SIC5 – Instant Payment der Banken (InfoGuard Cyber Security Blog) Newsletter

SIC5 – Was Sie über «Instant Payments» der Banken wissen müssen

Veröffentlicht am 25. Mai 2023 | von Reinhold Zurfluh | IT-Sicherheit | Data Governance

Elektronische Zahlungssysteme haben bargeldlose Zahlungen enorm vereinfacht und die nächste Evolution im Zahlungsverkehr ist bereits in vollem Gange: «Instant Payments» reduzieren die Abwicklungsvorgänge auf wenige Sekunden. Erfahren Sie in diesem Blogbeitrag, welche Chancen und Risiken die geplante Einführung des neuen Standards SIC5 der Schweizerischen Nationalbank im Zahlungsverkehr mit sich bringt und was dies für Sie als Finanzdienstleister heisst. 

Erste Instant-Payments-Lösungen gibt es bereits und nutzen wohl auch Sie: Twint. Bis zu 5000 Schweizer Franken können so sofort von Handy zu Handy überwiesen werden. Was die meisten Nutzer aber nicht wissen: Das Geld wird nur vordergründig in Echtzeit überwiesen. Im Hintergrund gehen die Banken der beteiligten Parteien in Vorleistung. Die Bank des Empfängers schreibt diesem den Betrag gut, bis sie das Geld schliesslich einen oder zwei Tage später von der Bank des Auftraggebers erhält.

Instant Payments – neue Chance und Risiken im Zahlungsverkehr

Instant Payments werden den Zahlungsverkehr künftig noch bequemer machen. In Verbindung mit dem Internet of Things (IoT) sind automatisierte Zahlungsprozesse denkbar: Autos bezahlen Leasingraten selbstständig oder Maschinen begleichen Rechnungen für Reparaturen umgehend. Solche Visionen sind eng verknüpft mit «Request to Pay», der modernen Art der Zahlungsaufforderung. Nebst solchen Chancen bringt die neue Technologie jedoch auch Risiken mit sich – insbesondere betrügerische Zahlungen. Die ersten Erfahrungen zeigen es: In allen Ländern, die Instant Payments bereits eingeführt haben, nahmen die Betrugsfälle zu.

Damit Instant Payments auch mit grösseren Beträgen und über Landesgrenzen hinweg funktionieren, müssen sich sowohl die Clearing-Systeme der Staaten als auch die Infrastrukturen der Banken weiterentwickeln. In EU-Ländern sind Instant Payments seit dem Jahr 2019 über SEPA und die Finanzrichtlinie PSD2 umgesetzt. Auch in der Schweiz kommt die Beschleunigung des Zahlungsverkehrs ins Rollen. Die Schweizerische Nationalbank (SNB) entwickelt das Swiss Interbank Clearing System (SIC) momentan so weiter, dass die Abwicklung von Instant Payments ab August 2024 möglich ist. Instant Payments und der damit verbundene Zahlungsstandard SIC5 sind verpflichtend.

SIC5 – Instant Payment der Schweizerischen Nationalbank

SIC5 der SNB ist ein Zahlungssystem, welches es ermöglicht, Geldbeträge in nahezu Echtzeit zwischen Banken in der Schweiz und Liechtenstein zu überweisen. Es ist für die Finanzbranche relevant, da es die Geschwindigkeit und Effizienz von Zahlungen erhöht und es Banken ermöglicht, schneller und zuverlässiger auf die Bedürfnisse ihrer Kunden einzugehen. SIC5 wird dabei gestaffelt eingeführt. Ab August 2024 müssen die grössten Schweizer Banken fähig sein, Instant Payments zu verarbeiten, bis 2026 sollen die restlichen Banken folgen.

SIC5 kann als eigentlicher «Game Changer» betrachtet werden, da es die Art und Weise, wie Zahlungen in der Schweiz durchgeführt werden, grundlegend verändert. Es ermöglicht Unternehmen und Verbrauchern, Zahlungen in Echtzeit durchzuführen, anstatt auf die Verarbeitung von Zahlungen über mehrere Tage oder sogar Wochen warten zu müssen. Der heutige Standard bei Inlandzahlungen ist die Beauftragung mit Ausführung am Folgetag. Darüber hinaus sind mit Expresszahlungen auch taggleiche Überweisungen möglich. Instant Payments sorgen für deutlich mehr Tempo: Verzögerungen aufgrund von Feiertagen und Wochenenden fallen weg, denn Instant Payments werden jederzeit ausgeführt – 24 Stunden am Tag und 365 Tage im Jahr. Der Zielwert für die Transaktionszeit liegt bei 10 Sekunden.

Das System hinter SIC5

Aber wie funktioniert dieses System? SIC5 nutzt für die Übertragung von Nachrichten zwischen den beteiligten Banken vorhandene Schnittstellen, beispielsweise der SWIFT. Die bestehende Infrastruktur muss aber die neuen Herausforderungen, die sich aus 24/7 ergeben, abdecken. Hier ist mit erheblichen operationellen Investitionen zu rechnen.

Die SNB ist die primäre Aufsichtsbehörde für das SIC5-System. Allerdings gibt es eine gewisse Abhängigkeit mit internationalen Regulierungsstandards und Best Practices. Die SNB prüft daher in regelmässigen Abständen, ob das SIC5-System den Anforderungen der EU-Regulierungen entspricht, damit die Interoperabilität und die Nutzung von SIC5 in Europa ermöglicht und sichergestellt wird.

Änderungen der IT-Landschaft und Prozesse durch Instant Payments

Für Banken ist die Umsetzung von Instant Payments mit erheblichen Aufwänden verbunden. Denn um Kunden IP anbieten zu können, müssen Finanzinstitute mitunter umfangreiche und komplexe Änderungen an Infrastruktur, den Applikationen und Kernbanksystemen sowie den internen Abläufen vornehmen. Einerseits sind neue fachliche Anforderungen für IP umzusetzen, beispielsweise in Form der Anbindung an SIC5 mit dem dazugehörigen Kommunikationsprotokoll (inklusive Security Framework, Nachrichtentypen sowie Änderungen an den Risk- und Compliance-Screening-Prozessen). Andererseits müssen die zugrundeliegenden Systeme auf Bankenseite strengere nicht-funktionale Anforderungen erfüllen, da Transaktionen innerhalb kürzester Zeit prozessiert werden und eine 24/7/365-Verfügbarkeit sichergestellt werden muss.

Diese grundlegenden Anforderungen werden zu Änderungen führen, die eine Mehrzahl von Systemen in der IT-Landschaft eines Finanzinstituts betreffen, sowie zu Änderungen der betrieblichen Prozesse, die sich auf mehrere Geschäftsbereiche auswirken. Die meisten Funktionen, die für IP angepasst werden müssen, sind sowohl für die Verarbeitung von ausgehenden als auch von eingehenden Zahlungen relevant. So ist es beispielsweise für beide Fälle genauso erforderlich, das Protokoll von SIC5 zu unterstützen und die erforderlichen Echtzeitbuchungen und Risk- und Compliance-Checks durchzuführen.

Somit hat SIC5 weitreichende Auswirkungen auf die Architektur, Prozesse, Technologien und auch auf die (Cyber-Security-)Kontrollen, da es die Art und Weise, wie Zahlungen verarbeitet werden, grundlegend verändert. Wir haben die wichtigsten Punkte für Sie zusammengefasst:

Schnelle Verarbeitung

  • Implementierung von neuen Kommunikationsprotokollen, um Echtzeit-Zahlungen zu ermöglichen.
  • Einrichtung und Etablieren von Notfallverfahren, um schnell auf Ausfälle und Störungen reagieren zu können (z.B. Zero-Downtime, Ausführung 365/24/7).

Hohe Leistung

  • Verwendung von Systemen und Datenbanken mit hoher Verfügbarkeit und Performance, um sicherzustellen, dass Zahlungen durchgehend in Echtzeit verarbeitet werden können (z.B. Ausführung 24/7, höhere Anzahl (Frequenz), Zahlungsgrössen).

Risiko- und Liquiditäts-Management

  • Überprüfung der Konten, von denen die Zahlungen stammen, um sicherzustellen, dass sie gedeckt sind.
  • Überprüfung der Liquidität der Banken, um sicherzustellen, dass sie in der Lage sind, die Zahlungen zu leisten.
  • Anpassung der Risikomanagement-Systeme und -Prozesse, um sicherzustellen, dass die Banken in der Lage sind, die Risiken angemessen zu bewältigen.
  • Implementierung von Mechanismen zur Erkennung und Reaktion auf Sicherheitsbedrohungen.
  • Einführung von Blockchain-Technologie, um die Transparenz und Sicherheit zu erhöhen.
  • Einführung von Machine-Learning-Technologie zur Automatisierung von Sicherheitsprozessen und zur Erkennung von Bedrohungen.

Compliance

  • Überprüfung der Authentizität der Zahlungsanweisungen, um sicherzustellen, dass sie von einer vertrauenswürdigen Quelle stammen (z.B. KYC, AML).
  • Überwachung und Überprüfung der Einhaltung der regulatorischen Anforderungen an die SIC v5 IP (z.B. SNB).

Technologie-Anpassungen

  • Einführung von Zwei-Faktor-Authentifizierung, um die Sicherheit der Online-Zahlungen sicherzustellen.
  • Implementierung von Sicherheitsprotokollen wie TSL/SSL, um die Datenübertragung zu schützen und die Authentizität der Zahlungsanweisungen zu gewährleisten.
  • Sicherstellung der Verfügbarkeit und Performance.
  • Einführung von angemessenen Schnittstellen wie z.B. APIs (Application Programming Interface), um die Interoperabilität mit anderen Systemen und Diensten zu ermöglichen.

In Anbetracht der Anpassungen, die eine reibungslose Umsetzung der IP-Fähigkeit zu einem komplexen Unterfangen machen, wird schnell klar, dass ein Projekt dieser Grössenordnung einen erheblichen Durchlauf hat. Um fristgerecht bis 2024 IP-fähig zu sein, ist eine zeitnahe Analyse notwendig. Aufgrund der Anzahl und Komplexität der Änderungen – sowohl technisch, organisatorisch als auch prozessual – bedarf es umgehend eines Überblicks über die auf eine IP-Bereitschaft abzielenden Eingriffe. Ausgehend von einer SIC5-Verfügbarkeit und einem IP-Go-live 2024 ergibt sich der Handlungsbedarf und es ist sinnvoll, bereits jetzt wichtige Entscheidungen zu treffen, so dass ein Start eines solchen Transformationsprojekts rechtzeitig terminiert werden kann.

Handeln Sie rechtzeitig für Ihre SIC5-readiness

Auf Basis der Empfehlungen zur Endpunktsicherheit von Grossbetragszahlungssystemen der Bank für Internationalen Zahlungsausgleich (BIZ), hat die SNB neue Anforderungen erarbeitet, welche für alle SIC-Teilnehmenden gelten.

Das Framework «Endpunktsicherheit im SIC-System» – Version 2024 (1.00 vom 05.10.2022) definiert eine Reihe von verbindlichen, sprich obligatorischen und einigen empfohlenen Sicherheitsmassnahmen für die Teilnehmenden am SIC-Netzwerk. Diese dienen dazu, einen durchgehenden Grundschutz zu etablieren. Empfohlene Massnahmen basieren auf Best Practices und sollten, wenn möglich, berücksichtigt werden. Die Einhaltung muss jährlich im Rahmen einer «Self-Attestation» von einer unabhängigen Stelle überprüft werden. Dies kann entweder eine interne Kontrollstelle sein (z.B. interne Revision; Risk oder Compliance Manager) oder ein qualifizierter externer Dienstleister (z.B. InfoGuard).

InfoGuard unterstützt in den unterschiedlichen Phasen – von der Beratung, Planung und dem Design über die kontinuierliche Entwicklung und Optimierung bis hin zum Schutz und der Überprüfung der SIC-Infrastruktur (technisch, organisatorisch und prozessmässig). Darüber hinaus bieten wir ein dediziertes «SIC Assessment» zur Überprüfung der Compliance mit den im Framework definierten Massnahmen. Dies kann alleine oder durch die nahe Verwandtschaft mit der SWIFT-konformität in Kombination mit einem SWIFT CSCF Assessment erfolgen.

SIC Assessment

SIC5 kommt – warten Sie nicht bis 2024! 

IP für Banken wird bald auch in der Schweiz Realität und die Entwicklungen in anderen Ländern zeigen, dass Kunden dies schnell als «New Normal» akzeptieren und fordern werden. Für Banken bedeutet die SIC5-readiness einen umfassenden Umbau in den IT-Landschaften und Prozessen. Deshalb gilt es sich, zeitnah für eine Strategie für die Einführung von IP zu entscheiden und den Gestaltungsraum aktiv zu nutzen, um die Strukturen und technischen «Altlasten» zu bereinigen. Partner wie die InfoGuard können Sie dabei tatkräftig unterstützen – wir freuen uns über Ihre Anfrage.

Fragen zu SIC5? Kontaktieren Sie uns!
<< >>

IT-Sicherheit , Data Governance

Reinhold Zurfluh
Über den Autor / Reinhold Zurfluh

InfoGuard AG - Reinhold Zurfluh, Head of Marketing, Mitglied des Kaders

Weitere Artikel von Reinhold Zurfluh

Ähnliche Artikel
Sind Sie bereit für das neue FINMA-Rundschreiben 2023/1 «Operationellen Risiken und Resilienz – Banken»?
Sind Sie bereit für das neue FINMA-Rundschreiben 2023/1 «Operationellen Risiken und Resilienz – Banken»?
Veröffentlicht am 17. Jan 2023 | von InfoGuard | Data Governance |

Per 1. Januar 2024 treten das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen [...]
Revision ISG: Folgen & Pflichten für Betreiber kritischer Infrastrukturen [Teil 1]
Revision ISG: Folgen & Pflichten für Betreiber kritischer Infrastrukturen [Teil 1]
Veröffentlicht am 04. Apr 2023 | von Markus Limacher | Data Governance | 0 Kommentare

Auf Gesetzesebene werden 2023 sowohl die Informationssicherheit als auch die Cyber-Sicherheit gestärkt. Das [...]
Warum besonders Schweizer Industriefirmen von Cyber-Attacken betroffen sind
Warum besonders Schweizer Industriefirmen von Cyber-Attacken betroffen sind
Veröffentlicht am 15. Aug 2022 | von Philippe Vetterli | Cyber Defence | Cyber Security | 0 Kommentare

In den vergangenen zwei Jahren waren nicht weniger als 70 (!) Prozent der Schweizer Industriefirmen Ziel von [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.
Blog Updates abonnieren
Social Media
Neuer Call-to-Action
Kategorien