Nutzer des SWIFT-Netzwerks sind laut dem Customer Security Control Framework (CSCF) dazu angehalten, die Befolgung der obligatorischen Sicherheitskontrollen jährlich durch eine unabhängige Prüfung nachzuweisen. Im Rahmen dieses SWIFT Assessments wird die Sicherheit der SWIFT-Infrastruktur und -Systeme einer Organisation eingehend untersucht, um einen adäquaten Schutz vor möglichen Sicherheitsrisiken und Schwachstellen zu gewährleisten.
Vor kurzem wurde ein Update des Frameworks, das CSCFv2025, veröffentlicht. Tobias Weber, Managing Security Consultant der usd AG und Auditor mehrerer internationaler Sicherheitsstandards, hat sich das neue Framework für uns genauer angeschaut:
Tobias, ab wann ist das neue Framework gültig?
Die Frameworks werden regelmäßig im Sommer eines Jahres veröffentlicht, finden aber erst im darauffolgenden Jahr Anwendung. Das CSCFv2025 wird als Grundlage für die Assessments ab Juli 2025 genutzt. Für alle SWIFT Assessments in 2024 wird gegen das im letzten Jahr veröffentlichte Framework v2024 auditiert. SWIFT schafft somit für die Unternehmen eine Übergangsphase von 1 Jahr.
Mein persönlicher Tipp für meine Kunden: Durch das rechtzeitige Release der künftigen Frameworks haben wir als Auditor*innen zudem die Möglichkeit, beim diesjährigen Assessment bereits die kommenden Anforderungen mitzuprüfen.
Du hast dir das Framework angeschaut. Welche Änderungen sollte ich kennen?
Kurz gesagt: Das CSCFv2025 enthält keine großen Änderungen. Das Update beläuft sich hauptsächlich auf geringfügige Anpassungen und Klarstellungen, u.a. in Bezug auf den Scope einzelner Controls.
Entgegen den Erwartungen wurde kein weiteres Advisory Control auf „mandatory“ angehoben. Laut Aussage von SWIFT sollte das Anforderungsniveau stabil bleiben, nachdem es in den vergangenen Jahren kontinuierlich angehoben wurde.
Heißt das für betroffene Unternehmen, dass für 2025 keine aufwendigen Änderungen notwendig sind?
So gesehen, nein. Es ist zu beachten, dass die Übergangsphase für Control 2.4A (Back Office Data Flow Security) mit diesem Update weitergeht. Weitere Entwicklungen sind hier aber erst für das v2026-Framework vorgesehen. Ich empfehle aber, sich rechtzeitig darauf vorzubereiten, denn dann müssen Bridging Server and neue direkte Datenflüsse zwischen secure zone und back-office first hop mit geschützt werden. Ab v2028 soll dies zusätzlich auf die legacy flows ausgeweitet werden.
Sie haben Fragen oder benötigen Unterstützung bei Ihrem anstehenden SWIFT Assessment? Kontaktieren Sie uns, wir helfen gern.