Das Fraunhofer IESE unterstützt die MBCC Group seit 2021. Seitdem wurden verschiedene Gesellschaften im Rahmen von IT-Sicherheitsaudits unter die Lupe genommen. Dies umfasst teilweise auch die Überprüfung von IT-Dienstleistern, um eine ganzheitliche Betrachtung der Cyber Security zu ermöglichen.
Als Forschungseinrichtung der Fraunhofer-Gesellschaft beschäftigt sich das Fraunhofer IESE mit etablierten und gängigen Lösungen, aber auch mit aktuellen und innovativen Trends im Bereich Cyber Security. Insbesondere dies war einer der Beweggründe dafür, dass die MBCC Group das Fraunhofer IESE als Partner für die kompetente und neutrale Bewertung der IT-Sicherheit ihrer IT-Systeme gewählt hat.
Das Fraunhofer IESE arbeitet dabei in drei Phasen: In der ersten Phase nimmt das Projektteam Kontakt zu dem zu überprüfenden Standort auf und fordert verschiedene Informationen und Dokumente an. Sobald diese vorliegen, werden sie gesichtet und geprüft. Nun werden bereits von »außen« durchführbare Prüfungen wie netzwerkbasierte Penetrationstests oder manuelle Prüfungen von extern erreichbaren Diensten (z. B. der Webseite) durchgeführt. In der zweiten Phase erfolgt die Detailprüfung des Standorts remote oder vor Ort. Hierbei werden Systeme untersucht, Konfigurationen im Detail besprochen, Stichproben genommen und Prüfungen gemeinsam mit den IT-Verantwortlichen der Standorte durchgeführt. Die Befunde dokumentiert das IESE in einem Bericht und übermittelt sie zur weiteren Bearbeitung an das Unternehmen. In der dritten, optionalen Phase erfolgt eine Nachprüfung, inwieweit die ermittelten Befunde zufriedenstellend beseitigt wurden. Nach diesem Schema gehen die Expert*innen des IESE auch bei den IT-Sicherheitsaudits mit der MBCC Group vor.
Begleitend zu dieser Maßnahme erfolgen netzwerkbasierte Penetrationstests. Hierzu werden ausgewählte Systeme der MBCC Group durch das Fraunhofer IESE auf Schwachstellen untersucht. Die Expert*innen setzen hierbei auf eine Kombination aus automatisierten Prüfläufen und einer nachgelagerten intensiveren manuellen Prüfung. Schlussendlich geht es um die Ermittlung von Schwachstellen, die durch externe Angreifer missbraucht werden könnten. Das Fraunhofer IESE orientiert sich bei der Vorgehensweise an gängigen Empfehlungen und untergliedert die Arbeiten in die Schritte »Scoping«, »Testing« und »Reporting«. Beim »Scoping« werden die Erwartungshaltung, das Angreifermodell, die Rahmenbedingungen wie Prüfzeiten und die Prüfobjekte sowie Tiefe und Aggressivität der Prüfung festgelegt. Beim »Testing« führt das Projektteam die automatisierten und manuellen Prüfungen durch, bewertet sie und bereitet sie so auf, dass die Befunde im Arbeitsschritt »Reporting« dokumentiert werden können. Bei kritischen Befunden erfolgt eine direkte Benachrichtigung, um einem Zeitverzug entgegenzuwirken.
Die Kombination aus IT-Sicherheitsaudits und flankierenden Penetrationstests unterstützt die MBCC Group bei einer ganzheitlichen Betrachtung ihrer Cyber Security.