close
Share with your friends

Nach der COVID-19-bedingten Verschiebung ist nun ein unabhängiges Assessment des Customer Security Controls Framework (CSCF) bis zum 31. Dezember 2021 für alle SWIFT Members verpflichtend. Die Änderungen halten sich in Grenzen. Falls dem nicht nachgekommen wird oder die Ergebnisse mangelhaft sind, behält SWIFT sich das Recht vor, dies den lokalen Aufsichtsbehörden oder anderen SWIFT Members zu melden.

Der Finanzsektor ist und bleibt eines der Hauptangriffsziele für Cyberattacken. Nach wie vor steht daher die wachsende Bedrohung durch Cyberkriminalität im primären Fokus der SWIFT (Society for Worldwide Interbank Financial Telecommunication). Mit den Compliance-Anforderungen des Customer Security Controls Framework (CSCF) verfolgt SWIFT ein klares Ziel: Bei allen Teilnehmern soll ein standardisiertes Sicherheitsframework umgesetzt werden, um besser gegen Angriffe gewappnet zu sein bzw diese zeitnah erkennen und darauf reagieren zu können.

Wenig Neuheiten

Welche Änderungen ergeben sich nun von CSCF v2020 auf v2021? Die wichtigste Nachricht zuerst: Mit CSCF v2021 kommen keine neuen Kontrollen hinzu. Es wurde seitens SWIFT versucht, die Änderungen auf ein Minimum zu reduzieren, um eine zeitgerechte Umsetzung zu ermöglichen.
CSCF v2021 hat in Summe 22 "Mandatory Controls" und "Advisory Controls". Die bisherige Advisory-Kontrolle 1.4 („Restriction of Internet Access“) wurde zu einer verpflichtenden Kontrolle. Für Members, die v2020 bereits umgesetzt hatten, wird sich der zusätzliche Aufwand für v2021 in Grenzen halten: Die Anforderungen für 1.4 waren größtenteils bereits unter Kontrolle 1.1 abgedeckt.

Für Kontrolle 4.2 wurde der Scope geändert: Die Multi-Faktor-Authentifizierung soll auch beim Remote-Zugriff auf einen SWIFT-bezogenen Dienst, eine Anwendung oder eine Komponente, die von einem Dienstanbieter betrieben wird, zumindest für die Transaktionsverarbeitung dargestellt werden. Dies bedeutet, dass für die Authentifizierung bei jeder Anwendung, die für die SWIFT-Transaktionsverarbeitung verwendet wird, jetzt eine Multi-Faktor-Authentifizierung erforderlich ist.

Klare Worte

Es gibt außerdem einen neuen SWIFT-Architekturtyp: Der bisherige Architekturtyp A3 wird aufgetrennt in A3 (mit SWIFT Footprint) und A4 (ohne SWIFT Footprint). Die Ausgestaltung für A3 bleibt wie bisher inklusive SWIFT Connector. Bei dem neuen Architekturtyp A4 wird ein Customer Connector verwendet und es gibt keine definierte „Secure Zone“.

Darüber hinaus wurden eine Reihe von Richtlinien und Geltungsbereichsdefinitionen (hauptsächlich für „Connectors“) präzisiert, um die Beurteilung der Einhaltung der Anforderungen zu erleichtern. Es wird hervorgehoben, dass ein „Risk-Based Approach” auf Basis der Implementierungsguidelines Anwendung finden soll. Wesentlich ist auch, dass im Fall von Auslagerungen der SWIFT-Infrastruktur entsprechende Zusicherung der Einhaltung der Anforderungen bei den Service Organisationen einzuholen ist.

KPMG kombiniert in den einzelnen Teams Spezialisten aus den Bereichen IT Audit, IT Assurance und Cyber Security. Dadurch können die Einhaltung der SWIFT-Anforderungen durch ­Readiness Assessments unterstützt sowie externe unabhängige (­Community-Standard-)Assessments durchgeführt werden.

Die Society for Worldwide Interbank Financial Telecommunication – kurz SWIFT – wurde in den 1970er-Jahren in Belgien gegründet. Die von Finanzinstituten getragene Gesellschaft ist Provider eines besonders sicheren Kommunikationsnetzwerks und bietet Produkte sowie Services, um Finanznachrichten auszutauschen. Zu den SWIFT Members zählen Unternehmen aus dem Finanzbereich in mehr als 200 Ländern.

Quelle: www.swift.com