Cyber-Angriffe werden raffinierter, und Swift zieht die Zügel an: Mit der neuen Version CSCF v2026 wird die Absicherung der Backoffice-Datenflüsse (Control 2.4) zur verbindlichen Pflicht. Für viele Institute bedeutet das mehr als nur ein technisches Update, denn die neuen Regeln für Connectoren erzwingen einen Architekturwechsel von Architekturtyp B zu A4. Erfahren Sie in unserem Blog, welche Umsetzungsphasen Sie jetzt priorisieren müssen und warum eine falsche Einstufung Konsequenzen für Ihre Compliance haben kann.

Die Zeiten ändern sich: Von Advisory zu Mandatory

Die grösste Neuerung der CSCF v2026 ist die Hochstufung von Control 2.4 (Back Office Data Flow Security) zur Pflichtkontrolle. Swift erkennt damit an, dass Angreifer zunehmend versuchen, Transaktionen bereits auf dem Weg von den Backoffice-Systemen zur Swift-Schnittstelle zu manipulieren.

Das 2-Phasen-Modell (Appendix H)

Um den Instituten die Umsetzung zu erleichtern, hat Swift einen gestuften Plan aktiviert:

• Phase 1 (ab CSCF v2026): Im Fokus stehen hier die sogenannten Bridging-Server (z. B. Middleware oder File-Transfer-Server). Diese funktionieren als «Wächter» der Datenflüsse. Institute müssen nun sicherstellen, dass der Datenaustausch zwischen diesen Servern und der Secure Zone geschützt ist. Zudem müssen neue Verbindungen (sog. «new direct flows») von Grund auf nach dem Prinzip Security by Design (z. B. durch End-to-End-Encryption) abgesichert sein.
• Phase 2 (Ziel v2028): In einem zweiten Schritt werden auch bestehende Legacy-Verbindungen (Alt-Systeme) und die entsprechende Kommunikation direkt zum ersten Hop im Backoffice verpflichtend geschützt.

Wer ist betroffen? Der Wechsel von B zu A4

Durch die Ausweitung der Definition von Customer Client Connectors ändert sich für diverse Institute die Architektur-Logik. Wer API-Endpunkte, Middleware oder Dateiübertragungs-Clients nutzt, um sich indirekt mit Swift zu verbinden, muss sich in der Regel nun von Architekturtyp B verabschieden und seine Systeme als Typ A4 attestieren. Dies bedeutet die Anwendung einer umfangreicheren Liste an Mandatory Controls.

Weitere Neuerungen im Überblick

Neben dem Fokus auf Datenflüsse bringt v2026 wichtige Detailanpassungen:

• MFA für Administratoren: Der Schutz für externe Firewall-Zugriffe und Alliance Left and Right Security Officer (LSO/RSO) mittels Multi-Faktor-Authentifizierung ist nun zwingend.
• Schutz gegen KI-Angriffe: Im Bereich Security Awareness (Control 7.2) wird das Training explizit auf Deepfake-Bedrohungen ausgeweitet (konkret: «Reference to Deepfakes as an example of AI-based threats»).
• System-Hardening: Windows-Umgebungen müssen spezifisch gegen den Missbrauch von Windows Management Instrumentation (WMI) und PowerShell gehärtet werden.

Unser Beratungsansatz

Wir übernehmen für Sie das jährliche Independent External Assessment gemäss offiziellen SWIFT-Vorgaben. Durch unsere langjährige Erfahrung und die Bereitstellung von zertifizierten Auditoren validieren wir die Einhaltung des CSCF:

• Wir analysieren zunächst Ihre aktuelle Sicherheitsarchitektur und gleichen sie mit den Anforderungen aus CSCF v2026 ab.
• Basierend darauf entwickeln wir eine individuelle Roadmap, die Sie Schritt für Schritt auf künftige verbindliche Kontrollen vorbereitet.

Wir kümmern uns sowohl um die fachliche Beratung als auch um die Erstellung der erforderlichen Dokumentation sowie die Koordination aller Beteiligten für die praktische Umsetzung der empfohlenen Massnahmen. Auf Wunsch übernehmen wir die gesamte Koordination rund um das Assessment, sodass Sie sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.

Fazit und Ausblick

Mit der Version 2026 setzt Swift den eingeschlagenen Weg der gezielten Sicherheitsstärkung konsequent fort und definiert klare Erwartungen für die kommenden Jahre. Wer jetzt die Weichen richtig stellt und die neuen Mandatory Controls, insbesondere im Bereich der Backoffice-Datenflüsse frühzeitig antizipiert, verschafft sich einen klaren Vorteil im Bereich der Cyber-Sicherheit.

Wenn Sie Fragen zum neuen Framework oder konkreten Anpassungsbedarf haben, freuen wir uns darauf, Sie individuell zu beraten. Nehmen Sie gerne Kontakt mit uns auf! Gemeinsam entwickeln wir eine passgenaue Lösung für Ihr Institut und unterstützen Sie dabei, sämtliche Swift CSP-Vorgaben dauerhaft und effizient zu erfüllen.