Verpflichtende Anwendung der verschärften Vorgaben für mehr Sicherheit verschoben
Zum 1. Januar 2020 wurden die Vorgaben aus dem SWIFT CSP erweitert und verschärft: Zwei bislang freiwillige Kontrollen zur Sicherheit der virtuellen Plattformen und zur Härtung der Applikationen wurden verpflichtend, zwei neue freiwillige Kontrollen wurden hinzugefügt: eine zur Einschränkung des Internetzugriffs und eine weitere zur Einschränkung von SWIFT-Transkationen.
Das CSP-Regelwerk umfasst damit nun 21 verbindliche und zehn empfohlene Kontrollen mit umfangreichen Umsetzungsrichtlinien. SWIFT rät für einen umfassenden Schutz vor Cyberattacken dazu, neben den verbindlichen auch die empfohlenen Kontrollen zu implementieren. Darüber hinaus ist die Ordnungsmäßigkeit der jährlich durchzuführenden Selbsteinschätzungen verpflichtend durch die unabhängige Beurteilung eines internen oder externen Prüfers zu unterlegen – beginnend mit dem Jahr 2020. Für die kommenden Jahre sind weitere Verschärfungen des CSP zu erwarten.
Aufgrund der COVID-19-Pandemie hat SWIFT im Juni 2020 eine optionale Anwendung der für das Jahr 2020 vorgesehenen Neuerungen gestattet und deren verbindliche Anwendung auf das Jahr 2021 verschoben. SWIFT empfiehlt dennoch, sowohl die Umsetzung der neuen Kontrollen als auch die unabhängige Beurteilung bereits im Jahr 2020 durchzuführen. Verpflichtend bleibt die Durchführung der Selbsteinschätzung auf Basis des im Jahr 2019 gültigen Kontrollrahmenwerks.
Warum das Netzwerk der SWIFT ein interessantes Angriffsziel ist
Das SWIFT-Netzwerk ermöglicht es weltweit mehr als 11.000 Banken, Börsen, Brokerhäusern und Unternehmen in über 200 Ländern, sensible Daten zu internationalen Finanztransaktionen auszutauschen. Dies macht es auch zu einem attraktiven Ziel für Cyberkriminelle. Der bislang bekannteste Cyberangriff geschah im Jahr 2016, als der Zentralbank von Bangladesch 81 Millionen US-Dollar gestohlen wurden und nur durch Glück und Zufall rund 800 Millionen Euro nicht einer unautorisierten Zahlung zum Opfer gefallen sind. Die Reaktion der SWIFT ließ nicht lange auf sich warten: Die Organisation ließ ein Customer Security Programme, kurz CSP, auflegen. Das Programm definiert die lokale SWIFT-Umgebung bei ihren Kunden als den wichtigsten Angriffspunkt für Cyberattacken. Daher nimmt es alle angeschlossenen Unternehmen in die Pflicht, definierte Sicherheitsstandards zu erfüllen und die Umsetzung durch eine unabhängige Beurteilung auch nachzuweisen.
Ziel des CSP ist es, Cyberangriffe zu erkennen und abzuwehren. Außerdem soll es eine einheitliche, hohe Sicherheit bei allen SWIFT-Nutzern gewährleisten. Dieser Sicherheitsstandard setzt sich aus verpflichtenden und freiwilligen Kontrollen zusammen und wird durch die SWIFT kontinuierlich angepasst und erweitert.
Prioritäten des SWIFT CSP
Das Sicherheitsprogramm zielt darauf ab, die Sicherheit der SWIFT-Infrastruktur der Kunden zu verbessern, unter anderem mittels Kontrollen der Protokollierung und Berichterstellung, Authentifizierung und Verschlüsselung, Benutzer- und Kennwortverwaltung sowie Integritätsprüfungen. Darüber hinaus soll auch der Informationsaustausch zwischen der SWIFT und ihren Kunden verbessert werden, unter anderem zu mutmaßlich betrügerischen Aktivitäten, wirksamen Präventiv- und Detektivmaßnahmen sowie Praktiken und Innovationen zur Cyberabwehr.
Sichern, erkennen, reagieren: Was das CSP erreichen will
Das Cybersicherheitsprogramm der SWIFT zielt auf drei Handlungsfelder ab.
1. SECURE YOUR ENVIRONMENT
Risiken für angeschlossene Unternehmen bestehen sowohl von externer als auch von interner Seite – sei es der Hacker von außen oder der Insider mit böswilligen Absichten. Netzwerkteilnehmer sollen den Zugriff von Unbefugten auf die SWIFT-Anwendungen und auf das damit verbundene Internet verhindern. Darüber hinaus sollten Banken Schwachstellen untersuchen und die Angriffsfläche reduzieren.
2. KNOW AND LIMIT ACCESS
Die SWIFT fordert ihre Nutzer auf, Maßnahmen zu ergreifen, um ungewöhnliche oder verdächtige Aktivitäten zu erkennen, unabhängig davon, ob diese in Systemen oder in Transaktionsdatensätzen auftreten. Beispielsweise soll in Echtzeit überprüft werden, welcher Nutzer Zugangsdaten eingibt und welche Aktivitäten er durchführt. Eine durchgängige Protokollierung und die sichere Speicherung der Aufzeichnungen ermöglichen vollständige Transparenz in Bezug auf alle Vorgänge. Für Anomalien sollen die angeschlossenen Unternehmen detaillierte Pläne zur Reaktion haben.
3. DETECT AND RESPOND
Im Rahmen des CSP ergreifen die angeschlossenen Unternehmen Maßnahmen, um die missbräuchliche Nutzung von Zugangsdaten zu verhindern, die Identitätserkennung autorisierter Personen zu verwalten und sicherzustellen, dass die SWIFT-Berechtigungen sorgfältig an diejenigen vergeben werden, die tatsächlich Zugriff benötigen. Angreifer, die in den Besitz privilegierter Zugangsdaten gelangen, können scheinbar legitimierte Aktionen ausführen. Um dies zu verhindern, setzen Unternehmen etwa auf Software, die die Nutzung hochsensibler Zugangsdaten permanent überwacht und verdächtige Aktivitäten in Echtzeit erkennt, beispielsweise Anomalien im Verhalten der Nutzer wie einen Kontenzugriff zu einer eher ungewöhnlichen Tageszeit oder eine exzessive Häufung von Zugriffen.
CSP umsetzen: die sechs wichtigsten Schritte für Unternehmen
Die Umsetzung des Sicherheitsprogramms erfordert Zeit, Know-how und Ressourcen. Folgende sechs Schritte sind dabei entscheidend.
1. Einrichten eines funktionsübergreifenden Teams zur Überwachung der Implementierung, einschließlich Risiko, Compliance, Technologie, Recht und IT
2. Durchführen von Readiness-Assessments für verbindliche und freiwillige Kontrollen
3. Feststellen, inwieweit die Berichte zur Service Organization Control (SOC) die Anforderungen des SWIFT CSP berücksichtigen
4. Festlegen, wie sich die Umsetzung des SWIFT CSP an umfassenderen Cybersicherheitsinitiativen für den Zahlungsverkehr ausrichten soll
5. Analysieren der Prüfungen zur IT- und Informationssicherheit der Vergangenheit, um kritische Lücken zu ermitteln, die bei der CSP-Implementierung zu beheben sind
6. Bewerten, wo manuelle Eingriffe für die Verarbeitung erforderlich sind, um mögliche technologische Lösungen zu ermitteln
Angesichts der zahlreichen unterschiedlichen neuen Anforderungen für Cybersicherheit liegt es nahe, dass Unternehmen und Institute der Umsetzung des CSP nicht die höchste Priorität einräumen. Dabei wird das Risiko der verzögerten Berücksichtigung aufgrund des durch SWIFT gewährten Aufschubs weiter verstärkt. Doch das kann fatale Folgen haben: Erfüllt ein Unternehmen die Vorgaben nicht, so steht diese Information allen anderen Teilnehmer zur Verfügung. Zudem behält sich die SWIFT vor, Mängel an die lokalen Aufsichtsbehörden zu melden. Dies kann letztlich den Geschäftsbetrieb gefährden, ganz abgesehen von den damit verbundenen Imageschäden.
Wichtige Stakeholder wie Kunden, Aufsichtsbehörden und Wettbewerber haben ein wachsames Auge darauf, ob und wie Unternehmen die Vorgaben aus dem SWIFT CSP erfüllen. Dabei zeigt die Erfahrung, dass die Umsetzung für die SWIFT-Teilnehmer einen enormen Aufwand bedeutet: Häufig gehen die umfangreichen Anforderungen für die lokale SWIFT-Infrastruktur über die hauseigenen Standards hinaus. Doch Abwarten ist auch trotz des Aufschubs keine Option. Und wer bei der Umsetzung und Prüfung von verpflichtenden und freiwilligen Kontrollen am weitesten geht, kann dadurch sogar Wettbewerbsvorteile am Markt erlangen.