InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Die gute Nachricht vorab: Mit SWIFT CSCF v2025, dem SWIFT Customer Security Controls Framewerk v2025, bleibt der Geltungsbereich stabil. Somit kommen weder neue Kontrollen noch zusätzliche Systemkomponenten zur Anwendung. Dies bedeutet, dass die Sicherheitsstandards auf dem Niveau von 2024 verharren.
Control 2.4A ist zwar bis 2026 noch nicht verpflichtend. SWIFT empfiehlt dennoch, die betroffenen Datenflüsse frühzeitig zu identifizieren und sicherheitstechnisch einzuordnen. Dies wird insbesondere für Organisationen des Architekturtyps B relevant, da die Definition von «Kunden-Client-Connectors» erweitert wird und künftig auch Client-Endpunkte einbezieht.
Eine zentrale Änderung in der CSCF-Version 2025 ist die Betonung auf regelmässige interne und externe Prüfungen.
SWIFT verlangt von seinen Teilnehmenden den laufenden Nachweis, dass sie alle Sicherheits- und Compliance-Vorgaben erfüllen. Control 1.3 verlangt mehr als eine jährliche Prüfung. Je nach Risikolage können auch unterjährige Audits erforderlich sein, um die kontinuierliche Einhaltung nachzuweisen.
Die Prüfungen der Vorjahre können in Teilen wiederverwendet werden, sofern diese noch relevant sind und keine wesentlichen Änderungen an der IT-Architektur oder den Sicherheitsprotokollen vorgenommen wurden (Control 1.3). Auch in CSCF v2025 erfolgt die Prüfung evidenzbasiert.
Mit der zunehmenden Bedrohung durch Cyberangriffe legt CSCF v2025 einen klaren Fokus auf die Überprüfung und Anpassung der Sicherheitsprotokolle. Penetrationstests (Control 5.2) sind dabei als verbindlicher Bestandteil der Prüfung vorgesehen, um die Widerstandsfähigkeit der Systeme gezielt zu prüfen. Institutionen sind gefordert, sämtliche Cyber-Sicherheitskontrollen regelmässig zu testen, zu dokumentieren und bei Bedarf anzupassen – nicht punktuell, sondern als integralen Bestandteil einer nachhaltigen Sicherheitsstrategie.
Zusätzlich zu den technischen und operativen Prüfungen spielt auch die Schulung von Mitarbeitenden (Control 2.1, Mandatory Security Awareness Program) eine entscheidende Rolle. Regelmässige Trainings und Auffrischung zu den neuesten Sicherheitsstandards und Compliance-Vorgaben sind verpflichtend. Finanzinstitute müssen sicherstellen, dass alle relevanten Schulungen dokumentiert und deren Ergebnisse nachverfolgt werden.
Obwohl keine neuen verpflichtenden Kontrollen eingeführt wurden, rücken die «Promoted Controls» stärker in den Fokus. Diese beinhalten:
Die verbesserten Reporting-Vorgaben von CSCF v2025 fordern von Institutionen detaillierte Berichte über ihre Compliance- und Sicherheitsmassnahmen. Dabei wird ein besonderer Wert auf Transparenz gelegt, sowohl gegenüber internen Stakeholdern als auch gegenüber Aufsichtsbehörden (Control 1.3, Independent Assessment, Berichte über die Einhaltung der Sicherheitsanforderungen an SWIFT und relevante Behörden).
Von Finanzinstitutionen wird erwartet, dass sie jederzeit Zugriff auf relevante Daten haben, um die Einhaltung der Standards zu belegen.
Auch wenn CSCF v2025 keine neuen Pflichtkontrollen einführt, steigen die Anforderungen an Prüftiefe, Nachweisbarkeit und Cyberresilienz deutlich. Die verstärkte Fokussierung auf Cybersicherheit und Transparenz fördert eine proaktive Sicherheitskultur. Die Berücksichtigung von Prüfungsergebnissen aus Vorjahren bietet eine Möglichkeit, den Aufwand zu reduzieren, sofern die Sicherheitslage stabil geblieben ist.
Finanzinstitute, die jetzt in Klarheit, Struktur und Frühindikatoren investieren, sichern sich somit nicht nur Prüfungssicherheit, sondern auch Effizienz in der Umsetzung.
Handeln Sie jetzt – InfoGuard begleitet Sie zuverlässig auf dem Weg zur SWIFT-Compliance 2025. Mit unserem SWIFT Compliance Assessment erhalten Sie eine fundierte Analyse Ihrer aktuellen Sicherheitslage. Ausserdem: Unser unabhängiger SWIFT Advisory Service ergänzt das SWIFT Compliance Assessment mit konkreten Empfehlungen und gezielter Unterstützung bei der Umsetzung der CSCF-Anforderungen.
Bildlegende: mit KI generiertes Bild