Sean Inggs von Leeward über die mangelnde Transparenz der Vorstände des Cyber Resilience Gaps Fund

Cyberangriffe auf Finanzunternehmen machen selten wegen ausgeklügelten Codes Schlagzeilen. Vielmehr geht es darum, was genau ausgefallen ist und wer für die Überwachung verantwortlich war. Bei Investmentfonds ist diese Verantwortungsfrage oft unklarer, als die meisten Aufsichtsräte annehmen. Leeward, ein auf den Kaimaninseln ansässiges Beratungsunternehmen für Corporate Governance und unabhängigedent , betont, dass diese Lücke dringend geschlossen werden muss.
„Die Aufsichtsräte wiegen sich in Sicherheit, weil der Fonds keine eigenen Systeme betreibt“, sagte Sean Inggs, unabhängigerdent bei Leeward. „Doch das Geld des Fonds und die Anlegerdaten durchlaufen täglich einen Manager und einen Administrator. Das ist die Angriffsfläche, und die Aufsichtsbehörde trägt die Verantwortung dafür, unabhängig davon, ob der Fonds in den Vorschriften direkt genannt wird oder nicht.“
Wo die Regelung reicht und wo sie endet
Die Währungsbehörde der Kaimaninseln (CIMA) verfügt seit mehreren Jahren über ein verbindliches Cybersicherheitsregime, das auf ihrer Regelung und Leitlinie zur Cybersicherheit für regulierte Unternehmen basiert. Die Regelung legt die letztendliche Verantwortung für das Management von Cyberrisiken dem Leitungsorgan eines Unternehmens zu, schreibt einen dokumentiertendentzurdent, Überwachung und Behebung von Vorfällen vor, fordert regelmäßigedent Überprüfungen und verpflichtet die betroffenen Unternehmen, wesentlichedentinnerhalb von 72 Stunden an die CIMA zu melden.
Was viele Aufsichtsräte überrascht, ist der Anwendungsbereich. Die Regelung gilt für Vermögensverwalter und die meisten anderen von der CIMA regulierten Einrichtungen, jedoch nicht direkt für Investmentfonds und Private-Equity-Fonds selbst. Laut Leeward ist genau diese Unterscheidung der Grund, warum Fondsverwaltungen die Regelung nicht als Problem anderer betrachten dürfen.
„Der zuständige Manager ist derselbe, der Ihre Zeichnungen und Rücknahmen verwaltet“, sagte Inggs. „Das Risiko betrifft also den Fonds, selbst wenn die Regel dies nicht vorsieht. Ein Aufsichtsratsmitglied, das bei ‚Der Fonds ist nicht zuständig‘ aufhört zu lesen, hat eine Zeile zu früh aufgehört.“
Von Fragebögen zu echter Aufsicht
Leeward vertritt die Ansicht, dass die meisten Fonds bereits die erforderlichen Dokumente erfassen und zu wenige Anforderungen stellen. Ein Prüfbericht oder ein jährlicher Sicherheitsfragebogen eines Dienstleisters bestätigt zwar das Vorhandensein eines entsprechenden Prozesses, aber nicht, dass der Fonds die Woche überstehen würde, falls dieser Dienstleister ausfiele.
Das Unternehmen empfiehlt Aufsichtsräten, von der reinen Dokumentation zur praktischen Durchführung von Tests überzugehen. Dies bedeutet, zu verstehen, welche Dienstleister für die Kontinuität des Fonds tatsächlich unerlässlich sind, den Notfallplan für den Fall eines Ausfalls zu kennen und sicherzustellen, dass die Reaktion auf einendent tatsächlich geübt und nicht nur dokumentiert wurde. Es bedeutet auch Transparenz in der Benachrichtigungskette, damit der Aufsichtsrat schnell genug von einer Sicherheitsverletzung erfährt, um angemessen reagieren zu können, insbesondere angesichts der 72-Stunden-Meldepflicht, die für die mit dem Fonds verbundenen Unternehmen gilt.
„Resilienz ist eine Frage der Kontinuität, und Kontinuität ist Aufgabe des Vorstands“, sagte Inggs. „Man muss keine Firewall prüfen. Man muss wissen, was am ersten Morgen einesdentpassiert, und zwar bevor dieser Morgen kommt.“
Offenlegung erhöht den Einsatz
Auch vonseiten der Offenlegungspflichten wächst der Druck. Als die Kaimaninseln Anfang 2026 ihren Fondsrahmen aktualisierten, führten sie Anforderungen an Angebotsunterlagen ein, die technologiespezifische Risiken, einschließlich Cybersicherheit, detailliert darlegen und erläutern, wie diese Risiken gemindert werden. Anleger werden diese Angaben lesen und prüfen.
Leeward geht davon aus, dass operative Resilienz künftig ein fester Bestandteil der institutionellen Due-Diligence-Prüfung und nicht länger ein Nischenthema sein wird. Fonds, die nachweisen können, dass sich ihr Vorstand ernsthaft mit diesem Thema auseinandersetzt, werden es laut Leeward leichter haben, institutionelles Kapital zu gewinnen und zu halten, als solche, die Cyberrisiken lediglich als technische Randnotiz behandeln.
„Die Fonds, die das richtig machen, sind nicht diejenigen mit den längsten Richtlinien“, Inggs . „Es sind diejenigen, bei denen der Vorstand Ihnen in einfachen Worten erklären kann, wie der Fonds auch an einem schlechten Tag weiterläuft.“
Leeward bietet unabhängigedent und Governance-Dienstleistungen von den Kaimaninseln aus an. Sean Inggs ist unabhängigerdent bei Leeward und als professioneller Direktor gemäß dem kaimanischen Direktorenregistrierungs- und Lizenzierungsgesetz registriert. Er verfügt über mehr als 20 Jahre internationale Erfahrung in den Bereichen Recht und Governance, insbesondere in Hedgefonds, Private Equity, Family Offices und Blockchain-Unternehmen. Weitere Informationen finden Sie unter leeward.ky.
Haftungsausschluss. Dies ist eine Unternehmensmitteilung. Leser sollten eigene Recherchen durchführen, bevor sie Maßnahmen im Zusammenhang mit dem beworbenen Unternehmen, seinen verbundenen Unternehmen oder Dienstleistungen ergreifen. CryptopolitanCryptopolitan.com weder direkt noch indirekt für Schäden oder Verluste, die durch die Nutzung oder das Vertrauen auf Inhalte, Waren oder Dienstleistungen dieser Pressemitteilung verursacht wurden oder angeblich verursacht wurden.

Cryptopolitan Media
Ein eigener Bereich für ausgewählte Einblicke und aktuelle Neuigkeiten aus unserem Netzwerk globaler Industriepartner.















