SWIFT CSP: SWIFT schärft Ihr Sicherheitsprogramm im Kampf gegen Cyberattacken

Jens Probst Partner Risk Assurance FS, PwC Switzerland 27 Apr 2020

Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) gewährleistet den weltweit sicheren Zahlungsverkehr. 2017 hat sie das Customer Security Programme (CSP) lanciert, um gezielt gegen Cyberattacken vorzugehen. Für 2020 wurde das CSP ausgebaut und der Nachweisprozess verschärft.
Mit vereinten Kräften gegen Bedrohungen aus dem Cyberspace

SWIFT regelt heute den Nachrichten- und Transaktionsverkehr von weltweit über 10‘000 Banken, Versicherungen und Unternehmen über ihr sicheres und standardisiertes Netzwerk. Die wachsende Anzahl von Cyberangriffen auf Infrastrukturen von Netzwerkteilnehmern und somit auch auf das SWIFT-Netzwerk hat den Transaktionsspezialisten veranlasst, ein Sicherheitsprogramm für seine Teilnehmer zu entwickeln. Mit dem CSP will er die Kräfte der Netzwerkteilnehmer bündeln und Bedrohungen aus dem Cyberspace die Stirn bieten.

Das CSP wurde 2017 in Kraft gesetzt. Es definiert Anforderungen an alle angeschlossenen Teilnehmer mit dem Ziel, den Informationsaustausch innerhalb der SWIFT-Community zu verbessern und die lokale SWIFT-Infrastruktur der Teilnehmer auf einem angemessenen Sicherheitsniveau zu halten. Mit diesem Rahmen für eine abgestimmte Qualitätssicherung will SWIFT den zunehmenden Cyberrisiken begegnen und die Abwehrkräfte der SWIFT-Teilnehmer gegen Cyberattacken stärken.

Teilnahmerate SWIFT CSP 2019

Wie SWIFT in einer Mitteilung vom März 2020 verlauten lässt, haben mehr als 91% aller SWIFT-Teilnehmer, welche für mehr als 99% des SWIFT-Netzwerkverkehrs verantwortlich sind, die Einhaltung der Kontrollen attestiert. SWIFT teilt ebenfalls mit, dass für SWIFT-Teilnehmer, welche nicht oder unvollständig attestiert sind, das Recht vorbehalten wird, die lokalen Aufsichtsbehörden zu informieren. 

Das Sicherheitsprogramm wird weiter verschärft

SWIFT passt ihr Customer Security Controls Framework (CSCF) jedes Jahr den aktuellen Gegebenheiten an. Für 2020 hat sie zwei bisher fakultative Kontrollen («Advisory») zu verbindlichen Kontrollen («Mandatory») heraufgestuft und zwei neue «Advisory»-Kontrollen ins Programm aufgenommen (vgl. Abbildung 1). Zudem wurden einzelne bestehende Kontrollen konkretisiert. Am 17. Juli 2019 hat SWIFT die neue Version des Customer Security Controls Frameworks veröffentlicht. Die teilnehmenden Finanzinstitute müssen bis spätestens Ende 2020 gegenüber der SWIFT nachweisen, dass sie alle «Mandatory»-Kontrollen einhalten.

Abbildung 1: Die wichtigsten Neuerungen im CSCF für 2020 im Überblick

Substanzielle Änderung am Nachweisprozess 

Im Gegensatz zu den bisherigen Versionen des CSCF kann für die neue CSCF-Version 2020 nicht mehr ein sogenanntes «user initiated assessment» (Self-Assessment) vorgenommen werden. Ab sofort sind nur noch unabhängige Assessments, gemäss dem «Community-Standard» möglich, welche durch externe Assessoren oder bei entsprechenden fachlichen Kompetenzen durch die interne Revision durchgeführt werden können. Sofern die Unabhängigkeit sichergestellt ist, besteht auch die Möglichkeit, ein solches Assessment durch die 2. Verteidigungslinie (z.B. Risk Control, CISO) durchführen zu lassen.

Aus Gründen der Qualitätssicherung wird SWIFT zudem zusätzlich für eine Auswahl von Teilnehmern ein unabhängiges externes Assessment («Swift-mandated assessment») verlangen. 

Implementierung mit weitreichenden Folgen

Erfahrungen aus den Attestierungszyklen haben gezeigt, dass die Implementierung des Sicherheitsprogramms und das laufende Einhalten der CSP-Anforderungen für SWIFT-Teilnehmer grosse Anstrengungen bedeuten. Denn die Anforderungen der SWIFT sind umfangreich und erfassen auch die lokale IT-Infrastruktur der Teilnehmer. Zudem gehen einzelne Ansprüche bei manchen Häusern über die hauseigenen Anforderungen an einen soliden Grundschutz hinaus.

SWIFT-Teilnehmer gefragt und gefordert

Die jüngsten Änderungen und Neuerungen im CSP stellen für Finanzinstitute des SWIFT-Netzwerks weit mehr als kleine Retuschen im Sicherheitsdispositiv dar. Sie müssen die operative Wirksamkeit der implementierten Kontrollen und damit ihre SWIFT-Compliance gewährleisten. Das bedeutet, dass sie sich frühzeitig und ausgiebig mit den hochgestuften und neuen «Mandatory»-Kontrollen auseinandersetzen sollten. Dazu lohnt sich ein Klick in die detaillierte Beschreibung der CSP-Inhalte auf der Website von SWIFT. Denn die Neuerungen sind gegebenenfalls noch nicht in der lokalen Sicherheitsarchitektur berücksichtigt. Das heisst, die SWIFT-Teilnehmer müssen eventuell neue Kontrollmassnahmen implementieren und deren Effektivität prüfen. Und zwar schon bald.

Des Weiteren sind die SWIFT-Teilnehmer gut beraten, sich aufgrund des geänderten Nachweisprozesses rechtzeitig um die Art der Attestierung zu kümmern (intern/extern). Gerade für den Fall, dass das bisherige Self-Assessment durch ein externes Assessment abgelöst wird, ist es essentiell, den richtigen Partner zu finden und diesen frühzeitig ins Boot zu holen.

Externes Assessment als weitsichtige Lösung

Die einwandfreie Umsetzung der SWIFT-Anforderungen lässt sich mit einem strukturierten Vorgehen leichter nachweisen. Wir von PwC sind bei diversen SWIFT-Teilnehmern in verschiedenen Rollen tätig (vgl. Tabelle 1). So helfen wir SWIFT-Netzwerkteilnehmern, ihre Informations- und Cybersicherheit gerade auch unter hohem Zeitdruck regelkonform auszugestalten und ihre SWIFT-Compliance gezielt zu verfeinern.

Design Review Assessment Assessment basierend auf dem ISAE 3000 Standard

Die Berichterstattung erfolgt in Form eines Managementberichts:

  • Beurteilung des Designs der Kontrollen basierend auf Interviews, Systemeinsichten und Dokumentenstudium.
  • Pro SWIFT-Kontrolle wird aufgezeigt, ob für das Design der Kontrollen ein Gap zu den SWIFT-Vorgaben vorliegt.
  • Im Falle eines Gaps wird der Gap beschrieben.

Die Berichterstattung erfolgt in Form eines Managementberichts: 

  • Beurteilung der Implementierung der Kontrollen basierend auf Interviews, Systemeinsichten, Walkthroughs, Dokumentenstudium und Einhalteprüfungen.
  • Pro SWIFT-Kontrolle wird aufgezeigt, ob ein Gap zu den SWIFT-Vorgaben vorliegt.
  • Im Falle eines Gaps wird der Gap beschrieben.

Die Berichterstattung erfolgt nach dem ISAE 3000 Standard mit eingeschränkter oder hinreichender Sicherheit.

  • Beurteilung der Implementierung der Kontrollen basierend auf Interviews, Systemeinsichten, Walkthroughs, Dokumentenstudium und Einhalteprüfungen
  • Einzelbeurteilung der Einhaltung der SWIFT-Vorgaben für jede geprüfte Kontrolle («as the implementation guidelines in the SWIFT CSCF» oder «using an alternative implementation while meeting the same control objective»)
  • Im Falle einer nicht vollständigen Compliance wird die Abweichung beschrieben.
  • Der ISAE 3000 Bericht kann auf Anfrage der SWIFT ausgehändigt werden.

Tabelle 1: Mit externer Hilfe zu einem unabhängigen Nachweis der SWIFT-Compliance

Netzwerk und sich selber schützen

SWIFT rüstet weiter zum Kampf gegen Cyberbedrohungen. Mit dem Sicherheitsprogramm CSP gibt sie verbindliche und fakultative Vorgaben zum Schutz der lokalen SWIFT-Infrastruktur ab. Für 2020 hat SWIFT zwei «Advisory»-Kontrollen zu «Mandatory»-Kontrollen verschärft und dem Programm zwei neue «Advisory» Kontrollen hinzugefügt. 

Des Weiteren wurden Änderungen im Nachweisverfahren vorgenommen: Ab sofort sind nur noch unabhängige Assessments möglich, welche durch externe Assessoren oder bei entsprechenden fachlichen Kompetenzen durch die interne Revision durchgeführt werden können. Sofern die Unabhängigkeit sichergestellt ist, besteht auch die Möglichkeit, ein solches Assessment durch die 2. Verteidigungslinie durchführen zu lassen. 

Aufgrund der Anforderungen und der Aktualität des Themas Cyber Security lohnt sich eine hohe Priorisierung des Themas. Ein Beizug einer kompetenten Drittpartei im Hinblick auf das Assessment bringt mehr Sicherheit, Vergleichsmöglichkeiten und zeigt Verbesserungspotenzial auf.

 

Kontaktieren Sie uns

Jens Probst

Jens Probst

Partner Risk Assurance FS, PwC Switzerland

Tel.: +41 79 372 57 88

Claudia Hösli

Claudia Hösli

Senior Manager, Spezialist Information Security, PwC Switzerland

Tel.: +41 58 792 14 85