Blog
Blog von ISPIN

Bankraub 2.0 - Cybercrime im weltweiten Zahlungsverkehr

/Blog
Erstellt von Andreas Rieder, Head Business Security Consulting

Bei Banküberfällen geht es heute meist nicht mehr um maskierte Bankräuber und ein Fluchtauto. Im wirklichen Leben werden die grossen Summen mittels Cyberdiebstahl erbeutet. Als Reaktion auf immer häufiger vorkommende Cyberangriffe auf das Interbank Telekommunikationsnetz «SWIFTNet» hat SWIFT das Customer Security Program (CSP) ins Leben gerufen mit dem Ziel, die Sicherheit von SWIFTNet und der angeschlossenen Finanzinstitute gegenüber unbefugten Zugriffen markant zu verbessern. Ab diesem Jahr sind neue SWIFT-Kontrollen dazugekommen – und mehrere Kontrollen von Advisory zu Mandatory hochgestuft worden. Zudem muss die Einhaltung der zwingenden Anforderungen mit einem zusätzlichen Assessment von einer unabhängigen Stelle bestätigt werden («independent assessment»).

SWIFT (Society of Worldwide Interbank Financial Telecommunication) standardisiert den weltweiten Transaktions- und Nachrichtenverkehr über das SWIFT-Netzwerk. Zu diesem gehören mehr als 11’000 Banken, Börsen, Brokerhäuser und Unternehmen in über 200 Ländern. Damit ist SWIFT ein attraktives Ziel für Cyberangriffe. So hatten Hacker z. B. im Februar 2016 bei ihrem Angriff auf die Zentralbank von Bangladesch Schwachstellen in der internen IT-Infrastruktur ausgenutzt und innert 24 Stunden 46 Zahlungsaufträge über fast 1 Milliarde US-Dollar im Namen der Notenbank von Bangladesch an die US-Notenbank Fed ausgelöst. Nur durch Zufall wurde man auf diese gefälschten Zahlungsaufträge aufmerksam und konnte einen Grossteil davon stoppen. Dennoch wurden bei diesem virtuellen Bankraub ca. 80 Millionen US-Dollar erbeutet. Die Vermutung liegt nahe, dass die Hacker bewusst nach dem schwächsten Glied in der SWIFT-Kette gesucht haben, um sich auf diesem Weg Zugang zum hoch abgesicherten Datenfluss im SWIFTNet zu verschaffen und echte SWIFT-Zahlungen auszulösen.

Gemeinsam gegen Cyberangriffe

Als Reaktion darauf hat SWIFT 2017 das Customer Security Program (CSP) ins Leben gerufen. Ziel des CSP ist es, die IT-Infrastruktur der angeschlossenen Finanzinstitute zu stärken und Cyberangriffe frühzeitig zu erkennen und abzuwehren. Das Regelwerk besteht aus einer Reihe von Sicherheitskontrollen, die von allen SWIFT-Mitgliedern zwingend durchgeführt werden müssen («mandatory controls»), um die einheitliche, hohe Sicherheit aller SWIFT-Nutzer zu gewährleisten. Zusätzlich gibt SWIFT Empfehlungen in Form von «advisory controls» ab – ihre Umsetzung ist freiwillig. Das Customer Security Controls Framework (CSCF) gliedert sich in diese Kategorien:

Gemäss einer SWIFT-Medienmitteilung vom Februar 2020 haben 91 % der Kunden, über die mehr als 99 % des Datenverkehrs von SWIFT läuft, die Einhaltung der obligatorischen Kontrollen des CSCF v2019 bestätigt.

SWIFT macht Druck - kontinuierliche Verschärfung des Sicherheitsprogramms

Weil die Bedrohungslage sich laufend verändert, passt SWIFT sein CSP-Sicherheitsprogramm regelmässig an. Für die Version 2020 wurden die Vorgaben des SWIFT CSP weiter verschärft. Zwei bislang freiwillige Kontrollen zur Absicherung der virtuellen Plattformen und zur Härtung der Applikationen wurden obligatorisch («mandatory controls») und zwei zusätzliche freiwillige Kontrollen wurden hinzugefügt. 

Neu müssen alle am SWIFTNet angeschlossenen Finanzinstitute 21 Kontrollen verpflichtend umsetzen. Mit diesen 21 «mandatory controls» müssen die Finanzinstitute jeweils bis 31. Dezember gegenüber SWIFT ihre Compliance bestätigen («Attestierung»). Weitere 10 Kontrollen empfiehlt SWIFT, freiwillig umzusetzen. 

Verschärfungen im Bescheinigungsprozess

Mit ihrer CSP-Version 2020 hat SWIFT eine weitere Sicherheitsstufe eingebaut: Ab sofort sind nur noch unabhängige Assessments möglich. Dies bedeutet: Ab sofort reicht es nicht mehr per Ende Jahr in Form einer Selbst-Deklaration die Compliance mit den SWIFT Vorgaben zu attestieren. Ob die SWIFT-relevante IT, Organisation und Prozesse die SWIFT Vorgaben erfüllen muss neu von einer unabhängigen Instanz jährlich überprüft und bestätigt werden. Dieses Independent Assessment kann wahlweise durch eine internen Kontrollstelle (wie z.B. Interne Revision, Risk-Management) oder durch eine qualifizierte externe Cyber Security Firma (wie z.B. ISPIN) durchgeführt werden.

Die Teilnehmer sind gefordert

Unsere Erfahrungen zeigen, dass die Einhaltung der CSP-Kriterien die Teilnehmer immer wieder vor grosse Probleme stellt. Die Anforderungen sind umfangreich und komplex, haben direkten Einfluss auf die IT-Infrastruktur und Security-Strategie des Unternehmens und reichen oft über die internen Sicherheitsanforderungen hinaus. Auch die neuesten Änderungen sind substantiell, und jedes angeschlossene Finanzinstitut ist gut beraten, sich frühzeitig mit den neuen obligatorischen Kontrollen auseinanderzusetzen. Gut möglich, dass die neuen Kriterien gar noch nicht in der Sicherheitsarchitektur berücksichtigt sind und noch implementiert und auf ihre operative Wirksamkeit geprüft werden müssen. Aufgrund des geänderten Nachweisprozesses empfiehlt ISPIN mit Nachdruck, frühzeitig den Independent Assessment Prozess in die Wege zu leiten und bei Bedarf einen externen Dienstleister für einen Readiness-Check beizuziehen.

ISPIN weiss, worauf es ankommt

Die Attestierungsphase für CSCF v2020 beginnt im Juli und endet im Dezember 2020. ISPIN hilft Ihnen, SWIFT-compliant zu werden und damit zu verhindern, dass Sie zum schwächsten Glied in der SWIFT Kette werden könnten. ISPIN ist offizielles Mitglied im SWIFT Customer Security Program. Als Security-Experten verfügen wir, über die reinen SWIFT-Kompetenzen hinaus, über aussergewöhnliche Expertise in der technischen Umsetzung von Cyber-Security-Architekturen und -Projekten. Zudem bieten wir umfassende Cyber Defense Services an. So erkennen wir bei den Assessments nicht nur Lücken in der Sicherheit Ihrer IT-Architektur, sondern können sie auch gleich beheben. Das spart Ihnen viel Zeit und Geld. Fragen Sie uns jetzt unverbindlich an – wir unterstützen Sie gerne bei allen Fragen rund um die SWIFT Compliance.
 

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top