SWIFT CSCF v2025 erhöht den Druck: Nur cyberresilient ist compliant

SWIFT-Regelwerk derzeit ohne neue Pflichten, doch Control 2.4A rückt näher

Die gute Nachricht vorab: Mit SWIFT CSCF v2025, dem SWIFT Customer Security Controls Framewerk v2025, bleibt der Geltungsbereich stabil. Somit kommen weder neue Kontrollen noch zusätzliche Systemkomponenten zur Anwendung. Dies bedeutet, dass die Sicherheitsstandards auf dem Niveau von 2024 verharren.

Control 2.4A ist zwar bis 2026 noch nicht verpflichtend. SWIFT empfiehlt dennoch, die betroffenen Datenflüsse frühzeitig zu identifizieren und sicherheitstechnisch einzuordnen. Dies wird insbesondere für Organisationen des Architekturtyps B relevant, da die Definition von «Kunden-Client-Connectors» erweitert wird und künftig auch Client-Endpunkte einbezieht.

Compliance Reporting unter Druck: SWIFT CSCF v2025 weitet die Nachweispflicht aus

Eine zentrale Änderung in der CSCF-Version 2025 ist die Betonung auf regelmässige interne und externe Prüfungen.

SWIFT verlangt von seinen Teilnehmenden den laufenden Nachweis, dass sie alle Sicherheits- und Compliance-Vorgaben erfüllen. Control 1.3 verlangt mehr als eine jährliche Prüfung. Je nach Risikolage können auch unterjährige Audits erforderlich sein, um die kontinuierliche Einhaltung nachzuweisen.

Die Prüfungen der Vorjahre können in Teilen wiederverwendet werden, sofern diese noch relevant sind und keine wesentlichen Änderungen an der IT-Architektur oder den Sicherheitsprotokollen vorgenommen wurden (Control 1.3). Auch in CSCF v2025 erfolgt die Prüfung evidenzbasiert.

Pflichtaufgabe Penetration Testing: Sicher ist, wer regelmässig prüft

Mit der zunehmenden Bedrohung durch Cyberangriffe legt CSCF v2025 einen klaren Fokus auf die Überprüfung und Anpassung der Sicherheitsprotokolle. Penetrationstests (Control 5.2) sind dabei als verbindlicher Bestandteil der Prüfung vorgesehen, um die Widerstandsfähigkeit der Systeme gezielt zu prüfen. Institutionen sind gefordert, sämtliche Cyber-Sicherheitskontrollen regelmässig zu testen, zu dokumentieren und bei Bedarf anzupassen – nicht punktuell, sondern als integralen Bestandteil einer nachhaltigen Sicherheitsstrategie.

Security Awareness im Fokus: Prüfen, bestehen und belegen

Zusätzlich zu den technischen und operativen Prüfungen spielt auch die Schulung von Mitarbeitenden (Control 2.1, Mandatory Security Awareness Program) eine entscheidende Rolle. Regelmässige Trainings und Auffrischung zu den neuesten Sicherheitsstandards und Compliance-Vorgaben sind verpflichtend. Finanzinstitute müssen sicherstellen, dass alle relevanten Schulungen dokumentiert und deren Ergebnisse nachverfolgt werden.

Promoted Controls: Stärkung der Sicherheitsmassnahmen

Obwohl keine neuen verpflichtenden Kontrollen eingeführt wurden, rücken die «Promoted Controls» stärker in den Fokus. Diese beinhalten:

• Zentralisierte Sicherheitsrichtlinien: Finanzinstitute müssen konsistente Richtlinien für alle Geschäftsbereiche entwickeln, um eine kohärente Sicherheitsstrategie zu gewährleisten. (Control 1.1, Governance Framework, übergreifendes Governance-Framework für Sicherheitsmassnahmen)
• Risikobasierte Zugangskontrollen: Nur autorisierte Personen sollen Zugang zu kritischen Systemen und Daten haben. Diese Zugänge müssen auf Basis der spezifischen Risiken regelmässig überprüft und angepasst werden. (Control 4.1, User Access Management, Zugangskontrollen auf sensible SWIFT-Umgebungen)
• Überwachung und Reporting: Institutionen sind verpflichtet, Echtzeit-Überwachungsmechanismen zu implementieren, um Sicherheitsvorfälle schnell erkennen und melden zu können. (Control 6.4, Logging and Monitoring, sicherheitsrelevante Ereignisse werden in Echtzeit überwacht und protokolliert)
• Regelmässige Sicherheitsüberprüfungen: Die Evaluation der Sicherheitsmassnahmen sollte mindestens jährlich erfolgen, wobei auch externe Dienstleister überprüft werden. (Control 5.1, Vulnerability Scanning, regelmässige Schwachstellenscans und Überprüfungen der Sicherheitsmassnahmen inkl. von Drittanbietern).

Compliance ohne lückenlose Nachweise? Undenkbar.

Die verbesserten Reporting-Vorgaben von CSCF v2025 fordern von Institutionen detaillierte Berichte über ihre Compliance- und Sicherheitsmassnahmen. Dabei wird ein besonderer Wert auf Transparenz gelegt, sowohl gegenüber internen Stakeholdern als auch gegenüber Aufsichtsbehörden (Control 1.3, Independent Assessment, Berichte über die Einhaltung der Sicherheitsanforderungen an SWIFT und relevante Behörden).

Von Finanzinstitutionen wird erwartet, dass sie jederzeit Zugriff auf relevante Daten haben, um die Einhaltung der Standards zu belegen.

v2025 legt Fokus auf Prüftiefe und Cyberresilienz

Auch wenn CSCF v2025 keine neuen Pflichtkontrollen einführt, steigen die Anforderungen an Prüftiefe, Nachweisbarkeit und Cyberresilienz deutlich. Die verstärkte Fokussierung auf Cybersicherheit und Transparenz fördert eine proaktive Sicherheitskultur. Die Berücksichtigung von Prüfungsergebnissen aus Vorjahren bietet eine Möglichkeit, den Aufwand zu reduzieren, sofern die Sicherheitslage stabil geblieben ist.

Finanzinstitute, die jetzt in Klarheit, Struktur und Frühindikatoren investieren, sichern sich somit nicht nur Prüfungssicherheit, sondern auch Effizienz in der Umsetzung.

Jetzt handeln, später bestehen – wir begleiten Ihre CSCF-Umsetzung

Handeln Sie jetzt – InfoGuard begleitet Sie zuverlässig auf dem Weg zur SWIFT-Compliance 2025. Mit unserem SWIFT Compliance Assessment erhalten Sie eine fundierte Analyse Ihrer aktuellen Sicherheitslage. Ausserdem: Unser unabhängiger SWIFT Advisory Service ergänzt das SWIFT Compliance Assessment mit konkreten Empfehlungen und gezielter Unterstützung bei der Umsetzung der CSCF-Anforderungen.

Bildlegende: mit KI generiertes Bild