Fokus Cyber-Risiken bei Finanzinstituten

Die IT-Sicherheit und insbesondere der Umgang mit Cyber-Risiken stehen bei Finanzinstituten wie auch bei den Aufsichtsbehörden im Fokus. SWIFT hat frühzeitig darauf reagiert und bereits im Jahr 2017 erstmalig das Customer Security Programme (CSP) veröffentlicht, welches allen SWIFT angeschlossenen Finanzinstituten eine gemeinsame Grundlage für das IT-Risikomanagement liefert. Das damit verbundene Control Framework (CSCF) wurde seither laufend weiterentwickelt. Zu Beginn waren für das Jahr 2017 noch 16 verpflichtende Kontrollen vorhanden. Diese wurden schrittweise auf 22 verpflichtende Kontrollen für das Jahr 2021 erhöht. Zudem besteht neu ab 2021 eine Pflicht zur unabhängigen Durchführung der jährlichen CSCF Assessments. BDO begleitet Sie gerne bei der Bewältigung dieser Herausforderungen.

SWIFT Customer Security Programme (CSP) - Independent Assessment

SWIFT betreibt ein Telekommunikationsnetz, mit welchem der weltweite Zahlungsverkehr geregelt wird. Über 11'000 Benutzer sind bei der SWIFT angeschlossen und über das Netzwerk miteinander verbunden. Dieses sehr sensible Netzwerk beinhaltet ein hohes Risiko bezüglich Cyber Attacken mit hoher Tragweite.

Um dieses Risiko zu adressieren, hat SWIFT im Jahr 2016 das Customer Security Programme (CSP) verabschiedet. Das CSP enthält Sicherheitsstandards, welche erstmals für das Jahr 2017 eingehalten werden mussten. Das Ziel ist die Etablierung einer für alle angeschlossenen Finanzinstitute gültigen Grundlage für das IT-Risikomanagement. Hierfür wurde ein umfangreicher Katalog von Sicherheitskontrollen definiert.

Customer Security Control Framework (CSCF)

Das Customer Security Control Framework (CSCF) wurde seit seiner Veröffentlichung im Jahr 2017 laufend verschärft und den sich verändernden IT-Risken angepasst. Waren für das Jahr 2017 noch 16 verpflichtende Kontrollen vorgesehen, wurden diese schrittweise auf 22 verpflichtende und 9 freiwillige Kontrollen im Jahr 2021 erhöht. Bei den bisher durchgeführten Verschärfungen wurden parallel bestehende optionale Kontrollen zu Pflichtkontrollen aufgewertet und neue Kontrollen eingeführt.

Zur Verbesserung der Integration der SWIFT Kontrollziele in die bereits etablierte Organisation wurde ein Mapping mit anerkannten Industriestandards zur Verfügung gestellt. Dies umfasst die bei Finanzinstituten weit verbreiteten Standards NIST Cybersecurity Framework v1.1, ISO 27002 (2013) und PCI DSS 3.2.1.

Assessment von einer unabhängigen Stelle

Seit dem Jahr 2021 besteht neu die Pflicht zur Durchführung von unabhängigen, jährlichen CSCF Assessments. Bis Ende 2020 war das Assessment auf Basis des Control Frameworks für die Finanzinstitute freiwillig. Offen war zudem, ob das Assessment als eine Selbstbeurteilung durch die zuständige Abteilung oder durch eine unabhängige Partei durchgeführt werden konnte.
 

Art des Assesments Auswahlkriterien Begutachter Timeline
      2019 2020 2021
Benutzerinitiiertes Assessment Freiwillig - vom Benutzer
initiiert
Intern oder extern X X X
Assessment nach dem CSP Standard
Verpflichtend - alle Benutzer
Intern oder extern     X
SWIFT- Pflicht Assessment Verpflichtend - Stichproben durch QA Analyse Nur extern X X X

Ab dem Jahr 2021 sind alle dem SWIFT Netzwerk angeschlossenen Institute verpflichtet, die Assessments durch eine unabhängige Drittpartei durchführen zu lassen. Dabei lässt SWIFT offen, das Assessment von einem internen oder externen Begutachter ausführen zu lassen. Die interne Stelle kann das Risk Office, die interne Revision oder eine andere unabhängige Stelle in der zweiten oder dritten «Verteidigungslinie» (line of defense) des Unternehmens sein. Zentral ist das erforderliche Kompetenzniveau, um die technischen und organisatorischen Kontrollen sowie deren Umsetzung beurteilen zu können.

Zudem behält sich SWIFT bereits seit dem Jahr 2018 das Recht vor, die Richtigkeit der Bestätigungen durch eine externe Stelle stichprobenweise überprüfen zu lassen. In diesem Fall ist der Einsatz unabhängiger interner Parteien unzulässig.

Zusammenhang zwischen der EU Zahlungsdienstleisterrichtlinie (Payment Services Directives, PSD) und SWIFT

Mit der EU Richtlinie 2015/2366 über Zahlungsdienste im Binnenmarkt wurden Anforderungen zur Sicherstellung eines bedarfsgerechten Sicherheitsniveaus im Zahlungsverkehr festgelegt. Diese Richtlinie wird durch die delegierte EU Verordnung 2018/389 mit technischen Regulierungsstandards für eine starke Kundenauthentifizierung weiter präzisiert. Umgangssprachlich werden diese Regulierungen übergreifend als PSD2 bezeichnet, welche für Zahlungsdienstleister in der gesamten EU und dem EWR verbindlich ist. Der globale SWIFT Standard und die mit der Implementation des CSCF verbundenen Kontrollziele stellen für SWIFT Teilnehmer ein vergleichbares Sicherheitsniveau sicher.

Für Schweizer Finanzintermediäre sind die PSD2 Anforderungen im europäischen Zahlungsverkehr nicht verbindlich anzuwenden. Im Zusammenhang mit laufenden Anstrengungen zur Digitalisierung und Umsetzung von Open Banking Standards könnten diese Anforderungen für die Schweiz als Nicht-EU-Land über die SEPA Teilnahme jedoch mittelfristig an Bedeutung gewinnen. SwissBanking vertritt den Standpunkt, dass unverbindliche Marktlösungen gegenüber einem regulierten Standard zu bevorzugen sind.

Für Liechtensteiner Finanzintermediäre sind die PSD2 Anforderungen umzusetzen. Um die Umsetzung der sich teilweise überschneidenden Anforderungen von PSD2 und SWIFT für die Finanzintermediäre zu vereinfachen, hat die Finanzmarktaufsicht Liechtenstein (FMA) die Wegleitung 2021/14 «Aufsichtsrechtliche Beurteilung der Ausnahme nach Artikel 17 DelVO (EU) 2018/389» verabschiedet. Mit der seit April 2021 in Kraft getretenen Wegleitung kann eine Ausnahmebewilligung zur Umsetzung des Artikels 17 der EU-Verordnung 2018/3891 beantragt werden, sofern die Bank das SWIFTnet Protokoll korrekt etabliert hat. Teil dieses Antrages ist die Bestätigung einer von der FMA anerkannten Revisionsstelle zur Anerkennung des etablierten SWIFT Sicherheitsniveaus. Diese kann auf Basis eines SWIFT CSCF Assessments erstellt werden. Falls eine anerkannte Revisionsstelle als externer Assessor für das SWIFT CSCF Framework engagiert wird, empfehlen wir zusätzlich die vorgängig erwähnte Bestätigung erstellen zu lassen.

Empfehlungen

Die anstehenden Neuerungen stellen insbesondere kleine und mittelgrosse Finanzinstitute vor grössere Herausforderungen. Damit die Standards effizient und zeitgerecht umgesetzt werden können, empfehlen wir, sämtliche involvierten Stellen frühzeitig zu involvieren. Insbesondere ist eine Sensibilisierung der Entscheidungsträger erforderlich, sodass langfristige Lösungen zur fortlaufenden Beurteilung des CSCF etabliert werden können.

Falls bis jetzt noch nie ein externes, unabhängiges Gutachten eingeholt worden ist, sollte sichergestellt werden, dass auf bereits geleistete Arbeiten abgestützt werden kann. Bereits dokumentierte, unveränderte CSP Kontrollen können so für eine effizientere Durchführung des externen Reviews verwendet werden.

Die Ergebnisse der jährlichen CSCF müssen SWIFT jeweils zwischen dem 1. Juli und dem 31. Dezember mitgeteilt werden.

Mit unserem phasenweisen Ansatz wird ermöglicht, dass allfällige offene Punkte bis zur Kommunikation der Review-Ergebnisse noch korrigiert werden können. Damit kann eine bestmögliche operative Wirksamkeit der implementierten Kontrollen und der damit verbundenen SWIFT-Compliance sichergestellt werden.
 

1 Die delegierte Verordnung der EU 2018/389 ist eine Ergänzung der Richtlinie (EU) 2015/2366 um technische Regulierungsstandards für eine starke Kundenauthentifizierung sicherzustellen und sichere, offene Standards für die Kommunikation zu gewährleisten.