Ann-Kathrin Sobotta, CGI

Ann-Kathrin Sobotta

Senior Consultant

Cyber-Attacken aus dem Netz sind inzwischen fast an der Tagesordnung. Umso mehr gilt es, gewappnet zu sein, um die Angriffe wirksam abwehren zu können. Das betrifft auch die Society for Worldwide Interbank Financial Telecommunication (SWIFT). Der führende Anbieter des Nachrichten- und Transaktionsverkehrs wird von 11.000 Finanzinstituten und über 100.000 Firmenkunden weltweit genutzt. 2017 wurde das Customer Security Programme (CSP) eingeführt, um SWIFT-Nutzer gegen Cyber-Angriffe zu schützen. Jedes Jahr werden die im Customer Security Controls Framework beschriebenen Sicherungskontrollen angepasst.

Unabhängiges Assessment vorgesehen

Vergangene Attestierungszyklen haben gezeigt, dass bereits die Gap-Analyse und die daran anschließende Implementierung einen hohen Aufwand für die SWIFT-Nutzer bedeuten kann. Vor allem Finanzinstitute berichten von einer noch größeren Komplexität. Denn sie verfügen in der Regel über eine Vielzahl von SWIFT-Schnittstellen, die im Rahmen der jährlichen CSP-Aktualisierung einzeln geprüft und angepasst werden müssen.

Die Timeline wird nun zusätzlich durch die vorgesehene Einführung eines Community-Standard Assessment verschärft. Es soll das bisher freiwillige nutzerinitiierte Assessment ablösen. Dies bedeutet, dass die CSP-Konformität durch einen unabhängigen internen oder externen Assessor geprüft und bestätigt werden muss. Das Independent Assessment Framework bildet hierfür die Basis.

Die wichtigsten Änderungen im Überblick

  • Zwei bisher lediglich empfohlene Kontrollen ("1.3 Virtualisation Platform Protection" und "2.10 Application Hardening") wurden heraufgestuft und sind verbindlich umzusetzen.
  • Die Kontrollen der Applikationen von Transaktions- und Relationship-Management werden nun separiert in "2.9A Transaction Business Controls" sowie "2.11A RMA Business Controls" betrachtet.
  • Die neu aufgenommene Kontrolle "1.4A Restrict Internet Access" zentralisiert Bestandteile der bestehenden Kontrolle "1.1 SWIFT Environment Protection" in Hinblick auf den Internetzugriff.
  • Zusätzlich wurde der Scope von "2.4A Back Office Data Flow Security" erweitert, einige Kontrollen werden weiter konkretisiert.
    SWIFT Grafik

Im Customer Security Controls Framework für das Jahr 2020 sind insgesamt 21 verbindlich umzusetzende und zehn fakultative Sicherungsmaßnahmen beschrieben.

Wie geht es weiter?

Grundsätzlich ist zu vermuten, dass SWIFT die Kontrollmaßnahmen kontinuierlich ausweitet und vertieft. Dies gründet vor allem darauf, dass Daten die Währung der Zukunft darstellen und Datensicherheit insbesondere für die Finanzbranche immer mehr an Bedeutung gewinnt – denn hier steht neben der Reputation auch das Geschäftsmodell auf dem Spiel.
Darüber hinaus ist davon auszugehen, dass die CSP-Konformität zunehmend strikter nachgehalten wird. Verfolgt man die Entwicklung der letzten Jahre, lässt dies die Vermutung zu, dass zukünftig die jeweils für das geltende Jahr ausgegebenen CSP-Novellierungen auch von der Community bis zum Ende des Jahres der CSP-Novellierung umzusetzen sind – unabhängig davon, wann die SWIFT-Nutzer die Attestierung abgeben. Dies stellt die Unternehmen vor die Herausforderung, ihre CSP-Projekte so aufzubauen, dass diese bei einer unterjährigen CSP-Aktualisierung die neuen Anforderungen in die Projektaktivitäten mit integrieren können.

Die Einführung des Independent Assessment hat auch unter der bekannten herausfordernden Situation eine hohe Priorität. Ob an dem initialen Zeitplan und der erstmaligen Umsetzung festgehalten wird, bleibt abzuwarten.

Eine aktive Ausrichtung auf agile Methoden ist daher aus unserer Sicht unerlässlich. Das bietet die Möglichkeit, sich zeitnah an die sich stets verändernden Rahmenbedingungen anzupassen und diese schnellstmöglich im eigenen Unternehmen zu implementieren.

CGI hilft bei den Herausforderungen

Profitieren Sie von unserer langjährigen und engen Kooperation mit SWIFT. Als Experte für Cyber Security im Finanzsektor sowie als SWIFT-registrierter und anerkannter Cyber Security Provider unterstützt CGI Sie dabei, die erhöhten Anforderungen des SWIFT Customer Security Programme fristgemäß umzusetzen.

Im Einklang mit dem Independent Assessment Framework begleiten wir Sie bei der Durchführung des Community Standard Assessment und der Erstellung der geforderten Attestierungsdokumentation. Basierend auf dem aktuellsten Customer Security Controls Framework, beraten wir Sie darüber hinaus zu den für Sie notwendigen Anpassungen in Ihren Prozessen und Systemen. Und wir unterstützen Sie bei der Analyse und Implementierung der Kontrollen. Wir unterstützen Sie außerdem dabei, aufgedeckte Sicherheitsmängel zu beheben. Und wir zeigen Ihnen auf, wie sich neu entstandene Chancen realisieren lassen.

Über diesen Autor

Ann-Kathrin Sobotta, CGI

Ann-Kathrin Sobotta

Senior Consultant

Ann-Kathrin Sobotta ist im Bereich Financial Services mit dem Schwerpunkt Payments tätig. Als Schnittstelle zwischen IT und Business begleitet sie Kunden aus den Bereichen Financial Services und Telekommunikation als Projektleitung und Business Analyst.