Digital Transformation Blog

Digital Transformation Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Wie SWIFT Banken zu mehr Cybersecurity zwingt

Banken auf der ganzen Welt sind einer steigenden Zahl von Cyber-Angriffen ausgesetzt. Die Angreifer nutzen lokale Sicherheitslücken der Institute aus, um vermehrt über die Zahlungsverkehrssysteme große Summen zu stehlen. So wurden in mehreren bestätigten Fällen mittels kompromittierter Zugangsdaten vermeintlich legitime Zahlungen über die elektronischen Zahlungsverkehrssysteme transferiert. Aktuelle Studien untermauern diesen Trend und zeigen, dass bei Cyber-Angriffen auf den elektronischen Zahlungsverkehr ein Anstieg um 93% zu verzeichnen ist. Der bislang prominenteste Cyber-Angriff erfolgte im Jahr 2016. Dabei  wurden der Zentralbank von Bangladesch auf diese Weise US$ 81 Millionen gestohlen.

SWIFT reagiert und initiiert das Customer Security Programme (CSP)

Als Konsequenz aus diesen Vorfällen nimmt SWIFT die angeschlossenen Institute nun in die Pflicht. Der Anbieter des Nachrichten- und Transaktionsverkehrs mit weltweit mehr als 10.000 SWIFT-Nutzern übt seine Marktmacht aus, um verbindliche Sicherheitsanforderungen an die lokalen SWIFT-Zahlungsumgebungen zu definieren. Das SWIFT CSP umfasst drei übergreifende Ziele:

  1. Secure your Environment
  2. Know and Limit Access
  3. Detect and Respond

Dahinter verbergen sich letzlich 16 obligatorische und elf fakultative Kontrollen. Grundsätzlich orientieren sich die Vorgaben aus dem SWIFT CSP an gängigen Standards wie z.B, NIST, PCI-DSS und ISO/IEC 27002. So umfassen die Kontrollen u.a. Themen, die regelmäßig bei IT-Audits im Rahmen von Jahresabschlussprüfungen adressiert werden. Die Herausforderung besteht darin, Compliance zu diesen Kontrollen für die gesamte SWIFT-Infratstruktur nachweisen zu können. So ist z.B. darzulegen, dass Mitarbeiter regelmäßig Security Trainings mit explizitem SWIFT-Bezug absolvieren.

Ein ambitionierter Zeitplan

Nicht einmal ein Jahr nach Veröffentlichung erster Informationen zum Customer Security Programme, läuft seit April bereits die offizielle Self-Assessment-Phase, deren Erfüllungsgrad bis Ende 2017 an SWIFT gemeldet werden muss. Ab Juli steht dafür das Webportal zur Abgabe der Self-Attestation zur Verfügung. Wurde bis Ende 2017 keine Self-Attestation abgegeben, erfolgt ab 2018 eine Meldung darüber an die Aufsicht.

Bei genauerem Hinsehen wirkt dieses Vorgehen etwas überstürzt. In Teilen ist das SWIFT CSP noch sehr generisch und weist andererseits sogar unnötige Redundanzen auf z.B. Token Management und Multi-Faktor-Authentifizierung. Ferner werden im ersten Wurf des CSP Anforderungen gestellt, die sich nur schwer bis gar nicht mit der hiesigen Datenschutzgesetzgebung vereinbaren lassen. So sollen Background Screenings für Mitarbeiter mit Zugriff auf SWIFT Applikationen und Systeme mindestens alle fünf Jahre wiederkehrend durchgeführt werden. Diese Background Screenings sollen neben einem polizeilichen Führungszeugnis auch die finanziellen Verhältnisse der Mitarbeiter umfassen. Hier muss und wird es zukünftig noch zu Nachbesserungen kommen.

Kann SWIFT dies durchsetzen?

SWIFT droht, bei fehlender Self-Attestation und mangelnder Compliance, die Aufsicht zu informieren. Auf den gerade erst durchgeführten, offiziellen SWIFT Security Programme Roadshows in Deutschland, verliehen Vertreter der Bundensbank dieser Drohung Gewicht, in dem sie die Wichtigkeit des SWIFT CSP betonten. Ferner sind zukünftig alle SWIFT-Teilnehmer berechtigt, bei anderen Teilnehmern des SWIFT-Netzwerks, verbindliche Informationen zu deren CSP Compliance einzufordern.

In schweren Fällen von Non-Compliance behält sich SWIFT zudem vor, dies innerhalb des SWIFT-Netzwerks zu veröffentlichen oder den betreffenden Teilnehmer für das SWIFT-Netz zu sperren. Dies kann ernsthafte Konsequenzen für einen Teilnehmer haben. Ein Ausschluss aus dem SWIFT-Netz kann letzlich zur Gefährdung des Geschäftsbetriebs führen, ganz zu Schweigen von den damit verbundenen  Reputationsschäden. Welchen Einfluss negative Meldungen zur Informationssicherheit z.B. auf das Privatkundengeschäft besitzen können, legen die Ergebnisse einer kürzlich veröffentlichten Studie der HSBC nahe. Circa die Hälfte der befragten Deutschen gab an, ein schwerer Sicherheitsvorfall sei ein Grund, die Bank zu wechseln. Im Vergleich dazu würden dies nur rund ein Fünftel der Befragten im Falle von niedrigeren Zinskonditionen in Erwägung ziehen.

Auch wenn die derzeitigen Belastungen durch neue Anforderungen aus MaRisk Novelle und EU-Datenschutzgrundverordnung, Ressourcen und Budgets bei Banken und Finanzdienstleistern strapazieren, sollte die Brisanz des SWIFT Customer Security Programme nicht unterschätzt werden. Derzeit verlangt SWIFT noch keine konkreten Nachweise, welche die Self-Attestation stützen. Mittelfristig ist aber damit zu rechnen, dass Schwerpunktprüfungen zum SWIFT CSP Einzug halten werden. 

Potentiale des CSP

Grundsätzlich ist das SWIFT CSP jedoch sehr positiv zu bewerten, da es Teilnehmer zwingt, sich intensiv mit der eigenen und der Dienstleister-Infrastruktur im Zahlungsverkehr auseinanderzusetzen. Um das Self-Assessment durchführen zu können, ist zudem ein enger Austausch zwischen Business und IT unabdingbar. Verbesserte Kommunikation innerhalb und zwischen den Teilnehmern, breiteres Prozessverständnis und eine Steigerung der Awareness zu dieser Thematik, sind die positiven Nebeneffekte. Wenn die Teilnehmer das CSP als Chance verstehen und nicht als eine lästige Pflicht, besteht das Potential, die Sicherheit im Zahlungsverkehr mittelfristig zu erhöhen.

Über den Autor

Gunnar Gerdes
Gunnar Gerdes
Gunnar Gerdes ist als Senior Consultant im Bereich Business & Technology Innovation tätig. Dabei unterstützt er Kunden bei den sich kontinuierlich wandelnden Herausforderungen an die Cybersecurity.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.