Seit mehr als 30 Jahren ist Thomas Etzenbach bereits in der IT-Branche tätig und sein besonderes Interesse lag hierbei immer in der Informationssicherheit. Kein Wunder also, dass er nun seit vier Jahren als Prüfer und Auditor Teil des ISMS-Teams bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA verantwortlich ist. Unter anderem für Assessments im Rahmen der neuen Anforderungen für SWIFT-Anwender. Im Interview verrät Thomas Etzenbach, worum es dabei genau geht und warum die TÜV TRUST IT der ideale Partner für SWIFT-Anwender ist.
Herr Etzenbach, SWIFT ist vielen Menschen vor allem in Verbindung mit sicherem Zahlungsverkehr bekannt. Was hat es genau damit auf sich?
Die Abkürzung SWIFT steht für die Society for Worldwide Interbank Financial Telecommunication. Diese Organisation betreibt ein besonders sicheres Netzwerk, das SWIFTNet, das unter anderem weltweit für den sicheren Zahlungsverkehr genutzt wird. Daher ist SWIFT vielen Menschen ein Begriff. Das Netz umfasst aber noch viel mehr und wird neben Banken auch von Handelshäusern, Brokern und Maklern genutzt. Und auch große Industrieunternehmen nutzen SWIFT als Übertragungsmedium für Transaktionen und Informationen aller Art. Dazu gehören zum Beispiel Zahlungsverkehrsdaten wie Bankbestätigungen und Transaktionen, also alles, was eine hohe Sicherheit genießen sollte.
Wie kann man sich eine Infrastruktur vorstellen, die eine solch hohe Sicherheit bietet?
Das hängt ein wenig von der Größe des Unternehmens ab und davon, wie der Kunde seine Infrastruktur nutzt, wie viele Transaktionen er beispielsweise tätigt. Je größer das Unternehmen ist, desto größer ist in der Regel auch die Infrastruktur. Hier gibt es unterschiedliche Architekturtypen, die sich auch in puncto Kosten und personelle Ressourcen unterscheiden. Für kleinere Unternehmen stellen sogenannte Service Büros alternativ die Infrastruktur bereit. Das heißt, die gesamte Hardware befindet sich dann dort. Unabhängig vom Standort der Infrastruktur müssen die Rechner einen erhöhten Sicherheitsstandard erfüllen. Da gibt es starke Vorgaben für die Endkunden, auch was die physische Sicherheit angeht. So werden beispielsweise in Unternehmen dediziert Personen berechtigt, die SWIFT nutzen dürfen. Der Nutzerkreis ist also eingeschränkt.
Seit diesem Jahr fordert SWIFT ein unabhängiges Assessment. Was hat sich dadurch für die Nutzer geändert?
Bisher konnte der Kunde mittels Selbstattestierung autark über seinen Compliance-Status zu den Vorgaben von SWIFT bestimmen. Allerdings haben nicht alle Kunden ihre Infrastruktur objektiv und umfassend genug betrachtet. Daher wurde zu 2021 eine unabhängige Prüfung eingeführt, begleitet von einem überarbeiteten SWIFT Framework, das Advisory- und Mandatory Controls enthält, also optionale und verpflichtende Kontrollpunkte. Dieses Framework gab es durchaus schon vorher, aber die Umsetzungstiefe war nicht transparent genug und so haben viele Kunden nicht genau erkannt, was SWIFT verlangt. Eine unabhängige Prüfung, zum Beispiel durch uns, ist daher absolut sinnvoll. Denn richtig angewendet steht den Kunden hier eines der sichersten Übertragungsnetze der Welt zur Verfügung. Allerdings kann das eben nur so sicher sein, wie die einzelnen Endpunkte, welche auch eine hohe Sicherheitsanforderung erfüllen sollen. Diese Sicherheitsanforderungen werden durch unser Assessment validiert.
Wie läuft ein solches Assessment ab?
Zunächst erstellen wir einen Prüfplan und erarbeiten gemeinsam mit dem Kunden, welche Architektur im Unternehmen vorliegt. Denn das wissen nicht alle Kunden oder sie sind nicht sicher, so dass wir das erst einmal validieren müssen. In der Prüfung selbst gehen wir mit dem Kunden Control für Control gemeinsam durch unter Betrachtung der SWIFT internen Anforderungen. Je größer die Architektur ist, desto mehr dieser Controls gibt es. Dabei wird natürlich die Compliance des Unternehmens gegenüber den SWIFT-Vorgaben geprüft. Wir sehen uns die Prozesse und Rollen an und anhand einer Prozessdokumentation sehen wir dann, ob die Anforderungen erfüllt sind, oder nicht. Ebenfalls lassen wir uns z. B. auch die Einstellungen an den Systemen selber vom Kunden zeigen.
Was passiert, wenn das nicht der Fall ist, ein Unternehmen also „nicht compliant“ ist?
Da gibt es nicht nur schwarz und weiß, ja oder nein, sondern eine Bewertung in vier Kategorien: Vollständige Compliance, Optimierungsbedarf, geringes sowie schwerwiegendes Finding. Letzteres bedeutet, dass ein hohes Defizit in der Sicherheit besteht und ganz klar keine Compliance besteht. Hier kann nachgebessert und die Prüfung (auch in Teilen) wiederholt werden. Ziel im Sinne des Kunden sollte es sein, möglichst bei allen verpflichtenden Controls aus – eigenem Interesse – compliant gegenüber den Anforderungen von SWIFT zu sein. Des Weiteren besteht die Möglichkeit, das Kunden und Geschäftspartner auf Anfrage einsehen können, wenn keine Compliance besteht, was die Unternehmen natürlich vermeiden möchten.
Und warum ist gerade die TÜV TRUST IT genau der richtige Partner für SWIFT-Anwender?
Dafür gibt es vielfältige Gründe. Es sollte erwähnt werden, dass wir diesen Service überall in Europa und sogar weltweit anbieten, da der Standard überall derselbe ist. In Deutschland und Österreich sind wir sogar einer der wenigen Informationssicherheits-Beratungsunternehmen, die das Assessment überhaupt durchführen. Und da wir in der IT-Sicherheit unsere Wurzeln haben und eine langjährige Erfahrung mit Audits, Prüfungen und Zertifizierungen mitbringen, sind wir für ein solches Assessment prädestiniert. Und nicht zuletzt sind SWIFT-Kunden aufgrund unseres breiten Portfolios bei uns an der richtigen Adresse. Denn wir führen nicht nur das Assessment durch, sondern bieten auch eine kompetente Beratung an und sind durch unsere Expertise im Bereich Consulting, Pentesting, Redteaming und Schulungen sicher ein interessanter Partner und auch eine echte Alternative im Vergleich zu den „Big Five“ aus der Unternehmensberatung und Wirtschaftsprüfung.
Herr Etzenbach, vielen Dank für das Interview!