InfoGuard SWIFT Customer Security Programme CSP

Bankraub 2.0 ‒ SWIFT greift energisch durch im Kampf gegen Cyberattacken

Hacker nutzen Sicherheitslücken der Bankinstitute aus, um über die Zahlungsverkehrssysteme und die lokale Infrastruktur an grosse Summen zu gelangen. Damit soll jetzt Schluss sein: Die Organisation SWIFT hat daher das Customer Security Programme (CSP) ins Leben gerufen. Ziel dieses Programmes ist es, die Sicherheit der lokalen SWIFT-Infrastrukturen gegenüber Cyberbedrohungen markant zu verbessern. Wie das funktioniert und wie Banken dabei vorgehen müssen, erfahren Sie in diesem Bericht.

Falls Ihnen SWIFT noch kein geläufiger Begriff sein sollte: SWIFT steht für Society of Worldwide Interbank Financial Telecommunication und existiert bereits seit 1973. Diese standardisiert den weltweiten Transitions- und Nachrichtenverkehr über das SWIFT-Netz (Telekommunikationsnetz). Die rund 11'000 Kunden sind für die Sicherheit ihrer Umgebung und ihrem Zugang zu SWIFT verantwortlich. Das Customer Security Programme soll einen einheitlich hohen und zuverlässigen Schutz bei allen SWIFT-Nutzern, beispielsweise Banken, Börsen, Brokerhäuser und Unternehmen, in mehr als 200 Ländern gewährleisten.

Cyberkriminelle im Vormarsch – darum ist jetzt Handeln angesagt

Für die erfolgreiche Umsetzung des Programms hat die SWIFT folgenden ambitionierten Zeitplan vorgesehen:

  • Bis Dezember 2017 mussten alle SWIFT-Benutzer angeben, inwieweit sie die obligatorischen und optionalen Sicherheitskontrollen einhalten. Hierzu musste eine Selbstbescheinigung eingereicht werden. SWIFT führte daraufhin eine formale Prüfung der Antworten durch.
  • Seit Januar 2018 gilt das SWIFT-Sicherheits-Framework, das im Rahmen der Initiative «Customer Security Programme» läuft. Die Kunden sind ab sofort verpflichtet, diesen Sicherheitskriterien gerecht zu werden.
  • Bis Dezember 2018 müssen alle Benutzer attestieren, dass sie die obligatorischen Sicherheitskontrollen vollständig erfüllen. 

SWIFT CSP – auf diese Steine können Sie bauen

Kernpunkte des CSP ist das Customer Security Control Framework, welches aus 3 Zielen besteht:

  1. Secure Your Environment – eigene Umgebung sichern
  2. Know & Limit Access – Zugriff kennen und einschränken
  3. Detect & Respond – erkennen und reagieren

infoguard-swift-customer-security-control-framework-csp

Diese 3 Ziele werden in 8 Grundprinzipien gegliedert. Insgesamt werden 27 Kontrollen formuliert: 16 verpflichtende für alle SWIFT-Nutzer und Finanzdienstleister sowie 11 zusätzlich empfohlene Kontrollen.
Im neuen Release des SIP (Shared Infrastructure Programme) für 2018 ist eine Harmonisierung der SIP und dem Programm CSP zu erwarten. Dies, um die Kontrollen für diejenigen Nutzer in Einklang zu bringen, die keine lokale SWIFT-Infrastruktur betreiben, sondern beispielsweise SWIFT Service Bureaux nutzen oder den Zugang über ihren Systemhersteller erhalten.

NIST, PCI DSS, ISO/IEC ‒ Sicherheit mit Normen und Standards 

Konkret orientieren sich die SWIFT-Sicherheitskontrollen an den folgenden internationalen Sicherheitsstandards:

So umfassen die Kontrollen u.a. Themen, die regelmässig bei IT-Audits im Rahmen von Jahresabschlussprüfungen adressiert werden. Die Herausforderung besteht darin, Compliance zu diesen Kontrollen für die gesamte SWIFT-Infrastruktur nachweisen zu können. So ist beispielsweise darzulegen, dass Mitarbeitende regelmässig Security Trainings mit explizitem SWIFT-Bezug absolvieren.

Cyber Security Ratgeber – für Ihre Sicherheit

Hierzu kann ich Ihnen wärmstens empfehlen, nicht nur wie gefordert die an das System der SWIFT angeschlossene Infrastruktur zu überprüfen und zu sichern, sondern die gesamte interne IT in Sachen Cyber Security auf den aktuellsten Stand zu bringen. Es sei gesagt, dass dies nicht zwingend einen grossen Mehraufwand bedeutet. Sie fragen sich, wie das geht? Die Antworten sowie viele nützliche Tipps finden Sie in unserem praktischen Cyber Security Ratgeber.

Non-Compliance zur SWIFT CSP ist ein No-Go

Bei mangelnder Compliance und fehlender Self-Attestation könnte die SWIFT im schlimmsten Fall umgehend die lokale Aufsicht informieren. Auch die Transparenz soll erhöht werden. In Zukunft können alle SWIFT-Nutzer bei den anderen Teilnehmenden verbindliche Informationen zu deren CSP Compliance einfordern.

So schützen sich Schweizer Banken erfolgreich vor Cyberattacken

Wir von InfoGuard haben profunde Expertise im Bereich Cyber Security bei Schweizer Banken und stehen Ihnen als SWIFT-Kunde bei SWIFT CSP unter anderem in folgenden Bereichen gerne mit Rat und Tat zur Seite:

  • Analyse der vorhandenen Infrastruktur und Sicherheitslösungen
  • Beurteilung Ihrer Kontrollziele und konkrete Empfehlungen zu deren Optimierung
  • Umsetzung von Massnahmen durch technische Lösungen, Produkte und Consulting Services

Tipp: Nutzen Sie jetzt die Gelegenheit des SWIFT CSP, um sich über eine gesamtheitliche Lösung zum Thema Cyber Security in Ihrem Unternehmen Gedanken zu machen. Und zwar eine Lösung, die über die Umsetzung des CSP hinausgeht. Denn nur so erreichen Sie mehr Sicherheit für Ihr Unternehmen!

Etablierte Cyber Security-Partner im Schweizer Bankensektor 

Sie und Ihr Unternehmen stehen nicht alleine vor diesen Herausforderungen. Zahlreiche andere Schweizer Banken sind in derselben Situation – oder haben bereits gehandelt. Viele von Ihnen vertrauen dabei auf InfoGuard. Einen Überblick sowie detaillierte Referenzberichte finden Sie hier:

Unsere Referenzberichte


Falls Sie noch weitere Informationen benötigen oder Details in Erfahrungen bringen möchten, sind wir gerne für Sie da. Kontaktieren Sie uns und nutzen Sie unsere langjährige Erfahrung sowie unser breites Portfolio für Ihre Sicherheit!

Kontaktieren Sie uns!

<< >>

IT-Sicherheit , Cyber Security

Markus Limacher
Über den Autor / Markus Limacher

InfoGuard AG - Markus Limacher, Head of Security Consultant, Mitglied des Kaders

Weitere Artikel von Markus Limacher


Ähnliche Artikel
NIST Cyber Security Framework – Die 5 Blickwinkel der Cyber Security
NIST Cyber Security Framework – Die 5 Blickwinkel der Cyber Security

Seit Juli 2017 ist das überarbeitete Rundschreiben 2008/21 der eidgenössischen Finanzmarktaufsicht FINMA in [...]
Was Netzwerkarchitektur mit IT-Security zu tun hat!
Was Netzwerkarchitektur mit IT-Security zu tun hat!

Sie kommen am helllichten Tag. Unbemerkt «wandern» sie durch IT-Netzwerke, lassen sich von keiner Firewall [...]
In 10 Schritten zur GDPR-readiness – dank unserer Checkliste
In 10 Schritten zur GDPR-readiness – dank unserer Checkliste

Die GDPR ‒ General Data Protection Regulation (DSGVO ‒ Datenschutz-Grundverordnung) wird in rund einem [...]
Cyber Security Blog

Der InfoGuard Cyber Security Blog liefert Ihnen regelmässig News und detaillierte Berichte aus der Welt der Cyber Security und Cyber Defence.

Blog Updates abonnieren
Social Media
Gratis Download
InfoGuard_GDPR Leitfaden_Whitepaper