Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) ist eine globale Mitgliedergenossenschaft, die sichere Finanznachrichtendienste für Banken und Finanzinstitute anbietet. Dazu stellt sie die technische Infrastruktur sowie standardisierte Nachrichtenformate für den Nachrichtentransfer zur Verfügung. Eine extrem hohe Sicherheit und Verfügbarkeit stehen bei der Bereitstellung dieser Dienste im Mittelpunkt.
Als Reaktion auf den Cyberangriff auf die Bangladesh Bank veröffentlichte SWIFT 2017 das Customer Security Programme (CSP). Dessen Herzstück, das SWIFT Customer Security Controls Framework (CSCF), umfasst verpflichtende („Mandatory“) und empfohlene („Advisory“) Controls, deren Einhaltung von SWIFT-Mitgliedern regelmäßig nachgewiesen werden müssen.
Fragen und Antworten
Um Ihnen eine erste Übersicht und einen schnellen Einstieg in das Thema zu ermöglichen, beantworten wir Ihnen in diesem Beitrag die 7 wichtigsten Fragen zum Thema SWIFT Assessment:
1. Was ist ein SWIFT Assessment?
2. Wer muss ein SWIFT Assessment durchführen lassen?
3. Warum ist ein SWIFT Assessment wichtig?
4. Was sind die Prüfschwerpunkte eines SWIFT Assessments?
5. Wer führt SWIFT Assessments durch?
6. Wie oft muss ein SWIFT Assessment durchgeführt werden?
7. Wie kann sich eine Organisation auf das SWIFT Assessment vorbereiten?
1. Was ist ein SWIFT Assessment?
SWIFT-User sind gemäß dem Customer Security Controls Framework (CSCF) verpflichtet, jährlich durch ein unabhängiges Assessment die Einhaltung mindestens aller verpflichtenden Kontrollen nachzuweisen. Bei einem solchen SWIFT Assessment wird die Sicherheit der SWIFT-Infrastruktur und -Systeme einer Organisation geprüft, um sicherzustellen, dass sie gegen potenzielle Sicherheitsbedrohungen und Schwachstellen geschützt sind.
2. Wer muss ein SWIFT Assessment durchführen lassen?
Alle SWIFT-User müssen nachweisen, dass sie die verpflichtenden Controls einhalten, die im Customer Security Controls Framework (CSCF) definiert sind.
Im Independent Assessment Framework (IAF) ist dokumentiert, dass alle SWIFT-User ein Community Standard Assessment durchführen müssen, um die Genauigkeit ihrer Bescheinigungen weiter zu verbessern. SWIFT schreibt vor, dass die eingereichten Bescheinigungen entweder durch ein internes oder/und ein externes Assessment unabhängig bewertet werden. Die Option der Selbstbewertung bleibt bestehen, wird aber als nicht konform angesehen.
3. Warum ist ein SWIFT Assessment wichtig?
Ein SWIFT Assessment ist wichtig, weil es Organisationen dabei hilft, potenzielle Sicherheitsrisiken und Schwachstellen in ihren Systemen und Prozessen zu erkennen und Schritte zur Minderung oder Beseitigung dieser Risiken zu unternehmen. Dies trägt dazu bei, die Organisation vor potenziellen finanziellen Verlusten und Reputationsschäden zu schützen.
Indem das SWIFT Assessment dazu beiträgt, die Sicherheit der Systeme eines Unternehmens zu verbessern, werden auch die finanziellen und persönlichen Daten der Kunden des Unternehmens besser geschützt.
4. Was sind die Prüfschwerpunkte eines SWIFT Assessments?
Die wichtigsten Prüfbereiche bei einem SWIFT Assessment sind Netzwerksicherheit, Anwendungssicherheit, Datensicherheit, Zugangskontrollen, Verfahren zur Reaktion auf Vorfälle und die Einhaltung gesetzlicher Vorschriften.
5. Wer führt SWIFT Assessments durch?
SWIFT Assessments werden in der Regel von unabhängigen Sicherheitsberatern oder Wirtschaftsprüfungsgesellschaften durchgeführt, die über Fachwissen im Bereich SWIFT Security, Payment Security und IT Security im Finanzsektor verfügen. Organisationen können das Assessment auch intern durch die Second oder Third Line of Defense durchführen lassen. Es wird im Allgemeinen jedoch empfohlen, die Prüfung von einem unabhängigen Dritten durchführen zu lassen, um eine umfassendere und unvoreingenommene Bewertung zu erhalten.
6. Wie oft muss ein SWIFT Assessment durchgeführt werden?
SWIFT-Mitglieder müssen einmal im Jahr ein unabhängiges SWIFT Assessment durchführen lassen. Zusätzlich zur vollständigen Bewertung werden im IAF auch Kriterien beschrieben, um die Ergebnisse der Bewertung des Vorjahres ab Juli 2023 wieder zu verwenden.
Die Dauer eines SWIFT Assessments hängt dabei von der Größe und Komplexität der SWIFT-Infrastruktur des Unternehmens ab. Im Durchschnitt kann eine Sicherheitsbewertung mehrere Tage oder Wochen in Anspruch nehmen.
7. Wie kann sich eine Organisation auf das SWIFT Assessment vorbereiten?
Organisationen sollten sich rechtzeitig für die gewünschte Art des Assessments entscheiden - durch einen externen Prüfer oder durch ihre interne Revisionsabteilung. Fällt die Wahl auf einen externen Prüfer, sollten Organisationen rechtzeitig nach einem geeigneten Partner suchen und diesen frühzeitig in die Vorbereitung einbeziehen.
Um sich ausreichend auf das Assessment vorzubereiten, können Organisationen eine Gap-Analyse oder einen kurzen Workshop durchführen, um ihre implementierten Prozesse mit den von SWIFT geforderten Sicherheitskontrollen zu vergleichen.
Sie haben weitere Fragen oder benötigen Unterstützung?
Besuchen Sie unser kostenloses usd Webinar SWIFT CSCFv2023 - Was Sie über das Update wissen sollten oder kontaktieren Sie uns, wir helfen gern.
