newsonline24

Der Verlauf eines Swift Assessments ist kein Zufallsprodukt. Wie reibungslos die Prüfung abläuft und wie schnell sie abgeschlossen werden kann, hängt wesentlich von der Vorbereitung auf Seiten der geprüften Organisation ab. Strukturierte Vorbereitung schafft Klarheit, reduziert Reibungsverluste und bildet die Grundlage für ein effizientes Assessment.

Drei Faktoren entscheiden über ein Independent Swift CSCF Assessment

Die Vorbereitung eines Independent Swift Assessments folgt drei zentralen Themenbereichen: dem Verständnis des Customer Security Controls Framework (CSCF) und des Scopes, der strukturierten Organisation und Durchführung sowie der konsequenten Nachbearbeitung der Ergebnisse.

Unsere Expert:innen begleiten Organisationen bei der Einordnung und Umsetzung der CSCF-Anforderungen mit umsetzungsnahen Empfehlungen.

SWIFT Compliance Assessment

Customer Security Controls Framework (CSCF): Control 2.4 wird Pflicht

Mit Control 2.4 rückt die nachvollziehbare Dokumentation von Architektur- und Datenflüssen in den Mittelpunkt des Swift CSCF Assessments.

• CSCF verstehen und Kick-off vorbereiten. Die aktuelle Version des CSCF vom Swift Knowledge Center herunterladen.
• Prüfen der neuen oder geänderten Mandatory Controls. Control 2.4 beispielsweise wird 2026 Pflicht.
• Kick-off-Meeting: Offene Fragen mit dem Independent Swift Assessor klären.
  ▪️Fokus des Assessments (welche Controls werden detailliert geprüft?).
  ▪️Erwartungen an Evidenzen und Ablauf.
• Klare Einschätzung der aktuellen Swift Architektur. Das Service Bureau oder Assessors können bei Unklarheiten helfen – Swift-Architektureinschätzung.
  ▪️High-Level-Architekturdiagramm anfertigen. Swift-Vorlagen als Basis.
  ▪️Auflisten aller relevanten Komponenten (Swift-Infrastruktur, Firewalls, Schnittstellen).
  ▪️Data Flow Diagramm (optional, aber empfohlen). Pflicht für SNB SIC Assessments und ab 2026 für Swift (Control 2.4). Dokumentiere Datenflüsse zwischen Back-Office-Systemen, Swift und externen Partnern.
• Evidenzen für das Assessment vorbereiten. Der «High Level Test Plan» von Swift (CSP_controls_matrix_and_high_test_plan_20xx_v1.0.xlsx) beinhaltet im Reiter « Test Plan and Evidence» eine Liste möglicher Evidenzen pro Control (Spalte «Supporting Evidence»). Elektronische Evidenzen reichen aus (keine Ausdrucke nötig). Vorzeigen einer Group Policy (GPO) in Active Directory als Evidenz reicht aus.

• Richtlinien: IT-Sicherheitsrichtlinien, Passwortrichtlinien wie etwa GPO in Active Directory.
• Technische Nachweise wie Screenshots oder Live-Demos: von Malware-Protection-Dashboards wie EDR oder XDR; Vulnerability-Scan-Reports, beispielsweise Nessus, oder Qualys; Firewall-Regeln, Netzwerksegmentierung.
• Prozessdokumentation: Change Management, Patching, Benutzerverwaltung (On-/Offboarding)
• Konfigurationen einer Group Policy (GPO) live vorzeigen in Active Directory als Evidenz sind auch hinreichend. Direkt im System von relevanten Komponenten (z. B. AD, Firewall, Scans).

Organisation und Durchführung: So gelingt das Independent Swift Assessment

Auch bei guter Vorbereitung entscheidet die Organisation der Durchführung darüber, wie effizient und zielgerichtet ein Independent Swift Assessment abläuft. Klare Zuständigkeiten, Verfügbarkeit der relevanten Fachpersonen und eine strukturierte Durchführung tragen wesentlich zu einem reibungslosen Ablauf bei.

Folgende Punkte unterstützen die strukturierte Durchführung des Independent Swift Assessments:

• Swift Assessors organisieren, die über die nötige Qualifikation (u. a. Zertifizierungen, Erfahrungen) und Unabhängigkeit verfügen – entweder intern 2nd/3rd Lines of Defense (z. B. internal Audit) oder externe Assessors.
• Frühzeitige Sitzungszimmer-Reservation mit stabiler Internetverbindung und Projektor: Das mag trivial klingen, erspart im Nachgang dennoch viel Ärger.
• Swift Assessor auswählen. Prüfen der Qualifikation (Zertifizierungen, Swift-Erfahrung) und Unabhängigkeit.
• Sicherstellen, dass die Fachspezialisten (SMEs) für Themen wie Netzwerk, Firewall, Awareness verfügbar sind.
• Teilnehmerliste: Hauptansprechperson (z. B. CISO) für organisatorische Fragen mit wenig Zugriff auf die oben erwähnten Dashboards und technischen Daten. Technische Ansprechpartner für Live-Demos mit erweitertem Zugriff auf die Systeme und technische Daten.
• Alle diese Themenverantwortlichen sollten am Tag des Assessments entweder erreichbar oder eine Stellvertretung mit identischen Zugriffsberechtigungen aufgeboten sein: Client Management, Patching, Netzwerk-, Firewall-, Security-Administration, Risk Management, Change Management, Lieferantenmanagement, IT-Security Awareness Kampagnen, Benutzeradministration inkl. Onbarding/Offboarding, etc.

Systematische Nachbearbeitung: So meisterst du die kommenden Assessments

Die Nachbearbeitung eines Independent Swift Assessments wirkt über den einzelnen Prüfzyklus hinaus und bildet die Grundlage für kommende Assessments.

• Prüfen des Assessment-Berichts auf Unstimmigkeiten.
• Erstellen eines Massnahmenplans für identifizierte Lücken.
• Jährlich mit dem Assessor überprüfen, ob Architektur und Evidenzen noch dem CSCF entsprechen. 

Swift-Assessment: Strukturiert begleitet von der Vorbereitung zur Umsetzung

Mit neuen Mandatory Controls wie Control 2.4 «Back Office Data Flow Security» steigen die Anforderungen an Transparenz, Dokumentation und Steuerbarkeit von Swift-Architekturen spürbar. Gefordert ist nicht zusätzliche Dokumentation um ihrer selbst willen, sondern eine belastbare Grundlage, die Datenflüsse, Abhängigkeiten und Verantwortlichkeiten im Assessment nachvollziehbar darstellt.

Eine strukturierte Vorbereitung, saubere Durchführung und konsequente Nachbearbeitung schaffen genau diese Grundlage. Sie reduzieren Reibungsverluste im Assessment, erhöhen dessen Aussagekraft und erleichtern die nachhaltige Umsetzung identifizierter Handlungsfelder.

Unsere Expert:innen begleiten Organisationen bei der Einordnung der CSCF-Anforderungen und bei der Durchführung von Independent Swift CSCF Assessments – mit klaren Ergebnissen und umsetzungsnahen Empfehlungen.

Ziel ist ein Assessment, das nicht nur formale Anforderungen erfüllt, sondern messbar zur Stärkung der Cyberresilienz beiträgt.

SWIFT Compliance Assessment