Seit 2017 unterstützt das Customer Security Controls Framework (CSCF) Organisationen dabei, ihre SWIFT-Infrastruktur wirksam abzusichern. Ziel ist es, Cyberrisiken zu reduzieren und betrügerische Transaktionen frühzeitig zu erkennen und zu stoppen.
SWIFT-Nutzer müssen jährlich nachweisen, dass sie die Anforderungen des CSCF erfüllen. Grundlage dafür ist ein unabhängiges SWIFT Assessment. Dieses bestätigt, dass die SWIFT-Infrastruktur der Organisation und die angebundenen Systeme wirksam und zuverlässig vor potenziellen Bedrohungen und Schwachstellen geschützt sind.
Mit dem neusten Update des Frameworks, dem CSCFv2026, hat SWIFT zentrale Änderungen und deutliche Verbesserungen eingeführt. Gemeinsam mit unserem Kollegen Najim Quraishi, Managing Security Consultant bei der usd AG und Auditor für internationale Sicherheitsstandards, geben wir Ihnen einen Überblick über die wichtigsten Neuerungen. Diese bereits jetzt zu kennen, verschafft Ihnen einen Vorteil - sowohl beim kommenden SWIFT-Assessment nach CSCFv2025 als auch in der anschließenden Übergangsphase bis zu Ihrem nächsten SWIFT-Assessment in 2026.
Welche Änderungen sieht das CSCFv2026 vor?
Das CSCFv2026 baut schrittweise auf die Vorgängerversion auf. Wie im Rahmen des CSCFv2025 angekündigt, ist das Control 2.4 „Back Office Data Flow Security” (Sicherheit des Datenflusses im Backoffice) mit CSCFv2026 nun verpflichtend.
Damit wird der Customer-Client-Connector (z.B. API-Nutzer, Middleware oder Dateiübertragungs-Clients) als verpflichtende Komponente für mehrere Controls eingestuft. Jeder Endpunkt, der über gemeinsam genutzte Ressourcen von Dienstleistern indirekt mit SWIFT verbunden ist, gilt nun als Customer Connector - unabhängig davon, ob er server- oder clientbasiert ist.
Das kann dazu führen, dass Institutionen, die bisher nach Architekturtyp B zertifiziert wurden, eine Neuklassifizierung nach Typ A4 vornehmen müssen, wenn Customer Connectors verwendet werden. Details zu den Auswirkungen und zur Neuklassifizierung finden Sie in unserem vorausgegangenen Artikel „SWIFT CSCFv2025: Aktuelle Version des Frameworks bringt Änderungen für Architekturtyp B“.
Die folgenden Controls führen den Customer Connector als in-scope Komponente auf und sind mit der Einführung des CSCFv2026 als verpflichtend („mandatory“) eingestuft:
| Control Nummer | Security Control |
|---|---|
| 1.2 | Operating System Privileged Account Control |
| 1.3 | Virtualisation or Cloud Platform Protection |
| 1.4 | Restriction of Internet Access |
| 2.2 | Security Updates |
| 2.3 | System Hardening |
| 2.6 | Operator Session Confidentiality and Integrity |
| 2.7 | Vulnerability Scanning |
| 3.1 | Physical Security |
| 4.1 | Password Policy |
| 4.2 | Multi-Factor Authentication |
| 5.1 | Logical Access Control |
| 5.4 | Password Repository Protection |
| 6.1 | Malware Protection |
| 6.4 | Logging and Monitoring |
Als Teil der Komponenten, die in den Anwendungsbereich des Frameworks fallen, sind zusätzlich die Alliance-Connect-Instanzen enthalten.
Warum sich jetzt schon mit CSCFv2026 beschäftigen?
Ihr aktuelles SWIFT-Assessment erfolgt noch nach CSCFv2025. Trotzdem empfehlen wir Ihnen, sich bereits jetzt mit den Änderungen des neuen CSCFv2026 zu beschäftigen und diese zu berücksichtigen. Warum? Wer die Übergangsphase nutzt, verschafft sich Planungssicherheit und vermeidet kurzfristige Überraschungen.
Unser Tipp: Führen Sie parallel zu Ihrem aktuellen Assessment eine Gap-Analyse nach CSCFv2026 durch. So erkennen Sie frühzeitig, ob Ihre Architektur betroffen ist und ob eine Neuklassifizierung zum Architekturtyp A4 notwendig wird. Das gibt Ihnen die Chance, größere Anpassungen strategisch und ohne Zeitdruck umzusetzen.
Sie haben Fragen oder benötigen Unterstützung bei Ihrem anstehenden SWIFT Assessment? Kontaktieren Sie uns, wir helfen gern.
