close
Share with your friends

SWIFT Customer Security Programme (CSP) 2020

SWIFT Customer Security Programme (CSP) 2020

Ein schlafender Riese erwacht

Nils A. Bothe

Partner, Audit, Finanz- und Treasury Management, Finance Advisory

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

SWIFT

Alle Unternehmen, die am SWIFT-Netzwerk zur Abwicklung des Zahlungsverkehrs teilnehmen, sprich einen eigenen SWIFT BIC besitzen, müssen die Sicherheitsanforderungen des SWIFT-eigenen Security-Standards CSP (Customer Security Programme) erfüllen. Diese Anforderungen sind erstmals 2016 veröffentlicht worden. 2017 hatten wir hierzu einen entsprechenden Artikel veröffentlicht. Aus unseren Gesprächen und Projekten mit den Zahlungsverkehrs- und Treasury-Abteilungen in deutschen und internationalen Unternehmen wissen wir, dass die Erfordernis entsprechende Sicherheitsmaßnahmen umzusetzen, bei den betroffenen Unternehmen inzwischen angekommen ist. Gleichwohl lässt der Grad der Umsetzung immer noch sehr zu wünschen übrig. Und auch auf die Änderungen am CSP, das zwischenzeitlich mehrere Updates erfahren hat, reagieren viele Unternehmen nur zaghaft. Da in 2020 eine Überprüfung der Einhaltung des Standards durch unabhängige Audits zur Pflicht wird, ist es Zeit, einen klaren und unverstellten Blick auf den Status Quo zu werfen, damit es keine unliebsamen Überraschungen gibt.

Die Anforderungen an die Sicherheit steigen

Der Standard hat mit den Versionen v2019 und v2020 in den letzten beiden Jahren graduelle Änderungen erfahren. Tendenz: die Anzahl der Kontrollen steigt. Waren beispielsweise für den Architekturtyp A1, bei dem das Unternehmen eine lokale SWIFT-Infrastruktur besitzt, ursprünglich (2017) 16 Kontrollen verpflichtend umzusetzen, sind es 2020 schon 21. Ähnliches gilt vergleichbar auch für alle anderen Architekturtypen.

Ein Trend ist deutlich abzusehen: SWIFT zieht die Daumenschrauben der IT-Sicherheit merklich an. Dabei werden zunächst Kontrollen, die in der Vergangenheit optional, de facto also freiwillig waren, zu verpflichtenden Kontrollen aufgewertet. Zusätzlich werden neue Kontrollen eingeführt, die zunächst lediglich optional sind; bei denen jedoch schon heute klar absehbar ist, dass sie zukünftig ebenfalls zu verpflichtenden Kontrollen aufgewertet werden. Als Beispiel sei hier die Kontrolle 2.10 genannt, die die sicherheitstechnische „Härtung“ der Zahlungsverkehrs-Anwendung beschreibt. Dies bedeutet die Absicherung der SWIFT Alliance-Software oder vergleichbarer Produkte von Drittanbietern, indem etwa Standardpasswörter geändert und nicht benötigte Useraccounts gelöscht werden. Sie wurde erst mit Version 2019 als optionale Kontrolle eingeführt - in Version 2020 ist sie bereits verpflichtend. 

Welcher (Architektur-) Typ sind Sie?

Gerade viele mittelständische Unternehmen haben in der Vergangenheit gern die Architektur-Variante A gewählt, bei der im eigenen Haus SWIFT-Anwendungen, teilweise inklusive spezieller SWIFT-VPN-Boxen1 betrieben werden. Dies ist kostenmäßig betrachtet in vielen Fällen weitaus günstiger als die Dienste eines Service Bureaus. Durch die CSP-Brille betrachtet sind es aber gerade die Typ A-Architekturen, die eben durch die speziellen Systeme und Infrastruktur-Komponenten einen erheblichen Mehraufwand bei der Umsetzung des CSP bringen. Nicht nur die Anzahl der Kontrollen ist hier höher (14 im Vergleich zu 20 bzw. 21), auch Art und Umfang der zusätzlichen Kontrollen sind teilweise deutlich komplexer.

Während Banken und Versicherungen einen hohen Aufwand bei der Absicherung von IT-Systemen üblicherweise gewohnt sind, stellt die Umsetzung von CSP gerade mittelständische Unternehmen, aber auch viele internationale Konzerne vor erhebliche Herausforderungen. Denn der geforderte Maßnahmenkatalog ist lang und komplex. Andererseits muss fairerweise konstatiert werden: es geht um nichts weniger als die Absicherung der Geldströme aus den Unternehmen heraus. State-of-the-Art Cyber Security ist hier kein „Kann“, sondern ein „Muss“. Dies belegen zahlreiche Studien klar und deutlich, wie zum Beispiel das Consumer Loss Barometer oder die Studie über „Computerkriminalität in der deutschen Wirtschaft 2019“. 

Von der Self-Attestation zum Audit

Bislang reichte zum Nachweis der Compliance mit dem CSP ein vom Unternehmen selbst durchgeführtes Self-Assessment. Wenngleich die Vielzahl der Anwender eine ehrliche Sicht auf den tatsächlichen Erfüllungsgrad geworfen und diesen auch wahrheitsgemäß an SWIFT berichtet hat, waren einige Self-Assessments offenbar weniger glaubwürdig. Damit soll nun Schluss sein. Bereits in 2019 wurden von SWIFT vereinzelt und stichprobenartig Pflichtprüfungen (sogenannte „mandated audits“) angesetzt. Ab 2020 wird eine solche Prüfung durch unabhängige Dritte nun Pflicht.

Als unabhängige Dritte gelten im CSP übrigens sowohl externe Auditoren als auch intern unabhängige Personen, die jedoch selbstverständlich die entsprechende Expertise besitzen müssen. So kommen insbesondere speziell geschulte IT-Security-Revisoren in Frage, die auch formal unabhängig im Unternehmen agieren. 

Unsere KPMG-Spezialisten von „Cyber Security“ nehmen momentan eine stark gestiegene Nachfrage nach entsprechenden Prüfkapazitäten wahr. Denn eines ist schon heute klar: es gibt erheblich mehr Prüfbedarf als fachlich geeignete Kapazitäten am Markt. 

Unternehmen, die bislang noch keine Zweitmeinung zum Umsetzungsstand eingeholt haben und die mit Audits in diesem Bereich noch keine Erfahrung haben, laufen Gefahr, im komplexen CSP-Regelwerk Details zu übersehen. Der Auditor kommt dann möglicherweise zum Urteil, dass Kontrollen, die bislang für erfüllt gehalten wurden, gar nicht wirksam sind. Um diesem Risiko vorzubeugen, ist es sinnvoll, vorab ein simuliertes Audit oder einen „dry run“ durchzuführen. So können mögliche „show stopper“ noch rechtzeitig erkannt und abgestellt werden. Es sollte aber zügig gehandelt werden - denn schließlich müssen alle Auditergebnisse bis zum 31. Dezember 2020 bei SWIFT eingereicht worden sein. 

Alles im Blick?

Unsere Praxistipps:

  • Alle Beteiligten müssen für dieses Projekt zusammenarbeiten: Fachabteilung, IT und alle relevanten Dienstleister wie beispielsweise Hostingpartner und Softwarelieferanten 
  • Wenn es bislang noch kein Assessment eines unabhängigen Dritten gab - führen Sie ein Test-Assessment vor dem eigentlichen Audit durch, damit noch Zeit bleibt, eventuelle Lücken zu schließen 
  • Kontrollen sind optional - eine Meldung im Rahmen des KYC ist nicht erforderlich. Aber behaltenen Sie diese im Blick, demnächst werden sie vielleicht verpflichtend 
  • Rechtzeitig geeignete Prüfer reservieren - in-house oder externe Auditoren. Achten Sie besonders auf die bisherige SWIFT-Erfahrung der Prüfer und ein Listing bei SWIFT2  
  • Verfolgen Sie die Entwicklungen bei SWIFT regelmäßig - abonnieren Sie zum Beispiel den Newsletter3, damit Sie von Änderungen nicht überrascht werden.

_______________________________________________________

SWIFT-VPN-Box: Hardware, die eine direkte Verbindung zum SWIFT-Netzwerk herstellt
2 https://www.swift.com/myswift/customer-security-programme-csp_/community-engagement/cyber-firms-directory
3 Der Newsletter ist nur für registrierte Benutzer erhältlich. Dazu wählen Sie im SWIFT-Portal My tools – My profile and account – Personal Info – Newsletters und setzen einen Haken bei „Security“ bzw. „Security Notification“

Quelle: KPMG Corporate Treasury News, Ausgabe 98, Januar/Februar 2020

KPMG Corporate Treasury News

© 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative (“KPMG International”), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP) einreichen

 

loading image Zum Angebotsformular