Der Druck ist da: SWIFT Customer Security Programme

Das SWIFT Customer Security Programme (CSP) definiert zwingende Sicherheitsstandards für alle Finanzinstitute, die an das SWIFT-Netzwerk angebunden sind. Die jährliche Selbstauskunft, untermauert durch eine unabhängige externe Prüfung, ist längst keine Option mehr – sie ist eine aufsichtsrechtliche Pflicht. Gleichzeitig kämpfen viele Banken mit limitierten internen Ressourcen, fragmentierter Dokumentation und der Herausforderung, IT, Security, Risk und Compliance auf einen gemeinsamen Stichtag auszurichten.

Banken, die mit dem SWIFT-Netzwerk verbunden sind, stehen vor einem zunehmend anspruchsvollen Compliance-Umfeld. Das Customer Security Programme verlangt eine jährliche Selbstauskunft auf Basis eines definierten Sets aus obligatorischen und empfohlenen Kontrollen – und seit 2021 muss diese Attestation durch eine unabhängige externe Beurteilung gestützt werden. Schweizer Institute, die am SNB Swiss Interbank Clearing (SIC) teilnehmen, unterliegen mit dem SIC Endpoint Security (EPS) Framework zudem einer zusätzlichen Verpflichtungsebene.

Der Druck ist da: mehr Kontrollen, engere Zeitfenster und wachsende Erwartungen – seitens Aufsicht, Revisoren und Geschäftspartnern – dass Ihre SWIFT-Umgebung nicht nur auf dem Papier konform ist, sondern tatsächlich sicher betrieben wird. Für viele Banken, insbesondere kleine und mittelgrosse Institute, bedeutet dies, einen technisch komplexen und aufsichtsrechtlich sensiblen Prozess ohne ausreichende interne Spezialexpertise effizient bewältigen zu müssen. Ressourcen sind knapp, die verantwortliche Funktion variiert von Institut zu Institut (CISO, CFO, COO), und die Konsequenzen einer fehlgeschlagenen Attestation sind erheblich.

Unser Team hat mehr als 50 externe Assessments für Schweizer Finanzinstitute erfolgreich durchgeführt. Unsere Erfahrung deckt die gesamte Bandbreite der SWIFT-Architekturtypen (A1 bis A4 und B), verschiedenste Infrastrukturumgebungen und sehr unterschiedliche Reifegrade von Institutionen ab.

Zu unseren Referenzen zählen verschiedene Kantonalbanken sowie Retail- und Privatbanken. Zudem haben wir einen Infrastruktur-Provider bei der Erstellung des eigenen SWIFT CSP- und SNB SIC EPS-Compliance-Statements unterstützt – ein zentrales Deliverable, das zahlreichen Schweizer Banken die Durchführung ihrer eigenen Assessments ermöglicht. Ein offizieller SWIFT-Partner zu werden, ist kein Startpunkt. Es ist die formale Anerkennung eines Leistungsausweises, der Schritt für Schritt aufgebaut wurde – Assessment für Assessment, Kunde für Kunde.

Unser Assessment folgt einem konsistenten, sechsstufigen Vorgehen, das wir auf die Architektur und Umgebung jedes Instituts zuschneiden:

• Scoping: Wir bestätigen den Umfang des Mandats (nur SWIFT CSP oder zusätzlich SNB SIC EPS), identifizieren den Architekturtyp des Kunden, in Scope befindliche Assets, das Konnektivitätsmodell sowie Drittparteien. Daraus leiten sich die relevanten Kontrollen und die benötigten Nachweise ab.
• Kick-off: Wir etablieren von Tag eins an eine klare Governance: Kommunikationskanäle, Zeitplan, Meilensteine und Verantwortlichkeiten der Stakeholder. Kunde und Assessor sind vollständig ausgerichtet, bevor die Evidenzsammlung startet.
• Identifikation von Schwachstellen: Wir prüfen die initiale Dokumentation, mappen die Umgebung auf die relevanten SWIFT-Kontrollen und stellen gezielte Rückfragen sowie Evidenzanforderungen. Dieser Dialog zieht sich durch das gesamte Mandat – es handelt sich nicht um eine einmalige Fragerunde.
• Risikobeurteilung: Wir bewerten den Umsetzungsstand jeder obligatorischen Kontrolle, treffen eine formelle Compliance-Entscheidung und übersetzen identifizierte Lücken in pragmatische Massnahmen – stets ausbalanciert zwischen Risiko, Machbarkeit und Auswirkungen auf die Attestation.
• Dokumentation: Wir erstellen das vollständige Assessment-Paket: Abschluss-Schreiben, Prüfbericht und Attestationsunterlagen. Für Institute, die zusätzlich am SNB SIC teilnehmen, produzieren wir weitere Deliverables gemäss den Anforderungen des SIC Endpoint Security (EPS) Frameworks.
• Präsentation: Wir schliessen mit einem strukturierten Ergebnis-Review ab: Scope, Compliance-Status, identifizierte Lücken, Priorisierung der Massnahmen sowie der Weg zur jährlichen Einreichung im SWIFT KYC-SA.

Es handelt sich um eine pragmatische, risikoorientierte Methodik – keine theoretische Checklistenübung. Wir setzen uns mit Ihrer Umgebung, Ihren Teams und Ihrem spezifischen Risikoprofil auseinander.

Ob Sie vor Ihrem ersten SWIFT CSP Assessment stehen oder einen erfahrenen Partner für Ihren jährlichen Zyklus suchen. adesso bietet Ihnen:

• Höhere Sicherheit und Compliance mit den SWIFT-Anforderungen
• Volle Transparenz über Risiken, Lücken und Prioritäten in der Umsetzung
• Reduziertes Risiko in Assessments, Audits und Zertifizierungen
• Entlastung Ihrer internen Teams durch erprobte externe Expertise
• Einen pragmatischen Ansatz, der auf realen Schweizer Banking-Umgebungen basiert

Die neue SWIFT-Partnerschaft von adesso formalisert, was unsere Kunden bereits kennen: ein engagiertes, erfahrenes und lokal präsentes Team, das Schweizer Finanzinstitute durch einen ihrer anspruchsvollsten jährlichen Compliance-Zyklen führt. Mit mehr als 50 abgeschlossenen Assessments über ein breites Spektrum von Instituten und Infrastrukturlandschaften hinaus geht unser Know-how weit über klassische Beratung hinaus – es beruht auf direkter, wiederkehrender Umsetzung.

Wenn sich Ihr Institut auf das nächste SWIFT CSP Assessment vorbereitet oder wenn Sie verstehen möchten, wie der Prozess abläuft und wie Sie ihn effizient organisieren können, sprechen Sie uns gerne an. Vereinbaren Sie ein unverbindliches Erstgespräch – und wir zeigen Ihnen, wie ein strukturiertes, transparentes Assessment in der Praxis aussieht.