close
Share with your friends

Der Finanzsektor ist nach wie vor eines der Hauptangriffsziele für Cyberattacken. Das SWIFT-Netzwerk (Worldwide Interbank Financial Telecommunications) wurde bereits mehrmals Opfer derartiger Attacken, die zu Verlusten in Millionenhöhe geführt haben. Als Reaktion darauf hat SWIFT das Customer Security Program (CSP) eingeführt. Ab Mitte 2021 werden alle SWIFT-Mitglieder zur Einhaltung der verpflichtenden Kontrollen des Customer Security Controls Framework (CSCF v2021) ein unabhängiges Assessment durchführen lassen müssen.

Das SWIFT CSP basiert auf drei Säulen
SWIFT

Mit dem CSCF verfolgt SWIFT das Ziel, bei allen Teilnehmern ein standardisiertes Sicherheitsframework umzusetzen, um besser gegen Angriffe gewappnet zu sein bzw diese zeitnahe erkennen und darauf reagieren zu können.

Mit Einführung der Version 2020 des CSCF wurden ua zwei empfohlene in verpflichtende Kontrollen umgewandelt (1.3 Virtualisation Platform Protection, 2.10 Application Hardening) und zwei neue empfohlene Kontrollen (1.4A Restriction of Internet Access, 2.11A RMA Business Control) hinzugefügt. Wesentlichste Änderung für die SWIFT-Mitglieder ist jedoch die Verpflichtung, das jährliche Self-Attestation zusätzlich durch ein unabhängiges Assessment (Community-Standard Assessment) beurteilen zu lassen. 

Mit Version v2021 wurde ein weitere Kontrolle 1.4 (Restriction of Internet Access) verpflichtend. Da jedoch die meisten Kunden diese Anforderungen bereits unter 1.1 abdeckt hatten, kommt kein zusätzlicher Umsetzungsaufwand hinzu.

Entwicklung von SWIFT CSCF
Entwicklung

Das Community-Standard Assessment kann intern oder extern erfolgen. Intern durch die „2nd oder 3rd line of defense“ (zB Internal Audit), sofern diese unabhängig von der Self-Attestation sind und über entsprechende Kompetenz und Zertifizierungen verfügen. Externe Assessments können von qualifizierten Unternehmen, die über entsprechende Erfahrung und Zertifikate verfügen, durchgeführt werden.

Wird das unabhängige Assessment durch ein SWIFT-Member nicht durchgeführt oder sind die Ergebnisse der Self-Attestation mangelhaft, behält SWIFT sich das Recht vor, dies den lokalen Aufsichtsbehörden oder anderen SWIFT-Mitgliedern („Counter-parties“) zu melden. Schließlich gefährdet der „Weakest Link“ das gesamte Netzwerk.

Häufig werden Teile der SWIFT-Infrastruktur an eine Service Organisation („Service Bureau“) ausgelagert (zB kleinere/mittlere Banken, Corporates). Auch dann ist für die verbleibenden relevanten Kontrollen eine Beurteilung durchzuführen.

Unser kombiniertes Team an Spezialisten aus den Bereichen IT-Audit, IT-Assurance und Cyber Security kann bei Einhaltung der SWIFT-Anforderungen durch Readiness Assessments unterstützen, sowie externe unabhängige Assessments (Community-Standard Assessments) durchführen.

KPMG Ansprechpartner