Banken sollten sich zeitnah auf erhöhte CSP-Anforderungen durch SWIFT einstellen

17 Juni, 2019

Angesichts der stetig wachsenden und sich rasch wandelnden Bedrohungslage durch Hackerangriffe aus dem Cyber-Raum hat SWIFT als Plattform für den sicheren Austausch von Nachrichten im internationalen Finanzsektor das Sicherheitsprogramm zum Schutz seiner Teilnehmer erneut angepasst.

Für 2019 wurden in das „Customer Security Programme“ (CSP) drei bislang optionale Kontrollen als verbindlich beziehungsweise „mandatory“ eingestuft. Außerdem wurden zwei freiwillige beziehungsweise sogenannte „advisory“-Kontrollen neu in das Sicherheitsprogramm integriert sowie einzelne Kontrollvorgaben konkretisiert und verschärft.

Attestierungspflicht bis Ende 2019

Unter anderem müssen SWIFT-Nutzer fortan ein „Vulnerability Scanning“ vorweisen, mit dem Schwachstellen systematisch in IT-Systemen identifiziert werden, um diese einer geregelten Behandlung zuzuführen. Als neue Kontrollen werden unter anderem Maßnahmen zur Sicherheit für die Nutzung virtueller Plattformen und Systeme sowie für Zugänge und Schnittstellen im Finanznachrichtenverkehr empfohlen.

Die Teilnehmer müssen SWIFT spätestens bis Ende 2019 belegen, dass sie die verbindlichen Sicherheitsstandards erfüllen. Die Zahlungsplattform hat seine Nutzer bereits dazu aufgerufen, sich frühzeitig mit den Kontrollen auseinanderzusetzen, diese zu implementieren und deren Effektivität zu prüfen. Die Compliance-Attestierungen können auch von Kunden der SWIFT-Teilnehmer (Counterparts) eingesehen und zur Risikoeinschätzung für Geschäftsentscheidungen verwendet werden.

SWIFT wird weltweit von mehr als 11.000 Banken, Marktinfrastrukturanbietern und Firmenkunden genutzt. Mit den erhöhten Sicherheitsanforderungen will das internationale Zahlungssystem die Cyber-Security seines Netzwerkes stärken und die Finanzbranche wirksamer gegen unbefugte Zugriffe von Cyber-Kriminellen schützen.

Cyber-Sicherheit der Branche stärken

Auslöser für das bereits 2017 eingeführte CSP waren vermehrte Cyber-Angriffe auf die an SWIFT angeschlossenen internationalen Finanzakteure. In einem besonders spektakulären Fall hatten Hacker 2016 durch Systemmanipulation über 80 Millionen Dollar von der Zentralbank in Bangladesch erbeutet. Nach Einschätzung von SWIFT war dies kein Einzelfall, sondern Teil einer stark anpassungsfähigen Kampagne, die auf die gesamte Finanzbranche abzielt.

Im Cyber-Raum treten nicht nur laufend neue Angreifer auf den Plan, auch die Methoden werden immer ausgefeilter. Um der sich wandelnden Bedrohungslage Rechnung zu tragen, passt SWIFT sein CSP-Sicherheitsprogramm regelmäßig an. Mittlerweile sind 19 von insgesamt 29 Kontrollen für die Nutzer verbindlich, zehn Kontrollen werden empfohlen. Das CSP-Rahmenwerk umfasst acht Prinzipien, darunter die wirksame Sicherung von Authentifizierungsprozessen und Zugriffsrechten sowie ein Echtzeit-Alarmsystem für Unregelmäßigkeiten bei Zahlungsverkehrsnachrichten und Aktivitäten.

Qualitätssicherung durch effektivere Kontrollmechanismen

Die Implementierung des CSP und Erfüllung der umfangreichen Anforderungen stellt die SWIFTTeilnehmer vor enorme Herausforderungen und ist teilweise mit einem hohen IT- und Kostenaufwand verbunden. IT-Infrastrukturen müssen laufend auf mögliche Schwachstellen überprüft und diese entweder durch Software-Updates (Patching) oder durch umfangreichere Neuprogrammierungen behoben werden.

Der erforderliche jährliche Nachweis der Einhaltung der CSP-Anforderungen kann im Rahmen einer Selbst-Attestierung (Self-Attestation), eines internen Audit (Self-Inspection) oder eines externen Audit (Third-Party Inspection) erfolgen. In Einzelfällen kann SWIFT Kunden auch auffordern, zusätzliche Compliance-Attestierungen durch interne oder externe Prüfer zu liefern.

SWIFT will auch den Attestierungsprozess weiter verschärfen. Dabei ist zu erwarten, dass Selbst-Attestierungen voraussichtlich ab 2020 nicht mehr möglich sein werden. Dies dürfte bei einzelnen Instituten zu erheblichen Unterschieden bei den eigenen Risikobewertungen führen und umfassende Neujustierungen erfordern, worauf sich die Teilnehmer zeitnah einstellen sollten.

Ein Team von über 200 Cyber-Security-Experten von PwC unterstützt SWIFT-Nutzer in Deutschland bei der Umsetzung, Einhaltung oder Attestierung der erhöhten CSP-Anforderungen. Die Bandbreite der Leistungen erstreckt sich von erforderlichen strategischen Weichenstellungen bis hin zur Implementierung effizienter und kostengünstiger Kontrollmechanismen.

Mithilfe des PwC-„Health Check“ analysieren unsere Experten Ihren aktuellen Sicherheitsstatus und identifizieren bestehende Sicherheitslücken. In Zusammenarbeit mit der Internen Revision (Self-Inspection) oder im Rahmen eines externen Audits (Third-Party Inspection) prüft unser Cyber-Security-Team Ihre Sicherheitskontrollen und attestiert die Einhaltung der SWIFT-Anforderungen.

Contact us

Achim Schäfer

Achim Schäfer

Partner Cyber Security & Privacy, PwC Germany

Tel.: +49 69 9585-1022

Maximilian Harmsen

Maximilian Harmsen

Digital Payments Lead, Financial Services, PwC Germany

Tel.: +49 8957 906402

Karsten Wilop

Karsten Wilop

Leader Digital Trust FS, PwC Germany

Tel.: +49 211 981-1931

Philipp Schulz

Philipp Schulz

Lead Trust & Certification FS, PwC Germany

Tel.: +49 211 981-2296

Follow us