Sicherheit im Zahlungsverkehr dank HSM von Securosys

Funktion des Swiss Interbank Clearing SIC

Dieser Tage wird das bisherige System für den Zahlungsverkehr in der Schweiz Ibasec abgeschaltet: Ab Juli 2017 übernimmt die Nachfolgeversion SIC4 mit SASS den Betrieb. Dieses ist mit den Primus HSM S500 von Securosys abgesichert. Transaktionen in der Höhe bis zu 480 Millarden Franken pro Tag werden darüber abgewickelt. Welches waren die Anforderungen ans System, welche Faktoren trugen zum Gelingen bei und wie es nun bei Securosys weiter? Eine Erfolgsstory.

Zusammenfassung

Das Swiss Interbank Clearing (SIC) wird im Auftrag der Schweizerischen Nationalbank (SNB) durch die SIX Group AG betrieben. Es sollte einem Update auf eine neue Version SIC4 unterzogen werden. Seit 1987 stand es in Betrieb, war drei Mal erneuert worden, hatte stets sicher funktioniert und galt als sehr leistungsfähig. Mit der erneuten Überarbeitung sollte das System aber für die Zukunft vorbereitet werden. Neue Standards sollten damit unterstützt und die Betriebskosten gesenkt werden ­– und dabei sollte natürlich die Sicherheit bei Transaktionen weiterhin auf höchstem Niveau gehalten werden. Dafür wurde unter anderem ein absolut manipulationsresistentes Verschlüsselungssystem benötigt.

SIC in Zahlen:

440 Millionen Transaktionen im Jahr 2015

350 Angeschlossene Teilnehmer

über CHF 480 Mrd. verrechnete Zahlungen an Spitzentagen

Wir von Securosys erhielten im November 2015 den definitiven Auftrag, ein massgeschneidertes Hardware Security Module (HSM) für SIC4 beizusteuern. Die Auftraggeber legten grossen Wert auf eine Schweizer Lösung für diese kritische Infrastruktur der Schweiz, um Sicherheitslecks in der Zulieferkette auszuschliessen. Der Auftraggeber verlangte ausserdem, dass die Funktionalität des Gerätes aus Sicherheitsgründen auf das Notwendige zu reduzieren seien. Wir entwickelten dazu das Primus HSM S500.

Am 14. April 2016 nahm SIC4 mit SASS planmässig den produktiven Betrieb auf – und mit ihm zusammen unsere Primus S500. Das Zahlungssystem funktioniert seither wunschgemäss und zuverlässig. Ende Juni 2017 wird das Vorgängersystem Ibasec ausgeschaltet.

Ausgangslage: Update für eine kritische Infrastruktur

SIX betreibt im Auftrag und unter Aufsicht der Schweizerischen Nationalbank das Zahlungssystem Swiss Interbank Clearing. Finanzinstitute führen damit untereinander Transaktionen in Schweizerfranken und Euro durch – sekundenschnell. Auch Kartenbezahlung laufen über SIC. Das SIC-System nimmt eine Schlüsselrolle im Schweizer Finanzplatz ein, es kann weit mehr als Zahlungen abwickeln: mit SIC setzt die SNB ihre Geldpolitik um und versorgt den Schweizer Geldmarkt mit liquiden Mitteln. Damit wird klar, dass SIC eine kritische Infrastruktur der Schweiz ist.

Ende 2010 legte SIX in Zusammenarbeit mit der SNB ein Grobkonzept für ein aufdatiertes SIC vor. Dieses sollte fit sein für die nächsten eineinhalb Jahrzehnte, neue Standards unterstützen und kostengünstiger im Betrieb sein als das aktuelle System. Unter anderem war vorgesehen, die bisherige Sicherheitslösung IBASEC durch ein Hardware Security Modul (HSM) mit schweizerischem Ursprung zu ersetzen.

Vorgaben: Schweizer Produkt, echte Zufallszahlen

SIX erteilte uns von Securosys im November 2015 den Auftrag, ein HSM für SIC zu entwickeln, das folgende Voraussetzungen erfüllt:

  • Schweizer Produkt: Design, Zusammenbau und Programmierung in der Schweiz mit streng kontrollierter Lieferkette
  • Generierung echt zufälliger Schlüssel
  • Im Fall von Manipulations- bzw. Zugriffsversuchen Zerstörung der Schlüssel
  • Mehrere Manipulationssensoren
  • Beherrschung unterschiedlicher Verschlüsselungsalgorithmen
  • Authentifizierungs- Signatur- und Verschlüsselungsaufgaben
  • Ausfallsicherheit sowie als Gruppe Redundanz und symmetrische Belastung gewährleisten
  • Interface für Java-Kryptographie-Architektur (JCA/ JCE)
Primus HSM S500
Primus HSM S500: Das Hardware Security Module das den Schweizer Finanzplatz absichert.

Umsetzung des schnellsten und sichersten HSM

Entstanden ist ein HSM, das den strengen Vorgaben für militärische Infrastrukturen standhält: Primus S500. Es ist das derzeit schnellste und sicherste Gerät auf dem Markt. Sensible Komponenten, wie der Zufallszahlengenerator, wurden eigens von unseren Securosys-Ingenieuren entwickelt und umgesetzt, die angelieferten Komponenten nach sicherheitstechnischen Gesichtspunkten ausgewählt die Geräte bei uns unter strengen Sicherheitsvorkehrungen bereitgestellt.

SIC4 erzeugt tiefere Transaktionskosten als die Vorgängerversion

unterstützt ISO-20022 und harmonisiert damit den Schweizer Zahlungsverkehr

verfügt über neue Funktionalität im Cash-Management

ist mulitwährungsfähig

ist skalierbar

Unser Zeitplan sah folgende Meilensteine vor:

  • Juni – Dezember 2014: Vorprojekt. Erarbeitung der technischen Spezifikation
  • Dezember 2014 – 31.03.2016: Hauptprojekt. Ziel: Termingerechte Abnahme der HSMs (Hard- und Software)
  • April 2015: Lieferung der ersten Prototypen Version an SIX
  • November 2015: Definitive Auftragserteilung durch SIX
  • 15.11.2015: Lieferung der ersten Serie an SIX
  • April 2015 bis März 2016: Testphase
  • 31.03.2016: Abnahme der HSMs durch SIX
  • 14.04.2016: Termingerechtes „Go Live“ von SIC4 mit SASS
  • 30. Juni 2017: alle Teilnehmer sind auf SIC4 mit SASS migriert. Ibasec wird abgeschaltet.

Ergebnisse: HSM laufen zuverlässig

Nach einer ausgiebigen Testphase wurde SIC4 mit SASS termingerecht dem Betrieb übergeben – und damit natürlich auch die Primus HSM S500. Seither läuft es einwandfrei und zuverlässig. Die einzelnen Banken wurden seit November 2016 nach und nach dazugeschaltet.

Erfolgsfaktoren: Expertise und Erfahrung

Zum termingerechten Gelingen des Projektes trugen folgende Faktoren bei:

  • Sehr gute, offene Kommunikation mit SIX und der SNB
  • Expertise und Erfahrung des Securosys-Entwicklungsteams
  • Klare Strukturierung des Projektes
  • Fokus auf Einhaltung des Zeitplans und stetiger Überprüfung und Entschärfung der Projektrisiken (Risk driven development)

SIC4 – ein Innovations-Projekt mit Punktlandung in Budget und Zeit – ist das erste Zahlungssystem seiner Art in Europa, das durch eine einzigartige Kombination aus neuster Software-Technologie, bahnbrechender Hardware-Sicherheit und weltweit zukunftsweisendem Standard in der Finanzwirtschaft die fortschreitende Digitalisierung erleichtert und die Zahlungsabwicklung für alle Schweizer Marktteilnehmer kostengünstiger und sicherer macht.

(SIX-Testimonial zum Swiss ICT Award)

Neue Produkte: Netzwerkverschlüssler and HSM as a Service

Primus S500 wurde ausschliesslich für die Verwendung innerhalb von SIC4 entwickelt. In der Folge designten wir von Securosys weitere HSM-Modelle für den Markt:

In Vorbereitung stehen:

  • Decanus, ein Fernbedienungs-Terminal für die Primus-Serien (Lancierung voraussichtlich Oktober 2017)
  • Centurion, ein Link- und Netzwerk -Verschlüssler zur Absicherung der Kommunikation von Standorten
  • HSM-as a-Service (Lancierung 19. September 2017; speziell geeignet für KMU, welche die HSM-Administration Profis überlassen wollen)