usd AG auditiert nach dem SWIFT Customer Security Controls Framework (CSCF)

8. Juli 2021

SWIFT ist aus dem internationalen Zahlungsverkehr nicht mehr wegzudenken. Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) ist eine globale Mitgliedergenossenschaft, die sichere Finanznachrichtendienste für ihre Gemeinschaft von 11.000 Banken und Finanzinstituten anbietet.

SWIFT Customer Security Programme

Als Reaktion auf den Cyberangriff auf die Bangladesh Bank im Jahr 2016 entwickelte SWIFT das Customer Security Programme (CSP). Die dort verankerten Anforderungen sollen im Allgemeinen die Sicherheit des globalen Bankensystems stärken und Kunden aktiv im Kampf gegen Cyber-Attacken unterstützen. Darüber hinaus zielt der CSP darauf, den Informationsaustausch innerhalb der Community zu verbessern und die Endpoint Security zu stärken.

SWIFT Customer Security Controls Framework

Abgeleitet von diesen Sicherheitsanforderungen entwickelte SWIFT eine Reihe an Kontrollrichtlinien, die alle dem Netzwerk angeschlossenen Unternehmen erfüllen müssen: das Customer Security Controls Framework (CSCF).

Das CSCF besteht aus verpflichtenden („Mandatory“) und empfohlenen („Advisory“) Controls. Die stetig steigenden Anforderungen an Sicherheit im Finanzumfeld haben zur Folge, dass das CSCF fortlaufend den aktuellen Gegebenheiten angepasst wird. Inzwischen umfasst das CSCF 22 Mandatory und neun Advisory Controls, die von den Kunden nachgewiesen werden müssen.

Welche Anforderungen werden an SWIFT-Mitglieder gestellt?

SWIFT-Mitglieder sind nach dem CSCF dazu verpflichtet, jährlich das Einhalten aller Mandatory Controls gegenüber der SWIFT nachzuweisen. Diesen Nachweis konnten Banken und Finanzinstitute bisher durch ein „User initiated assessment“ in Form eines Self-Assessments erbringen.

Aus Gründen der Qualitätssicherung wurde allerdings 2020 eine wichtige Änderung hinsichtlich dieses Compliance-Nachweises vorgenommen: Laut dem Independent Assessment Framework (IAF) müssen alle Mitglieder den Nachweis zukünftig durch ein unabhängiges Assessment erbringen. Dies kann sowohl von externen Auditoren als auch von intern unabhängigen Personen mit entsprechender Expertise (z.B. Interner Revision) durchgeführt werden.

So unterstützen wir beim Assessment

„In der usd vereinen wir die langjährige Auditerfahrung in der Payment Industry mit umfangreichem Know-How in Regulatorik-Projekten im Finanzwesen. Damit bringen wir die besten Voraussetzungen mit, unsere Kunden auch beim SWIFT Audit zu unterstützen. Ich freue mich daher, dass wir nun offiziell im CSP Assessment Providers Directory* der SWIFT als Partner gelistet sind“ verkündet Anna Magdalena-Kohl, Team Lead Sales Security Audits & PCI.

Unsere Tipps für eine gute Vorbereitung auf das Assessment:

  1. Klären Sie rechtzeitig die gewünschte Art des Assessments – durch einen externen Auditor oder durch die Interne Revision
  2. Wenn die Wahl auf einen externen Auditor gefallen ist, sehen Sie sich zeitnah nach einem geeigneten Partner um und binden Sie diesen frühzeitig in die Vorbereitung mit ein.
  3. Bereiten Sie sich ausreichend auf das Assessment vor. Bei einem unabhängigen Assessment, egal ob durch eine Revision oder einen externen Auditor, werden meist strengere Anforderungen an Prozesse und Dokumentationen gelegt als bei einer Selbstzertifizierung. Eine Gap-Analyse oder ein kurzer Workshop zum Vergleich der implementierten Prozesse und der CSCP-Controls kann eine gute Vorbereitung sein. 

Sie benötigen Unterstützung bei der Vorbereitung oder möchten von uns das Assessment durchführen lassen? Kontaktieren Sie uns, wir helfen gern.

*SWIFT zertifiziert, empfiehlt, befürwortet oder garantiert für keinen der im Verzeichnis aufgeführten Dienstleister und SWIFT-Kunden sind nicht verpflichtet, die im Verzeichnis aufgeführten Dienstleister zu nutzen

Auch interessant:

Part-IS: Die 7 wichtigsten Fragen

Part-IS: Die 7 wichtigsten Fragen

Die Zivilluftfahrt besteht aus einem komplexen Netzwerk zahlreicher verknüpfter Systeme, die immer häufiger zum Ziel von Cyberangriffen werden. Mit Part-IS sollen beteiligte Organisationen dazu verpflichtet werden, effektive Maßnahmen zum Schutz vor...

mehr lesen

Kategorien

Kategorien