SWIFT-User sind gemäß dem Customer Security Controls Framework (CSCF) verpflichtet, jährlich durch ein unabhängiges Assessment die Einhaltung mindestens aller verpflichtenden Controls nachzuweisen. Bei einem solchen SWIFT Assessment wird die Sicherheit der SWIFT-Infrastruktur und -Systeme einer Organisation geprüft, um sicherzustellen, dass sie gegen potenzielle Sicherheitsbedrohungen und Schwachstellen geschützt sind.
Im letzten Jahr veröffentlichte SWIFT mit Version CSCFv2023 ein Update des Frameworks, in dessen Zuge unter anderem der Re-Assessment-Prozess überarbeitet wurde. Wie sich der neu definierte Re-Assessment-Prozess in den bisherigen SWIFT-CSP-Assessment-Prozess einfügt und welche Vorteile er für SWIFT User bringen kann, betrachtet für uns Tobias Weber, Managing Security Consultant bei der usd AG und Auditor mehrerer internationaler Sicherheitsstandards.
Compliance-Nachweis nach dem SWIFT CSP
SWIFT fordert von allen SWIFT-Usern eine Compliance mit dem SWIFT CSP und demnach eine Einhaltung mindestens aller verpflichtenden Kontrollen aus dem CSCF. Diese Compliance wird von allen Usern gleichermaßen gefordert, unabhängig von ihrer Anbindung an SWIFT:
Unternehmen, die direkt an SWIFT angebunden sind und SWIFT-Produkte nutzen, müssen das volle Assessment durchführen. Doch auch Unternehmen, die indirekt über einen Service Provider (ein sogenanntes „Service Bureau“) angebunden sind, müssen den SWIFT CSP erfüllen. Zwar betreibt der Provider die Produkte und die Security Zone, wodurch sich der Scope des eigentlichen Users erheblich verkleinert, aber es wird von den Usern dennoch ein eigenes Assessment verlangt. Der Service Provider selbst muss ein separates Programm, das Provider Security Programm, erfüllen.
Nach erfolgreichem Assessment erhalten SWIFT-User zwei Dokumente: Einen Detailbericht sowie den Assessment Completion Letter. Der Detailbericht enthält Informationen darüber, auf welche Controls geprüft wurde und welche Findings daraus resultiert sind. Der Assessment Completion Letter bestätigt, dass das Audit durchgeführt wurde und vollständig abgeschlossen ist. Letzterer muss jährlich erneut als Beweis der Compliance an SWIFT übergeben werden.
Wie läuft ein SWIFT Assessment ab?
Die Grundlage für das SWIFT Assessment ist der vorliegende Architektur-Typ. SWIFT unterscheidet dabei 5 Typen: A1, A2, A3, A4 und B. Sollte einem Unternehmen nicht eindeutig klar sein, welcher Architektur-Typ vorliegt, kann dies in einem Workshop mit einem SWIFT Auditor erarbeitet werden oder es kann eine Anfrage an SWIFT erfolgen. Aus dem Architektur-Typ ergeben sich alle Parameter für das nachfolgende Assessment: Umfang, konkrete Controls und Scope.
Auditor*innen der usd AG bieten SWIFT Assessments für alle Architektur-Typen an. Die Vorgehensweise orientiert sich dabei an den Empfehlungen von SWIFT und sieht folgendermaßen aus:
Vorbereitung
In einem gemeinsamen Kick-off mit den Ansprechpartner*innen auf Kundenseite planen unsere Auditor*innen die bevorstehende Prüfung und beantworten bereits erste Fragen, beispielsweise wie mit Advisory Controls umgegangen werden soll. Diese sind laut SWIFT für die Compliance nicht verpflichtend, dennoch empfehlen wir diese aus allgemeinen Sicherheitsgründen einmalig mit zu prüfen und zu implementieren.
In ersten Review-Sessions prüfen wir gemeinsam mit dem Kunden, ob der für die Umgebung passende Architektur-Typ ausgewählt wurde (Scope Review) und ob Assessment-Ergebnisse aus dem Vorjahr für das anstehende Assessment wiederverwertet werden können (Re-Assessment Review).
Dauer und Umfang der Vorbereitungsphase können je nach Komplexität des Scopes und des Assessments variieren.
Assessment
In der Assessment-Phase prüfen wir die Umsetzung der Controls des CSCF. Ergebnisse der Überprüfung, mögliche Findings und offene Punkte werden dabei umgehend mit den Ansprechpartner*innen diskutiert. Basierend darauf erstellen wir einen Report und präsentieren im Rahmen eines persönlichen Termins erneut alle Ergebnisse des Assessments sowie daraus resultierende offene Punkte.
Remediation
Sollten im Assessment offene Punkte oder Punkte für eine mögliche non-Compliance identifiziert worden sein, so ermöglicht der SWIFT Standard diese nach dem Assessment zu korrigieren oder zu schließen. Das Ergebnis daraus wird in einem Update des Reports festgehalten.
Abschluss
Den Abschluss eines SWIFT-Audit-Prozess bildet die Übergabe der beiden für den Kunden notwendigen Dokumente: Den Detailbericht sowie den Assessment Completion Letter. Zudem betrachten wir gern gemeinsam in einer Retrospektive, was gut gelaufen ist und was ggf. für das nächste Audit noch optimiert werden kann.
Vorteile des Re-Assessment-Prozesses
Im Update des Frameworks, genauer gesagt im begleitenden IAFv2023, wurde die Möglichkeit des Re-Assessment verdeutlicht. Den SWIFT-Usern bisher als „Delta Assessment“ bekannt, erlaubt dieser Prozess die Wiederverwendung vorheriger Bewertungsergebnisse. Diese Möglichkeit basiert auf einigen Bedingungen, die sich mit nachfolgenden Fragen bewerten lassen:
Ausgangsfrage vor der Nutzung muss zunächst immer eine allgemeine Bewertung sein: Kann man die Prüfungsergebnisse aus dem Vorjahr wieder nutzen, also sich auf diese Ergebnisse noch immer stützen? Hürden, um die Prüfungsresultate aus dem Vorjahr heranziehen zu können, können hier zum Beispiel größere Änderungen an der Umgebung, sowie in der Umgebung neue SWIFT Services, neue Provider oder neue Architekturtypen sein.
Sind die Ergebnisse aus den aufgelisteten Gründen nicht verwertbar, muss ein neues Full Assessment durchgeführt werden, bei dem jede einzelne Control vollständig geprüft werden muss.
Gab es keine Änderungen und können die Ergebnisse grundsätzlich genutzt werden, so sind weitere Einschätzungen für jede einzelne Control notwendig:
- Wurde die Prüfung gegen die vorherige oder die aktuelle Version durchgeführt? Sie sind nur gültig, wenn sie bereits auf Basis der neuen Version des Frameworks durchgeführt wurden.
- Wurde das Ergebnis in dem vorangegangen Jahr erhoben oder referenziert man sich bereits auf das Ergebnis aus dem Jahr vor letztem Jahr? Es dürfen nur Ergebnisse aus dem vorherigen Jahr genutzt werden.
- Gab es innerhalb des Frameworks Änderungen an dem Control selbst? Hat sich als der Gegenstand des Controls geändert? Die Ergebnisse sind nur gültig, sofern das Control selbst gleich geblieben ist.
- Ist das Design der Umgebung oder die Implementierung unverändert? Beides muss unverändert geblieben sein, sodass die Ergebnisse für den Re-Assessment-Prozess herangezogen werden dürfen.
Die Nutzung von Ergebnissen aus dem Vorjahr ist ein großer Vorteil für die Institute, allerdings liegt die finale Akzeptanz der Ergebnisse schlussendlich im Ermessen des Prüfers.
Im nächsten Blogpost betrachten wir die wichtigsten Änderungen an den Controls, die durch das SWIFT CSCFv2023 auf SWIFT User zukommen.
Sie haben Fragen oder benötigen Unterstützung bei Ihrem kommenden SWIFT Assessment? Kontaktieren Sie uns, wir helfen gern.
