Unternehmen und nicht zuletzt Banken geraten immer wieder und zunehmend ins Visier von Cyber-Kriminellen. Am Ball bleibt auch die Society for Worldwide Interbank Financial Telecommunication (SWIFT). Seit der Einführung des SWIFT Customer Security Programme (CSP) werden die im SWIFT Customer Security Controls Framework (CSCF) beschriebenen Kontrollen jährlich angepasst und erweitert – immer auf der Basis der aktuellen Bedrohungsszenarien. So wird in diesem Jahr eine bisher optional umzusetzende Kontrolle angehoben. Außerdem gilt erstmals die Pflicht, das Community Standard Assessment durchzuführen, was die SWIFT-Teilnehmer vor zusätzliche Herausforderungen stellt.
Community Standard Assessments - Umsetzung verpflichtend 2021
Die verpflichtende Durchführung des neuen Assessments war ursprünglich bereits für das Jahr 2020 vorgesehen, wurde jedoch aufgrund der COVID-19-Pandemie auf das Jahr 2021 verschoben. Ziel ist es, die Aussagekraft der attestierten Compliance gegen die verpflichtend umzusetzenden Mandatory Controls und optional umzusetzenden Advisory Controls gemäß dem SWIFT CSCF zu erhöhen. Das Independent Assessment kann dabei entweder intern durch die Second oder Third Line of Defense oder durch einen unabhängigen externen Partner geprüft werden. Damit reicht es nun nicht mehr aus, die Compliance gegen die Kontrollen im Rahmen eines Self-Assessments durch die operative First Line of Defense zu bestätigen.
Anpassung des CSCF
Wesentliche Änderung in der aktuellsten Version v2021 des SWIFT CSCF ist die Anhebung der Kontrolle 1.4 Restrict Internet Access zur verpflichtenden Kontrolle. Dies liegt daran, dass das Internet als größtes Einfallstor für Bedrohungen gesehen werden kann. Tatsächlich war diese Kontrolle jedoch bereits ursprünglich Bestandteil der Control 1.1, wurde dann in der Version v2020 separat aufgenommen und ist nun verpflichtend umzusetzen. Aus den vergangenen CSCF-Versionen ist zu erkennen, dass neue Kontrollen zunächst als Advisory Controls eingeführt wurden und dann im Folgejahr zu Mandatory Controls angehoben wurden. In der aktuellsten CSCF-Version v2021 sind nun 22 verpflichtende Kontrollen und neun optionale Kontrollen beschrieben.
Darüber hinaus gilt es eine Reihe an Konkretisierungen der Implementation Guidelines und Anwendungsbereiche bestehender Kontrollen sowie die Einführung des neuen Architekturtypen A4 zu beachten.
Verschärfte Timeline
Bereits für die vergangene Attestierungsperiode wurde von SWIFT empfohlen, die Compliance gegenüber der Version v2020 nachzuweisen, auch wenn die erneute Attestierung der Vorversion ausreichend war. Die Änderungen der CSCF-Version v2020 wurden in v2021 überführt und können damit in diesem Jahr zu einem erhöhten Aufwand in der Erfüllung der Compliance-Anforderungen führen.
Angesichts der geänderten Zeitpläne für die Attestierung des CSCF sowie der Einführung der neuen Assessment-Methodik ist es empfehlenswert, sich rechtzeitig mit den geänderten Anforderungen auseinanderzusetzen – vor allem, wenn die Durchführung des unabhängigen Assessments 2020 noch nicht verprobt wurde. Zur Vorbereitung auf das Assessment sollte früh mit der Gap-Analyse und Umsetzung der Kontrollen begonnen werden, um die fristgerechte Umsetzung und Durchführung des neuen Assessments zu gewährleisten.
Darüber hinaus ist es ratsam, zeitnah die Verfügbarkeit von qualifizierten unabhängigen Prüfern zur Durchführung des Independent Assessment sicherzustellen. Wer das Assessment extern durchführen lassen möchte, kann sich an der von SWIFT bereitgestellten Übersicht an CSP-Assessment-Dienstleistern orientieren.
Über diesen Autor
Ann-Kathrin Sobotta
Senior Consultant
Ann-Kathrin Sobotta ist im Bereich Financial Services mit dem Schwerpunkt Payments tätig. Als Schnittstelle zwischen IT und Business begleitet sie Kunden aus den Bereichen Financial Services und Telekommunikation als Projektleitung und Business Analyst.
