Article

SWIFT Customer Security Programme (CSP)

Neuerungen im SWIFT Customer Security Controls Framework v2022

Im SWIFT Customer Security Controls Framework (CSCF) in der aktuell gültigen Version CSCF v2022 werden diverse Konkretisierungen in den Kontrollanforderungen sowie in dem Anwendungsbereich der einzubeziehenden Komponenten vorgenommen, die Auswirkungen auf die Durchführung des SWIFT CSP Independent Assessment haben. Die Kontrolle 2.9 Transaction Business Controls ist nun verpflichtend von allen SWIFT-Teilnehmern unabhängig der SWIFT-Infrastruktur umzusetzen. Zudem wird der Customer Connector weiter gegen Cyber-Angriffe abgesichert, indem dieser als verpflichtende Komponente in das CSCF überführt und die empfohlene Kontrolle 1.5A Customer Environment Protection eingeführt wird. Das SWIFT CSCF v2022 umfasst damit nun insgesamt 23 verpflichtende und neun empfohlene Kontrollen.

Im Rahmen der jährlichen Aktualisierung des SWIFT CSCF werden die Anforderungen des SWIFT CSP kontinuierlich angepasst, präzisiert und erweitert, um Cyber-Angriffe - basierend auf den aktuellen Bedrohungsszenarien - wirksam zu erkennen, zu vermeiden und zu beheben.

Die wesentlichen Änderungen umfassen:

Aufnahme des Customer Connector als verpflichtende Komponente: Nach Einführung des Customer Connector im CSCF v2021 als empfohlene Komponente, ist dieser mit Aktualisierung des CSCF in der Attestierungsperiode 2022 nun verpflichtend zu betrachten. Damit einhergehend erweitert sich der Umfang der zu betrachtenden Kontrollen für SWIFT-Teilnehmer um die Kontrollen 6.2 Software Integrity und 6.3 Database Integrity. Ebenfalls ist nun für den Zugriff auf den Customer Connector eine Multi-Faktor-Authentifizierung verpflichtend umzusetzen.
Einführung der empfohlenen Kontrolle 1.5A Customer Environment Protection: Mit Einführung der Kontrolle 1.5A wird von SWIFT ein Äquivalent zur bestehenden Kontrolle 1.1 SWIFT Environment Protection mit dem Ziel geschaffen, den Customer Connector vor Kompromittierung besser zu schützen, indem dieser von der allgemeinen Unternehmens-IT in einer separaten Netzwerkumgebung zu betreiben ist und die Zugriffssteuerung durch Härtungsvorgaben widerstandsfähiger gegenüber Cyber-Angriffen ausgestaltet wird.
Überführung zur verpflichtenden Kontrolle 2.9 Transaction Business Control: Kontrollen zur Verhinderung betrügerischer Transaktionen sind nun von allen SWIFT-Teilnehmern unabhängig ihres Architekturtyps verpflichtend umzusetzen. Zu beachten ist, dass im Rahmen der Kontrolle 2.9 nicht mehr ausschließlich auf Transaktionen außerhalb der Geschäftszeiten oder Tagesendkontrollen abzustellen ist, sondern nun auch auf die Definition von Betragsgrenzen zur Verhinderung betrügerischer Transaktionen zu berücksichtigen ist.
Konkretisierungen und Erweiterung des Anwendungsbereichs bestehender Kontrollen: Insbesondere werden für die Kontrollen 1.2 Operating System Priviledged Account Control sowie 5.1 Logical Access Control die verpflichtenden und empfohlenen Komponenten präzisiert und erweitert, um weiter Angriffsvektoren zu reduzieren.

Darüber hinaus wird das Independent Assessment Framework (IAF; Stand Juli 2021) insofern konkretisiert, dass die Assessment-Optionen

vollständige Verwertung der Ergebnisse des Independent Assessments aus dem Vorjahr oder
Delta-Assessment oder
Vollständiges Re-Assessment

explizit dargestellt sowie die Bedingungen, unter denen die drei Assessment-Optionen Anwendung finden können, konkretisiert werden.

Wir unterstützen Sie bei der Implementierung der Kontrollen des CSCF v2022 und führen mit Ihnen bei Bedarf ein SWIFT CSP Readiness Assessment zur Bewertung des Reifegrades der implementierten Kontrollen vor Durchführung des unabhängigen internen oder externen Assessments durch. Allen voran führen wir für Sie das unabhängige Assessment durch und bieten Ihnen darüber hinaus die Möglichkeit, weitere Anforderungen wie beispielsweise die TARGET2-Selbstzertifizierung in das Assessment zu integrieren.

Die wesentlichen Neuerungen, welche Bedeutung diese für das Independent Assessment haben und unsere Services stellen wir Ihnen in unserem aktuellen Whitepaper vor. Lesen Sie mehr.

Weitere Ausgaben

SWIFT Customer Security Program (CSP): Neuerungen 2020

Ihr Ansprechpartner

Daniel Hellmann

Director | Cyber

dhellmann@deloitte.de

+49 30 254685879

Daniel Hellmann ist Director im Bereich Risk Advisory und verantwortet Beratungs- und Prüfungsprojekte im Payments-Umfeld bei Deloitte Deutschland. Er verfügt über zwölf Jahre Berufserfahrung an der S... Mehr

Audit & Assurance

Risk Advisory

Tax

Legal

Financial Advisory

Consulting

Deloitte Private (Mittelstand)

Spotlight

Sustainability & Climate

Consumer

Energy, Resources & Industrials

Financial Services

Government & Public Services

Life Sciences & Health Care

Technology, Media & Telecommunications

Jobsuche

Berufserfahrene

Studierende

Karriere bei Deloitte

Schüler:innen

Absolvent:innen