banken EAMs zusammenarbeiten. Auch bei PMS- oder CRM-Anbietern besteht ein klares Marktbild. Deutlich weniger transparent ist hingegen, mit welchen IT- und Cyber-Dienstleistern die einzelnen Vermögensverwalter arbeiten. Gerade diese Anbieter sichern jedoch das operative Fundament – vom Workplace über Cloud-Umgebungen bis zur Sicherheitsarchitektur. Abgesehen von einigen bekannten Namen fehlt häufig ein systematischer Überblick.

Hinzu kommt die Erwartungshaltung gegenüber Dienstleistern. Nicht jeder IT-Partner kennt die regulatorischen Besonderheiten eines EAM im Detail. Technisch funktioniert vieles – strategisch ist die Beratung jedoch nicht immer auf Augenhöhe. Das Risiko entsteht daher weniger durch fehlende Regeln als durch begrenzte Transparenz und eine teilweise überschätzte Steuerungsfähigkeit gegenüber externen Partnern.

Ihr EAM Resilience Program legt den Fokus auf Strukturen, Prozesse und Verantwortlichkeiten – nicht auf technische Kontrollen. Weshalb haben Sie sich bewusst für einen nicht-technischen Ansatz entschieden?

Der Ansatz ist bewusst nicht-technisch gewählt, weil die Kernkompetenz eines EAM in der Kundenbetreuung und im Portfoliomanagement liegt – nicht in IT oder Cyber-Security. Gleichzeitig sind regulatorische Anforderungen und technologische Abhängigkeiten deutlich komplexer geworden. Technische Themen werden in der Regel von Dienstleistern betreut, strategische Entscheidungen jedoch auf Managementebene getroffen. Zwischen beiden Ebenen fehlt häufig eine klare Übersetzung.

Genau hier setzt der nicht-technische Ansatz an. Er schafft eine strukturierte Grundlage, um IT- und Resilienz-Fragen in den Kontext des Geschäftsmodells einzuordnen. Es geht nicht um Konfigurationsdetails, sondern um Verantwortung, Abhängigkeiten und strategische Prioritäten. Technische Prüfungen sind sinnvoll. Ohne diese Verbindung zwischen Business und Technologie bleiben sie jedoch isoliert und entfalten wenig strategische Wirkung.

Welche konkreten Erkenntnisse oder Entscheidungen sollte ein EAM nach Abschluss Ihres Assessments treffen können? Verändert dies auch die Auswahl oder Steuerung von IT-Dienstleistern?

Das Assessment ordnet die IT-Infrastruktur und Cyber-Resilienz eines EAM entlang klarer Kriterien ein – etwa Unternehmensgrösse, regulatorische Anforderungen, Zusammenarbeit und Digitalisierung, Gerätepolitik, Sicherheit, Compliance und Betriebsmodell. Die daraus abgeleiteten Erkenntnisse schaffen vor allem Entscheidungsgrundlagen. Sie helfen, Abhängigkeiten realistischer einzuschätzen und Prioritäten bewusst zu setzen.

In Bezug auf IT-Dienstleister verändert sich insbesondere die Gesprächsbasis. Ein EAM kann Anforderungen klarer formulieren, Annahmen hinterfragen und Anbieter gezielter beurteilen. Es geht nicht darum, bestehende Partner grundsätzlich infrage zu stellen, sondern darum, die Zusammenarbeit strukturiert und transparent zu steuern.
Am Ende steht keine technische Massnahmenliste, sondern eine bewusstere und strategisch fundierte Steuerung des eigenen Betriebsmodells.

Wie können Schwächen auf Ebene eines EAM Risiken für Depotbanken und andere Partner nach sich ziehen?

Ein EAM ist regulatorisch eigenständig, operativ jedoch eng mit Banken und weiteren Dienstleistern verflochten. Banken unterliegen strengen Anforderungen im Umgang mit Drittparteirisiken. Wenn ein EAM strukturelle Schwächen in seiner IT- oder Governance-Organisation aufweist, entsteht für die Bank automatisch ein indirektes Risiko – sei es reputativ, operativ oder im Rahmen ihrer eigenen Risikobeurteilung.

EAMs und Banken betreuen dieselben Kunden. Organisatorische Schwächen oder Vorfälle beim Vermögensverwalter führen in der Praxis zu zusätzlichem Abstimmungsaufwand, regulatorischer Kommunikation und erhöhter Aufmerksamkeit auf Bankenseite. Resilienz endet daher nicht an der Organisationsgrenze. In einem arbeitsteiligen Markt ist die Stabilität jedes Beteiligten auch ein Faktor für die Stabilität des Gesamtsystems.
Vor diesem Hintergrund versteht sich das EAM Resilience Program als strukturierter Beitrag zur Stärkung von Transparenz und organisatorischer Klarheit entlang dieser Wertschöpfungskette.

Kommt der Druck zur Stärkung der operativen Resilienz bei EAMs inzwischen eher vom Regulator oder vom Marktökosystem — insbesondere von den Partnerbanken?

Der FINMA Risikomonitor 2025 zeigt deutlich, dass Cyber-Risiken, Outsourcing und insbesondere Drittparteirisiken im Fokus stehen. Bereits heute bestehen klare Erwartungen im Umgang mit ausgelagerten Leistungen und operativen Risiken. Transparenz, saubere Dokumentation und nachvollziehbare Governance-Strukturen sind zunehmend Standard.

Gleichzeitig entsteht zusätzlicher Druck aus dem Markt selbst. Banken und andere Partner unterliegen steigenden Anforderungen im Drittparteimanagement und geben diese entlang der Wertschöpfungskette weiter. In der Praxis wirkt diese Marktdynamik häufig schneller als formelle regulatorische Anpassungen.

Es ist gut vorstellbar, dass sich diese Entwicklung mittelfristig in konkreteren Mindeststandards im Bereich IT- und Cyber-Sicherheit niederschlägt – etwa durch standardisierte Nachweise oder Zertifizierungen entlang der gesamten Wertschöpfungskette. Das würde die Anforderungen nicht nur an EAMs erhöhen, sondern ebenso an Technologieanbieter und andere Dienstleister.

Dimitri Petruschenko

EAM Resilience Program

Als ehemaliger Gründer und geschäftsführender Gesellschafter von EAM.Technology, einem auf Beratung und ausgelagerte operative Dienstleistungen spezialisierten Unternehmen, verfügt Dimitri Petruschenko über mehr als fünfzehn Jahre Erfahrung im Technologiebereich des Finanzsektors. Im Laufe seiner Karriere arbeitete er insbesondere für Privatbanken, unabhängige Vermögensverwalter und Family Offices. Vor der Gründung von EAM.Technology hatte er verschiedene Führungspositionen bei Schweizer Anbietern von Softwarelösungen für die Bereiche Wealth Management und Asset Management inne.