Stabilisierung, Klarheit und nächste Schritte für Finanzinstitute und Zahlungsdienstleister
Das SWIFT Customer Security Programme (CSP) ist seit 2016 ein zentrales Element im Schutz vor Cyberbedrohungen für die globale Finanzwelt – mit direkten Auswirkungen auf die Stabilität des internationalen Zahlungsverkehrs. Wer SWIFT nutzt, muss nachweisen, dass die eigenen Systeme die im Customer Security Controls Framework (CSCF) definierten Anforderungen erfüllen. Seit dem letzten Jahr ist zudem die Einhaltung des Frameworks „Endpunktsicherheit im SIC-System“ für alle Teilnehmer des SIC-Zahlungssystems verpflichtend.
Dabei handelt es sich nicht nur um eine regulatorische Pflichtübung: Eine fehlende oder mangelhafte Umsetzung der SWIFT- und SIC-Anforderungen kann zu erheblichen finanziellen Schäden, Vertrauensverlust bei Partnern und im schlimmsten Fall zu Einschränkungen im Zahlungsverkehr führen. Die Einhaltung der Anforderungen ist daher für Finanzinstitute, Zahlungsdienstleister und alle mit SWIFT oder SIC verbundenen Organisationen essenziell.
Änderungen im SWIFT CSCF v2025
Mit der Version CSCF v2025 verfolgt SWIFT einen klaren Kurs der Stabilisierung. Anders als in den Vorjahren gibt es keine neuen verpflichtenden Kontrollen. Stattdessen liegt der Fokus auf Konsolidierung, Klarheit und verbesserter Guidance für die Umsetzung. Dennoch gibt es Entwicklungen, die bereits heute Weichen für die Zukunft stellen.
Besonders relevant ist die Control 2.4A, die sich mit der Absicherung von Back-Office-Datenflüssen beschäftigt. Sie ist 2025 noch als Empfehlung („advisory“) klassifiziert, wird ab 2026 für neue Datenflüsse verpflichtend und ab 2028 auch für bestehende (Legacy-) Datenflüsse. Wer hier frühzeitig plant, erspart sich später teure und komplexe Nachrüstungen.
Ein weiterer wichtiger Punkt betrifft die sogenannten „Kunden-Client-Connectoren“ – also Schnittstellen wie Endpunkte, die APIs nutzen, Middleware oder Dateitransfer-Clients. Diese Komponenten fallen ab 2025 neu in den Scope des SWIFT-Architekturtyps A4, zunächst als Empfehlung, ab 2026 jedoch als Pflicht. Für viele Institute bedeutet das, dass die bestehende Architektur überprüft und gegebenenfalls angepasst werden muss. Mit der neuen Regelung fallen künftig nur noch Architekturen unter den SWIFT-Architekturtyp B, bei denen SWIFT-Transaktionen rein manuell über ein Service Bureau eingegeben werden. Systeme, die automatisierte Zahlungsflüsse über Backoffice- oder Treasury-Anwendungen abwickeln, werden dem SWIFT-Architekturtyp A4 zugeordnet. Für viele Institute bedeutet dies, dass sie ihre Klassifizierung überprüfen und gegebenenfalls auf A4 anpassen müssen – was ab 2026 wesentliche Auswirkungen auf den Scope der Kontrollen, hat.
Endpunktsicherheit im SIC-System
Neben den SWIFT-Anforderungen rückt in der Schweiz auch das Framework „Endpunktsicherheit im SIC-System“ der Schweizerischen Nationalbank (SNB) in den Fokus. Ähnlich wie beim SWIFT CSP definiert es verbindliche Sicherheitsanforderungen für alle Teilnehmer des Swiss Interbank Clearing (SIC) Netzwerks. Seit 2024 ist dafür eine unabhängige Attestierung vorgeschrieben.
Für viele Institute bietet sich hier die Chance, Synergien zu nutzen: Zahlreiche Sicherheitskontrollen des SIC-Frameworks stimmen inhaltlich mit den SWIFT CSP-Anforderungen überein. Prüfungen und Nachweise lassen sich in einem integrierten Ansatz erbringen. Wer bereits eine strukturierte SWIFT-Attestierung durchführt, kann diese gezielt erweitern und den zusätzlichen Aufwand für die SIC-Compliance deutlich reduzieren.
Gegenüber 2024 ist im SIC-Framework besonders eine Anpassung hervorzuheben: Die Kontrolle 7.3.2 „Risikomanagement für Dritte“ wurde von „empfohlen“ auf „obligatorisch“ hochgestuft und ist somit neu im verbindlichen Umfang der Anforderungen.
Was bedeutet dies in der Praxis?
Für Finanzinstitute, Zahlungsdienstleister und alle Unternehmen, die SWIFT direkt oder indirekt nutzen, ist es alljährlich wieder an der Zeit, die eigene Compliance-Situation zu überprüfen. Besonders die neuen Themen „Datenflusssicherheit im Back-Office“ und „Kunden-Client-Connectoren“ sollten frühzeitig adressiert werden. Damit verschaffen Sie sich nicht nur Sicherheit für die nächste Attestierung, sondern stärken auch die eigene Cyber-Resilienz nachhaltig. Spätestens Ende 2025 muss die Attestierung abgeschlossen sein. Bis dahin müssen alle Teilnehmer sowohl für SWIFT als auch für SIC nachweisen, dass sie die Anforderungen erfüllen. Die Erfahrung zeigt: Je besser die Vorarbeit und je früher Sie damit beginnen, desto reibungsloser verläuft dieser Prozess.
Wie wir Sie unterstützen können
Wir helfen Ihnen, sich optimal auf die Attestierung vorzubereiten – von der Gap-Analyse über die Priorisierung notwendiger Massnahmen bis hin zur Durchführung der unabhängigen Attestierung.
Unser Team kennt die typischen Fallstricke, weiss, worauf SWIFT und SIC besonderes Augenmerk legen, und begleitet Sie mit praxisnahen Empfehlungen. Neben der formalen Attestierung für 2025 empfehlen wir ein Readiness-Assessment für die neuen verpflichtenden Aspekte ab 2026 –Kontrolle 2.4 „Datenflusssicherheit im Back-Office“ und die Änderungen beim „Kunden-Client-Connector“. So vermeiden Sie böse Überraschungen und können den neuen Anforderungen in 2026 gelassen entgegensehen.
Wir stehen bereit, Sie auf diesem Weg zu begleiten – mit fundierter Expertise, pragmatischer Beratung und der Durchführung Ihrer Attestierung. Gemeinsam sorgen wir dafür, dass Ihre SWIFT-Nutzung sicher, compliant und zukunftsfähig bleibt.
Managed SASE
Managed Infrastructure
Analytics as a Service
Information Security as Service
Security Strategie
Security Architektur
Technologieberatung
GRC
Security Awareness
Network Security
Content Security
Application Security
Cloud Security
Infrastructure Security
OT Security
Endpoint Security
Security Analytics
Team
Arbeiten bei ensec
Facts und Figures
