Das Finanztransaktionsnetzwerk SWIFT hat frühzeitig darauf reagiert und auf Basis anerkannter internationaler Standards das Customer Security Programme veröffentlicht, welches für alle an SWIFT angeschlossenen Unternehmen eine gemeinsame Grundlage für das IT-Risikomanagement liefert und auch Anforderungen der Payment Services Directives PSD2 abdeckt.
Das SWIFT Customer Security Control Framework (CSCF) wird laufend weiterentwickelt. Auch für 2022 ergeben sich Änderungen. Alle angeschlossenen Unternehmen müssen eine unabhängige Bewertung durchführen.
Unabhängige Bewertung verpflichtend, neue Kontrollen auch für 2022
Das Customer Security Programme (CSP) verpflichtet SWIFT-Nutzer dazu, den Umsetzungsgrad der Sicherheitsstandards zu bewerten und gegenüber SWIFT zu bestätigen. Alle Unternehmen, die an das SWIFT-System angeschlossen sind, müssen seit 2021 zusätzlich die Sicherheit Ihrer Infrastruktur von unabhängiger Seite jährlich überprüfen lassen. Beide Bestätigungen fließen in die SWIFT „Know-Your-Customer“-Prozesse ein und sind dadurch ggf. auch für Geschäftspartner sichtbar.
Auch für das Jahr 2022 hat SWIFT bereits wieder Änderungen am Kontrollinventar bekannt gegeben. Das CSP-Regelwerk umfasst damit nun 23 verbindliche und 9 empfohlene Kontrollen, für die jeweils umfangreiche Umsetzungsempfehlungen existieren. Unter anderem wird gegenüber der Version 2021 eine weitere Kontrolle verbindlich, nämlich die Kontrolle der Geschäftstransaktionen. Damit sind beginnend mit dem Jahr 2022 alle angeschlossenen Unternehmen verpflichtet, ihre Datenströme im Zahlungsverkehr zu überwachen. Eine Analyse der über SWIFT abgewickelten Geschäftsaktivitäten dient dazu, abnormales Verhalten zu bemerken und reduziert so das Missbrauchsrisiko.
Die Umsetzung der Vorgaben kann Unternehmen vor besondere Herausforderungen stellen. Insbesondere die Definition des Architekturtyps, der Sicherheitszone und die Ableitung des Kontrollumfangs, gerade auch im Zusammenspiel mit den Service Providern, kann schwierig sein und ein Risiko für die Belastbarkeit der Sicherheitseinschätzung und damit der Sicherheit ihres Zahlungsverkehrs darstellen.
BDO unterstützt Sie und bestätigt die Sicherheit Ihrer Systeme
BDO unterstützt Sie bei der Umsetzung der neuen Vorgaben des SWIFT CSP v2022. Auf Wunsch führen wir für Sie eine Vorabbewertung inklusive Schwachstellenanalyse durch. Gerne führen wir für Sie die unabhängige Bewertung durch und bestätigen die Einhaltung der Vorgaben.
Die Vorteile für Ihr Unternehmen
BDO vereint eine umfassende Audit-Erfahrung mit umfangreichem Know-how der Regulatorik im Finanzwesen. Wir bieten Ihnen die folgenden Vorteile:
- Umfassende Analyse der bestehenden Cyber Security Kontrollen in Abgleich mit den Vorgaben des SWIFT CSCF
- Objektiver Nachweis der angemessenen Implementierung von Kontrollen
- Flexible Durchführung der Assessments in Abhängigkeit von der Unternehmensgröße und Unternehmensstruktur (On-Site bzw. Remote)
- Identifizierung von Verbesserungspotenzial in den bestehenden Kontrollen
- Prüfbericht im von SWIFT vorgegebenen Format inklusive Management Summary