Nein, SWIFT ist keine Bank. SWIFT ist ein Nachrichtennetzwerk, das von Banken und anderen Finanzinstituten verwendet wird, um Informationen und Anweisungen mithilfe eines standardisierten Systems von Codes sicher zu übermitteln.
SWIFT (Society for Worldwide Interbank Financial Telecommunication) ist eine von Mitgliedern der Finanzgemeinschaft gegründete Genossenschaft. SWIFT wurde im Jahr 1973 von 239 Banken in 15 Ländern ins Leben gerufen. Dies diente dazu, das Format von Finanzinformationen zu standardisieren und den elektronischen Austausch zwischen Finanzinstituten und Unternehmen zu erleichtern. Seitdem ist eine SWIFT-Transaktion in der internationalen Finanzbranche zum etablierten Standard für Geldtransfers geworden. Heute stellen mehr als 11.000 Institutionen eine Verbindung zu SWIFT her, und das in mehr als 200 Ländern und Territorien. Das SWIFTNet-System für Finanznachrichten ist ein äußerst stabiles Nachrichtennetzwerk mit einer Verfügbarkeit von 99,999 %. Die Standardisierungsbemühungen von SWIFT haben zu Fortschritten bei Automatisierung und Zahlungen geführt, einschließlich grenzüberschreitender Zahlungen und Zahlungen in Echtzeit. Aufgrund der sicherheitstechnischen Auswirkungen von Geldtransfers hat SWIFT ein Sicherheitsframework entwickelt: SWIFT Customer Security Controls Framework (CSCF).
Hintergrund zu SWIFT
Das SWIFT-System ist eine Genossenschaft, die sich aus aktiv involvierten Stakeholdern zusammensetzt. Als Organisation wird SWIFT von den Zentralbanken der folgenden Länder kontrolliert: Belgien, Frankreich, die Vereinigten Staaten, Kanada, Deutschland, Italien, die Niederlande, Schweden, die Schweiz, Japan und Großbritannien.
SWIFT standardisiert nicht nur die Finanzkommunikation, sondern bietet auch ein Framework für Sicherheitskontrollen für SWIFT-Nutzer. Das SWIFT CSCF umfasst empfohlene und obligatorische Sicherheitskontrollen.
Das SWIFT CSCF (Customer Security Controls Framework)
Das steigende Volumen und die zunehmende Komplexität von Betrugsfällen, die auf das SWIFT-Netzwerk und die anderen Zahlungssysteme abzielen, haben zur Schaffung des SWIFT Customer Security Controls Framework (CSCF) geführt. Dieses ist Teil des Customer Security Programme (CSP). CSCF ist ein Sicherheitsframework mit obligatorischen und empfohlenen Sicherheitskontrollen, die für alle Finanzinstitute gelten, die das SWIFT-Nachrichtensystem verwenden. Drei Ziele bilden das CSCF, denen sieben strategische Sicherheitsgrundsätze zugrunde liegen. Das CSCF-Framework deckt vier SWIFT-Nutzerarchitekturen ab: A1, A2, A3 und B. Die erforderlichen Sicherheitskontrollen hängen davon ab, unter welche Architektur ein SWIFT-Nutzer fällt.
Ziel 1: Schutz Ihrer Umgebung
- Beschränken des Internetzugangs und Abschottung kritischer Systeme von der allgemeinen IT-Umgebung
- Reduzieren der Angriffsfläche und der Schwachstellen
- Physische Sicherung der Umgebung
Ziel 2: Kennen und Begrenzen des Zugriffs
- Verhindern der Kompromittierung von Anmeldedaten
- Verwalten von Identitäten und Trennen von Berechtigungen
Ziel 3: Erkennen und Reagieren
- Erkennen anomaler Aktivitäten im System oder in Transaktionsdatensätzen
- Planen der Reaktion auf Vorfälle und Informationsaustausch
Wie wirkt sich SWIFT CSCF auf Ihr Unternehmen aus?
Große, gezielte SWIFT-Hacks, wie 2016 auf die Zentralbank von Bangladesch, wobei über 81 Millionen US-Dollar erbeutet wurden, führte zur Entwicklung des CSCF-Cybersicherheitsframeworks, um Angriffe auf SWIFT-Kunden abzuwehren. Cyberkriminelle greifen SWIFT jedoch weiterhin an. Ein Bericht des Europäischen Zahlungsverkehrsrats aus dem Jahr 2021 führt Beispiele von Cyberangriffen mit mehreren Vektoren an, die die SWIFT-bezogene Bankinfrastruktur ausnutzen. Der Bericht weist auf einige gravierende Datenschutzverstöße hin, die Bankkartendaten betreffen und auf gezielten APT-Angriffen auf das SWIFT-Servicebüro basieren. Im Jahr 2021 änderte SWIFT seine CSCF-Maßnahmen zur Beschränkung des Internetzugangs von empfohlen auf obligatorisch. Dies ging einher mit der Verwendung einer verbesserten Multi-Faktor-Authentifizierung bei der Vorlage oder beim Zugriff auf einen SWIFT-bezogenen Service, eine Anwendung oder Komponente, die von einem Dienstanbieter betrieben wird. Die folgenden Institutionen sind verpflichtet, das CSCF von SWIFT einzuhalten:
Finanzinstitute – Finanzinstitute, die die SWIFT-Nachrichtenplattform nutzen, müssen sich an die obligatorischen Kontrollen des CSCF halten. Dies bedeutet, dass diese Institutionen über zuverlässige Sicherheitskontrollen verfügen müssen, die das Unternehmen vor externen und internen Bedrohungen schützen. Die Kontrollen umfassen den Schutz vor Schwachstellen, um Malware- und Ransomware-Infektionen zu verhindern, sowie die Trennung von Rollen und Zugriffsberechtigungen zum Schutz vertraulicher Daten, Anmeldedaten oder kritischer Assets. Eines der Grundprinzipien der CSCF-Kontrollen ist die Zugriffsverwaltung mit den geringstmöglichen Berechtigungen. Durch die Implementierung eines Zero-Trust-Sicherheitsmodells können Finanzunternehmen ihre Umgebung sichern, sich vor der Ausnutzung von Schwachstellen schützen, Identitäten verwalten und Berechtigungen trennen, damit sie mit dem CSCF in Einklang stehen.
Dritte und Anbieter – Jedes Unternehmen, das Finanzinstitute bei der Verarbeitung, Speicherung oder Übermittlung von SWIFT-Finanztransaktionsdaten unterstützt, muss die CSCF-Kontrollen ebenfalls einhalten. Das gleiche Zero-Trust-Sicherheitsmodell wird diesen Drittanbietern helfen, die obligatorischen Kontrollen des SWIFT CSCF einzuhalten. Auf diese Weise schützen diese Anbieter ihr eigenes Unternehmen vor Cyberangriffen, die auf die Lieferkette abzielen, und auch andere Unternehmen in der Lieferkette, einschließlich der Finanzinstitute, für die sie tätig sind.
SWIFT-Nachrichtenservices
SWIFT bietet drei zentrale Nachrichtenservices:
FIN – FIN ist der führende Nachrichtenservice von SWIFT. Er soll den Austausch einzelner strukturierter Nachrichten mit den Formaten MT/MX und ISO 15022 erleichtern. Darüber hinaus ist FIN für das Validieren des Nachrichtenformats, das Überwachen der Zustellung sowie das Speichern und das Abrufen zuständig.
FileAct – FileAct ist ein System zur Unterstützung großer und strukturierter Dateiübertragungen, wie z. B. Massenzahlungsdateien oder Wertpapiermehrwertinformationen.
InterAct – InterAct bietet einen Service für die Nachweisbarkeit für XML-basierte Finanznachrichten, einschließlich der Formate SWIFT MX und ISO 20022.
Weitere SWIFT-Initiativen
SWIFT GPI – Mehr als 4.000 Finanzinstitute haben sich bei SWIFT GPI angemeldet, einer Plattform für grenzüberschreitende Zahlungen. Die Plattform ist für schnelle Zahlungen optimiert und bietet Funktionen zur Nachverfolgung.
SWIFT GPI Instant – SWIFT GPI Instant kombiniert Sofortzahlungen von SWIFT GPI mit inländischen Echtzeitzahlungsnetzen, um grenzüberschreitende Zahlungen schnell und nahtlos zu ermöglichen.
SWIFT Go – SWIFT Go ist ein Standard für internationale Zahlungen in niedriger Höhe.
ISO und SWIFT
SWIFT und Sanktionen
SWIFT ist nicht für die Überwachung oder Kontrolle von SWIFT-Nachrichten verantwortlich, die über das SWIFT-System gesendet werden. Stattdessen werden Finanztransaktionen, die unter Sanktionen fallen, von den Finanzinstituten und den nationalen Behörden ermittelt, die sie überwachen. Die finanziellen Sanktionen, die während der russischen Invasion in die Ukraine verhängt wurden, wurden von nationalen Institutionen durchgesetzt. Die Europäische Union stimmte bspw. zu, wichtige russische Banken vom SWIFT-System auszuschließen.
Häufig gestellte Fragen (FAQ)
SWIFT steht für Society for Worldwide Interbank Financial Telecommunication. Es handelt sich um ein Netzwerk, das Finanzinstituten weltweit Zahlungsanweisungen erleichtert, wenn sie Informationen über Finanztransaktionen senden oder empfangen. SWIFT führt diese Transaktionen in einer sicheren, standardisierten und zuverlässigen Umgebung durch. SWIFT bietet einen eindeutigen Business Identifier Code (BIC), der weltweit zur Identifizierung von Banken und Finanzinstituten im gesamten Bankensystem verwendet wird.
SWIFT überweist kein Geld, sondern erleichtert Finanztransaktionen anhand von Nachrichtensystemen. Zusammengefasst verwendet SWIFT-Codes (SWIFT-Code/BIC-Code), um Geldtransfers zwischen Banken zu kommunizieren. SWIFT beschleunigt den Geldtransfer in Form von elektronischen Überweisungen oder Kreditkartenzahlungen zwischen einer Einzelperson und einem Unternehmen. Aufgrund der Standardisierung von SWIFT-Nachrichten sind grenzüberschreitende Zahlungen nahtlos. Durch diese Standardisierung konnte SWIFT in hohem Maße skalierbar werden und den Bereich der Finanzkommunikation dominieren.
