Swift Customer Security Programme v2024

Verbesserung der globalen Finanzsicherheit

Das Swift Customer Security Programme (CSP) wurde 2016 von Swift ins Leben gerufen. Es zielt darauf ab, die Sicherheit des Swift-Finanztransaktionsnetzwerks uns somit der globalen Finanzgemeinschaft insgesamt zu stärken. Als CSP Assessment Provider möchten wir unsere Einblicke in die Schwerpunktbereiche von Swift für 2024 und die bevorstehenden Änderungen mit Ihnen teilen. Sie erhalten ebenfalls Informationen über die Beziehung zwischen des Anforderungen von Swift CSP und regulatorischen Anforderungen wie DORA. Im Anschluss schildern wir unsere eigenen Erfahrungen und Erkenntnisse auf der Grundlage der durchgeführten Assessments und der von unseren Kunden häufig gestellten Fragen.

Entwicklung des Swift Customer Security Programme (CSP) seit 2016

Mit der weiter zunehmenden Vernetzung und Digitalisierung, insbesondere bei Finanzinstituten, ist die Sicherheit von Finanzdaten und Transaktionen wichtiger denn je

Nach einer Reihe von Sicherheitsvorkommnissen bei Finanzinstituten führte Swift zahlreiche Sicherheitskontrollen ein und verlangt von allen Nutzern des Swift Netzwerks eine jährliche Bestätigung, dass sie diese Kontrollen technisch und organisatorisch umsetzen und wirksam einhalten. Das Customer Security Control Framework wird jährlich aktualisiert, um neuen Bedrohungen und Schwachstellen in der sich ständig verändernden Cybersicherheitslandschaft zu begegnen.

© by Swift 2023

Evolution of the Swift CSP since 2016 – body© by Swift 2023

Ziele, Grundsätze und Kontrollen

Swift hat eine Reihe von Sicherheitszielen definiert, die mit sieben Grundsätzen verknüpft sind und von den Kontrollen im Customer Security Controls Framework (CSCF) abgedeckt werden. Das CSCF besteht aus 25 verpflichtenden und 7 empfohlenen Kontrollen, aber nicht alle Kontrollen sind auf alle Architekturtypen anwendbar: Es hängt davon ab, inwieweit eine Organisation in die Swift-Systeme integriert ist.

    • Ein Hinweis zum Zeitplan: Swift-Nutzer müssen zwischen dem 1. Juli und dem 31. Dezember eines jeden Jahres ihre Konformität mit den verpflichtenden Sicherheitskontrollen bestätigen - unabhängig davon, ob sie die Anforderungen vollständig erfüllen oder nicht!

© by Swift 2023

Zielsetzungen

3 ZIELSETZUNGEN UND 7 GRUNDSÄTZE:

  • Sichern Sie Ihre Umgebung

1. Beschränkung des Internetzugangs und Abtrennung kritischer Systeme von der allgemeinen IT-Umgebung

2. Verringerung der Angriffsfläche und Schwachstellen

3. Physische Sicherung der Umgebung

  • Zugang und Zugriffkennen und beschränken

4. Verhinderung der Kompromittierung von Anmeldedaten 

5. Verwalten von Identitäten und Trennen von Berechtigungen

  • Erkennen und Reagieren

6. Erkennen von anomalen Aktivitäten im System oder bei Transaktionsaufzeichnungen

7. Planung der Reaktionen auf Vorfälle und des Informationsaustauschs

Weitere Informationen über den Swift CSP und seine Geschichte finden Sie in unserem Artikel zu diesem Thema.

Swift Schwerpunktbereiche

Risikomanagement von Drittparteien – neue verpflichtende Kontrolle 2.8

Swift beobachtet ständig die aktuellen Bedrohungen und Entwicklungen in der Cyber-Landschaft und passt sein CSCF an, um den entstehenden Herausforderungen zu begegnen. Im Jahr 2024 liegt der Schwerpunkt von Swift auf dem Risikomanagement von Drittparteien, da dieses Thema sowohl aus Sicherheits- als auch aus regulatorischer Sicht (z. B. DORA, NIS2) immer mehr an Bedeutung gewinnt.

Viele Organisationen verlassen sich in hohem Maße auf Drittanbieter und Dienstleister, um verschiedene betriebliche Anforderungen zu erfüllen, und gewähren daher externen Parteien Zugang zu Systemen und großen Datenmengen. Dies birgt zusätzliche Risiken, die aktiv erkannt und kontrolliert werden müssen. 

Infolgedessen hat Swift den Status der Kontrolle 2.8 „Outsourced Critical Activity Protection" (Schutz einer ausgelagerten kritischen Aktivität) für alle Architekturtypen von "empfohlen" auf "verpflichtend" heraufgestuft.

Was wird von dieser Kontrolle erwartet?

Swift hat zudem Grundschutzanforderungen für die Informationssicherheit von Outsourcing-Agenturen definiert, in denen bewährte Verfahren für die zu implementierenden Kontrollen festgelegt sind. 

Kurz gesagt, das Ziel dieser neuen Kontrolle ist die Aufrechterhaltung eines effektiven Risikomanagementprogramms für Drittparteien. Dies beinhaltet:

  • einen Überblick über Drittparteien (einschließlich Outsourcing-Agenturen) und die von ihnen beeinflussten Komponenten und Kontrollen zu behalten
  • Identifizierung der Auslagerung kritischer und unkritischer Aktivitäten 
  • Durchführung regelmäßiger Risikobewertungen bei Drittparteien 
  • Erstellung von SLAs und NDAs (für kritische Aktivitäten)
  • Erlangung von Gewissheit über die von der Drittpartei durchgeführten Sicherheitskontrollen 

Swift-Benutzer sollten sicherstellen, dass in Verträgen mit Drittparteien Sicherheitsbestimmungen enthalten sind, die mindestens den CSP-Kontrollen entsprechen sollten. Außerdem sollten die Rollen und Verantwortlichkeiten dokumentiert werden.

Backoffice-Sicherheit - Kontrolle 2.4A

In der Vergangenheit lag der Schwerpunkt des CSP auf der sogenannten Swift Secure Zone - einer abgetrennten Zone, in der sich die kritischen Komponenten befinden. Nun zielt Swift darauf ab, die Sicherheit des "First Hop" des Backoffice zu gewährleisten, da das Unternehmen festgestellt hat, dass erhebliche Risiken im Zusammenhang mit dem Datenaustausch mit (oft älteren) Backoffice-Anwendungen bestehen. Dazu gehören die Vertraulichkeit und Integrität sensibler Daten, nicht-authentifizierter Systemdatenverkehr und unbefugter Zugriff auf Daten und Systeme.

 


back-office

© by Swift 2023

Um dies zu erreichen, beabsichtigt Swift, die Kontrolle 2.4A Back-Office Data Flow Security (Sicherheit des Datenflusses im Backoffice) in den kommenden Jahren verpflichtend zu machen, und regt seine Benutzer dazu an, sich mit der Implementierung dieser Kontrolle zu befassen. Weitere Informationen zu dieser Kontrolle und ihren Implementierungsanforderungen finden Sie auf dem Swift CSCF oder bei Ihrem BDO-Ansprechpartner.


💡 Für das Jahr 2024 empfiehlt BDO, die "Backoffice First-Hops" zu identifizieren und die Sicherheit des bestehenden Datenaustauschs zu bewerten. Anschließend sollte eine Abweichungsanalyse durchgeführt werden, um die Maßnahmen zu ermitteln, die erforderlich sind, um den gewünschten Zustand zu erreichen. Zunächst wird sich Swift auf neue Datenflüsse zwischen dem Backoffice und den Swift-Systemen konzentrieren. In einer zweiten Phase sollten auch „Legacy-Datenströme“ geschützt werden - obwohl diese höchstwahrscheinlich die größten Investitionen erfordern, daher sollten Benutzer nicht zu lange mit der Abweichungsanalyse und Implementierung warten.

Swift-API-Angebot 

Die Swift-API-Plattform (Application Programming Interface / Schnittstelle zur Anwendungsprogrammierung) ermöglicht Swift-Benutzern den Zugriff auf die Swift-API-Dienste. Wenn ein API-Dienst oder eine API, die angewendet wird, in den Geltungsbereich des CSP fällt, dann unterliegen der API-Endpunkt der Anwendung (der im Customer Security Control Framework als Konnektor betrachtet wird), der die API konsumiert, und die zugehörigen Nutzdaten den Sicherheitskontrollen des CSP. 

Weitere Einzelheiten zu Swift-APIs finden Sie hier.

Welcher Zusammenhang besteht zwischen Swift CSP, Industriestandards und regulatorischen Anforderungen?

Verbindungen können außerdem zu anderen europäischen Verordnungen wie DORA und NIS2 hergestellt werden. Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung für die Finanzbranche und deren Dienstleister, die im Januar 2025 angewendet wird. DORA stützt sich auf fünf Hauptsäulen, die in der nachstehenden Abbildung dargestellt sind. Die größten Überschneidungen gibt es bei der Planung der Reaktion auf Cybervorfälle und der Berichterstattung, beim Pentesting und beim Risikomanagement von Drittparteien.

Für weitere Informationen über DORA, NIS2 oder andere Vorschriften wenden Sie sich bitte an Ihren BDO-Ansprechpartner.

Die Swift CSP-Kontrollen basieren auf bewährten Verfahren wie ISO 27002:2022, NIST Cybersecurity Framework v1.1, PCI DSS 4.0, Unified Compliance Framework (UCF) und SOC2 Trust Service Criteria 2017. Swift hat eine Zuordnungstabelle erstellt, in der die Beziehungen zwischen diesen Industriestandards und seinem eigenen Kontrollrahmen dargestellt sind. Diese ist über den folgenden Link verfügbar (ein swift.com-Konto ist erforderlich):

Warum BDO?

Als Ihr vertrauenswürdiger Partner hilft Ihnen BDO, Ihre Ziele auf pragmatische und zugleich qualitativ hochwertige Weise zu erreichen.

  • Als zertifizierter Swift-Assessor sind unsere Bewertungen von höchster Qualität und zielen darauf ab, einen Mehrwert für Ihr Unternehmen zu schaffen, anstatt nur die Einhaltung der Vorschriften zu überprüfen. Unser detailliertes rot markierten Inhalt bitte streichen Berichtswesen zeigt auf, auf welche Bereiche Sie sich konzentrieren sollten.
  • Als Umsetzungspartner konzentrieren wir uns zunächst auf die Hochrisikobereiche und stellen sicher, dass Ihre wichtigsten Sicherheitslücken abgedeckt sind. Anschließend konzentrieren wir uns auf die Bereiche, in denen die Vorschriften eingehalten werden müssen, um sicherzustellen, dass eine Bewertung die Prüfung besteht.

Unsere umfassenden Fachkenntnisse, die Erfahrung und die nachweislichen Erfolge von BDO bei der Unterstützung von Unternehmen sowohl bei der Implementierung als auch bei der Bewertung von Swift-Sicherheitskontrollen helfen Ihnen bei der Verbesserung Ihrer Sicherheit und der Einhaltung der CSP-Rahmenordnung.

BDO schneidet ihre Arbeit auf die Bedürfnisse jedes einzelnen Kunden zu, um sicherzustellen, dass unsere Lösungen dort einen Mehrwert schaffen, wo Sie ihn am meisten brauchen. Das Spektrum reicht von der Implementierung eines ISO27K-konformen GRC-Sicherheitsprogramms oder eines Sicherheitsmanagementsystems für Dritte bis hin zu DORA- und NIS2-Bewertungen und -Implementierungen - immer auf pragmatische Weise und auf Ihre Bedürfnisse zugeschnitten

Unsere Experten sind mit den Swift CSP-Kontrollen und -Implementierungsrichtlinien bestens vertraut und haben zudem einen starken Fokus auf den Finanzsektor. Dadurch sind sie in der Lage, die komplexe regulatorische Landschaft und die sich entwickelnden Cybersicherheitsbedrohungen zu verstehen.

Alle unsere leitenden Prüfer haben nachweislich Erfahrung mit Swift CSP-Bewertungen, IT-Audits und ISO27K-Implementierungen und -Bewertungen und verfügen über einschlägige Zertifizierungen wie die Swift Certified Assessors-Zertifizierung und eine Kombination aus CISA, CISM, CISSP, ISO27K Lead Auditor usw. Darüber hinaus bedeutet unser niedriges Partner-Personal-Verhältnis eine hohe Beteiligung und Anleitung durch Partner und erfahrene Mitarbeiter sowie ein solides und stabiles Team für die Durchführung der Bewertungen.

Unsere Methodik

Tipps für die Einführung von v2024

BDO hat im Jahr 2023 zahlreiche Bewertungen durchgeführt. Unsere Erfahrung mit unseren Bewertungen zeigt, dass es für eine erfolgreiche Bewertung entscheidend ist, den Rahmen, die Planung und die Definitionen von Anfang an richtig festzulegen. Darüber hinaus glauben wir, dass die folgenden Schlüsselbereiche im Jahr 2024 am ehesten zu Compliance-Verstößen führen werden:

Viele Organisationen haben ihre Drittparteien ermittelt und aufgelistet und eine TPRM-Richtlinie aufgestellt. Häufig werden jedoch keine Verfahren zur Durchführung von Risikobewertungen für Drittparteien festgelegt oder ordnungsgemäß umgesetzt, wie z. B. die Durchführung regelmäßiger Überprüfungen der Risikobewertung und SLA-Überprüfungen mit kritischen Lieferanten. 

Dies ist besonders wichtig, da diese Verfahren nun so erweitert werden sollten, dass sie auch eine Überprüfung/Bewertung der Umsetzung der CSP-Kontrollen durch den Lieferanten umfassen. Denken Sie daran, dass Ihre TPRM-Prozesse bis Januar 2025 auch mit DORA übereinstimmen müssen.


Die Schulung und Sensibilisierung der Mitarbeiter für die Cybersicherheit ist heute gängige Praxis, entspricht aber nicht immer den Best Practices. So haben wir beispielsweise festgestellt, dass bestimmte Personengruppen wie Führungskräfte oder IT-Mitarbeiter von den Bewertungen ausgenommen sind, obwohl sie oft das größte Verlustrisiko darstellen, wenn ihre (privilegierten) Konten kompromittiert werden. 

Erwägen Sie den Einsatz automatisierter Phishing-Simulationstools und kurzer automatisierter Schulungsvideos zusätzlich zu längeren Präsenzschulungen, um die Wirksamkeit des Sensibilisierungsprogramms zu maximieren.


In Anbetracht der bevorstehenden Einführung von DORA im Januar 2025 und der darin enthaltenen Anforderungen an das  Management von Cyberattacken und die Prüfung der betrieblichen Widerstandsfähigkeit sind wir der Meinung, dass Unternehmen sich stärker auf die Planung der Reaktion auf Zwischenfälle konzentrieren sollten. Dadurch wird sichergestellt, dass ihre Implementierung nicht nur mit Swift CSP, sondern auch mit DORA im Einklang steht. Wenn Ihr Unternehmen DORA unterliegt, werden die Prüfer wahrscheinlich damit beginnen, die Prozesse unter dem Aspekt von DORA zu prüfen, noch bevor diese implementiert sind.

Tipp: Fragen Sie Ihren CSP-Prüfer, ob er sich mit DORA auskennt und ob er eine leichte DORA-Überprüfung dieser Prozesse durchführen kann, um Ihnen eine Vorstellung davon zu geben, ob Sie DORA-konform sind.

Neben der Durchführung der CSP-Bewertung kann BDO Sie in allen oben genannten Fragen beraten und Sie bei deren Umsetzung unterstützen.

Häufig gestellte Fragen 

Unsere Kunden und potenziellen Kunden stellen uns viele Fragen zu Umfang und Tiefe der Prüfung, zu den Fristen und zur Einhaltung der Vorschriften. In den nachstehenden Dropdowns beantworten wir die häufigsten Fragen.

Ein Cybersicherheitsaudit ist eine Überprüfung der Cybersicherheitsrichtlinien, -verfahren und -technologien einer Organisation, die sich an den Prüfungsstandards orientiert, die beispielsweise vom Institute of Internal Auditors vorgegeben werden. Ziel ist es, die Einhaltung bestimmter Vorschriften und/oder interner Richtlinien zu gewährleisten, indem ein bestimmter Zeitraum zurückverfolgt und die operative Wirksamkeit der Kontrollen überprüft wird. 

Im Gegensatz dazu ist Cybersicherheits-Assessment eine Überprüfung der Cybersicherheitslage einer Organisation auf einer höheren Ebene, um potenzielle Risiken und verbesserungswürdige Bereiche zu ermitteln. Da eine Bewertung im Gegensatz zu einem Audit keine strengen Prüf- und Berichtsanforderungen erfüllen muss, sind die Kosten oft geringer. 

Swift empfiehlt die Durchführung eines Assessments anstelle eines Audits, um die Kosten und den Arbeitsaufwand für die internen Mitarbeiter zu reduzieren. Gleichzeitig wird sichergestellt, dass die Qualität der Bewertung beibehalten wird und sich auf die Bewertung und Überprüfung der Sicherheitskontrollen konzentriert, während der Schwerpunkt weniger auf Scoping, Risikobewertungen und Berichterstattung liegt.

Die Bewertung im Jahr 2024 kann sich möglicherweise auf eine Bewertung im Jahr 2023 stützen, wenn vier Bedingungen für jede Kontrolle erfüllt sind:

  • Die letztjährige Bewertung wurde anhand der letztjährigen Version des CSCF (oder einer neueren Version) durchgeführt.
  • Die Bewertung des letzten Jahres stützte sich weder auf das Vorjahr noch auf einen externen Prüfbericht*.
  • Die neue CSCF-Version hat keine wesentlichen Auswirkungen auf die Implementierung
  • Der Entwurf und die Durchführung der Kontrollen sowie die Swift-Benutzerumgebung haben sich nicht wesentlich geändert.

 *Beachten Sie, dass Sie sich auf Berichte von Drittanbietern wie SOC2, ISAE3000, PCI-DSS 4.0 oder ISO27K stützen können, solange der Umfang des Berichts die Swift CSP-Kontrollen abdeckt und der Zeitpunkt des Berichts aktuell genug ist - der vom Bericht abgedeckte Zeitraum darf nicht mehr als 18 Monate vor der Einreichung der Bescheinigung liegen (z. B. kann eine Bescheinigung, die am 24.12.2024 eingereicht wird, immer noch auf einen SOC2 Type II-Bericht für den Zeitraum bis zum 30.06.2023 gestützt werden.

Die folgende Abbildung zeigt ein Beispiel für die Bewertung einer einzelnen Kontrolle (für eine Bescheinigung gegen v2023):

© by Swift 2023


Nutzer müssen zwischen dem 1. Juli und dem 31. Dezember eines jeden Jahres bestätigen, dass sie die vorgeschriebenen Sicherheitskontrollen einhalten (unabhängig davon, ob sie diese vollständig einhalten oder nicht!). Neue Mitglieder oder BICs müssen ihre Bescheinigung ausfüllen, bevor sie auf das Swift-Netzwerk zugreifen können.

Die Anwendung KYC Security Attestation (KYC-SA) wird zur Einreichung von Sicherheitsbescheinigungen verwendet. Swift veröffentlicht die neue Version der Kontrollen jedes Jahr Anfang Juli, und diese Kontrollen werden dann zwischen Juli und Dezember des nächsten Jahres bescheinigt.

© by Swift 2023

Wir empfehlen allen Swift-Nutzer dringend, die CSP-Kontrollen so bald wie möglich zu implementieren und ihre Einhaltung zu gewährleisten. Die CSP-Kontrollen bilden eine Grundlage für die Sicherheitshygiene und sollten von jeder Organisation, die Finanztransaktionen verarbeitet, umgesetzt werden können. Werden die CSP-Kontrollen nicht implementiert, besteht ein erhöhtes Risiko von Cyberangriffen, die zu schweren finanziellen und betrieblichen Verlusten sowie zu einer Beeinträchtigung des Rufs führen können. 

Wenn Sie jedoch eine nicht-konforme Bescheinigung einreichen, werden Sie nicht aus dem Swift-Netzwerk ausgeschlossen. Ihr Nichtkonformitätsstatus wird jedoch im KYC-SA-Verzeichnis aufgeführt, damit Ihre Geschäftspartner ihn sehen können, und Swift wird Ihre Nichtkonformität an Ihre Finanzaufsichtsbehörde weiterleiten.

Swift fordert jeden Nutzer auf, eine Bescheinigung einzureichen, auch wenn sie nicht konform ist. Wenn Sie dies nicht tun, verstoßen Sie gegen Ihre vertraglichen Verpflichtungen gemäß der Richtlinie für Cloud-Dienstanbieter (CSP) und den Swift-Bedingungen.


Der typische Anwendungsbereich des CSP ist die Secure Zone, die zugrunde liegende Infrastruktur (Netzwerksicherheit wie Firewalls, IPS usw.) und die Middleware- und Dateiübertragungsserver. Das Backoffice und die Verbindung zum Swift-Netz fallen in der Regel nicht in den Anwendungsbereich des CSP. Letzteres wird sich jedoch in naher Zukunft ändern, da die Kontrolle 2.4A in den kommenden Jahren verpflichtend wird.

Jede Kontrolle hat ihre spezifischen Komponenten, die im Kontrollrahmen genau definiert sind. Prüfen Sie dies gemeinsam mit Ihrem Assessor, um sicherzustellen, dass beide Seiten den Umfang der Bewertung verstehen, und um Ihre Mitarbeiter besser vorzubereiten.

© by Swift 2023


In diesem Fall handelt es sich höchstwahrscheinlich um eine Architektur des Typs A4 oder B. Je nach Umfang des Outsourcings werden die Verantwortlichkeiten zwischen Ihnen und dem Drittanbieter, der Ihre Dienstleistungen erbringt (der Outsourcing-Agentur), aufgeteilt

Die nachstehende Grafik veranschaulicht die typischen Unterschiede in der Architektur, deren Verwaltung  von vollständig intern  bis zu vollständig ausgelagert reichen. Letztendlich bestimmt die Art Ihrer Architektur den Umfang der CSP-Kontrolle, aber die Verantwortung für die Bewertung verbleibt bei Ihnen: Sie müssen sich von der Richtlinienkonformität Ihrer Drittanbieter überzeugen.

© by Swift 2023


Swift verfügt über ein Knowledge Center, in dem Sie relevante Artikel, häufig gestellte Fragen und allgemeine Informationen über Swift-Produkte und -Dienstleistungen finden können. Darüber hinaus bietet Swift über SwiftSmart auch E-Learning-Kurse speziell zum Swift CSP an. Einige nützliche Links:

Our staff includes Swift Certified Assessors in the subject area: CSP Assessments.