Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) gewährt den weltweit sicheren Zahlungsverkehr. 2017 hat sie das Customer Security Programme (CSP) lanciert, um gezielt gegen Cyberattacken vorzugehen. Für 2019 wurde das CSP optimiert und auch der Nachweis der SWIFT-Compliance soll angepasst werden.
Neues und Wissenswertes zum SWIFT Customer Security Programme 2019
Mit vereinten Kräften gegen Bedrohungen aus dem Cyberspace
SWIFT regelt heute den Nachrichten- und Transaktionsverkehr von weltweit über 10‘000 Banken über ihr sicheres und standardisiertes Telekommunikationsnetz. Die wachsende Anzahl von Cyberangriffen auf dieses SWIFT-Netz und auf Infrastrukturen von Netzwerkteilnehmern hat den Transaktionsspezialisten veranlasst, ein Sicherheitsprogramm für seine Teilnehmer zu entwickeln. Mit dem CSP will er die Kräfte der Netzwerkteilnehmer bündeln und Bedrohungen aus dem Cyberspace die Stirn bieten.
Das CSP wurde 2017 gestartet. Es definiert Anforderungen an alle angeschlossenen Teilnehmer mit dem Ziel, den Informationsaustausch innerhalb der SWIFT-Community zu verbessern und die lokale SWIFT-Infrastruktur der Teilnehmer auf einem angemessenen Sicherheitsniveau zu halten. Mit diesem Rahmen für eine abgestimmte Qualitätssicherung will SWIFT den zunehmenden Cyberrisiken begegnen und die Abwehrkräfte der SWIFT-Teilnehmer gegen Cyberattacken stärken.
Die Daumenschraube wird angezogen
SWIFT passt ihr Sicherheitsprogramm jedes Jahr den aktuellen Gegebenheiten an. Für 2019 hat sie drei bisher fakultative Kontrollen («Advisory») zu verbindlichen Kontrollen («Mandatory») heraufgestuft und zwei neue «Advisory»-Kontrollen ins Programm aufgenommen (vgl. Abbildung 1). Zudem wurden einzelne bestehende Kontrollen konkretisiert. Am 10. August 2018 hat SWIFT ihre neue CSP-Version veröffentlicht. Die teilnehmenden Finanzinstitute müssen bis spätestens Ende 2019 gegenüber der SWIFT nachweisen, dass sie alle «Mandatory»-Kontrollen einhalten.
Abbildung 1: Die wichtigsten Neuerungen im CSP für 2019 im Überblick
Implementierung mit weitreichenden Folgen
Erfahrungen aus den Attestierungszyklen haben gezeigt, dass die Implementierung des Sicherheitsprogramms und das laufende Einhalten der CSP-Anforderungen für SWIFT-Teilnehmer einen enormen Aufwand bedeuten. Denn die Anforderungen der SWIFT sind umfangreich und erfassen auch die lokale IT-Infrastruktur der Teilnehmer. Zudem gehen einzelne Ansprüche bei manchen Häusern über die hauseigenen Anforderungen an einen soliden Grundschutz hinaus.
Substanzielle Änderung am Nachweisprozess angekündigt
Bestätigung der SWIFT-Compliance ein Muss
Seit Ende 2017 müssen alle Teilnehmer Jahr für Jahr bestätigen, dass sie die CSP-Kontrollen einhalten. Sie können frei wählen, ob sie diesen Nachweis im Rahmen eines Selbstattestes (Self-Attestation), eines internen Audits (Self-Inspection) oder eines externen Audits (Third-Party-Inspection) erbringen.
Aus Gründen der Qualitätssicherung behält sich SWIFT vor, für eine Auswahl von Teilnehmern ein unabhängiges externes Audit zu verlangen. Diesen Prozess hat sie bereits angestossen, wie sie den SWIFT-Instituten im Herbst 2018 mit dem «Customer Security Programme Newsletter: Q4 2018» mitteilte.
Am Branchenevent «SWIFT International Banking Operations Seminar» (SIBOS) im Oktober 2018 in Sidney kündigte SWIFT zudem Anpassungen am Nachweisprozess an. Demnach will sie die Vorgaben für die Bestätigung verschärfen. Erste Informationen deuten darauf hin, dass Selbstatteste nicht mehr möglich sein werden. SWIFT will die Neuerungen voraussichtlich ab 2020 einführen. Detaillierte Informationen dürften in den kommenden Monaten folgen.
SWIFT-Teilnehmer gefragt und gefordert
Die jüngsten Änderungen und Neuerungen im CSP stellen für Finanzinstitute des SWIFT-Netzwerks weit mehr als kleine Retuschen im Sicherheitsdispositiv dar. Sie müssen die operative Wirksamkeit der implementierten Kontrollen und damit ihre SWIFT-Compliance gewährleisten. Das bedeutet, dass sie sich frühzeitig und ausgiebig mit den hochgestuften und neuen «Mandatory»-Kontrollen auseinandersetzen sollten. Dazu lohnt sich ein Klick in die detaillierte Beschreibung der CSP-Inhalte auf der Website von SWIFT. Denn die Neuerungen sind gegebenenfalls noch nicht in der lokalen Sicherheitsarchitektur berücksichtigt. Heisst, die SWIFT-Teilnehmer müssen eventuell neue Kontrollmassnahmen implementieren und deren Effektivität prüfen. Und zwar schon bald.
Im Weiteren sind die SWIFT-Teilnehmer gut beraten, sich rechtzeitig auf die Änderungen des Nachweisprozesses vorzubereiten. Gerade für den Fall, dass das bisherige Selbstattest durch ein externes Audit abgelöst wird, ist es existenziell, den richtigen Partner zu finden und diesen frühzeitig ins Boot zu holen.
Externer Audit als weitsichtige Lösung
Die einwandfreie Umsetzung der SWIFT-Anforderungen lässt sich mit einem strukturierten Vorgehen leichter nachweisen. Wir von PwC sind bei diversen SWIFT-Teilnehmern in verschiedenen Rollen tätig (vgl. Abbildung 2). So helfen wir SWIFT-Netzwerkteilnehmern, ihre Informations- und Cybersicherheit gerade auch unter hohem Zeitdruck regelkonform auszugestalten und ihre SWIFT-Compliance gezielt zu verfeinern.
Abbildung 2: Mit externer Hilfe Schritt für Schritt zu einem unabhängigen Nachweis der SWIFT-Compliance
Netzwerk und sich selber schützen
SWIFT rüstet erneut zum Kampf gegen Cyberbedrohungen. Mit dem Sicherheitsprogramm CSP gibt sie verbindliche und fakultative Vorgaben zum Schutz der lokalen SWIFT-Infrastruktur ab. Für 2019 hat SWIFT drei «Advisory»-Kontrollen zu «Mandatory»-Kontrollen verschärft und dem Programm zwei neue «Advisory» Kontrollen hinzugefügt. Ausserdem wurden Änderungen im Nachweisverfahren angekündigt, die in den kommenden Monaten publiziert werden. Mit sämtlichen Neuerungen nimmt SWIFT ihre Netzwerkteilnehmer in die Pflicht. Für die Finanzinstitute selber bedeuten sie eine Überarbeitung ihres internen Kontrollframeworks und zusätzlichen Aufwand für die Sicherstellung der Einhaltung der Anforderungen aus dem CSP. Da es Hinweise gibt, dass das Selbstattest für den Nachweis der SWIFT-Compliance bald abgeschafft werden soll, lohnt sich eine hohe Priorisierung des Themas für die eigene Informations- und Cybersicherheit – und der Beizug einer kompetenten Drittpartei im Hinblick auf eine erfolgreiche Third-Party Inspection.
