Prävention von Sicherheitsrisiken im Zahlungsverkehr | KPMG | DE

Eine Initiative zur Prävention von Sicherheitsrisiken im Zahlungsverkehr

Prävention von Sicherheitsrisiken im Zahlungsverkehr

Das SWIFT Customer Security Programme

Verwandte Inhalte

FTM Bildwelt: Eiskletterer

SWIFT, hauptsächlich bekannt durch das Netzwerk für den standardisierten Austausch von Nachrichten und Transaktionen zwischen angeschlossenen Finanzinstitutionen und Unternehmen, bietet mittlerweile weltweit tausenden Industriekunden auch eine Vielzahl an Produkten zur Abwicklung des Zahlungsverkehrs an.

Doch auch SWIFT verzeichnete in den vergangenen Jahren vermehrt Angriffe durch Hacker auf die Infrastruktur ihrer Nutzer. Mit einem Schaden in Höhe von 81 Millionen US-Dollar (ursprünglich wurde ein Milliardenschaden kolportiert) ist die Zentralbank von Bangladesch dabei das prominenteste Beispiel. Doch auch die türkische Akbank sowie die ecuadorianische Banco Del Austro trugen Schäden in Millionenhöhe davon. Hinzu kommen weitere Vorfälle, die aus Furcht vor Reputationsverlust nie publik gemacht wurden.

Als Antwort auf die stark zunehmenden Angriffe auf die lokale SWIFT-Infrastruktur seiner Kunden hat SWIFT nun das Customer Security Programme (CSP) ins Leben gerufen. Ziel dieser bereits auf der Sibos-Konferenz Ende 2016 vorgestellten und im April 2017 final veröffentlichten Initiative ist es, SWIFT-Nutzer im Kampf gegen Betrug im Zahlungsverkehr zu unterstützen. Zum einen zielen die Maßnahmen des Programms darauf ab, die kundenseitige SWIFT-Zahlungsumgebung technisch besser abzusichern sowie ein entsprechendes Audit Framework einzuführen, zum anderen soll der Informationsaustausch innerhalb der SWIFT Community ausgebaut werden.

Kernbestandteil des CSP ist dabei das in der Grafik dargestellte Customer Security Controls Framework. Bestehend aus drei Hauptzielen - „Secure Your Environment“, „Know and Limit Access“ und „Detect and Respond“ ­- und acht Sicherheitsprinzipien formuliert das Framework insgesamt 27 Kontrollen. 16 dieser Kontrollen sind dabei für alle SWIFT-Nutzer, Finanzdienstleister wie Corporates, verpflichtend. Elf weitere Kontrollen werden allen zusätzlich empfohlen. Für Nutzer, die keine lokale SWIFT-Infrastruktur betreiben, sondern beispielsweise SWIFT Service Bureaus nutzen oder den Zugang über ihren Systemhersteller erhalten, ist eine leicht komprimierte Version mit elf verbindlichen und neun optionalen Kontrollen angedacht. Solche Kontrollen umfassen beispielsweise IT-Sicherheitsmaßnahmen, Zugangsrichtlinien, Maßnahmen zur Softwareintegrität, oder Trainingskonzepte. Die SWIFT-Sicherheitskontrollen orientieren sich an internationalen Sicherheitsstandards wie die vom National Institute of Standards and Technology (NIST), dem Payment Card Industry Data Security Standard (PCI DSS) und dem ISO/IEC 27002 Standard für Kontrollmechanismen für die Informationssicherheit.

Quelle: KPMG AG Wirtschaftsprüfungsgesellschaft

Zum Vergrößern der Grafik klicken Sie bitte hier.

Um die Einhaltung des Frameworks zu gewährleisten, hat SWIFT einen
Attestation- und Compliance- Prozess entwickelt. Im ersten Schritt erwartet
SWIFT von allen Nutzern, unabhängig davon ob sie direkt (beispielsweise über Alliance Lite2) oder indirekt (beispielsweise über ein SWIFT Service Bureau) angeschlossen sind, die Durchführung eines initialen Self-Assessments in Bezug auf die Einhaltung der Kontrollen. Diese Ergebnisse sind bis spätestens Ende 2017 verpflichtend von allen Nutzern an SWIFT zu kommunizieren. Zum 1. Januar 2018 tritt das CSP dann offiziell in Kraft und alle SWIFT-Teilnehmer sind dazu angehalten, ihre Konformität mit den Anforderungen auf jährlicher Basis zu bestätigen. Bei Nichtbestätigung beziehungsweise Nichterfüllung riskieren sie ein Reporting durch SWIFT an die jeweils zuständige Aufsichtsbehörde oder an die eigenen Geschäftspartner. Diese Bestätigung kann hierbei auf drei unterschiedliche Arten erfolgen: Self-Attestation, Self-Inspection durch einen internen Audit oder in Form einer Third-Party-Inspection durch einen externen Prüfer wie KPMG. Unabhängig von der Wahl der Bestätigungsmethode wird SWIFT auf Stichprobenbasis die Einhaltung der Kontrollen mittels interner und externer Audits überprüfen. Zudem wird es die Option geben, die eigenen CSP-Daten auch ausgewählten Geschäftspartnern über das SWIFT-Netzwerk und einen dedizierten Prozess zur Freigabe bzw. Anforderung der CSP-Daten zur Verfügung zu stellen und damit die eigene Reputation zu fördern. Dies erhöht die Transparenz innerhalb des SWIFT-Netzwerks und ermöglicht es Nutzern, risikoorientierte Entscheidungen in Bezug auf die Wahl ihrer Gegenpartei zu treffen.

Aufgrund der Komplexität der Kontrollen im CSP empfehlen wir bereits heute, mit der Umsetzung der neuen Anforderungen zu beginnen. Die Klärung wichtiger strategischer Fragen steht dabei am Anfang und sollte alle Aspekte von der Überlegung, ob eine Umsetzung der optionalen Kontrollen sinnvoll ist, über die Wahl und Konzeptionierung des passenden Bestätigungsverfahrens bis hin zur Evaluierung der Publikationsoption innerhalb des Netzwerks abdecken.

Konkret raten wir dazu, im Rahmen des initialen Assessments die vorhandenen Sicherheitsstrukturen sowie die identifizierten Lücken in Bezug auf das CSP zu analysieren. In einem nächsten Schritt sollten durch geeignete Maßnahmen die vorhandenen Lücken, entsprechend der Anforderungen des Frameworks, ausgeräumt werden, bevor im letzten Schritt die Kommunikation der Ergebnisse des Assessments an SWIFT erfolgt. Für die jährlich folgende Erneuerung der Bestätigung, vor allem im Falle des Self-Assessments, ist es unerlässlich, einen adäquaten Prozess zur Abfrage der Einhaltung der Kontrollen aufzusetzen.

Die Herausforderungen zu SWIFT CSP bieten somit die Möglichkeit, sich
über eine gesamtheitliche Lösung zum Thema Sicherheit im Zahlungsverkehr
Gedanken zu machen, die über die Umsetzung des CSP hinausgeht und von der Prozess- und Organisationsgestaltung bis hin zur Zahlungsverkehr-IT-Infrastruktur auch außerhalb von SWIFT reicht. Und genau dies möchte SWIFT CSP erreichen: Mehr Sicherheit. 

Quelle: KPMG Corporate Treasury News, Ausgabe 69, Juli 2017
Autor: Nils Bothe, Senior Manager, Finance Advisory, nbothe@kpmg.com

KPMG Corporate Treasury News

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden