KBC Group
So schaffen Sie eine cyberresistente multinationale Bank- und Versicherungsgruppe
Zwei Männer sprechen über eine cyber-resiliente multinationale Banken- und Versicherungsgruppe

Mit der Implementierung der IBM Security SOAR-Plattform (zuvor Resilient) erhielt die KBC einen zentralen Knotenpunkt für die Reaktion auf Cybersicherheit-Vorfälle. Das Unternehmen visualisiert nun Bedrohungen in seinen Einheiten und leitet Maßnahmen auf lokaler und Gruppenebene ein, die aufgrund zahlreicher Vorschriften erforderlich sind.

Aufgabenstellung

Als multinationales Bank- und Versicherungsunternehmen musste die KBC Group ihre Maßnahmen im Bereich der Cybersicherheit überwachen sowie koordinieren und die strengen aufsichtsrechtlichen Anforderungen an die Berichterstattung über Cybervorfälle erfüllen.

Umsetzung

KBC hat sich für die Resilient SOAR Platform entschieden, um einen umfassenden Überblick über Cybersicherheitsbedrohungen in seinen europäischen Niederlassungen zu erhalten und eine zeitnahe Reaktion darauf zu orchestrieren.

Ergebnisse Ermöglicht eine alles abdeckende Ansicht
in Cyber-Vorfälle in mehreren Unternehmen in verschiedenen Ländern
Ermöglicht Flexibilität beim Hinzufügen lokalisierter Aktionen
unter Beibehaltung eines allgemein standardisierten Rahmens für die Reaktion auf Vorfälle
Verwaltet die Einhaltung gesetzlicher Meldepflichten
für zahlreiche Regelungen auf europäischer Ebene
Aufgabenstellung – die Geschichte
Die Herausforderung der mehrstufigen Cybersicherheit

KBC betreibt in ganz Europa Banken und Versicherungsunternehmen mit einem hohen Maß an lokaler Autonomie in seinen Kernmärkten Belgien, der Tschechischen Republik, der Slowakei, Ungarn, Bulgarien und Irland. Obwohl die Vorschriften für Finanzdienstleistungen größtenteils auf nationaler Ebene erlassen werden, fallen diese KBC-Einheiten auch in den Zuständigkeitsbereich der Europäischen Union (EU) sowie der Europäischen Zentralbank (EZB). Mehrere neue oder aktualisierte Vorschriften, wie die Datenschutz-Grundverordnung (DSGVO) und die Zahlungsdiensterichtlinie 2 (PSD2), sowie die Erwartungen der EZB an die Überwachung der Cyber-Resilienz stellten strengere Anforderungen an KBC und seine Tochtergesellschaften in Bezug auf die Meldung von und Reaktion auf Cyber-Vorfälle sowie Datenschutzverletzungen.

Im Jahr 2016 gründete KBC am Hauptsitz in Brüssel, Belgien, sein Cyber-Expertise and Response Team (CERT). Dem Team wurde die Aufgabe zugeteilt, die Reaktion auf Cyberbedrohungen in den verschiedenen Niederlassungen des Unternehmens in ganz Europa zu koordinieren. Das CERT musste seinen Incident-Response-Prozess zentral überwachen, wollte dafür aber keine große, zentralisierte Abteilung einrichten. Die verschiedenen europäischen und internationalen Einheiten des Unternehmens verfügten über gut eingerichtete sowie weitgehend autonome Sicherheits- und Reaktionsteams. Anstatt Doppelarbeit zu leisten, ergänzte das KBC CERT diese und verbesserte letztlich die allgemeinen Bemühungen des Unternehmens um die Cybersicherheit durch eine verstärkte Sensibilisierung und Reaktionskoordinierung auf Unternehmensebene.

KBC suchte nach einem Mechanismus, mit dem das CERT Bedrohungen in den verschiedenen Einheiten des Unternehmens aufzeichnen und visualisieren sowie lokale und unternehmensweite Berichte sowie Maßnahmen einleiten konnte, die aufgrund der verschiedenen Vorschriften erforderlich sind.

Kris Caron, Leiter des Krisen- und Vorfallsmanagements beim CERT, beschreibt die Beziehung des Teams zu den Sicherheitsbehörden der einzelnen Länder: „Wenn sich ein Vorfall über mehr als ein Land erstreckt oder wenn wir von der lokalen oder zentralen Leitung aufgefordert werden, die Kontrolle zu übernehmen, übernehmen wir sie, doch ansonsten sind wir unterstützend tätig. Wir brauchten einen Überblick und eine zentrale Übersicht über alle Vorfälle.“

KBC suchte nach einer Technologielösung, die bei der Implementierung von Incident-Response-Playbooks für verschiedene Arten von Vorfällen hilft, um eine einheitliche Ausführung in der gesamten Gesellschaft zu ermöglichen. Diese Playbooks bieten einen schrittweisen Prozess, von dem Teile automatisiert werden können, um auf bestimmte Vorfälle zu reagieren. Wenn zum Beispiel Malware auf den PCs einer Bank entdeckt wird, beschreibt das Playbook die Schritte zur Eskalation, Eindämmung und Behebung.

„Wir brauchten etwas, das es dem CERT ermöglicht, die Reaktion zu koordinieren, das sich in bestehende technische Hilfsmittel integrieren lässt und das einige Reaktionen automatisiert“, sagt Caron. „Darüber hinaus brauchten wir Schnelligkeit. Wir haben viele verschiedene Meldevorschriften, und eine davon ist die Vorschrift der EZB, Cyber-Vorfälle innerhalb von zwei Stunden zu melden.“

Die Resilient-Plattform löst automatisch Aufgaben und Benachrichtigungen zum Krisenmanagement aus, wo immer sie innerhalb der Bankengruppe relevant sind. Kris Caron Head of Crisis and Incident Management, CERT KBC Group
Umsetzung – die Geschichte
Orchestrierung und Visualisierung der Cybersicherheit

KBC führte ein Ausschreibungsverfahren durch, bei dem eine Reihe von Plattformen für die Sicherheitsberichterstattung vorgestellt wurden, und entschied sich für die IBM Security SOAR Platform, ehemals Resilient. Die IBM Security SOAR-Lösung bietet eine leistungsstarke Grundlage für die Reaktionsplanung, das Management und die Schadensbegrenzung für eine Vielzahl von Vorfallstypen auf mehreren Ebenen des Unternehmens KBC.

„Ein wichtiger Grund, warum wir uns für Resilient entschieden haben, war, dass die Leute, mit denen wir gesprochen haben, die Cybersicherheit wirklich verstanden und bereit waren, mit uns zusammenzuarbeiten, um die Cybersicherheit an unsere speziellen Bedürfnisse anzupassen“, sagt Caron. „Ein Schlüsselfaktor war, dass wir nach Boston gereist sind und die einzelnen Personen dort getroffen haben und das Unternehmen kennenlernen konnten. Dieser persönliche Kontakt war der Grundstein für die Partnerschaft, die wir derzeit haben, um den Bereich Resilient weiterzuentwickeln.“

Das IBM Security SOAR-Team trug zur Integration der Plattform in die bestehende Sicherheits- und IT-Infrastruktur des Kunden bei. KBC nutzte die standardmäßigen, vorinstallierten Playbooks für gängige Vorfallstypen wie Malware, Denial of Service und Phishing, um seine KBC-Playbooks in die IBM Security SOAR-Plattform zu übertragen. IBM Security-Berater arbeiteten mit KBC zusammen, um spezifische Auslöser für die rechtliche Berichterstattung in ihre Playbooks aufzunehmen. Dazu gehörten die Anforderungen der DSGVO, der EZB, der PSD2 und der EU-Richtlinie zur Netz- und Informationssicherheit (NIS) für kritische Infrastrukturen. Darüber hinaus implementierte das Team weitere Playbooks zu Cybersicherheitsbedrohungen, darunter CEO Fraud und andere, die sich speziell auf KBC beziehen.

Die Zusammenarbeit mit IBM Security SOAR begann im Oktober 2017. Der erste Go-Live fand im Februar 2018 mit dem CERT und der Brüsseler Niederlassung statt. Von Februar bis Mai 2018 arbeiteten IBM Security SOAR und CERT mit anderen Gesellschaften zusammen, um Mitarbeiter zu schulen und die IBM Security SOAR Playbooks in die Sicherheitsinfrastruktur zu integrieren. Während dieser Zeit fügte KBC alle von den Landesgesellschaften angeforderten lokalen Inhalte hinzu.

Caron beschreibt, wie KBC die flexible SOAR-Plattform nutzen kann, um die Playbooks des Unternehmens mit lokalen Inhalten zu ergänzen: „Wir gestanden den lokalen Gesellschaften eine gewisse Autonomie zu, wollten allerdings wir eine gemeinsame Systematik und einen grundlegenden Satz von Aufgaben in diesen Playbooks. Die Niederlassungen können ihre eigenen Aufgaben für lokale Prozesse oder Vorschriften haben, aber wir müssen uns an einen gemeinsamen Rahmen halten, um mit mehreren Teams bei demselben Vorfall zusammenarbeiten zu können. Deshalb haben wir auch bei der Anmeldung auf Englisch als gemeinsame Sprache umgestellt.“

Wir brauchten Geschwindigkeit. Wir haben viele Meldevorschriften, und eine davon ist die Verpflichtung der EZB, Cybervorfälle innerhalb von zwei Stunden zu melden. Kris Caron Head of Crisis and Incident Management, CERT KBC Group
Erfolgsgeschichte
Zentralisierte Ansicht, lokale und virtuelle Reaktion

Die IBM Security SOAR Platform bietet dem KBC CERT jetzt einen zentralen Überblick über Cybervorfälle bei mehreren Gesellschaften in verschiedenen Ländern. „Ich denke, wir profitieren am meisten von der Überbrückung aller Silos“, sagt Caron. „Mit einer einzigen Sichtweise erhalten wir einen besseren Einblick in die Geschehnisse in den anderen Ländern und können unsere Reaktion mit diesen Teams koordinieren.“

Die auf Flexibilität und Erweiterbarkeit ausgelegte Plattform ermöglicht es KBC, den Playbooks lokalisierte Antworten hinzuzufügen und gleichzeitig einen standardisierten Rahmen für die Reaktion auf Vorfälle beizubehalten. Sie macht Sicherheitswarnungen sofort umsetzbar, liefert wertvolle Informationen sowie den Kontext von Vorfällen und ermöglicht eine adaptive Reaktion auf komplexe Cyberbedrohungen.

Caron erklärt: „Die Resilient-Plattform hat das „Break-the-Glass“-Prinzip eingeführt, um Alarme auszulösen. Es löst automatisch Aufgaben und Benachrichtigungen zum Krisenmanagement aus, wo immer sie innerhalb der Bankgesellschaft relevant sind.

KBC kann nun die Einhaltung der gesetzlichen Meldepflichten der DSGVO, der EZB, der PSD2 und der NIS besser verwalten. Die IBM Security SOAR Platform trägt dazu bei, die Reaktionszeit auf Vorfälle zu verkürzen, indem sie den Cyber-Analysten der KBC einen Großteil der analytischen Arbeit abnimmt. Die Automatisierung vieler Prozesse hilft den Cyber-Teams, Prioritäten zu setzen und schnell auf die kritischsten Vorfälle zu reagieren, wie es die neue Gesetzgebung verlangt.

Um das System zu testen, führte das CERT im Rahmen einer unternehmensweiten Finanzkrisenübung, die vom Vorstand der Bank geleitet wurde, eine Übung zu Cyberbedrohungen durch. Das CERT gab den Fall in die IBM Security SOAR-Lösung ein und forderte eine Antwort an. „Es war sofort einsatzbereit, etwas Neues und auf Cybervorfälle Bezogenes, und wir erhielten eine gute, schnelle Antwort mit viel weniger Aufwand als in der Vergangenheit“, sagt Caron. „Wir konnten uns auf die Krisenbewältigung konzentrieren und konnten im Unternehmen schnell zusätzliche Zwischenmaßnahmen anfordern, anstatt Zeit durch Anrufe bei unseren internationalen Teams zu verlieren.“

KBC registriert alle Cybersicherheitsvorfälle in der  IBM Security SOAR-Platform, von kleinen, lokalisierten Ereignissen bis hin zu größeren, gesellschaftsweiten Vorfällen. Die Aktiengesellschaft hat der Plattform weitere 60 Benutzer hinzugefügt und baut deren Nutzung zur Bekämpfung von Betrugsfällen, elektronischem Betrug, Problemen beim Schwachstellenmanagement und mehr weiter aus. „Wir wollen, dass unsere Niederlassungen, die auf Krisen- und Störfallmanagement spezialisiert sind, diesen Service auch anderen Teams anbieten, jetzt, wo wir die Resilient SOAR Platform haben“, erklärt Caron. „Wir sind von New York bis Hongkong und quer durch Europa vernetzt, und Geschäftskontinuität sowie Krisenmanagement sind die nächsten Bereiche, die wir in Angriff nehmen müssen.“

KBC-Logo
KBC Group

KBC (Link befindet sich außerhalb von ibm.com) mit Hauptsitz in Brüssel, Belgien, wurde 1998 aus der Fusion von zwei belgischen Banken und einer belgischen Versicherungsgesellschaft gegründet. Die Bankversicherungsgruppe betreut 11 Millionen Kunden in ganz Europa in ihren Kernmärkten Belgien, der Tschechischen Republik, der Slowakei, Ungarn, Bulgarien sowie Irland. Darüber hinaus verfügt das Unternehmen nur über eine begrenzte Präsenz in den USA und Asien, hauptsächlich um Kunden aus seinen Kernmärkten zu bedienen. Die 42.000 Mitarbeiter der KBC sind bestrebt, den Kunden der Gesellschaft über mehr als 1.400 Filialen und verschiedene elektronische Kanäle ein einzigartiges und personalisiertes Bank- und Versicherungserlebnis zu bieten.

Gehen Sie den nächsten Schritt

Wenn Sie mehr über die in diesem Artikel vorgestellte IBM Lösung erfahren möchten, wenden Sie sich bitte an Ihren IBM Ansprechpartner oder IBM Business Partner.

PDF anzeigen Weitere Kundenberichte ansehen
Fußnoten

© Copyright IBM Corporation 2020. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Hergestellt in den Vereinigten Staaten von Amerika, Februar 2020.

IBM, das IBM Logo, ibm.com und Resilient sind Marken der IBM Corporation, die weltweit in vielen Ländern registriert sind. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Copyright- und Markeninformationen“ unter www.ibm.com/de-de/legal/copytrade.shtml.

Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.

Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.

Die Einhaltung der Datenschutzgesetze und -richtlinien liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Dienstleistungen oder Produkte von IBM die Einhaltung von Gesetzen oder Vorschriften durch den Kunden sicherstellen.

Erklärung zu guten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet, veruntreut oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, u. a. im Rahmen von Angriffen gegen Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die alleine vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme, Produkte und Dienstleistungen von IBM werden als Teil eines rechtmäßigen, umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM GEWÄHRLEISTET NICHT, DASS SYSTEME, PRODUKTE ODER DIENSTLEISTUNGEN GEGEN SCHÄDLICHES ODER RECHTSWIDRIGES VERHALTEN JEGLICHER PARTEIEN IMMUN SIND ODER IHR UNTERNEHMEN DAGEGEN IMMUN MACHEN.