Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) regelt heute den Nachrichten- und Transaktionsverkehr von weltweit über 11‘000 Banken über ihr sicheres und standardisiertes Telekommunikationsnetz. Die wachsende Anzahl von Cyberangriffen auf dieses SWIFT-Netz und auf Infrastrukturen von Netzwerkteilnehmern hat die Transaktionsspezialisten veranlasst, ein Sicherheitsprogramm für ihre Teilnehmer zu entwickeln. Dieses Sicherheitsprogramm trägt den Namen CSP (Customer Security Programme). Ziel ist es damit die Kräfte der Netzwerkteilnehmer zu bündeln, um Bedrohungen aus dem Cyberspace die Stirn zu bieten.
Das CSP wurde 2017 gestartet. Es definiert Anforderungen an alle angeschlossenen Teilnehmer mit dem Ziel, den Informationsaustausch innerhalb der SWIFT-Community zu verbessern und die lokale SWIFT-Infrastruktur der Teilnehmer auf einem angemessenen Sicherheitsniveau zu halten. Mit diesem Rahmen für eine abgestimmte Qualitätssicherung will SWIFT den zunehmenden Cyberrisiken begegnen und die Abwehrkräfte der SWIFT-Teilnehmer gegen Cyberattacken stärken.
SWIFT passt ihr Sicherheitsprogramm jedes Jahr den aktuellen Gegebenheiten an. Für 2019 hat sie drei bisher fakultative Kontrollen («Advisory») zu verbindlichen Kontrollen («Mandatory») heraufgestuft und zwei neue «Advisory»-Kontrollen ins Programm aufgenommen (vgl. Abbildung 1). Zudem wurden einzelne bestehende Kontrollen konkretisiert. Am 10. August 2018 hat SWIFT ihre neue CSP-Version veröffentlicht. Die teilnehmenden Finanzinstitute müssen bis spätestens Ende 2019 gegenüber der SWIFT nachweisen, dass sie alle «Mandatory»-Kontrollen einhalten.
Abbildung 1: Die wichtigsten Neuerungen im CSP für 2019 im Überblick
Erfahrungen aus den Attestierungszyklen haben gezeigt, dass die Implementierung des Sicherheitsprogramms und das laufende Einhalten der CSP-Anforderungen für SWIFT-Teilnehmer einen enormen Aufwand bedeuten. Die Anforderungen der SWIFT sind umfangreich und erfassen ebenfalls die lokale IT-Infrastruktur der Teilnehmer. Zudem gehen einzelne Ansprüche bei Netzwerkteilnehmern über die hauseigenen Anforderungen an einen soliden Grundschutz hinaus.
Seit Ende 2017 müssen alle Teilnehmer Jahr für Jahr bestätigen, dass sie die CSP-Kontrollen einhalten. Sie können frei wählen, ob sie diesen Nachweis im Rahmen eines Selbstattestes (Self-Attestation), eines internen Audits (Self-Inspection) oder eines externen Audits (Third-Party-Inspection) erbringen.
Aus Gründen der Qualitätssicherung behält sich SWIFT vor, von einer Auswahl an Teilnehmern ein unabhängiges, externes Audit zu verlangen. Diese Veränderung im Prozess hat SWIFT bereits umgesetzt, wie sie den Netzwerkteilnehmern im Herbst 2018 mit dem «Customer Security Programme Newsletter: Q4 2018» mitteilte.
Am Branchenevent «SWIFT International Banking Operations Seminar» (SIBOS) im Oktober 2018 in Sidney kündigte SWIFT zudem Anpassungen am Nachweisprozess an. Demnach will sie die Vorgaben für die Bestätigung verschärfen.
Erste Informationen deuten darauf hin, dass Selbstatteste nicht mehr möglich sein werden. SWIFT will die Neuerungen voraussichtlich ab 2020 einführen. Detaillierte Informationen dürften in den kommenden Monaten folgen.
Die einwandfreie Umsetzung der SWIFT-Anforderungen lässt sich mit einem strukturierten Vorgehen leichter nachweisen. Wir von PwC können Sie in dabei in unterschiedlichen Rollen unterstützen (vgl. Abbildung 2). So helfen wir SWIFT-Netzwerkteilnehmern, ihre Informations- und Cybersicherheit gerade auch unter hohem Zeitdruck regelkonform auszugestalten und ihre SWIFT-Compliance gezielt zu verfeinern.
Abbildung 2: Mit externer Hilfe Schritt für Schritt zu einem unabhängigen Nachweis der SWIFT-Compliance
Diesen Herbst laden wir Sie erneut herzlich zu unseren Banken Breakfasts in Innsbruck, Klagenfurt, Wien und Salzburg ein. Neben den neuesten Entwicklungen und Herausforderungen im Bankensektor bietet sich die Veranstaltungsreihe ebenfalls zum fachlichen Austausch und Networking an.
Sie interessieren sich für aktuelle Entwicklungen im Bereich Bankenbewertung? Melden Sie sich jetzt zum "Newsflash Bankenbewertung" an!
Medieninhaber und Herausgeber:
PwC Österreich GmbH Wirtschaftsprüfungsgesellschaft, DC Tower, Donau-City-Straße 7, 1220 Wien
Für den Inhalt verantwortlich: StB Mag. Thomas Strobach, thomas.strobach@pwc.com
Für Änderungen der Zustellung verantwortlich: Anna Ring, anna.x.ring@pwc.com, Tel.: +43 1 501 88-3705, Fax: +43 1 501 88-648
Der Inhalt dieses Newsletters wurde sorgfältig ausgearbeitet. Er enthält jedoch lediglich allgemeine Informationen und spiegelt die persönliche Meinung des Autors wider, daher kann er eine individuelle Beratung im Einzelfall nicht ersetzen. PwC übernimmt keine Haftung und Gewährleistung für die Vollständigkeit und Richtigkeit der enthaltenden Informationen und weist darauf hin, dass der Newsletter nicht als Entscheidungsgrundlage für konkrete Sachverhalte geeignet ist. PwC lehnt daher den Ersatz von Schäden welcher Art auch immer, die aus der Verwendung dieser Informationen resultieren, ab.
"PwC“ bezeichnet das PwC-Netzwerk und/oder eine oder mehrere seiner Mitgliedsfirmen. Jedes Mitglied dieses Netzwerks ist ein selbstständiges Rechtssubjekt. Weitere Informationen finden Sie unter www.pwc.com/structure.