Seit seiner Einführung im Jahr 2017 zielt das Customer Security Controls Framework (CSCF) darauf ab, die Sicherheit des SWIFT-Netzwerks zu stärken. Damit soll das Risiko von Cyberangriffen verringert und die Auswirkungen betrügerischer Transaktionen minimiert werden. Um mögliche Schwachstellen und Sicherheitsrisiken vorzubeugen, wird die Sicherheit der SWIFT-Infrastruktur und SWIFT-Systeme einer Organisation in einem jährlich verpflichtenden SWIFT Assessment gründlich geprüft.
Die aktuelle Version des Frameworks, das CSCFv2025, beinhaltet eine wichtige Änderung. Betroffen sind SWIFT-Kunden, für die bisher der Architekturtyp B galt und einen „Customer Client Connector“ verwenden. Zusammen mit Lea Wachter, Senior Consultant der usd AG und Auditorin für internationale Sicherheitsstandards, haben wir uns die Anpassung genauer angeschaut:
Wer ist betroffen?
Die Änderung am Framework betrifft Unternehmen, die unter Architekturtyp B fallen. Innerhalb dieser Gruppe werden zwei Fälle unterschieden:
- Betreibt ein Unternehmen einen application-to-application Flow und verwendet einen Client-Connector, um sich mit einem SWIFT Service Provider oder mit SWIFT direkt zu verbinden, hat die aktuelle Version des Frameworks Auswirkungen auf den Architekturtyp und damit auf die zu erfüllenden Controls.
- Wenn sich ein Unternehmen allerdings nur über user-to-application Flows (z.B. Verwendung von browserbasierten GUI) ohne application-to-application Flows direkt mit seinem SWIFT Service Provider oder SWIFT verbindet, ist dieses Unternehmen von der Änderung ausgenommen.
Schrittweise Anpassung des Anwendungsbereichs für alle Arten von Customer Connectors
Damit die SWIFT-Verbindungen reibungslos weiterlaufen, werden alle Customer Client Connectors schrittweise als sogenannte Customer Connector eingestuft. Das betrifft alle Anwendungen oder Systeme, die direkt oder über einen Drittanbieter mit SWIFT verbunden sind. Somit ist es nicht mehr länger relevant, ob der Endpunkt ein Server oder ein Client ist.
Im ersten Schritt wird lediglich empfohlen, Customer Client Connectors in den Geltungsbereich aufzunehmen. Dazu gehören Endpunkte wie API-Konsumenten, Middleware oder Datenübertragungs-Clients. Mit dem bevorstehenden CSCFv2026 sollen die Anforderungen an die Customer Client Connectors verpflichtend werden. Damit müssen Unternehmen, die einen Customer Client Connector verwenden und für die bisher Architekturtyp B galt, zum Architekturtyp A4 wechseln.
Der Wechsel des Architekturtyps zieht die Anwendung neuer Controls für SWIFT Assessments ab Juni 2025 nach sich:
- 1 neues verpflichtendes Control („Mandatory Control“):
| Control Nummer | Security Control |
|---|---|
| 1.5 | Customer Environment Protection |
- 4 neue empfohlene Controls („Advisory Controls“):
| Control Nummer | Security Control |
|---|---|
| 2.5A | External Transmission Data Protection |
| 6.2 | Software Integrity |
| 6.3 | Database Integrity |
| 6.5A | Intrusion Detection |
- 3 bislang empfohlene Controls, welche zukünftig verpflichtend werden:
| Control Nummer | Security Control |
|---|---|
| 1.2 | Operating System Privileged Account Control |
| 1.3 | Virtualisation or Cloud Platform Protection |
| 2.7 | Vulnerability Scanning |
Relevant werden zudem Controls, die den Customer Client Connector als in-scope Komponente aufführen. Dazu gehören:
- 15 verpflichtende Controls:
| Control Nummer | Security Control |
|---|---|
| 1.2 | Operating System Privileged Account Control |
| 1.3 | Virtualisation or Cloud Platform Protection |
| 1.4 | Restriction of Internet Access |
| 1.5 | Customer Environment Protection |
| 2.2 | Security Updates |
| 2.3 | System Hardening |
| 2.6 | Operator Session Confidentiality and Integrity |
| 2.7 | Vulnerability Scanning |
| 3.1 | Physical Security |
| 4.1 | Password Policy |
| 4.2 | Multi-Factor Authentication |
| 5.1 | Logical Access Control |
| 5.4 | Password Repository Protection |
| 6.1 | Malware Protection |
| 6.4 | Logging and Monitoring |
- 2 empfohlene Controls:
| Control Nummer | Security Control |
|---|---|
| 5.3A | Staff Screening Process |
| 7.3A | Penetration Testing |
Wichtig ist hierbei, dass bei den 15 verpflichtenden Controls nur der Customer Client Connector als Systemkomponente bis zur Veröffentlichung des CSCFv2026 als „advisory“ anzusehen ist. Alle anderen in-scope Komponenten der genannten Controls sind bereits „mandatory“ und müssen somit erfüllt werden.
Sie haben Fragen oder benötigen Unterstützung bei Ihrem anstehenden SWIFT Assessment? Kontaktieren Sie uns, wir helfen gern.
