Pitstop für IT-Sicherheit und SWIFT-CSP-Compliance

Anja Biehler
Anja Biehler

Anja has a PhD in German Philology and trained in a business communications agency before gaining valuable creative and marketing experience in a number of advertising agencies. For five years, she was in charge of the communications department of a renowned, private financial service provider. Her last position before joining BELLIN’s Global Marketing & Communications team in November 2014 was with Freiburg University where Anja was responsible for the marketing efforts of the EXIST business start-up program.

September 5, 2022
Lesedauer: 5 mins
SWIFT CSP Compliance und IT security

IT-Organisationen können sehr verwundbar sein und je mehr sie an einer gemeinsamen Infrastruktur teilhaben, umso wichtiger ist die Rolle der IT-Sicherheit und Compliance. Die Nutzenden müssen darauf vertrauen können, dass die gemeinsam vereinbarten Sicherheitsstandards auch eingehalten werden. Das SWIFT-Netzwerk ist ein Paradebeispiel dafür, wie besonders sensible Daten sicher geschützt werden können. 

Was bedeuten SWIFT, das SWIFT-Netzwerk und das Customer Security Programme (CSP)?

SWIFT steht für „Society for Worldwide Interbank Financial Telecommunication“. Die Genossenschaft mit Sitz in Brüssel verbindet weltweit mehr als 11.000 Banken und auch Unternehmen miteinander. Das SWIFT-Netzwerk ist ein Nachrichten-Netzwerk, über das die teilnehmenden Banken und Unternehmen Finanzdaten wie Kontoauszüge, Zahlungsaufträge oder Trade Finance-Nachrichten austauschen. Hier geht es also um höchst sensible Daten und gegebenenfalls auch um einen horrenden Schaden im Betrugsfall. Um Cyberkriminalität zu verhindern, müssen alle Beteiligten im SWIFT-Netzwerk am Customer Security Programme (CSP) teilnehmen. Teil des CSP ist seit 2021 auch das jährlich durchzuführende unabhängige IT Security Assessment. Dies kann durch eine interne Abteilung oder einen externen Assessor durchgeführt werden. 

Welche Bereiche durchleuchtet das SWIFT CSP-Assessment?

Das Independent Assessment Framework (von SWIFT verfasstes Dokument) listet sieben sicherheitsrelevante Bereiche auf, die überprüft und dokumentiert werden müssen: 

  1. Wie wird der Zugang beschränkt und wie werden besonders kritische Systeme innerhalb des allgemeinen IT-Umfeldes geschützt?
  2. Welche Vorkehrungen gibt es, um die Vulnerabilität und Angriffsfläche zu reduzieren?
  3. Wie wird das IT-Umfeld physisch geschützt?
  4. Welche Vorkehrungen gibt es, um das Hacking von Login-Daten zu verhindern?
  5. Wie werden Identitäten, Rollen und Berechtigungen verwaltet?
  6. Gibt es ein Screening von Unregelmäßigkeiten und wie werden diese dokumentiert?
  7. Gibt es für Notfälle klare Handlungs- und Benachrichtigungspläne? 

Für Banken, welche bereits umfassende IT-Sicherheitsmaßnahmen und -prozesse etabliert haben, mag ein solch umfangreiches Assessment kein großes Problem sein. Für Unternehmen – deren Kernkompetenz eben nicht Kommunikationsnetzwerke und IT Sicherheit sind, die aber als Mitglied des SWIFT-Netzwerkes das CSP-Assessment dennoch durchführen müssen – kann dies zu einer großen Herausforderung werden. Mit Unterstützung des Coupa SWIFT Services Teams ist es relativ einfach, SWIFT-compliant zu werden und zu bleiben. 

Was droht SWIFT-Nutzern bei Nicht-Einhaltung der Compliance?

Unternehmen, welche die Frist für das CSP-Assessment verpassen oder die Kontrollen des CSP-Assessments nicht einhalten (aus unterschiedlichsten Gründen), werden als „non-compliant“ ausgewiesen. Dies kann dazu führen, dass wiederum die Banken Compliance-Probleme bekommen, da Geschäftsbeziehungen zu „non-compliant“ Partnern oftmals als unsicher eingestuft werden.

Sofern Unternehmen dann nicht nachweisen können, dass sie aktiv an Ihrer Compliance arbeiten, kann dies zur Beendigung der Geschäftsbeziehung führen. 

Die SWIFT Services von Coupa

Um bestmöglich bei den Anforderungen unterstützen zu können, hat Coupa die “SWIFT Services” für seine SWIFT-Kunden eingeführt. Als zertifizierter L2BA -Provider kann Coupa Unternehmen als SCORE-Mitglied (Standard Corporate Environment) einfach und schnell an das SWIFT-Netzwerk anbinden. 

Da Coupa bereits das Treasury System der Kunden betreibt, kennen wir die System-Landschaft sehr genau und wissen, wie dort das SWIFT-Netzwerk zum Einsammeln der Kontoauszüge, für Zahlungsaufträge und/oder für digitales Trade Finance genutzt wird. Darüber hinaus nutzt Coupa seine Position als Treasury-Spezialist: Wir kennen die Arbeitsabläufe in den Unternehmen und haben Best Practices entwickelt, die dem Team als Grundlage bei der Begleitung unserer Kunden durch das SWIFT-Assessment dienen. 

Dieses Wissen ermöglicht es Coupa, das SWIFT CSP-Assessment so vorzubereiten, dass unsere Kunden die Anforderungen mit wenig Aufwand erfüllen können. Ein Boxenstopp, bei dem die Unternehmen die Bestätigung ihrer Compliance erhalten und gleichzeitig die IT-Sicherheit auf ein höheres Level bringen. Alle geprüften Bereiche wirken sich nicht nur auf die Nutzung der SWIFT-Infrastruktur aus, sondern generell auf sämtliche Systembereiche: Von der Erstellung und dokumentierten Einhaltung einer Passwort-Richtlinie, über die Einrichtung eines Single Sign-On (SSO) bis hin zur KI-gestützten Erkennung von Betrug, profitiert die IT-Sicherheit unternehmensweit.

Neben der jährlichen CSP-Prüfung umfassen die SWIFT Services von Coupa als wesentlichen Bestandteil auch die sichere Verwahrung und das Management der SWIFT-Tokens. Durch die Übergabe der SWIFT Tokens an Coupa, sparen sich die Kunden nicht nur die zeitaufwändige Verwaltung und Nutzung, sondern erfüllen auch direkt eine der Anforderungen des CSP-Assessments. 
 

„Als ich erfahren habe, dass Coupa die sichere Verwahrung und Pflege der SWIFT-Tokens übernimmt, habe ich nur noch gefragt: Wo muss ich unterschreiben?“ 
Michael Mattig, Head of Global Treasury, Transaction & Inhouse Banking bei Nordex SE 

Was unsere Kunden an den Coupa SWIFT Services lieben: Sicherheit, Leistung und Geschwindigkeit

Unsere Kunden empfinden die SWIFT Services als preiswert und wertvoll. Als Single Point of Contact kümmert sich das Team um all die Themen rund um SWIFT, sowie die jährliche geforderte Compliance-Prüfung und das Token-Management. Nico Hunziker, Corporate Treasurer bei E.G.O. Elektro-Geräte, beschreibt: „Eine Überprüfung hilft ihrem Unternehmen, nicht „betriebsblind“ zu werden. Es ist gut, dass wir regelmäßig mit einem externen Experten die verschiedenen Maßnahmen betrachten, um das Thema Sicherheit rund um Coupa Treasury zu verbessern. Das hilft uns, die Awareness aufrechtzuerhalten.“ Auch hilft das jährliche CSP-Assessment den Treasury-Abteilungen, sich intern Gehör und Ressourcen beim Thema IT-Sicherheit zu verschaffen. 

Unser Kunde Stefan Maßer von SPAR bestätigt: „Coupas SWIFT Service umfasst mehr und ist günstiger als die Assessment-Services von Beratungsunternehmen.“ Und John Heavey, Corporate Treasurer, bringt es auf den Punkt: „Your Service is worth every penny.“

Die Geschwindigkeit, mit der Coupa das Assessment durchführt, ist für alle Kunden ein großer Vorteil. Das SWIFT Services Team startet in einem 60-minütigen Kick-off Meeting und geht gemeinsam mit dem Kunden dialogisch den Leitfaden durch. Sind die Anforderungen der einzelnen Kontrollen geklärt, können die Kunden gezielt die geforderten Nachweise zusammenstellen.

Coupa nimmt uns beim SWIFT CSP-Assessment an die Hand. Wir im Treasury können uns auf unsere Aufgaben konzentrieren und das ganze Unternehmen profitiert von mehr IT- und Prozesssicherheit“, fasst Eva Hess, Manager Treasury, Risk and Insurance bei Siegfried zusammen.

Sie möchten mehr über unsere SWIFT Services erfahren? Dann informieren Sie sich über Coupa Treasury oder kontaktieren direkt das Coupa SWIFT Services Team.