SWIFT und SWIFT-Assessments im Jahr 2025

SWIFT im Überblick: Netzwerkdienstleister für die Finanzwelt

Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) dient der Finanzwirtschaft, insbesondere den Banken, als proprietäre Kommunikationsplattform. SWIFT bietet das weltweit größte und zugleich vertrauenswürdigste Drittanbietersystem für den internationalen Finanzdatenaustausch. Das SWIFT-Netzwerk umfasst über 10.000 Finanzinstitute in 212 Ländern. Die Organisation ist genossenschaftlich strukturiert, wobei die Anteile proportional zur Nutzung ihrer Basisdienste verteilt sind.

Während nationale Zahlungstransaktionen häufig über die gut ausgebaute Infrastruktur der jeweiligen Zentralbanken abgewickelt werden, fehlt eine solche Struktur bei internationalen Zahlungen. Daher werden grenzüberschreitende Transaktionen traditionell über bilaterale Bankbeziehungen organisiert. Hier stellt SWIFT die technische Grundlage für sichere und standardisierte Transaktionen zwischen den beteiligten Finanzinstituten bereit.

Hervorzuheben ist, dass SWIFT weder ein originärer Zahlungsdienstleister oder ein Zahlungssystem noch ein Finanzinstitut oder eine Clearingstelle ist.  SWIFT speichert keine finanziellen Informationen dauerhaft und übernimmt keine direkte Zahlungsabwicklung. Vielmehr ist SWIFT als Netzwerkdienstleister zu verstehen, der den sicheren Austausch von Nachrichten über Finanztransaktionen zwischen Finanzinstituten ermöglicht. Daher bleibt es erforderlich, beim Informationsaustausch eine Clearing- oder Abwicklungsstelle einzubeziehen. Abbildung 1 zeigt schematisch diesen Austausch.

Neuerungen für 2025 im SWIFT-Netzwerk

MT-Format

Um eine sichere, fehlerresistente und maschinell auswertbare Kommunikation im internationalen Zahlungsverkehr zu gewährleisten, setzte das SWIFT-System bisher auf das MT-Format. Jede MT-Nachricht ist einer bestimmten Kategorie zugeordnet. So steht beispielsweise eine MT-100 Nachricht für eine Kundenüberweisung.

Das MT-Format folgt einem einheitlichen Aufbau zur Strukturierung von Nachrichten. Jede SWIFT-MT-Nachricht besteht grundsätzlich aus logisch voneinander getrennten Blöcken. Jedem Block ist ein sogenannter Identifier-Tag vorangestellt, der dem empfangenden System signalisiert, welche Art von Information im jeweiligen Abschnitt enthalten ist.

Abbildung 2 zeigt die Übersetzung eines Überweisungsformulars in das MT-Format.

MX-Format

Mit XML (eXtensible Markup Language) steht seit längerem eine universell einsetzbare Beschreibungssprache zur Verfügung, die sich in den verschiedensten Anwendungsfeldern in und außerhalb des Finanzsektors bewährt hat. Um diese Sprache auch für die Datenübermittlung im SWIFT-Netzwerk zu nutzen, wurde die MT-Kodierung um das XML-basierte MX-Format erweitert.

Obwohl beide Standards über lange Zeit hinweg koexistierten und vom SWIFT-Netzwerk unterstützt wurden, endet die Übergangsfrist für die Adaption der ISO 20022 und damit ist die Implementierung des MX-Formats zum November 2025 zwingend erforderlich. Ab diesem Zeitpunkt werden veraltete MT-Standards (zum Beispiel MT-102) nicht mehr unterstützt und vollständig aus dem Netzwerk entfernt.

Abbildung 3 zeigt eine Gegenüberstellung des MT-Formats und des MX-Formats.

Cybersicherheit im SWIFT-Netzwerk durch SWIFT-Assessments

Das Customer-Security-Programme (CSP) wurde 2016 von SWIFT als Reaktion auf zunehmende Cyberangriffe auf SWIFT-Nutzer eingeführt. Es verfolgt das Ziel, einheitliche Cybersicherheitsstandards zu etablieren, Risiken zu minimieren und finanzielle Schäden durch Betrug zu verhindern.

Zentrales Element ist das Customer Security Controls Framework (CSCF), das verpflichtende und empfohlene Sicherheitskontrollen umfasst, basierend auf internationalen Standards wie NIST, ISO 27XXX und PCI-DSS. Diese Kontrollen orientieren sich an drei Hauptzielen:

• Sicherung der Systemumgebung
• Zugriffskontrolle
• Identifikation und Reaktion auf Bedrohungen

Um das Netzwerk und das gegenseitige Vertrauen der Teilnehmenden des Netzwerks zu stärken, spielen die SWIFT-Assessments bei der Cybersicherheit eine elementare Rolle. Sie dienen der strukturierten Überprüfung der Cybersicherheitsmaßnahmen und sichern einen einheitlichen Mindeststandard für alle Teilnehmenden. Diese SWIFT-Assessments können weiterhin intern durchgeführt werden, aber ein externes Assessment ermöglicht einen unabhängigen Blick auf die eigene Cybersicherheit, um Schwachstellen frühzeitig zu identifizieren, Risiken zu reduzieren und die Einhaltung der CSP-Vorgaben sicherzustellen.

SWIFT-Assessments im Kontext der Migration auf ISO 20022

Sollten Institute externe SWIFT-Assessments durchführen lassen, wird in diesem Zuge auch die Einführung von ISO 20022 und insbesondere die Migrationsbereitschaft umfassend geprüft. Ziel der SWIFT-Assessments für 2025 ist es, die technische, prozessuale und regulatorische Vorbereitung auf die Umstellung vom bisherigen MT-Format auf das neue MX-Format zu bewerten. Im Mittelpunkt der Analyse stehen dabei folgende zentrale Bereiche:

• Systemlandschaft: Überprüfung der eingesetzten IT-Infrastruktur, insbesondere von Kernbankensystemen, Schnittstellen und Middleware-Komponenten, auf ihre Kompatibilität mit dem ISO 20022-Standard.
• Nachrichtenverarbeitung: Bewertung der Fähigkeit zur durchgängigen, automatisierten Verarbeitung (sog. Straight-Through Processing, STP) sowie der Datenvalidierung entlang der gesamten Transaktionskette.
• Datenqualität und -struktur: Assessment, ob die vorhandenen Daten den strukturierten Anforderungen des ISO 20022-Formats entsprechen und maschinell auswertbar sind.
• Test- und Migrationspläne: Bewertung der vorhandenen Strategien und Zeitpläne zur Umstellung von MT- auf MX-Nachrichten, einschließlich Testverfahren und Risikomanagement.

Solche SWIFT-Assessments liefern eine fundierte Ist-Analyse und dienen gleichzeitig auch als Grundlage für gezielte Maßnahmen zur Schließung identifizierter Lücken, insbesondere im Hinblick auf die Migrationsfrist im November 2025.