SWIFT Customer Security Programme (CSP)
12 Juli, 2021
Im Jahr 2016 kompromittierten Angreifer die Systeme der Zentralbank von Bangladesch und verschickten Zahlungsanweisungen in Höhe von 951 Mio. USD, von denen 101 Mio. USD von der Federal Reserve Bank of New York verarbeitet wurden. Dies bleibt der bisher größte Bankraub der Geschichte. Seitdem leidet die SWIFT-Zahlungsverkehrsgemeinschaft weiterhin unter einer Reihe von Cyberangriffen und Sicherheitsverletzungen. Während alle SWIFT-Kunden in erster Linie für den Schutz ihrer eigenen Umgebungen
verantwortlich bleiben, will SWIFT seine Community im Kampf gegen Cyber-Attacken mit der Entwicklung ihres Customer Security Programmes unterstützen und hat verpflichtende (Mandatory) sowie optionale (Advisory) Kontrollen festgelegt, die ihre ca. 11.000 Kunden weltweit einhalten müssen. SWIFT Teilnehmer müssen die Einhaltung aller verpflichtenden Kontrollen jährlich selbst bestätigen. Darüber hinaus fordert SWIFT ab dem Jahr 2021 auch eine unabhängige Bewertung über die Einhaltung der Vorgaben.
Das Wichtigste in 30 Sekunden
- SWIFT verlangt ab 2021 zwingend eine unabhängige Überprüfung der vorgegebenen Kontrollen. Die Bewertung muss von einer unabhängigen, qualifizierten dritten Partei durchgeführt werden.
- Wir empfehlen, die Bewertung mit einer externen Partei durchzuführen, die mit SWIFT Besonderheiten vertraut ist, um zusätzliche Einblicke in Best Practices zu erhalten.
- Die Anforderung gilt für alle SWIFT Nutzer, auch wenn ein Service Büro genutzt wird und keine eigene SWIFT Infrastruktur besteht.
- Die Bewertung, ob die Kontrollen angemessen implementiert sind, sollte jeweils frühzeitig im Jahresverlauf begonnen werden, um Mängel bis zum Beginn des Bewertungszeitraums (ab dem 2. Halbjahr eines Jahres) zu beheben.
- Der Umfang der verpflichtenden Kontrollen und der zu berücksichtigenden Systeme orientiert sich an der jeweiligen SWIFT Architektur. Dabei sind auch SWIFT Teilnehmer ohne lokalen “Footprint” verpflichtet eine Bestätigung abzugeben.
Wie kann PwC bei der Umsetzung helfen?
Implementierung & Coaching
Wir beraten Sie bei der (erstmaligen) Implementierung des SWIFT CSCF bzw. Umsetzung der Anforderungen des SWIFT CSP:
- Inspektion der IT-Systemlandschaft, um ein Verständnis über den bestehenden Architekturtyp und die damit verbundene Kontrollumgebung zu gewinnen
- Unterstützung bei der Definition und Implementierung eines internen Kontrollsystems
- Unterstützung bei der Umsetzung SWIFT-konformer Kontrollen und Vorbereitung auf ein Assessment
Dry Run
Wir unterstützen Sie bei der Vorbereitung auf das unabhängige Assessment mit einem Dry Run:
- Inspektion der IT-Systemlandschaft, um ein Verständnis für den bestehenden Architekturtyp und die damit verbundene Kontrollumgebung zu gewinnen
- Bewertung der Kontrollumgebung in Übereinstimmung mit den Anforderungen des SWIFT CSP
- Identifikation bestehender Lücken, inklusive Unterstützung bei der Ableitung geeigneter Maßnahmen zu deren Beseitigung
Unabhängige Prüfung
In Übereinstimmung mit den Anforderungen des SWIFT CSP führen wir eine unabhängige Prüfung in Übereinstimmung mit dem anerkannten Prüfungsstandard ISAE 3000 (Revised) durch:
- Prüfung der IT-Systemlandschaft, um ein Verständnis des bestehenden Architekturtyps und der damit verbundenen Kontrollumgebung zu erlangen
- Unabhängige Überprüfung der eingerichteten Kontrollen des SWIFT Customer Security Controls Framework hinsichtlich der angemessenen und korrekten Einrichtung der relevanten Kontrollen
- Berichterstattung gemäß ISAE3000 (Revised) Assurance Report
Warum PwC?
Wir werden unsere umfangreiche SWIFT CSP-Expertise nutzen, um sicherzustellen, dass Ihre Anforderungen vor der von SWIFT geforderten unabhängigen Bewertung, die am 31. Dezember 2021 erstmals fällig ist, erfüllt werden und Sie in der Lage sind, die Bestätigung abzugeben.
SWIFT Expertise
Sie erhalten zeitnah aktuelle Informationen, da wir in unserem internationalen Netzwerk in engem Kontakt mit SWIFT stehen. Aufgrund unserer bereits seit vielen Jahren durchgeführten Beratungsaufträge sowie SWIFT-Prüfungen erhalten Sie ein erprobtes und etabliertes Verfahren.
Umfassende Erfahrung in Audit-Projekten
Sie erhalten einen anerkannten Bericht sowie eine effiziente Durchführung aufgrund unserer umfangreichen Erfahrung in Prüfungsaufträgen.
Technische und fachliche Kompetenz in der Umsetzung
Wir sprechen die Sprache Ihrer Kollegen und konzentrieren uns klar auf das Risiko und die effiziente Umsetzung von Kontrollen. Unsere Empfehlungen sind pragmatisch und umsetzungsorientiert.
Individuelle Kundenorientierung
Wir passen unseren Ansatz an Ihre Bedürfnisse an. Durch unseren standardisierten Ansatz führen wir unsere Projekte Kosten-Nutzen optimiert für Sie durch.
Ganzheitlicher Ansatz
Mit unserem umfassenden Blick auf die verschiedenen regulatorischen Anforderungen bringen wir Ihnen Sicherheit, dass Sie compliant mit den SWIFT Anforderungen sind. Bei etwaigen Abweichungen bekommen Sie wertvolle Praxishinweise, wo Sie Ihre Effektivität und Effizienz verbessern können.
SWIFT CSP FAQs
- Was ist das SWIFT CSP?
- Wann ist der Stichtag für die SWIFT CSP Compliance?
- In welcher Form muss die von SWIFT geforderte unabhängige Beurteilung erfolgen?
- Was sind die 22 SWIFT CSP-Pflichtkontrollen?
- Was passiert, wenn Sie eine “Non-Compliance” melden?
- Was passiert, wenn ich den Verdacht habe, dass meine Organisation angegriffen oder kompromittiert wurde?
Was ist das SWIFT CSP?
Das SWIFT-Customer Security Programme (CSP) zielt darauf ab, betrügerische Aktivitäten durch eine Reihe von verpflichtenden (Mandatory) Kontrollen, gemeinschaftsweite Initiativen zum Informationsaustausch und verbesserte Sicherheitsfunktionen in ihren Produkten zu verhindern bzw. aufzudecken.
Wann ist der Stichtag für die SWIFT CSP Compliance?
Die SWIFT Teilnehmer müssen ihre Bescheinigungen jährlich bis zum 31. Dezember im KYC-Portal von SWIFT einreichen.
Ab dem Jahr 2021 muss neben der eigenen Bescheinigung des Kunden auch eine unabhängige Bewertung abgegeben werden.
In welcher Form muss die von SWIFT geforderte unabhängige Beurteilung erfolgen?
Es gibt zwei Formen, in denen ein SWIFT-Kunde ein unabhängiges Assessment erlangen kann:
- Ein internes Assessment: Dies ist vergleichbar mit einem internen Audit, das von der internen Revision oder einer unabhängigen 2nd Line Funktion des Kunden durchgeführt wird und unabhängig von der Funktion ist, die die Bescheinigung einreicht.
- Ein externes Assessment. Dies ist vergleichbar mit einem externen Audit, das von Organisationen wie PwC durchgeführt wird, die eine unabhängige Bewertung der CSP-Kontrollen vornehmen.
Was sind die 22 SWIFT CSP-Pflichtkontrollen?
Es gibt 22 verpflichtende Kontrollen, die sich u.a. auf die Sicherung Ihrer Umgebung, die Beschränkung des Zugriffs, die Erkennung und die Reaktion konzentrieren.
Was passiert, wenn Sie eine “Non-Compliance” melden?
SWIFT meldet alle Fälle von “Non-Compliance” und Fälle, in denen Mitglieder überhaupt keine Rückmeldung / Bestätigung abgegeben haben, an die lokalen Aufsichtsbehörden.
Darüber hinaus wählt SWIFT jedes Jahr eine Stichprobe von Bescheinigungen zur Validierung (“Swift-Mandated-Assessment”) aus.
Was passiert, wenn ich den Verdacht habe, dass meine Organisation angegriffen oder kompromittiert wurde?
Es ist wichtig, dass Sie alle relevanten Informationen weitergeben und SWIFT so schnell wie möglich über einen möglichen Vorfall informieren, um andere Organisationen im Netzwerk zu schützen.
Follow us
Contact us
