Sicherheitsprogramm der SWIFT als „versteckte“ regulatorische Vorgabe

Das SWIFT Customer Security Programme

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Im Zeitalter der Digitalisierung nimmt die Anzahl der Cyberangriffe auf Banken und Unternehmen zu. Die SWIFT versucht, dieser Bedrohung mit einem umfangreichen Sicherheitsprogramm zu begegnen. Drei Handlungsfelder stehen dabei im Mittelpunkt.

Cybersicherheit ist ein wichtiges Thema für Banken und Sparkassen

Cybersicherheit ist ein wichtiges Thema für Banken und Sparkassen.

Partner des Bank Blogs

Horváth ist Partner des Bank Blogs

Die Bedrohungen aus dem Cyberraum für die globale Wirtschaft nehmen zu und Cyberangriffe auf Banken und Unternehmen werden immer professioneller. Daher erhöht die Society for Worldwide Interbank Financial Telecommunication (SWIFT) fortlaufend ihre Sicherheitsstandards und nimmt insbesondere Banken und Unternehmen mit Anschluss an das SWIFT-Netzwerk im Kampf gegen Cyberattacken immer stärker in die Pflicht.

Warum das SWIFT-Netzwerk ein interessantes Angriffsziel ist

Das SWIFT-Netzwerk ermöglicht es weltweit mehr als 11.000 Banken, Börsen, Brokerhäusern und Unternehmen in über 200 Ländern, sensible Daten zu internationalen Finanztransaktionen auszutauschen. Dies macht es zu einem attraktiven Ziel für Cyberkriminelle.

Der bislang bekannteste Cyberangriff geschah im Jahr 2016, als der Zentralbank von Bangladesch 81 Millionen US-Dollar gestohlen wurden.  Die Reaktion der SWIFT ließ nicht lange auf sich warten: Die Organisation ließ das Customer Security Programme (CSP) auflegen. Das Programm definiert die lokale SWIFT-Umgebung bei ihren Kunden als den wichtigsten Angriffspunkt für Cyberattacken. Daher nimmt es alle angeschlossenen Unternehmen in die Pflicht, vordefinierte Sicherheitsstandards zu erfüllen und die ordnungsgemäße Umsetzung durch eine unabhängige Beurteilung nachzuweisen.

Prioritäten des SWIFT CSP

Ziel des CSP ist es, Cyberangriffe frühzeitig zu erkennen und abzuwehren. Außerdem soll es einen einheitlichen, hohen Sicherheitsstandard bei allen SWIFT-Nutzern gewährleisten. Dieser Sicherheitsstandard setzt sich aus verpflichtenden und freiwilligen Kontrollen zusammen und wird durch die SWIFT kontinuierlich angepasst und erweitert.

Der Fokus des CSP liegt auf der Verbesserung der Sicherheit der SWIFT-Infrastruktur der Kunden – unter anderem durch Kontrollen der Protokollierung und Berichterstellung, Authentifizierung und Verschlüsselung, Benutzer- und Kennwortverwaltung sowie Integritätsprüfungen. Darüber hinaus soll der Informationsaustausch zwischen der SWIFT und ihren Kunden verbessert werden, unter anderem zu mutmaßlich betrügerischen Aktivitäten, wirksamen Präventiv- und Detektivmaßnahmen sowie Praktiken und Innovationen zur Cyberabwehr.

Sichern, erkennen, reagieren: Was das CSP erreichen will

Das Cybersicherheitsprogramm der SWIFT zielt auf drei Handlungsfelder ab:

  1. Secure your Environment,
  2. Know and Limit Access,
  3. Detect and Respond.

1. Secure your Environment

Risiken für angeschlossene Unternehmen gibt es sowohl von extern als auch von intern – sei es der Hacker von außen oder der Insider mit böswilligen Absichten. Netzwerkteilnehmer sollen den Zugriff von Unbefugten auf SWIFT-Anwendungen und das damit verbundene Internet verhindern. Darüber hinaus sollten Banken mögliche Schwachstellen untersuchen und Maßnahmen initiieren, um die Angriffsfläche zu reduzieren.

2. Know and Limit Access

Die SWIFT fordert ihre Nutzer auf, Maßnahmen zu ergreifen, um ungewöhnliche oder verdächtige Aktivitäten zu erkennen – unabhängig davon, ob diese in Systemen oder in Transaktionsdatensätzen auftreten. Beispielsweise soll in Echtzeit überprüft werden, welcher Nutzer Zugangsdaten eingibt und welche Aktivitäten er durchführt.

Eine durchgängige Protokollierung und die sichere Speicherung der Aufzeichnungen ermöglichen eine vollständige Transparenz aller Vorgänge. Für Anomalien sollen die angeschlossenen Unternehmen detaillierte Reaktionspläne haben.

3. Detect and Respond

Im Rahmen des CSP ergreifen die angeschlossenen Unternehmen Maßnahmen, um die missbräuchliche Nutzung von Zugangsdaten zu verhindern, die Identitätserkennung autorisierter Personen zu verwalten und sicherzustellen, dass die SWIFT-Berechtigungen genau an diejenigen vergeben werden, die tatsächlich Zugriff benötigen. Angreifer, die in den Besitz privilegierter Zugangsdaten gelangen, können scheinbar legitimierte Aktionen ausführen.

Um dies zu verhindern, setzen Unternehmen etwa auf Software, die die Nutzung hochsensibler Zugangsdaten permanent überwacht und verdächtige Aktivitäten in Echtzeit erkennt, beispielsweise Anomalien im Verhalten der Nutzer wie einen Kontenzugriff zu einer eher ungewöhnlichen Tageszeit oder eine exzessive Häufung von Zugriffen.

„Raising the security bar” – Verpflichtende Anwendung der verschärften Vorgaben für mehr Sicherheit verschoben

Ein grundlegendes Konzept des SWIFT CSP ist die kontinuierliche Verbesserung des Sicherheitsniveaus. Dazu werden als Reaktion auf neue oder veränderte Bedrohungen entweder neue Kontrollen eingeführt oder existierende Kontrollen verschärft. Die Veröffentlichung der für das Folgejahr gültigen Kontrollen erfolgt in der Regel im Juni, um den Unternehmen ausreichend Flexibilität für die Umsetzung zu geben.

Für dieses Jahr wurden die Vorgaben aus dem SWIFT CSP zum 1. Januar 2020 erweitert und verschärft. Zwei bislang freiwillige Kontrollen zur Sicherheit virtueller Plattformen und zur Härtung der Applikationen wurden verpflichtend, zwei neue freiwillige Kontrollen wurden hinzugefügt: eine zur Einschränkung des Internetzugriffs und eine weitere zur Einschränkung von SWIFT-Transaktionen.

Das CSP-Regelwerk umfasst damit nun 21 verbindliche und zehn empfohlene Kontrollen mit umfangreichen Umsetzungsrichtlinien. Die SWIFT rät für einen umfassenden Schutz vor Cyberattacken dazu, das komplette Regelwerk – das heißt sowohl die verbindlichen auch die empfohlenen Kontrollen – zu implementieren. Darüber hinaus ist die Ordnungsmäßigkeit der jährlich durchzuführenden Selbsteinschätzung durch die unabhängige Beurteilung eines internen oder externen Prüfers zu unterlegen.

Aufgrund der COVID-19-Pandemie hat die SWIFT im Juni 2020 die verbindliche Anwendung der für das Jahr 2020 vorgesehenen Änderungen auf das Jahr 2021 verschoben und für dieses Jahr eine optionale Anwendung ermöglicht. Die SWIFT empfiehlt dennoch, sowohl die Umsetzung der neuen Kontrollen als auch die unabhängige Beurteilung bereits im Jahr 2020 durchzuführen. Verpflichtend bleibt die Durchführung der Selbsteinschätzung auf Basis des im Jahr 2019 gültigen Kontrollrahmenwerks.

Ausblick auf 2021

Aus der Veröffentlichung des Kontrollrahmenwerks für das Jahr 2021 ergeben sich im Vergleich mit dem Jahr 2020 keine wesentlichen Anpassungen hinsichtlich Anzahl und Ausgestaltung der Kontrollen. Sofern im Jahr 2020 die neuen Regelungen gemäß Optionsrecht nicht angewendet wurden, ist jedoch zu berücksichtigen, dass mit dem Jahr 2021 die Neuerungen sowohl aus 2020 als auch zusätzlich aus 2021 anzuwenden und diese erstmalig verpflichtend durch eine unabhängige Beurteilung zu bewerten sind. Dies birgt das Risiko, dass die Vielzahl der Themen im Jahr 2021 nicht ordnungsgemäß zu bewältigen ist.

Fazit: Bringen Sie das SWIFT CSP rechtzeitig auf Ihre Agenda

Angesichts der zahlreichen unterschiedlichen neuen Anforderungen für Cybersicherheit liegt es nahe, dass Unternehmen und Institute der Umsetzung des CSP nicht die höchste Priorität einräumen. Dabei wird das Risiko von Verzögerungen bei der Implementierung aufgrund des durch die SWIFT gewährten Aufschubs weiter verstärkt. Das kann fatale Folgen haben: Erfüllt ein Unternehmen die Vorgaben nicht, so können sich alle anderen Teilnehmer darüber informieren. Zudem behält sich die SWIFT vor, Mängel an die lokalen Aufsichtsbehörden zu melden. Dies kann letztlich den Geschäftsbetrieb gefährden.

Wichtige Stakeholder wie Kunden, Aufsichtsbehörden und Wettbewerber haben ein wachsames Auge darauf, ob und wie Unternehmen die Vorgaben aus dem SWIFT CSP erfüllen. Dabei hat sich in den vergangenen Jahren gezeigt, dass die Umsetzung für die SWIFT-Teilnehmer einen enormen Aufwand bedeutet: Häufig gehen die umfangreichen Anforderungen für die lokale SWIFT-Infrastruktur über die hauseigenen Standards hinaus. Doch Abwarten ist trotz des Aufschubs keine Option. Und wer bei der Umsetzung und Prüfung von verpflichtenden und freiwilligen Kontrollen vorangeht, kann dadurch sogar Wettbewerbsvorteile am Markt erlangen.

Über den Autor

Matthias Funk

Matthias Funk ist Director im Bereich Informations- und Cybersicherheit von EY. Er prüft und berät Banken und Finanzdienstleistungsunternehmen in den Bereichen Informationstechnologie und Informationssicherheit und hilft Kunden bei der Einhaltung des „SWIFT Customer Security Programme“. Der Diplom-Kaufmann ist Wirtschaftsprüfer, CEH, CISA, CISM, CISSP und CRISC.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren