Zeit zum Handeln: Das SWIFT Customer Security Programme

Sie ist das Nervensystem des globalen Finanzmarktes – die Society for Worldwide Interbank Financial Telecommunication, kurz SWIFT. Die in Belgien ansässige Organisation verwaltet den Nachrichten- und Zahlungsverkehr von weltweit mehr als 11.000 Banken, Finanzinstituten und großen Unternehmen. Pro Tag werden mehr als 26 Millionen Nachrichten über SWIFT verschickt und etwa 10 Billionen Euro transferiert. Die Zahlen unterstreichen die Bedeutung der Organisation für die Finanzwelt – und machen deutlich, warum das Zahlungssystem ein begehrtes Ziel für Cyber-Angriffe ist.

Hacker nutzen Sicherheitslücken aus

Die spektakulärste Attacke ereignete sich im Februar 2016: Bei dem Angriff auf die Zentralbank Bangladeschs erbeuteten die unbekannten Täter 81 Millionen Dollar. Vorfälle wie dieser kratzen am Ruf von SWIFT – soll die Organisation doch eigentlich dafür sorgen, dass solche Attacken erfolglos bleiben und Zahlungsvorgänge sicher und reibungslos über die Bühne gehen.

Dabei liegt die Ursache für die Angriffe gar nicht bei den Belgiern selbst: Denn die Hacker attackieren in der Regel die schwächsten Glieder im SWIFT-Verbund – also Banken oder Unternehmen mit unzureichenden Sicherheitsvorkehrungen. So wie die Zentralbank von Bangladesch: Sie verzichtete auf eine Firewall und nutzte billige, gebrauchte Netzwerk-Switches, die nicht für den professionellen Betrieb vorgesehen sind. Unter solchen Voraussetzungen ist es für Angreifer ein Leichtes, Zugang zum SWIFT-System zu erhalten.

SWIFT nimmt Unternehmen in die Pflicht

SWIFT hat darauf reagiert und verschiedene Maßnahmen ergriffen, um die Cyber-Sicherheit im Verbund zu erhöhen. Wichtigste Neuerung: das Customer Security Programme (CSP). Damit nimmt SWIFT die angeschlossenen Banken und Unternehmen in die Pflicht. Diese sollen fortan einheitliche Sicherheitsmechanismen in ihre IT-Infrastruktur implementieren und gegenüber SWIFT dokumentieren. Dazu führt SWIFT jährliche Kontrollen durch.

Die Folge: Der Anspruch an Unternehmen in Sachen Sicherheit steigt. So verlangt SWIFT von allen Teilnehmern bis Ende 2017, im Rahmen einer Selbstbewertung das aktuelle Sicherheitsniveau mit den SWIFT-Vorgaben abzugleichen. Versäumt ein Unternehmen diese Selbstauskunft, behält sich SWIFT Maßnahmen wie bspw. Forderungen nach Reviews durch interne oder externe Auditoren vor. Konkrete Sanktionen sind für einen solchen Fall zwar noch nicht vorgesehen – gegebenenfalls greift aber die Selbstregulierung unter potenziellen Geschäftspartnern: Könnte – aus Mangel an Vertrauen – eine fehlende Selbstauskunft doch einem Geschäftsabschluss im Wege stehen.

Detecon macht Unternehmen SWIFT-konform

Was aber müssen Unternehmen tun, um ihre Sicherheitsstandards SWIFT-konform zu erhöhen? Antworten finden auf Fragen wie: Welche IT-Architektur ist die richtige? Wie überprüfen wir verdächtige Zahlungen? Und wie implementieren wir eine Multi-Faktor-Authentifizierung?

Detecon steht Unternehmen bei genau diesen Herausforderungen zur Seite – mit einer umfangreichen Expertise im Cyber Security Management. Gemeinsam mit den Kunden führt Detecon ein kompaktes Assessment durch – und schlägt konkrete und zeitnah umsetzbare Maßnahmen vor. Hierbei achten die Detecon-Experten besonders auf ein ausgewogenes Kosten-Nutzen-Verhältnis: „Wir implementieren nicht einfach blind die SWIFT-Vorgaben, sondern prüfen auch andere Lösungsansätze“, sagt Matthias Gruber, Head of CyberSecurity bei Detecon (Schweiz) AG. „Die sind dann mitunter sogar kostengünstiger – und bieten den gleichen oder sogar einen höheren Sicherheitsstandard.“

Nicht der einzige Pluspunkt für Unternehmen: „Wenn für den Zugang zum SWIFT-Netzwerk nur ein Rechner zuständig ist, interessiert SWIFT nur die Sicherheit dieses einen Rechners“, sagt Gruber. „Wir schauen aber natürlich auch nach links und nach rechts und prüfen die Sicherheit des ganzen Firmennetzwerks.“

Weitere Information:
Zu den generellen Angeboten der Detecon zu Risk, Security & Compliance geht es hier (DTC Schweiz).