SWIFT Customer Security Program (CSP)Neuerungen 2020

02

SWIFT Customer Security Program (CSP) | Neuerungen 2020

03

Einführung einer neuen Assessment-Methodik 04

Anpassung der zu betrachtenden SWIFT- Umgebung (Secure Zone) 06

Weiterentwicklung des Customer Security Controls Framework 08

Vorgehensweise zur Umsetzung der Neuerungen im SWIFT CSP 09

Herausforderungen 10

Unsere Services 11

Unsere Expertise im Bereich Zahlungsverkehr und Cyber-Resilienz 12

Übersicht der Advisory und Mandatory Controls des SWIFT CSCF v2020 13

Ihre Ansprechpartner 14

04

Einführung einer neuen Assessment-Methodik

Mit dem CSCF v2020 entfällt diese Mög-lichkeit und wird durch das Community Standard Assessment ersetzt. Mit dessen Einführung ist das Assessment der Com-pliance gegen das CSCF nun unabhängig von den für das SWIFT CSP operativ ver-antwortlichen Bereichen durch geeignete interne Einheiten der 2nd Line of Defense (bspw. Compliance oder Risikomanage-ment), der 3rd Line of Defense (Interne Revision) oder durch qualifizierte externe Prüfer durchzuführen.

Parallel zu der verpflichtenden Durchfüh-rung des Community Standard Assess-ments behält sich SWIFT das Recht vor, anlassbezogen die Durchführung eines externen Assessments bei ausgewählten Teilnehmern einzufordern. SWIFT-Teilneh-mer, die das Assessment bereits durch externe Prüfer haben durchführen lassen, sind von dieser Anforderung befreit.

Zur Erhöhung der Aussagekraft des Assessments der Compliance gegen die verpflichtenden („mandatory“) und frei-willigen („advisory“) Kontrollen des dem SWIFT CSP zugrunde liegenden SWIFT Customer Security Controls Framework (CSCF) wurde von SWIFT ein unabhängiges Rahmenwerk (IAF – Independent Assess-ment Framework) für die Durchführung der Assessments im Juli 2019 eingeführt. Das IAF konkretisiert die Anforderungen an Art und Umfang des Assessments, die Dokumentation sowie den Umgang mit den Ergebnissen aus dem durchgeführten Assessment.

Eine wesentliche Änderung ist die Anpas-sung der Anforderungen an die Durch-führung des Assessments. In der Vergan-genheit war es möglich, dieses im Form eines Self-Assessments durch die operativ verantwortlichen Bereiche (1st Line of Defense) durchführen zu lassen.

SWIFT hat im Juli 2019 umfassende Neuerungen an dem SWIFT Customer Security Program vorgenommen, die ab dem Jahr 2020 von den Teilnehmern zu berücksichtigen sind. SWIFT zielt mit den Anpassungen auf eine weitere Erhöhung der Cyber-Resilienz bei den Teilnehmern sowie Verlässlichkeit der Implementierung des SWIFT Customer Security Controls Framework ab.

Die wichtigsten Neuerungen sowie die Herausforderungen bei der Umsetzung fassen wir in diesem Whitepaper zusammen.

SWIFT Customer Security Program (CSP) | Neuerungen 2020

05

06

Anpassung der zu betrachtenden SWIFT- Umgebung (Secure Zone)Im SWIFT CSCF v2020 erfolgen Anpassung und Konkretisierung der zu betrachtenden SWIFT-Umgebung mit Auswirkungen auf die definierten Architekturtypen sowie damit verbunden den Umfang der zu implementierenden Mandatory und Advi-sory Controls.

Die wesentliche Änderung ergibt sich für SWIFT-Teilnehmer, die über keine eigene SWIFT-Infrastruktur verfügen und über eine Middleware als Connector über einen Serviceprovider SWIFT-Nachrichten versen-den und empfangen. Diese Middleware- Komponenten werden von SWIFT im CSCF v2020 in den Architekturtyp A3 über-führt, sodass durch SWIFT-Teilnehmer mit Middleware-Komponenten ein erweitertes Set an Mandatory und Advisory Controls zu berücksichtigen ist.

Daneben wird konkretisiert, dass Test-systeme, die nicht vollständig von der SWIFT-Produktivumgebung getrennt betrieben werden, ebenfalls unter die Anforderungen des SWIFT CSCF v2020 fallen. Dies kann die zu betrachtende SWIFT-Umgebung zusätzlich erweitern.

Kunden, die über eine Middleware-Komponente an SWIFT angeschlossen sind, müssen ab 2020 sämtliche verpflichtenden Kontrollen des SWIFT CSCF implementieren.

SWIFT Customer Security Program (CSP) | Neuerungen 2020

07

Abb. 1 – Umgliederung innerhalb der von SWIFT definierten Architekturtypen

Architekturtyp BNo user footprint

Architekturtyp A3Middleware as Connector (NEU)

General Enterprise IT Environment

Back-Officeusing Middleware

Client

General Enterprise IT Environment

Data Exchange

Data ExchangeData Exchange

Middleware Server(as Connector)

Back-Office orMiddleware

Scope of Security Controls

User

Admin

Scope of Security Controls

ServerEnvironment

User

Admin

SWIFTNet

Service Provider

Messaging Interface

RMACommunication

InterfaceGUI SNL HSM/PKI

08

Weiterentwicklung des Customer Security Controls Framework

Überführung von zwei Advisory Controls (eingeführt in v2019) in Mandatory Controls • 1.3 – Virtualization Platform Protection Ziel ist, Virtualisierungsplattformen und virtuelle Server, auf denen SWIFT-rele-vante Komponenten betrieben werden, im gleichen Maße wie physische Systeme zu schützen

• 2.10 – Application Hardening Ziel ist, Angriffsflächen von SWIFT-rele-vanten Komponenten durch die Härtung von Schnittstellen und Anwendungen zu verringern

Aufnahme von zwei neuen Advisory Controls • 1.4A – Restrict Internet Access Ausgliederung dieser Kontrolle aus den Kontrollen 1.1 (SWIFT Environment Pro-tection) und 1.3 (Virtualization Platform Protection) und Bündelung der Vorgaben für Internetzugang

• 2.11A – RMS Business Control Ausgliederung dieser Kontrolle aus der Kontrolle 2.9A (Transaction Business Controls), zur Trennung der Vorgaben für Transaktionen und Relationship Manage-ment Application (RMA)

Erweiterung einer Advisory Control • 2.4A – Back-Office Data Flow Security Aufnahme von Middleware-Kompo-nenten in den Anwendungsbereich der Kontrolle

Mit der Veröffentlichung des CSCF v2020 erfolgen Anpassungen an ausgewählten Kontrollen, um Änderungen in den Angriffsvektoren und den technischen Fortschritt zu reflektieren sowie das Kontrollumfeld zu optimieren.

SWIFT Customer Security Program (CSP) | Neuerungen 2020

09

Vorgehensweise zur Umsetzung der Neuerungen im SWIFT CSP Abb. 2 – Meilensteine bei der Umsetzung der Neuerungen im SWIFT CSP

Veröffentlichung CSCF v2020• Identifizierung von Änderungen • (z.B. Änderung von Advisory • Controls zu Mandatory • Controls)• Gap-Analyse• Projektplan• Aufwandsschätzung

CSP Assessment• Compliance Assessment• Compliance-Erklärung

Compliance Report

IndependentAssessment Framework

Analyse der Bericht-erstattung• Analyse der Ergebnisse der • Assessments durch SWIFT• Anforderung zusätzlicher • Nachweise durch SWIFT• Kommunikation an Dritte und • Geschäftspartner

Projekt CSCF v2020 • Implementierung neuer• und angepasster • Anforderungen• Verbesserung zuvor • identifizierter Gaps• Vorbereitung des • nächsten Assessments

Vorbereitungen IndependentAssessment Framework • Mandatory Controls• Methodik: Bewertung der • Angemessenheit und • Wirksamkeit der • implementierten Kontrollen • des SWIFT CSCF v2020

Juli

2019Januar

2020

CSP

2020CSP

2019

Januar

2021

10

HerausforderungenDie Einführung einer neuen Assessment- Methodik ab 2020 erfordert ein Umden-ken und einen neuen Ansatz zur Prüfung der Angemessenheit sowie Wirksamkeit der im SWIFT CSCF v2020 definierten Anforderungen und stellt SWIFT-Teilneh-mer vor umfassende Herausforderungen:

• Umsetzung neuer und angepasster Advisory und Mandatory Controls

• Überprüfung und Validierung der Tiefe der Implementierung durch die 2nd oder 3rd Line of Defense bzw. externe qualifizierte Prüfer statt wie bisher durch den für die Umsetzung verantwortlichen Bereich (1st Line of Defense )

• Zusätzliche, unerwartete/ungeplante Aufwände durch potenzielle Anordnung eines externen Assessments durch SWIFT

Neben der Einführung einer neuen Assess-ment-Methodik stellen die Anpassungen der zu prüfenden SWIFT-Umgebung die Teilneh-mer vor weitere Herausforderungen:

• Ausbau bereits implementierter Kontrol-len durch die Erweiterung der Definition des „Data Exchange Layer“

• Implementierungsaufwand durch Erwei-terung des Anwendungsbereichs um Middleware-Systeme (z.B. IBM MQ Server)

• Neubewertung der SWIFT-Umgebung und ggf. Neuzuordnung von SWIFT- Umgebungen des Architekturtyps B zu den Architekturtypen A1, A2 und A3 durch angepasste Definitionen sowie einhergehende Berücksichtigung sämtlicher 31 statt zuvor 22 Kontrollen

Durch die Überführung von zwei Advisory Controls in Mandatory Controls müssen Unternehmen, die Erstere bisher nicht oder nur teilweise implementiert haben, nun ggf. weitere Anforderungen verpflichtend umsetzen. Die Einführung von zwei neuen Advisory Controls sowie die Erweiterung des Anwendungsbereichs der Advisory Control 2.4A auf Middleware- Komponenten sorgen zusätzlich für akuten Handlungsbedarf bis Ende 2020.

Die Einführung des Community Standard Assessment und die Anpassung der zu prüfenden SWIFT-Umgebung stellen Teilnehmer vor neue Herausforderungen.

SWIFT Customer Security Program (CSP) | Neuerungen 2020

11

Unsere ServicesDeloitte unterstützt Sie zum einen bei der Implementierung der geänderten Anfor-derungen oder bietet Ihnen zum anderen die Durchführung eines SWIFT CSP Rea-diness Assessment in Vorbereitung auf beziehungsweise die Durchführung eines unabhängigen Assessments in Bezug auf die Angemessenheit und Wirksamkeit der im SWIFT CSCF definierten Kontrollen an.

Unterstützung bei der Implementierung • Durchführung einer Gap-Analyse in Bezug auf die Änderungen des SWIFT CSCF v2020 sowie ggf. etablierter Best Practices in der Umsetzung des SWIFT CSCF

• Entwicklung einer Roadmap zur Imple-mentierung der geänderten bzw. neuen Anforderungen aus dem SWIFT CSCF v2020 unter Berücksichtigung bestehen-der SWIFT-Release-Wechsel sowie ggf. weiterer interner Projekte

• Unterstützung der Implementierung der geänderten und neuen Anforderungen aus dem SWIFT CSCF v2020 sowie sons-tiger Gaps unter Berücksichtigung der entwickelten Roadmap

SWIFT CSP Readiness Assessment • Bewertung des Reifegrades der imple-mentierten SWIFT-CSCF-Kontrollen vor dem unabhängigen intern oder extern durchgeführten Assessment

• Identifizierung von Schwachstellen und Optimierungsbedarfen in Bezug auf die Angemessenheit und Wirksamkeit der Mandatory und Advisory Controls

• Ableitung von Handlungsoptionen zur Behebung identifizierter Schwachstellen und Sicherstellung der Compliance sowie zur Realisierung identifizierter Optimie-rungbedarfe

• Unterstützung bei der Umsetzung identi-fizierter Handlungsbedarfe und Optimie-rungspotenziale vor Durchführung des unabhängigen internen oder externen Assessments

Unabhängiges Assessment des SWIFT CSP • Durchführung eines unabhängigen Assessments in Bezug auf die Ange-messenheit und Wirksamkeit der imple-mentierten SWIFT-CSCF-Kontrollen inkl. Berichterstellung in den von SWIFT bereitgestellten Vorlagen

• Soweit notwendig, Darstellung von Handlungs- und Optimierungsbedarfen inkl. Unterstützung bei der Umsetzung kurzfristiger Maßnahmen zur Sicherstel-lung der Angemessenheit und Wirksam-keit der Mandatory und Advisory Controls zum Meldezeitpunkt an SWIFT

• Optional: Durchführung integrierter Assessments in Bezug auf Anforderun-gen anderer Marktinfrastrukturen (bspw. Target2-Selbstzertifizierung)

12

Unsere Expertise im Bereich Zahlungsverkehr und Cyber-ResilienzDeloitte verfügt über mehr als 1.500 Bera-ter und Prüfer mit ausgewiesener Expertise bei Zahlungsverkehr und Cyber-Resilienz in Deutschland, EMEA sowie weltweit. In zahlreichen erfolgreich abgeschlossenen Einführungsprojekten und Prüfungen des SWIFT CSP konnten wir unseren Bera-tungs- bzw. Prüfungsansatz sowie unsere Kompetenz in den genannten Bereichen erfolgreich demonstrieren.

Mit unserem Netzwerk zu SWIFT, anderen Marktinfrastrukturbetreibern sowie zu relevanten Aufsichtsbehörden können Spezialfragen zu Einzelsachverhalten aus Ihrem Projekt zeitnah und vollumfänglich beantwortet werden.

Abb. 3 – Unser Mehrwert für Ihr Projekt

Einbindung von Subject Matter Experts mit breiter Erfahrung in Bezug auf SWIFT und Zahlungsverkehr• Deloitte pflegt eine enge Beziehung zu • SWIFT und hat bereits eine Vielzahl von • Aufträgen für SWIFT durchgeführt.• Unser Team hat tiefe Einblicke in SWIFT • und liefert umfassendes Expertenwissen.• Regelmäßige Abstimmungsgespräche • sorgen für einen Wissenstransfer • zwischen Deloitte und dem Auftraggeber.

Berücksichtigung des SWIFT CSP Independent Assessment Framework in unserem Beratungs- und Prüfungsansatz• Unser Prüfungsansatz beruht auf den • SWIFT-Vorgaben sowie dem Prüfungs-• standard ISAE 3000, um eine umfassende • Marktakzeptanz zu gewährleisten.• Der Beratungs- oder Prüfungsumfang • wird durch Ihre genutzte SWIFT- • Infrastruktur (Architekturtyp) sowie die • Anforderungen des jeweils gültigen SWIFT • CSP definiert.

Modularer Ansatz zur Berücksichti-gung zusätzlicher FMI-Anforderungen• Aufsichtsbehörden und FMI-Institutionen • definieren Anforderungen an die Teil-• nehmer des Zahlungsverkehrs.• Unser modularer Ansatz ermöglicht eine • einfache Integration von weiteren • Anforderungen (bspw. Target2, PCI-DSS, …).• Dieser modulare Ansatz schafft Synergien • bei zukünftigen Prüfungen und reduziert • die Gesamtkosten.

Unser Mehrwert

SWIFT Customer Security Program (CSP) | Neuerungen 2020

13

Übersicht der Advisory und Mandatory Controls des SWIFT CSCF v2020Abb. 4 – Änderungen in den Kontrollen des CSCF v2020

  Mandatory (v2020)   Advisory (v2020)   Aufgenommen als „Advisory“ in Version 2019   Änderung zu „Mandatory“ in Version 2020

Secu

re Y

our

Envi

ronm

ent

Restrict Internet Access and Protect Critical Systems from General IT Environment

1.1 SWIFT Environment Protection

1.4ARestrict Internet Access

1.3 Virtualization Platform Protection

1.2 Operating System Privi-leged Account Control

Reduce Attack Surface and Vulnerabilities

2.1 Internal Data Flow Security

2.11A RMA Business Controls

2.9A Transaction Business Controls

2.7 Vulnerability Scanning

2.5A External Transmission Data Protection

2.3 System Hardening

2.2 Security Updates

2.10 Application Hardening

2.8A Critical Activity Outsourcing

2.6 Operator Session Confiden- tiality and Integrity

2.4A Back-Office Data Flow Security

Kno

w &

Lim

it A

cces

s

Physically Secure the Environment

3.1 Physical Security

Prevent Compromise of Credentials

4.1 Password Policy

4.2 Multi-Factor Authentication

Manage Identities and Segregate Privileges

5.1 Logical Access Control

5.4 Physical and Logical Pass-word Storage

5.3A Personnel Vetting Process

5.2 Token Management

Det

ect &

Res

pond

Detect Anomalous Activity to Systems or Transaction Records

6.1 Malware Protection

6.5A Intrusion Detection

6.4Logging and Monitoring

6.3 Database Integrity

6.2 Software Integrity

Plan for Incident Response and Information Sharing

7.1 Cyber Incident Response Planning

7.4A Scenario Risk Assessment

7.3A Penetration Testing

7.2 Security Training and Awareness

19

19 19

20

20

19

20

20

20

14

Daniel HellmannDirectorRisk Advisory | PaymentsTel: +49 (0)30 25468 5879dhellmann@deloitte.de

Jörg LangSenior ManagerRisk Advisory | PaymentsTel: +49 (0)711 16554 7026jolang@deloitte.de

Ihre Ansprechpartner

SWIFT Customer Security Program (CSP) | Neuerungen 2020

15

Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerecht zu werden, und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder die Deloitte GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das „Deloitte Netzwerk“) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited („DTTL“), eine „private company limited by guarantee“ (Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch „Deloitte Global“ genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/UeberUns.

Deloitte erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risk Advisory, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und unterstützt Kunden bei der Lösung ihrer komplexen unternehmerischen Herausforderungen. Making an impact that matters – für die rund 312.000 Mitarbeiter von Deloitte ist dies gemeinsames Leitbild und individueller Anspruch zugleich.

Stand 05/2020