Revidierte Swift CSCF v2024: Risikomanagement von Drittanbietern im Fokus

Autor
Cornelia Bucher
Veröffentlicht
11. Juli 2024

Die Society for Worldwide Interbank Financial Telecommunication (Swift) entwickelt ihr Kundensicherheitsprogramm (Customer Security Programme, CSP) kontinuierlich weiter, was den neuen Herausforderungen gerecht wird. Die bevorstehenden Änderungen im Swift Customer Security Controls Framework (CSCF) v2024 legen den Schwerpunkt auf das Risikomanagement von Drittanbietern und spiegeln die zunehmenden Bedenken hinsichtlich der Sicherheit und der gesetzlichen Bestimmungen im EU-Raum wie DORA und NIS2 wider. In diesem Beitrag decken wir die Vorteile der neuen Vorgaben auf, untersuchen die wichtigsten Änderungen an den Kontrollen und ihre Auswirkungen auf Sie als Swift-Nutzer.

Angesichts der fortwährenden Bedrohungen durch Cyberkriminelle im Finanzsektor werden die Compliance-Anforderungen regelmässig überarbeitet. Das Ziel: Sichere Transaktionssysteme in einer digitalen Umgebung, die nie stillsteht. In diesem Sinne bringt auch die Version 2024 des SWIFT Customer Security Control Frameworks (CSCF) neue Vorschriften mit sich.

Swift CSCF v2024: Änderungen für neue Kontrollmechanismen

Swift hat das Kundensicherheitsprogramm CSP für 2024 erneut revidiert und die neusten Kontrollmechanismen in der verbindlichen Swift CSCF v2024 kommuniziert. Folgende Kontrollmassnahmen sollten Sie bis zum Fristablauf vom 31. Dezember umgesetzt und von unabhängiger Stelle validiert haben.

Neue Mandatory Control 2.8: «Risikomanagement für Drittanbieter» 

Neu im Jahr 2024 erklärt Swift die «Kontrolle 2.8 Outsourced Critical Activity Protection» für alle Architekturtypen als verbindlich. Diese Verschiebung vom optionalen zum obligatorischen Status verdeutlicht die entscheidende Rolle des Risikomanagements im Zusammenhang mit Drittanbietern und Dienstleistern. Aus gutem Grund, denn Unternehmen gewähren externen Parteien allzu oft umfassenden Zugang, was zusätzliche Risiken mit sich bringt, die aktiv identifiziert und kontrolliert werden müssen.

Im Fokus: Kontrolle 2.4 A «Back Office»-Sicherheit

In der Vergangenheit konzentrierte sich das CSCF auf die Sicherung der «Swift Secure Zone», einer abgetrennten Zone mit kritischen Komponenten. Jetzt weitet Swift seine Sicherheitsbemühungen auf des Back-Office-System (Kernsystem) aus, da es erhebliche Risiken beim Datenaustausch mit teilweise veralteten Back-Office-Anwendungen erkannt hat.

Zu diesen Risiken gehören die Vertraulichkeit und Integrität sensibler Daten, nicht authentifiziertem Traffic und unbefugtem Zugriff auf Daten und Systeme. Konsequenterweise wird die «Kontrolle 2.4A Back-Office Data Flow Security» voraussichtlich in den kommenden Jahren verpflichtend sein.

Swift ermutigt seine Nutzer, sich auf die Implementierung dieser Regelung vorzubereiten.

Benutzerfreundlicher dank «Swift CSP v2024»-Updates

Zur Verbesserung der Benutzerfreundlichkeit und des Verständnisses sowie zur Unterstützung der Benutzer bei der korrekten Umsetzung der Kontrollen wurden weitere kleinere Änderungen oder Klarstellungen an den spezifischen Kontrollen des CSCF vorgenommen.

Nachfolgend die wichtigsten Änderungen im Überblick:

  • Kontrolle 2.3 Systemhärtung: Enthält jetzt Richtlinien zum Schutz von USB-Ports und Verbesserungen zum Whitelisting von Anwendungen.
  • Kontrolle 2.9 Transaktions-Business-Kontrollen: Geschäftskontrollen können jetzt auch ausserhalb der sicheren Zone durchgeführt werden.
  • Kontrolle 3.1 Physische Sicherheit: Enthält Empfehlungen für die Entsorgung von Geräten und Token-Sicherheit.

Weitere Kontrollen wurden aus Gründen der Klarheit und Konsistenz aktualisiert, darunter:

  • Kontrolle 5.2 Token-Verwaltung
  • Kontrolle 5.4 Schutz des Passwort-Repositories
  • Kontrolle 6.2 Software-Integrität
  • Kontrolle 7.4A Szenariobasierte Risikobewertung

Swift-Compliance bis Jahresende: Bescheinigungen durch unabhängige Bewertungen

Alle Benutzer müssen die Gültigkeit der aktuellen Kontrollen jährlich durch eine unabhängige Stelle prüfen und bestätigen lassen, wobei die vollständige Einhaltung bis zum 31. Dezember erforderlich ist. Neue Teilnehmer müssen sich bestätigen lassen, bevor sie dem Swift-Netzwerk beitreten. 

Integration mit Swiss Interbank Clearing (SIC)

Zusätzlich zu den Anforderungen von Swift v2024 kann die Bewertung mit derjenigen Ihres «Swiss Interbank Clearing»-Netzwerks (SIC) kombiniert werden. Indem Sie die Synergien beider Bewertungsverfahren nutzen, sparen Sie doppelten Aufwand und stellen sicher, dass beide Netzwerke die höchsten Sicherheitsstandards erfüllen. Ob SIC- oder Swift-Assessment – wir unterstützen Sie bei beiden Umsetzungsprojekten – zögern Sie nicht, uns zu kontaktieren.

Aktualisierte Swift CSCF: Die Vorteile hinter den neuen Vorgaben

Die Einführung von Swift CSCF v2024 bringt bedeutende Änderungen mit sich, die darauf abzielen, die Sicherheit des globalen Finanztransaktionsnetzwerks zu verbessern. Die neue obligatorische Kontrolle und die erweiterten Empfehlungen bieten einen umfassenden Rahmen zum Schutz der Swift-Nutzer vor Cyberbedrohungen. Durch die Kombination dieser Massnahmen mit den Anforderungen von SIC können Finanzinstitute ihre Sicherheitslage weiter stärken und eine sichere und zuverlässige Umgebung für Finanztransaktionen schaffen.

Handeln Sie jetzt und stellen Sie die Swift-Compliance Ihrer Organisation noch vor Fristablauf sicher. Der 31. Dezember naht schneller als erwartet. Wir von InfoGuard unterstützen Sie sehr gerne dabei die Swift-Compliance v2024 zu erfüllen!

SWIFT Assessment

Artikel teilen