Zum Inhalt springen

Prüfungshilfe

SWIFT CSP Assessment 2026

Echte Prüferanforderungen in Evidence Packs, Owner, DORA-/MaRisk-Bezug und prüfungsfähige Antworten übersetzen. 48 Nachweisanforderungen in 21 Kontrollbereichen.

Hinweis: Diese Seite enthält generische Prüfungsstrukturen. Keine echten Kunden-, Admin- oder SWIFT-Daten. Sensible Doku nur intern via Paperclip Evidence Store.

Was 2026 tatsächlich angefordert wird

Die aktuellen Assessment-Anforderungen zeigen: Prüfer erwarten konkrete Nachweise zu privilegierten Konten, Protected Zone, Jump-Servern, Zahlungsverkehrs-Schnittstellen, DORA-/MaRisk-Auslagerungen, Vulnerability Scans, Logging, SIEM, Incident Response und Awareness.

48 Nachweisanforderungen
21 Kontrollbereiche
7 Evidence Packs
6 Owner-Rollen

🔑

IAM Evidence Pack

Privilegierte Konten, Admin-User, Rezertifizierung, Passwortrichtlinien, MFA, Token-Management

12 Nachweise

🏰

Protected Zone Evidence Pack

Architektur, Jump-Server, HSM, Netzwerksegmentierung, Hardening, AD-GPOs

4 Nachweise

🛡️

Technical Control Evidence Pack

Patch, Change, Vulnerability Scanning, Malware-Schutz, Systemhärtung

11 Nachweise

💱

Transaction Flow Evidence Pack

Datenflussdiagramme, Verschlüsselung, Session-Timeout, Transaktionskontrolle

6 Nachweise

📋

Outsourcing & DORA Evidence Pack

IKT-Strategie, DORA-Strategie, Auslagerungsregister, Verträge nach Art. 30

6 Nachweise

🚨

Incident & BCM Evidence Pack

Cybervorfallreaktionsplan, BIA, Wiederherstellungspläne, Notfallübungen

7 Nachweise

📚

Awareness Evidence Pack

Security-Awareness-Schulungen, SWIFT-Produktschulungen, Trainingsnachweise

2 Nachweise

SWIFT CSP 2026 Evidence-Matrix

Filter zurücksetzen
Control Anforderung Status
1.1 Identifizieren und dokumentieren Sie sämtliche privilegierten Konten in der SWIFT-Umgebung und im umliegenden Zahlungsverkehrssystem. Die Inventarliste muss für jedes Konto den Verwendungszweck, den zuständigen Verantwortlichen (Owner) und die Genehmigungsgrundlage enthalten. angefordert
1.2.1 Stellen Sie sicher, dass der Zugriff auf Betriebssystemebene für SWIFT-bezogene Server ausschließlich über dedizierte, personalisierte Administrationskonten erfolgt. Gemeinschaftskonten (Shared Accounts) auf OS-Ebene sind unzulässig. angefordert
1.2.2 Führen Sie eine vollständige und aktuelle Inventarisierung aller Betriebssystemkonten mit administrativen Berechtigungen in der SWIFT-Umgebung. Die Liste muss quartalsweise durch den IAM-Verantwortlichen geprüft und freigegeben werden. angefordert
1.2.3 Protokollieren Sie sämtliche administrativen Aktivitäten auf Betriebssystemebene in der SWIFT-Umgebung lückenlos. Die Logs müssen mindestens Benutzer-ID, Zeitstempel, ausgeführte Kommandos und Zielsystem enthalten und manipulationssicher aufbewahrt werden. angefordert
1.2.4 Implementieren Sie ein Session-Monitoring und -Recording für alle privilegierten OS-Sitzungen. Die aufgezeichneten Sitzungen müssen mindestens 12 Monate aufbewahrt und regelmässig durch die IT-Sicherheitsabteilung stichprobenartig überprüft werden. angefordert
1.2.5 Richten Sie Just-in-Time-(JIT)-Berechtigungen für privilegierte OS-Zugriffe ein, sodass administrative Rechte nur für einen definierten Zeitraum und nach expliziter Genehmigung (Break-Glass-Prozess) gewährt werden. angefordert
1.3.1 Weisen Sie nach, dass die SWIFT-Infrastruktur in einem logisch und physisch getrennten Netzwerksegment betrieben wird. Die Segmentierung muss durch aktuelle Netzwerkdiagramme, Firewall-Regelwerke und VLAN-Konfigurationen dokumentiert sein und jährlich durch Penetrationstests verifiziert werden. angefordert
1.3.2 Dokumentieren und validieren Sie das gesamte Firewall-Regelwerk für die SWIFT-Umgebung quartalsweise. Jede Regel muss einem definierten Geschäftszweck zugeordnet, mit einem Verantwortlichen versehen und auf Notwendigkeit geprüft werden. Ungenutzte Regeln sind zu entfernen. angefordert
2.1 Definieren und implementieren Sie eine konzernweit verbindliche Passwort- und Token-Richtlinie für alle SWIFT-bezogenen Systeme. Diese muss Mindestanforderungen an Passwortkomplexität (≥14 Zeichen), regelmässige Rotation (≤90 Tage für nicht-privilegierte, ≤45 Tage für privilegierte Konten) und Token-Lebenszyklus-Management enthalten. angefordert
2.2.1 Implementieren Sie einen formalen Patch-Management-Prozess für alle SWIFT-bezogenen Systeme mit definierten Fristen: Kritische Schwachstellen innerhalb von 72 Stunden, hohe innerhalb von 7 Tagen, mittlere innerhalb von 30 Tagen. Der Prozess muss Eskalationsstufen bei Fristüberschreitung enthalten. angefordert
2.3.1 Härten Sie alle SWIFT-bezogenen Betriebssysteme und Applikationen nach anerkannten Standards (CIS Benchmarks oder herstellerspezifische Security Baselines). Dokumentieren Sie die angewandten Härtungsmassnahmen in einer Härtungsrichtlinie und weisen Sie deren vollständige Umsetzung nach. angefordert
2.3.2 Überprüfen Sie die Einhaltung der Härtungsvorgaben halbjährlich durch automatisierte Compliance-Scans und dokumentierte manuelle Inspektionen. Abweichungen von der Baseline müssen risikobewertet, genehmigt und mit Kompensationsmassnahmen versehen werden. angefordert
2.4 Erstellen und pflegen Sie ein vollständiges Datenflussdiagramm aller SWIFT-bezogenen Transaktionsströme, das sämtliche Systeme, Schnittstellen, Middleware-Komponenten und Datensenken abbildet. Das Diagramm muss mindestens jährlich und nach jeder wesentlichen Änderung aktualisiert werden. angefordert
2.5 Implementieren Sie automatisierte Validierungsregeln für eingehende und ausgehende SWIFT-Nachrichten, die Format-, Betrags-, Währungs- und Empfängerprüfungen umfassen. Verdächtige Transaktionen müssen vor der Ausführung zur manuellen Freigabe vorgelegt und protokolliert werden. angefordert
2.6 Stellen Sie die Integrität aller SWIFT-Datenströme durch kryptografische Prüfsummen oder digitale Signaturen sicher. Weisen Sie nach, dass Daten während der Übertragung (in transit) und im Ruhezustand (at rest) nicht unbemerkt verändert werden können. angefordert
2.7 Definieren und implementieren Sie betragliche und volumetrische Transaktionslimite pro Benutzer, Rolle und Korrespondenzbank. Limitüberschreitungen müssen das Vier-Augen-Prinzip auslösen und im SIEM als sicherheitsrelevantes Ereignis protokolliert werden. angefordert
2.8.1 Führen Sie für alle IKT-Drittdienstleister mit Bezug zur SWIFT-Transaktionsverarbeitung eine vollständige Risikoklassifizierung nach DORA-Art. 29 durch. Die Klassifizierung muss Kritikalität, Substitutionsmöglichkeit und Konzentrationsrisiko bewerten und jährlich aktualisiert werden. angefordert
2.8.2 Stellen Sie sicher, dass alle Auslagerungsverträge für SWIFT-bezogene IKT-Dienstleistungen die DORA-Mindestvertragsinhalte gemäss Art. 30 vollständig abdecken, einschliesslich SLA-Definitionen, Prüfungsrechten, Kündigungsfristen und Sicherheitsanforderungen. angefordert
2.8.3 Dokumentieren Sie für jeden kritischen IKT-Drittdienstleister eine belastbare Exit-Strategie, die den geordneten Übergang der SWIFT-Dienstleistung auf einen alternativen Anbieter oder in den Eigenbetrieb beschreibt. Die Exit-Strategie muss jährlich in einer Tischübung getestet werden. angefordert
2.9 Implementieren Sie das Vier-Augen-Prinzip für sämtliche SWIFT-Zahlungsfreigaben oberhalb eines definierten Schwellenwerts. Die Freigabe muss durch zwei voneinander unabhängige, namentlich identifizierte Personen erfolgen, deren Handlungen vollständig protokolliert werden. angefordert
3.1.1 Dokumentieren Sie die gesamte SWIFT-Infrastrukturarchitektur in einem aktualisierten Architekturdiagramm, das alle Server, Netzwerkkomponenten, Storage-Systeme und deren Kommunikationsbeziehungen abbildet. Redundanzen, Failover-Pfade und Kapazitätsreserven sind gesondert auszuweisen. angefordert
3.2 Definieren Sie eine Backup-Strategie für alle SWIFT-bezogenen Systeme und Daten mit dokumentierten RPO- und RTO-Vorgaben. Weisen Sie durch regelmässige Wiederherstellungstests (mindestens halbjährlich) nach, dass die definierten Wiederherstellungszeiten eingehalten werden können. angefordert
4.1 Implementieren Sie ein rollenbasiertes Berechtigungskonzept (RBAC) für alle SWIFT-Applikationen, das Zugriffsrechte nach dem Least-Privilege-Prinzip vergibt. Das Konzept muss eine formale Genehmigung, periodische Rezertifizierung und einen dokumentierten Entzugsprozess umfassen. angefordert
4.2 Führen Sie quartalsweise einen vollständigen Berechtigungsreview für alle SWIFT-Systemzugriffe durch. Der Review muss durch den jeweiligen Fachbereichsverantwortlichen und den IAM-Beauftragten gemeinsam durchgeführt und dokumentiert werden. Überschüssige Berechtigungen sind innerhalb von 5 Werktagen zu entziehen. angefordert
4.3 Erzwingen Sie die Funktionstrennung (Segregation of Duties) zwischen SWIFT-Benutzeradministration, Zahlungserfassung und Zahlungsfreigabe. Identifizieren und dokumentieren Sie SoD-Konflikte in einer Konfliktmatrix und beheben Sie festgestellte Verstösse innerhalb von 10 Werktagen. angefordert
5.1.1 Erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für sämtliche Zugriffe auf SWIFT-Systeme, sowohl für interne Benutzer als auch für externe Dienstleister. Die MFA muss mindestens zwei unabhängige Faktoren (Wissen, Besitz oder Biometrie) kombinieren. angefordert
5.2.1 Beschränken Sie den Fernzugriff auf die SWIFT-Umgebung auf namentlich autorisierte Personen und ausschliesslich über gesicherte, MFA-geschützte VPN-Verbindungen. Führen Sie eine aktuelle Whitelist der zugelassenen Remote-Adressen und Zugangsverfahren. angefordert
5.2.2 Überwachen und protokollieren Sie sämtliche Fernzugriffe auf die SWIFT-Umgebung in Echtzeit. Anomalien wie Zugriffe ausserhalb der Geschäftszeiten oder von ungewöhnlichen Standorten müssen automatische Alarme im SIEM auslösen und durch das SOC innerhalb von 15 Minuten bewertet werden. angefordert
5.3.1 Erzwingen Sie für den Zugriff auf SWIFT-Umgebungen mit privilegierten Konten eine hardwarebasierte MFA (FIDO2-Sicherheitsschlüssel oder gleichwertig). Softwarebasierte Token sind für privilegierte Zugriffe nicht ausreichend und müssen durch einen physischen zweiten Faktor ergänzt werden. angefordert
5.4.1 Implementieren Sie ein vollständiges Token-Lifecycle-Management, das Ausgabe, Aktivierung, Verlustmeldung, Sperrung und Erneuerung aller Authentifizierungstoken abdeckt. Der gesamte Lifecycle muss nachvollziehbar protokolliert und jährlich auditiert werden. angefordert
5.4.2 Schützen Sie Authenticator-Geheimnisse (Seed-Werte, private Schlüssel) durch Verwendung von Hardware-Security-Modulen (HSM) oder gleichwertigen manipulationssicheren Speichern. Die Generierung und Verteilung initialer Secrets muss in einer separierten, besonders geschützten Umgebung erfolgen. angefordert
6.1.1 Betreiben Sie auf allen SWIFT-bezogenen Systemen aktuelle Anti-Malware-Lösungen mit täglicher Signaturaktualisierung und Echtzeitscan. Die Malware-Schutzlösung muss so konfiguriert sein, dass erkannte Schadsoftware automatisch unter Quarantäne gestellt und das SOC alarmiert wird. angefordert
6.2.1 Integrieren Sie sämtliche SWIFT-bezogenen Logquellen (Betriebssysteme, Applikationen, Datenbanken, Netzwerkkomponenten, Sicherheitssysteme) zentral in ein SIEM-System. Relevante SWIFT-Ereignisse müssen in standardisierten Formaten (z. B. CEF, LEEF) innerhalb von maximal 60 Sekunden im SIEM verfügbar sein. angefordert
6.3 Betreiben Sie eine regelbasierte und verhaltensanalytische Anomalieerkennung für SWIFT-Transaktionen, die ungewöhnliche Muster hinsichtlich Betragshöhe, Empfängerland, Uhrzeit, Frequenz und Abweichung vom historischen Transaktionsprofil erkennt. Erkennungsregeln müssen quartalsweise auf Wirksamkeit überprüft und angepasst werden. angefordert
6.4.1 Führen Sie automatisierte Schwachstellenscans der gesamten SWIFT-Infrastruktur mindestens monatlich durch. Kritische Schwachstellen (CVSS ≥ 9.0) müssen innerhalb von 24 Stunden nach Bekanntwerden gesondert bewertet und bei Bestätigung innerhalb der im Patch-Management-Prozess definierten Fristen behoben werden. angefordert
6.4.2 Lassen Sie jährlich einen unabhängigen Penetrationstest der gesamten SWIFT-Umgebung durch einen externen, zertifizierten Dienstleister durchführen. Der Test muss sowohl netzwerkbasierte als auch applikationsbezogene Angriffsvektoren abdecken und die Ergebnisse mit priorisierten Empfehlungen dokumentieren. angefordert
7.1.1 Erstellen und pflegen Sie einen spezifischen Vorfallreaktionsplan für SWIFT-bezogene Sicherheitsvorfälle, der Eskalationsstufen, Reaktionszeiten, Verantwortlichkeiten und Kommunikationswege definiert. Der Plan muss mit dem übergeordneten IT-Notfallmanagement abgestimmt sein. angefordert
7.1.2 Definieren und testen Sie die Meldekette an SWIFT (CSP Notification) für sicherheitsrelevante Vorfälle. Die Meldefrist an SWIFT muss eingehalten werden, und die interne Meldekette muss sicherstellen, dass das Leitungsorgan innerhalb von maximal 4 Stunden nach Feststellung eines schwerwiegenden Vorfalls informiert wird. angefordert
7.1.3 Stellen Sie sicher, dass nach jedem SWIFT-bezogenen Sicherheitsvorfall eine strukturierte Forensik-Analyse mit Root-Cause-Analyse und Lessons-Learned-Dokumentation durchgeführt wird. Die Ergebnisse müssen innerhalb von 30 Tagen nach Vorfallabschluss an das Leitungsorgan berichtet und in die Verbesserung der Sicherheitsmassnahmen eingearbeitet werden. angefordert
7.2.1 Dokumentieren Sie einen Business-Continuity-Plan (BCP) spezifisch für die SWIFT-Zahlungsverkehrsprozesse, der RPO ≤ 15 Minuten und RTO ≤ 2 Stunden für kritische Transaktionen definiert. Der BCP muss mit der Geschäftsleitung abgestimmt und jährlich überprüft und aktualisiert werden. angefordert
7.2.2 Führen Sie jährlich eine vollständige Notfallübung für den Ausfall der SWIFT-Infrastruktur durch, die mindestens Failover in das Ausweichrechenzentrum, Wiederaufnahme des Zahlungsverkehrs und Rückkehr in den Normalbetrieb umfasst. Übungsergebnisse, Abweichungen und Massnahmenpläne sind zu dokumentieren. angefordert
7.3 Definieren Sie einen Krisenstab mit klar zugewiesenen Rollen (Krisenmanager, IT-Lead, Kommunikationsverantwortlicher, Fachbereichsvertreter Zahlungsverkehr) für SWIFT-spezifische Krisenszenarien. Der Krisenstab muss quartalsweise eine Tischübung durchführen und über definierte, unabhängige Kommunikationskanäle verfügen. angefordert
8.1 Weisen Sie nach, dass SWIFT-Server und zugehörige Infrastrukturkomponenten in gesicherten Rechenzentren oder Sicherheitsräumen mit Zutrittskontrolle, Videoüberwachung und Alarmierung betrieben werden. Führen Sie Zutrittsprotokolle für mindestens 18 Monate und führen Sie jährlich eine physische Sicherheitsbegehung mit dokumentierten Ergebnissen durch. angefordert
9.1.1 Führen Sie für alle Mitarbeiter mit SWIFT-Systemzugriff jährlich eine verpflichtende Sicherheitsschulung durch, die mindestens SWIFT-spezifische Bedrohungsszenarien, Erkennung von Social-Engineering-Angriffen, sichere Passworthandhabung und Meldewege für Sicherheitsvorfälle umfasst. Die Schulungsteilnahme ist zu dokumentieren. angefordert
9.1.2 Führen Sie quartalsweise realistische Phishing-Simulationen für alle SWIFT-Anwender durch und messen Sie die Klickrate und Meldequote. Bei einer Klickrate über 5 % sind verpflichtende Nachschulungen anzuordnen. Die Ergebnisse sind trendbezogen an das Leitungsorgan zu berichten. angefordert
10.1.1 Lassen Sie die Einhaltung aller SWIFT-CSP-Anforderungen jährlich durch die Interne Revision oder einen externen, unabhängigen Prüfer im Rahmen eines ISAE-3402- oder vergleichbaren Assurance-Auftrags validieren. Der Prüfbericht muss Abweichungen, Risikobewertung und Folgemassnahmen enthalten. angefordert
10.1.2 Implementieren Sie ein Tracking-System für alle Feststellungen aus SWIFT-CSP-Prüfungen und internen Audits. Jede Feststellung muss mit Risikoeinstufung, Verantwortlichem und Fälligkeitsdatum versehen sein. Überfällige Findings werden automatisch an die Compliance-Funktion und das Leitungsorgan eskaliert. angefordert
10.2 Führen Sie jährlich eine umfassende SWIFT-spezifische Risikoanalyse durch, die Bedrohungslandschaft, Angriffsvektoren, Schwachstellen und potenzielle Auswirkungen auf den Zahlungsverkehr bewertet. Die Risikoanalyse muss als Grundlage für die Anpassung von Sicherheitsmassnahmen und die Budgetierung im Folgejahr dienen. angefordert

48 von 48 Anforderungen

Antwortleitfäden — SOAR-Prinzip

Für jede Evidence-Kategorie: Situation → Operation → Assessment → Result

Beispiel: Rezertifizierung privilegierter Konten

S: Prüfer fordert Rezertifizierungsergebnisse privilegierter Konten mit SWIFT-Zugriff.

O: IAM-Prozess re-zertifiziert periodisch alle privilegierten Konten.

A: Einreichen: Report, Scope, Stichprobe, Genehmiger, Abweichungen.

R: Prüfungsfähig wenn alle SWIFT-relevanten Accounts enthalten.

Beispiel: DORA/MaRisk-Auslagerungen

S: Prüfer fordert Verträge nach Art. 30 DORA / MaRisk AT 9.

O: SWIFT-Dienstleister im Auslagerungsregister mit Risikobewertung.

A: Einreichen: Vertragsauszug, Risikoanalyse, Exit-Regelung, Subdienstleister.

R: Prüfungsfähig wenn Zahlungsverkehrsbezug und Mindestinhalte dokumentiert.

Sicherheitshinweis: Echte Admin-Listen, Logs, Token-Details, Netzwerkdiagramme und Vertragsinhalte ausschließlich intern über den Paperclip Evidence Store verwalten. Diese öffentliche Seite zeigt nur generische Prüfstrukturen und Dokumenttypen.