Zum Inhalt springen
Resilience Platform Resilience Platform

SWIFT CSP Assessment

SWIFT Customer Security Programme

Praktische Leitfäden für das jährliche CSP Assessment.

Management-Zusammenfassung

  • 11 SWIFT CSP-Kontrollen (CSCF v2025) — 8 mandatorisch, 3 optional (advisory) — vollständig abgedeckt.
  • Jede Kontrolle enthält konkrete Umsetzungsschritte, Nachweisbeispiele und typische Prüfungsfeststellungen.
  • Drei Sicherheitsdomänen: Secure Environment, Secure Operations, Secure Transactions.
  • Jährliches Selbstassessment + unabhängige Validierung erforderlich — Einreichung über SWIFT CSP Portal bis 31.12.2025.

8

Mandatorische Controls

3

Advisory Controls

3

Sicherheitsdomänen

Ja

Attestierungspflichtig

CSP-Kontrollen (CSCF v2025)

Secure Environment (3) Secure Operations (5) Secure Transaction (3)
CSP-1.1 Mandatory Secure Environment

1.1 SWIFT-Umgebung schützen

Die SWIFT-Umgebung muss physisch und logisch von anderen Netzwerken und Systemen getrennt sein.

Umsetzungsschritte

  • SWIFT-Infrastruktur in separatem Netzwerksegment betreiben (VLAN/Firewall).
  • Keine direkten Verbindungen von/nach SWIFT-Environment zu anderen Netzwerken ausser den definierten Schnittstellen.
  • Netzwerksegmentierung dokumentieren und regelmässig auf Wirksamkeit prüfen.

Erwartete Nachweise

  • Netzwerkdiagramm mit SWIFT-Segmentierung
  • Firewall-Regelwerk
  • Segmentierungs-Testbericht

Typische Prüfungsfeststellungen

SWIFT-Netzwerk nicht ausreichend segmentiert, Zugriffe aus anderen Netzbereichen möglich

CSP-1.2 Mandatory Secure Environment

1.2 Systemhärtung und Schwachstellenmanagement

Alle SWIFT-bezogenen Systeme müssen nach anerkannten Härtungsstandards konfiguriert und regelmässig auf Schwachstellen geprüft werden.

Umsetzungsschritte

  • Härtungsrichtlinien für SWIFT-Systeme nach CIS-Benchmarks oder Herstellervorgaben umsetzen.
  • Regelmässige Schwachstellenscans der SWIFT-Infrastruktur durchführen (mindestens monatlich).
  • Kritische Schwachstellen innerhalb definierter Fristen beheben.

Erwartete Nachweise

  • Systemhärtungsdokumentation
  • Schwachstellenscan-Berichte
  • Patch-Management-Nachweise

Typische Prüfungsfeststellungen

Nicht gehärtete Systeme, veraltete Patches, keine regelmässigen Scans

CSP-1.3 Mandatory Secure Environment

1.3 Physische Sicherheit der SWIFT-Infrastruktur

Der physische Zugang zu SWIFT-Systemen muss kontrolliert und überwacht werden.

Umsetzungsschritte

  • SWIFT-Server in gesicherten Rechenzentren oder Sicherheitsräumen betreiben.
  • Zutrittskontrolle mit Authentifizierung und Protokollierung implementieren.
  • Regelmässige physische Sicherheitsbegehungen durchführen.

Erwartete Nachweise

  • Zutrittskontrollkonzept
  • Zutrittsprotokolle
  • Sicherheitsbegehungsberichte

Typische Prüfungsfeststellungen

Unzureichende physische Zugangskontrollen, keine Zutrittsprotokollierung

CSP-2.1 Mandatory Secure Operations

2.1 Betriebs- und Notfallprozesse

Betriebliche Prozesse und Notfallpläne für die SWIFT-Umgebung müssen dokumentiert und regelmässig getestet werden.

Umsetzungsschritte

  • Betriebshandbuch für SWIFT-Umgebung erstellen und aktuell halten.
  • Notfallplan für SWIFT-Ausfälle (inkl. RTO/RPO) dokumentieren.
  • Regelmässige Notfallübungen für SWIFT-Ausfallszenarien durchführen.

Erwartete Nachweise

  • SWIFT-Betriebshandbuch
  • Notfallplan
  • Übungsberichte (mindestens jährlich)

Typische Prüfungsfeststellungen

Kein aktuelles Betriebshandbuch, keine regelmässigen Notfallübungen

CSP-2.2 Mandatory Secure Operations

2.2 Zugriffskontrolle und Berechtigungsmanagement

Zugriffe auf SWIFT-Systeme müssen nach dem Least-Privilege-Prinzip vergeben und regelmässig reviewed werden.

Umsetzungsschritte

  • Berechtigungskonzept für SWIFT-Systeme nach Least-Privilege-Prinzip erstellen.
  • Regelmässige Berechtigungsreviews (mindestens quartalsweise) durchführen.
  • Trennung von Administrations- und Benutzerrollen sicherstellen.

Erwartete Nachweise

  • Berechtigungskonzept
  • Berechtigungsmatrix
  • Review-Berichte

Typische Prüfungsfeststellungen

Überhöhte Berechtigungen, keine regelmässigen Reviews, fehlende Rollentrennung

CSP-2.3 Mandatory Secure Operations

2.3 Logging und Überwachung

SWIFT-Transaktionen und Systemzugriffe müssen protokolliert und auf Anomalien überwacht werden.

Umsetzungsschritte

  • Zentrales Logging aller SWIFT-Transaktionen und Systemzugriffe implementieren.
  • SIEM-Integration für SWIFT-Logs zur Erkennung von Anomalien.
  • Regelmässige Überprüfung der Log-Integrität und Aufbewahrung nach gesetzlichen Vorgaben.

Erwartete Nachweise

  • Logging-Konzept
  • SIEM-Integrationsnachweis
  • Log-Review-Berichte

Typische Prüfungsfeststellungen

Unvollständiges Logging, keine SIEM-Integration, fehlende regelmässige Log-Analyse

CSP-2.4 Mandatory Secure Operations

2.4 Schwachstellenmanagement und Patch-Zyklus

Ein strukturierter Patch-Prozess stellt sicher, dass Sicherheitsupdates zeitnah eingespielt werden.

Umsetzungsschritte

  • Patch-Management-Prozess für SWIFT-Systeme definieren.
  • Kritische Sicherheitspatches innerhalb von 7 Tagen einspielen.
  • Patch-Status dokumentieren und regelmässig reporten.

Erwartete Nachweise

  • Patch-Management-Richtlinie
  • Patch-Status-Berichte
  • Ausnahmegenehmigungen für abweichende Patches

Typische Prüfungsfeststellungen

Kein definierter Patch-Prozess, Überschreitung der Patch-Fristen, fehlende Dokumentation

CSP-2.5 Mandatory Secure Operations

2.5 Sicherheitsvorfallmanagement für SWIFT

Ein spezifischer Vorfallreaktionsprozess für SWIFT-bezogene Sicherheitsvorfälle muss implementiert sein.

Umsetzungsschritte

  • SWIFT-spezifischen Vorfallreaktionsplan erstellen.
  • Meldekette an SWIFT (CSP Notification) definieren und testen.
  • Regelmässige Vorfallübungen mit SWIFT-Szenarien durchführen.

Erwartete Nachweise

  • Vorfallreaktionsplan SWIFT
  • Meldekette SWIFT
  • Übungsberichte

Typische Prüfungsfeststellungen

Kein spezifischer SWIFT-Vorfallplan, Meldekette nicht getestet

CSP-3.1 Mandatory Secure Transaction

3.1 Transaktionsintegrität und Authentifizierung

SWIFT-Transaktionen müssen durch geeignete Mechanismen vor Manipulation geschützt und authentifiziert werden.

Umsetzungsschritte

  • PKI-basierte Authentifizierung für SWIFT-Transaktionen implementieren.
  • Transaktionsintegrität durch digitale Signaturen sicherstellen.
  • Schlüsselmanagementsystem (PKI/KMS) dokumentieren und regelmässig auditierten.

Erwartete Nachweise

  • PKI-Zertifikatsmanagement
  • Transaktionsintegritätsnachweis
  • PKI-Audit-Bericht

Typische Prüfungsfeststellungen

Keine PKI-Authentifizierung, unzureichendes Schlüsselmanagement

CSP-3.2 Advisory Secure Transaction

3.2 Verschlüsselung von SWIFT-Daten

SWIFT-Daten müssen während der Übertragung und im Ruhezustand angemessen verschlüsselt werden.

Umsetzungsschritte

  • Verschlüsselung der Kommunikationswege (TLS 1.2+) sicherstellen.
  • Verschlüsselung ruhender Daten auf SWIFT-Systemen prüfen.
  • Verschlüsselungsstandards nach aktuellem Stand der Technik einsetzen.

Erwartete Nachweise

  • Verschlüsselungskonzept
  • TLS-Konfigurationsnachweis
  • Datenverschlüsselungsnachweis

Typische Prüfungsfeststellungen

Veraltete TLS-Versionen, keine Verschlüsselung ruhender Daten

CSP-3.3 Mandatory Secure Transaction

3.3 SWIFT-Transaktionsüberwachung

Auffällige oder ungewöhnliche SWIFT-Transaktionen müssen automatisiert erkannt werden.

Umsetzungsschritte

  • Überwachungsregeln für SWIFT-Transaktionen definieren (z.B. ungewöhnliche Beträge, Ziel-Länder, Zeiten).
  • Automatisierte Alarme bei Regelverstössen generieren.
  • Regelmässige Überprüfung der Überwachungsregeln auf Wirksamkeit.

Erwartete Nachweise

  • Transaktionsüberwachungskonzept
  • Alarmierungsnachweise
  • Wirksamkeitsprüfung

Typische Prüfungsfeststellungen

Keine automatisierte Transaktionsüberwachung, zu viele falsch-positive Alarme

CSP-Assessment-Zyklus 2025

So bereiten Sie sich auf das jährliche SWIFT CSP Assessment vor:

1. Selbstassessment

Führen Sie eine Selbsteinschätzung aller 11 Controls durch. Dokumentieren Sie den Status (compliant/partially/non-compliant).

2. Unabhängige Validierung

Lassen Sie das Assessment durch eine unabhängige Stelle (internes Audit oder extern) validieren.

3. Attestierung

Reichen Sie die Security Attestation über das SWIFT CSP Portal ein (KYC-Formular).

4. Nachbesserung

Bei Abweichungen: Massnahmenplan erstellen und Fristen bis zur nächsten CSP-Einreichung definieren.

Praktische Unterstützung für Ihr CSP-Assessment

Nutzen Sie den Assessment Support für Antwortleitfäden, Evidenz-Checklisten und Cross-Reference-Tabellen.

Zum Assessment Support →

Hinweis: Diese Inhalte sind Umsetzungshilfen und ersetzen keine rechtsverbindliche SWIFT CSP-Erklärung. Die tatsächlichen CSP-Anforderungen können je nach SWIFT-Dienstleistungspaket variieren. Bitte konsultieren Sie die offizielle SWIFT-Dokumentation.