SWIFT CSP: Was sich für BIC-Nutzer im Jahr 2021 ändert

Das Jahr 2021 bringt für SWIFT-Nutzer zwei Änderungen. Erstens die Notwendigkeit eines Independent Self-Assessments un zweitens eine neue Version de Customer Security Controls Framework (CSCF) in de Version 2022. Während Letzteres eine kalkulierbare Neuerung darstellt, handelt es sich bei Ersterem um eine ernst z nehmende Verschärfung.

Was sich für BIC-Nutzer im Jahr 2021 ändert

Der Wechsel vom reinen Self-Assessment hin zu einer unabhängigen, in vielen Fällen wahrscheinlich externen Prüfun bietet Potenzial für Überraschungen. Während es bisher möglich war, die Wirksamkeit von implementierten Massnahme selbst abzuschätzen, ist nun eine unabhängige Sicht auf die vorhandene Risikolandschaft notwendig. Interessant un geradezu wegweisend ist der Ansatz von SWIFT: So wird von unabhängigen Prüfern nicht verlangt, die über 20 detaillierten Kontrollpunkte der Implementation Guidelines zu verifizieren, sondern sie werden dazu angehalten, di Wirksamkeit der gesamten Massnahmen in Bezug auf die Control Objectives zu beurteilen. Die Prüfer müssen sich somit vo Checklisten verabschieden und bei der Beurteilung eine hohe Varianz der effektiv getroffenen Massnahmen akzeptieren.

Es steht ausser Frage, dass dieser Schritt wichtig und richtig ist. Unsere Umwelt verändert sich ständig – sei es i Hinblick auf Regulatorik, auf Akteure oder auf Technik. Ob diese Anpassung ausreichend ist, kann jeder BIC-Nutzer i einem Self-Assessment bewerten. Erst der Wechsel zu einem unabhängigen Assessment wird Klarheit schaffen, ob di getroffenen Massnahmen auch tatsächlich dem Risiko angemessen sind. Sollten sie es nicht sein, so stehen de SWIFT-Nutzern dieses Jahr eventuell kostspielige Änderungen bevor, die bisher aufgeschoben wurden. Dazu kommt de Zeitdruck: Bis 31.12.2021 müssen Nutzer ihre Compliance im KYC-SA attestieren, ansonsten werden sie ab 1.1.2022 de zuständigen Behörden gemeldet. Wer also sein Assessment in die zweite Jahreshälfte legt, kann unter Umständen sein Compliance riskieren. Im Falle einer ungenügenden Umsetzung des CSCF müssen Massnahmen projektiert, das Budge organisiert und wo notwendig Dienstleister gefunden werden, die dafür sorgen, dass ein zweites Gap-Assessment so schnel wie möglich durchgeführt werden kann. Dies stellt sowohl aus monetärer wie auch aus zeitlicher Sicht einen erhebliche Unsicherheitsfaktor dar. Zu den dadurch verursachten Kosten kommen noch die Aufwendungen für das Assessment selbst. J umfangreicher die gewählte Architektur, desto grösser ist der Aufwand für die Durchführung eines Assessments. Wer ein Architektur vom Typ A einsetzt, hat sieben zusätzliche Mandatory Controls gegenüber einem Nutzer, der eine Architektu vom Typ B verwendet. Während bisher Kostenrechnungen manche Nutzer dazu veranlasst haben, den Betrieb in Eigenregi durchzuführen, könnte die Verschärfung dazu führen, dass die Inanspruchnahme eines Service-Büros oder ein Outsourcing a externe Partner attraktiver werden.

Unsere konkreten Handlungsempfehlungen sehen dementsprechend so aus:

• Suchen Sie sich möglichst zeitnah einen Assessor, der eine ausgewogene Balance zwischen Risiko und Business schafft. Das SWIFT CSCF gibt keine abschliessenden Vorgaben, wie Risiken reduziert werden können. Es besteht also Interpretationsspielraum: Nicht jedes IAM muss erneuert, nicht jedes Rechenzentrum neu gebaut werden.
• Um den Umfang des Assessments zu reduzieren, können teilweise bestehende Zertifizierungen berücksichtigt werden. Dies muss im Einzelfall geprüft werden.
• Planen Sie ausreichend Budget ein für möglicherweise notwendige Massnahmen. Dazu gehören auch interne Ressourcen für die Umsetzung. Stellen Sie zudem sicher, dass Ihre Spezialisten verfügbar sind.

Cybersecurity Security Architecure

Über den Autor

Über den Autor

Markus Günther, Senior Security Consultant