2024 steht im Zeichen einer tiefen Krise der Real Estate Branche. Besonders im Hinblick auf Finanzpolitik, Regulatorik, konjunkturelle und politische Instabilität sowie einen tiefgreifenden kulturellen Wandel steht das Asset Management vor neuen, großen Herausforderungen. Daraus erwachsen neue Anforderungen an das Risikomanagement.
Um weiterhin effektiv zu wirtschaften gilt es, die wandelnde Risikolandschaft zu erkunden, neue Bedrohungs- und Risikoszenarien durchzuspielen und die eigene Risikostrategie sowie Kontrollmechanismen und -prozesse anzupassen.
2024 sollten drei Bereiche im Fokus stehen: Cybercrime, Finanzkriminalität und ESG. Ursächlich hierfür sind steigenden Zahlen bei Cyberattacken, strengeren Vorgehensweisen im Hinblick auf Geldwäsche sowie erhöhte regulatorische und prozessuale Risiken, die sich aus ESG-Themen ergeben.
Cybercrime: Schützen Sie Ihre Daten!
Im Jahr 2023 verzeichnete die Asset Management Branche 7% mehr Cyberangriffe als im Vorjahr. Sensible Kunden-, Objekt- und Transaktionsdaten sind zunehmend attraktive Ziele für Cyberkriminelle.
Hacker verschaffen sich zumeist Zugang über Phishing E-Mails, sogenanntes “Social Engineering” und über Ransomware. Mit auf diese Weise ergatterten Zugangsdaten ist es anschließend ein leichtes, sensible Daten oder Dokumente einzusehen, zu kopieren und für kriminelle Zwecke zu missbrauchen. Das Risiko kann darüber hinaus auch von eigenen Mitarbeiterinnen oder Mitarbeitern ausgehen. Wo keine oder zu lasche Datenzugriffskontrollen erfolgen, erhöht sich die Gefahr von Datenmissbrauch oder -diebstahl.
Im Rahmen einer unternehmensweiten Sicherheitsstrategie sollten folgende Maßnahmen in Betracht gezogen werden:
Verbesserte Zugriffskontrollen
Strenge Zugriffskontrollen reduzieren das Risiko unbefugter Zugriffe erheblich. Zusätzliche Hürden für Kriminelle stellen hier die Zwei-Faktor-Authentifizierung (2FA) bzw. die Multifaktor-Authentifizierung (MFA), indem zwei oder mehr Authentifizierungsmethoden kombiniert werden. Diese können zusätzlich mit biometrischer Verifikation, zum Beispiel durch Fingerabdruck, ergänzt werden. Zur Vertiefung und für ausführlichere Informationen zum Thema empfehlen wir unseren Blogbeitrag "“Data Access Governance - Ausschlaggebend für Sicherheit und Effizienz im Asset Management”.
Investition in sichere Technologielösungen
Sichere und moderne Software leistet einen entscheidenden Beitrag, um das Cybersecurity-Risiko zu mindern. Besonders auch vor dem Hintergrund eines rege wachsenden Datenaustausches mit externen Dienstleistern sollte die Nutzung eines auf die Branche zugeschnittenen Datenraums in Betracht gezogen werden. Sie gewährleisten mit robusten Sicherheitsmaßnahmen, dass wichtige Informationen und Daten sicher mit allen Beteiligten geteilt und bearbeitet werden können. Verschlüsselung, Zugriffskontrollen, Monitorfunktionen und Reports stellen darüber hinaus sicher, dass vertrauliche Daten vor unbefugtem Zugriff und Datenlecks geschützt sind.
Implementierung eines Incident Response Plans (IRP)
Ein IRP definiert klare Handlungsprotokolle für die Identifizierung, Reaktion und Wiederherstellung im Rahmen eines Cyberangriffs. Dabei geht es vorrangig darum, einen Angriff zu erkennen, abzuwehren und die Folgen einzudämmen (Wiederherstellung von Systemen und Daten in ihren ursprünglichen Zustand). Zum IRP gehören definierte Schritte für die Zusammenarbeit mit Strafverfolgungsbehörden, die Meldung an Regulierungsbehörden und die (Krisen-) Kommunikation mit Kunden und anderen Interessengruppen.
Schulung, Training, Sicherheitskultur
Das Risiko von Cyberangriffen kann durch die Schulung und Sensibilisierung der Mitarbeiter deutlich reduziert werden. Informieren Sie regelmäßig über bestehende und neue Formen von Cyberbedrohungen. Eine starke Sicherheitskultur fördert kontinuierliches Engagement und ist eine effektive Verteidigungslinie gegen viele Arten von Cyberangriffe.
Cyber-Versicherungen
Cyber-Versicherungen mindern den finanziellen Schaden von Cyberangriffen und ermöglichen es, sich möglichst schnell von Zwischenfällen zu erholen und den Betrieb aufrechtzuerhalten. Die Versicherung deckt direkte Kosten wie forensische Untersuchungen, Datenwiederherstellung, Rechtsgebühren und sogar Lösegeldzahlungen ab. Einige Policen unterstützen auch die Kompensation von regulatorischen Strafen.
Finanzkriminalität: Risiko Geldwäsche
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schreibt über sich selbst, dass sie seit 2023 “mit mehr Biss und mehr Personal in der Geldwäscheprävention aktiv ist”. Das gelte auch für registrierungspflichtige Kapitalverwaltungsgesellschaften, denen die BaFin attestiert, noch Schwierigkeiten zu haben bzw. die Prozesse zur Geldwäscheprävention noch nicht ausreichend angepasst zu haben.
Das erhöhte Engagement der BaFin schlägt sich nieder in mehr Sonderprüfungen (durch Wirtschaftsprüfer oder die BaFin selbst) und sogenannten Aufsichtsbesuchen. Bei letzteren wurden wiederholt Mängel bei der Risikoanalyse sowie beim “Know-your-costumer”-Prozess festgestellt. Bei Verstößen gegen das Geldwäschegesetz kann die BaFin empfindliche Bußgelder festsetzen. Abhängig von der Schwere des Verstoßes drohen Strafen von bis zu fünf Millionen Euro bzw. zehn Prozent des Jahresumsatzes.
Zur Vermeidung von Geldwäsche bestehen für Asset Management Unternehmen folgende Anforderungen:
Risikoanalyse
Unternehmen müssen eine schriftlich dokumentierte Risikoanalyse vorhalten, die die Risiken ihrer Geschäftsvorgänge und Kunden im Hinblick auf Geldwäsche (und Terrorismusfinanzierung bewerten. Die Analyse muss regelmäßig (mindestens jährlich) überprüft und ggf. aktualisiert werden.
Einrichtung von “Know-your-costumer”-Prozessen
Unternehmen müssen sich Transparenz über ihre Kunden und Anleger verschaffen. Dazu gehört zentral die Mittelherkunft und -quelle, also die Erhebung, woher die Investitionssumme stammt
Bestellung eines Geldwäschebeauftragten
Die oder der Geldwäschebeauftragte ist Ansprechpartner für die BaFin, die Strafverfolgungsbehörden und für die Zentralstelle für Finanztransaktionsuntersuchungen
Risiko: Greenwashing
Im September 2023 hat die US Börsenaufsicht SEC die Deutsche Bank Tochter DWS zu einer Strafe von 25 Millionen Dollar verurteilt. Der Vorwurf: Die DWS hat ihre als nachhaltig beworbenen Fondsprodukte "grüner" dargestellt als sie tatsächlich waren. Kurzform: Greenwashing.
Mit zunehmender Komplexität von Gesetzgebung und Regulatorik steigt auch das Risiko von Verstößen - beabsichtigt oder unbeabsichtigt. Zu den finanziellen Folgen kommen nicht selten Vertrauensverlust und Rufschädigung bei Kunden, Partnern und Investoren hinzu. Wie können Asset Manager dem Greenwashing effektiv entgegenwirken?
Datenqualität erhöhen
Die Gewährleistung einer hohen Datenqualität ist entscheidend, um Greenwashing-Risiken zu minimieren. Dass die Daten oft aus verschiedenen Quellen entspringen und von externen Dienstleistern stammen, erschwert die Kontrolle und Transparenz.
Asset Manager müssen ihr Qualitätsmanagement entsprechend anpassen und eine sorgfältige Prüfung der Datenanbieter durchführen. Hierbei sollten sowohl automatisierte als auch manuelle Prüfroutinen zum Einsatz kommen, um Fehler und Unstimmigkeiten zu erkennen
Transparenz
„Anlegerinnen und Anleger können immer noch nicht klar und schnell genug erkennen, wie nachhaltig ein Produkt wirklich ist.“ (Mark Branson, Chef der BaFin im Handelsblatt)
Asset Manager sollten darauf hinarbeiten, ihre Anlegerinnen und Anleger möglichst transparent über die eigenen ESG-Kennzahlen zu informieren. Dabei sind Verständlichkeit und Nachvollziehbarkeit ebenso wichtig wie Umfang und Details. Vermeiden Sie demnach schwer verständliche Erklärungen, unklare Ausdrücke und passen Sie Wortwahl und Formulierungen der Zielgruppe an. Das gilt auch für die Namensgebung von Produkten oder Fonds. Die European Securities Markets Authority (ESMA) empfiehlt, “dass z.B. Fonds mit ESG-bezogenen Ausdrücken im Titel mindestens 80% ihrer Anlagen in ökologischen oder sozialen Merkmalen tätigen sollten. Fonds mit dem Ausdruck „nachhaltig“ im Titel müssen zusätzlich mindestens 50% ihres gesamten Portfoliowertes in nachhaltige Anlagen investieren” (PwC: Greenwashing-Risiken). Fazit: Kommunizieren Sie eindeutig, um Missverständnisse und irreführende Interpretationen zu vermeiden.
Prozessmanagement
Um Greenwashing-Risiken zu minimieren, sollten Asset Manager bewährte Praktiken einen umfassenden Prozess zur Qualitätssicherung und Strategien zur transparenten und klaren Offenlegungen etablieren. Eine gründliche Prüfung der relevanten Vorschriften bildet die Basis, um den Bedarf an Transparenz und Berichterstattung zu ermitteln. Anschließend müssen Quellen, Anbieter und Berechnungsmethoden für alle benötigten Daten definiert werden. Dabei ist die Qualitätssicherung der Daten von zentraler Bedeutung.Eine zusätzliche Plausibilitätsprüfung vor der Offenlegung sowie das Vier-Augen-Prinzip können das Risiko falscher Berechnungen oder irreführender Formulierungen weiter reduzieren.
Fazit
Die Risikolandschaft verändert sich permanent. 2024 sollten Asset Manager besonders auf drei Schlüsselbereiche achten: Cybercrime, Finanzkriminalität und ESG-Risiken.
Bei der Bekämpfung von Cybercrime ist der Schutz sensibler Daten von größter Bedeutung. Hierbei spielen verbesserte Zugriffskontrollen, Investitionen in sichere Technologielösungen und die Implementierung eines Incident Response Plans eine wichtige Rolle.
Um Finanzkriminalität, insbesondere Geldwäsche, zu verhindern, müssen Asset Management Unternehmen Risikoanalysen durchführen, "Know-your-customer"-Prozesse etablieren und Geldwäschebeauftragte bestellen.
Die zunehmende Komplexität von ESG-Themen birgt das Risiko des Greenwashings. Um diesem entgegenzuwirken, ist es wichtig, die Datenqualität zu verbessern, transparent über ESG-Kennzahlen zu kommunizieren und bewährte Prozesse zur Qualitätssicherung und Offenlegung zu implementieren.
