Welche Neuerungen es im SWIFT Customer Security Programme gibt

SWIFT übernimmt die im Vorjahr verschobenen Neuerungen für 2021 in sein Programm. Warum Sie sich mit den neuen Erfordernissen befassen sollten.

Aufgrund der COVID-19-Pandemie hatte die Society for Worldwide Interbank Financial Telecommunication, kurz SWIFT, im Juni 2020 eine optionale Anwendung der für das Jahr 2020 vorgesehenen Neuerungen gestattet und deren verbindliche Anwendung auf das Jahr 2021 verschoben. Mit der turnusgemäßen Überarbeitung der Vorgaben aus dem SWIFT Customer Security Programme (CSP) nimmt SWIFT Banken und Unternehmen mit Anschluss an das SWIFT-Netzwerk im Kampf gegen Cyberattacken nun wieder stärker in die Pflicht und gewährt hinsichtlich der Umsetzung der neuen Anforderungen keinen weiteren Aufschub. Höchste Zeit für die betroffenen Unternehmen, sich mit den aktuellen Entwicklungen zu beschäftigen.

Die Neuerungen für das Jahr 2021 im Überblick

Zum 1. Januar 2021 wurden die Vorgaben aus dem SWIFT CSP im Vergleich zum Vorjahr weiter verfeinert. Neben diversen Klarstellungen und Konkretisierungen liegen die bedeutsamsten Änderungen in der verbindlichen Durchführung von Community-Standard Assessments, der Berücksichtigung des restriktiven Zugriffs auf das Internet mit einer eigenen Kontrolle (1.4 Restrict Internet Access) sowie der Einführung des neuen Architekturtyps A4. Das CSP-Regelwerk umfasst damit nun 22 verbindliche und 9 empfohlene Kontrollen, für die jeweils umfangreiche Umsetzungsrichtlinien existieren.

Beginnend mit dem Jahr 2021 ist die Ordnungsmäßigkeit der jährlich durchzuführenden Selbsteinschätzungen verpflichtend durch die Beurteilung (Community-Standard Assessment) eines unabhängigen internen oder externen Prüfers zu unterlegen. Die Ergebnisse der Selbsteinschätzung dürfen erst nach Abschluss der unabhängigen Beurteilung über das Know-Your-Customer-Tool (KYC) an SWIFT übermittelt werden.

Über die Kontrolle 1.4 werden die Anforderungen an einen kontrollierten Internetzugriff der relevanten IT-Systeme und -Komponenten gebündelt. Thematisch waren große Teile dieser neuen Prüfung vormals in der Kontrolle 1.1 SWIFT Environment Protection enthalten, so dass sich aus dieser Anpassung lediglich mäßiger Umsetzungsaufwand ergibt.

Darüber hinaus finden mit dem Architekturtyp A4 nun die Installationen eine eigene Berücksichtigung. Hierbei stellen die SWIFT-Teilnehmer die Verbindung zu einem zertifizierten Service Büro oder direkt zum SWIFTNet über einen sogenannten Customer Connector (z. B. IBM MQ Server, File Transfer Systeme oder API End Points) her. Das führt dazu, dass einige im Vorjahr als A3 (SWIFT-Connector) oder B (No local user footprint) kategorisierte Architekturen nun als A4 einzustufen sind.

Typische Herausforderungen bei der Umsetzung des SWIFT CSP

Die Umsetzung der Anforderungen aus dem SWIFT CSP stellt die betroffenen Institute vor große Herausforderungen. Neben den zahlreichen Anforderungen an die Informationssicherheitsprozesse stellt insbesondere die gesonderte Absicherung der relevanten SWIFT-Komponenten in einer sogenannten Secure Zone einen starken Eingriff in die IT-Infrastruktur dar. Basierend auf Projekterfahrungen zeigte sich insbesondere bei den folgenden vier Themen Verbesserungspotenzial:

1. Definition des Architekturtyps: Oft ist die Definition der durch SWIFT vorgegebenen Architekturtypen nicht bekannt. Daher oder aufgrund nicht korrekter Einordnung der eingesetzten Infrastrukturkomponenten werden die Typen initial nicht oder nicht korrekt bestimmt.
2. Definition der Secure Zone: Aufgrund fehlender Dokumentation der SWIFT-Infrastruktur herrscht keine Transparenz hinsichtlich der vollständigen Erfassung der eingesetzten IT. Damit ist auch unklar, ob die ergriffenen Maßnahmen zur Informationssicherheit angemessen sind.
3. Dokumentation der Selbsteinschätzung: Die Ergebnisse der Selbsteinschätzung sind nicht nachvollziehbar hergeleitet und dokumentiert, so dass bei Assessments unnötig viel Zeit für die Erhebung von Grundlagen (z. B. Aufnahme des internen Kontrollsystems) aufgewendet wird.
4. Verantwortlichkeiten für die Umsetzung des SWIFT CSP: Die Verantwortlichkeiten zur Umsetzung der Vorgaben aus dem SWIFT CSP sind nicht klar geregelt. Dies betrifft die Zuständigkeiten innerhalb der Organisation des SWIFT-Teilnehmers, die Einbindung der 2nd Line in ihrer Überwachungsrolle und das Zusammenspiel mit den eingesetzten IT-Service Providern.

Ausblick auf das Customer Security Controls Framework (CSCF) v2022

Auch die Vorbereitungen für das kommende SWIFT CSCF v2022 sind bereits in vollem Gange: Die am 1. Juli 2021 veröffentlichte Version sieht neben einer Reihe von diversen kleineren Klarstellungen und Anpassungen folgende wesentliche Neuerungen vor:

• SWIFT überführt die Kontrolle 2.9 Transaction Business Controls für alle Architekturtypen in eine Mandatory Control. Damit sind beginnend mit dem Jahr 2022 alle Institute zur Einschränkung und Überwachung der Datenströme im Zahlungsverkehr verpflichtet.
• Die mit dem CSCF v2021 im Rahmen des Architekturtyps A4 neu eingeführte Komponente Customer Connector ist ab dem CSCF v2022 verbindlicher Bestandteil aller dafür relevanten Kontrollen. Im Jahr 2021 ist deren Berücksichtigung noch optional.
• Ebenfalls primär relevant für den Architekturtyp A4 ist die neu eingeführte Advisory Control 1.5A Customer Environment Protection, welche Sicherheitsanforderungen für den Customer Connector analog der Secure Zone definiert. Die Anforderungen dieser Kontrolle gelten auch für die Architekturtypen A1, A2 oder A3, sofern der Betrieb eines Customer Connectors außerhalb der Secure Zone erfolgt.

Aufgrund der im Rahmen des CSCF v2022 durchgeführten Änderungen erhöht sich die Anzahl der Mandatory Controls von 22 auf 23. Die Anzahl der Advisory Controls verbleibt bei 9 Kontrollen. Insgesamt besteht so das zukünftige Kontrollinventar im Jahr 2022 aus insgesamt 32 Kontrollen. Analog der Vorjahre sind in den kommenden Jahren weitere Verschärfungen hinsichtlich Anzahl und Umfang der Kontrollen des CSP zu erwarten.