Hacker nutzen Sicherheitslücken der Bankinstitute aus, um über die Zahlungsverkehrssysteme und die lokale Infrastruktur an grosse Summen zu gelangen. Damit soll jetzt Schluss sein: Die Organisation SWIFT hat daher das Customer Security Programme (CSP) ins Leben gerufen. Ziel dieses Programmes ist es, die Sicherheit der lokalen SWIFT-Infrastrukturen gegenüber Cyberbedrohungen markant zu verbessern. Wie das funktioniert und wie Banken dabei vorgehen müssen, erfahren Sie in diesem Bericht.
Falls Ihnen SWIFT noch kein geläufiger Begriff sein sollte: SWIFT steht für Society of Worldwide Interbank Financial Telecommunication und existiert bereits seit 1973. Diese standardisiert den weltweiten Transitions- und Nachrichtenverkehr über das SWIFT-Netz (Telekommunikationsnetz). Die rund 11'000 Kunden sind für die Sicherheit ihrer Umgebung und ihrem Zugang zu SWIFT verantwortlich. Das Customer Security Programme soll einen einheitlich hohen und zuverlässigen Schutz bei allen SWIFT-Nutzern, beispielsweise Banken, Börsen, Brokerhäuser und Unternehmen, in mehr als 200 Ländern gewährleisten.
Cyberkriminelle im Vormarsch – darum ist jetzt Handeln angesagt
Für die erfolgreiche Umsetzung des Programms hat die SWIFT folgenden ambitionierten Zeitplan vorgesehen:
- Bis Dezember 2017 mussten alle SWIFT-Benutzer angeben, inwieweit sie die obligatorischen und optionalen Sicherheitskontrollen einhalten. Hierzu musste eine Selbstbescheinigung eingereicht werden. SWIFT führte daraufhin eine formale Prüfung der Antworten durch.
- Seit Januar 2018 gilt das SWIFT-Sicherheits-Framework, das im Rahmen der Initiative «Customer Security Programme» läuft. Die Kunden sind ab sofort verpflichtet, diesen Sicherheitskriterien gerecht zu werden.
- Bis Dezember 2018 müssen alle Benutzer attestieren, dass sie die obligatorischen Sicherheitskontrollen vollständig erfüllen.
SWIFT CSP – auf diese Steine können Sie bauen
Kernpunkte des CSP ist das Customer Security Control Framework, welches aus 3 Zielen besteht:
- Secure Your Environment – eigene Umgebung sichern
- Know & Limit Access – Zugriff kennen und einschränken
- Detect & Respond – erkennen und reagieren
Diese 3 Ziele werden in 8 Grundprinzipien gegliedert. Insgesamt werden 27 Kontrollen formuliert: 16 verpflichtende für alle SWIFT-Nutzer und Finanzdienstleister sowie 11 zusätzlich empfohlene Kontrollen.
Im neuen Release des SIP (Shared Infrastructure Programme) für 2018 ist eine Harmonisierung der SIP und dem Programm CSP zu erwarten. Dies, um die Kontrollen für diejenigen Nutzer in Einklang zu bringen, die keine lokale SWIFT-Infrastruktur betreiben, sondern beispielsweise SWIFT Service Bureaux nutzen oder den Zugang über ihren Systemhersteller erhalten.
NIST, PCI DSS, ISO/IEC ‒ Sicherheit mit Normen und Standards
Konkret orientieren sich die SWIFT-Sicherheitskontrollen an den folgenden internationalen Sicherheitsstandards:
- National Institute of Standards and Technology (NIST)
- Payment Card Industry Data Security Standard (PCI DSS)
- ISO/IEC 27002 Standard für Kontrollmechanismen in der IT Security
So umfassen die Kontrollen u.a. Themen, die regelmässig bei IT-Audits im Rahmen von Jahresabschlussprüfungen adressiert werden. Die Herausforderung besteht darin, Compliance zu diesen Kontrollen für die gesamte SWIFT-Infrastruktur nachweisen zu können. So ist beispielsweise darzulegen, dass Mitarbeitende regelmässig Security Trainings mit explizitem SWIFT-Bezug absolvieren.
Cyber Security Ratgeber – für Ihre Sicherheit
Hierzu kann ich Ihnen wärmstens empfehlen, nicht nur wie gefordert die an das System der SWIFT angeschlossene Infrastruktur zu überprüfen und zu sichern, sondern die gesamte interne IT in Sachen Cyber Security auf den aktuellsten Stand zu bringen. Es sei gesagt, dass dies nicht zwingend einen grossen Mehraufwand bedeutet. Sie fragen sich, wie das geht? Die Antworten sowie viele nützliche Tipps finden Sie in unserem praktischen Cyber Security Ratgeber.
Non-Compliance zur SWIFT CSP ist ein No-Go
Bei mangelnder Compliance und fehlender Self-Attestation könnte die SWIFT im schlimmsten Fall umgehend die lokale Aufsicht informieren. Auch die Transparenz soll erhöht werden. In Zukunft können alle SWIFT-Nutzer bei den anderen Teilnehmenden verbindliche Informationen zu deren CSP Compliance einfordern.
So schützen sich Schweizer Banken erfolgreich vor Cyberattacken
Wir von InfoGuard haben profunde Expertise im Bereich Cyber Security bei Schweizer Banken und stehen Ihnen als SWIFT-Kunde bei SWIFT CSP unter anderem in folgenden Bereichen gerne mit Rat und Tat zur Seite:
- Analyse der vorhandenen Infrastruktur und Sicherheitslösungen
- Beurteilung Ihrer Kontrollziele und konkrete Empfehlungen zu deren Optimierung
- Umsetzung von Massnahmen durch technische Lösungen, Produkte und Consulting Services
Tipp: Nutzen Sie jetzt die Gelegenheit des SWIFT CSP, um sich über eine gesamtheitliche Lösung zum Thema Cyber Security in Ihrem Unternehmen Gedanken zu machen. Und zwar eine Lösung, die über die Umsetzung des CSP hinausgeht. Denn nur so erreichen Sie mehr Sicherheit für Ihr Unternehmen!
Etablierte Cyber Security-Partner im Schweizer Bankensektor
Sie und Ihr Unternehmen stehen nicht alleine vor diesen Herausforderungen. Zahlreiche andere Schweizer Banken sind in derselben Situation – oder haben bereits gehandelt. Viele von Ihnen vertrauen dabei auf InfoGuard. Falls Sie noch weitere Informationen benötigen oder Details in Erfahrungen bringen möchten, sind wir gerne für Sie da. Kontaktieren Sie uns und nutzen Sie unsere langjährige Erfahrung sowie unser breites Portfolio für Ihre Sicherheit!