Titel der Ausschreibung

Endpoint Security

CPV-Code / Auftragsgegenstand

48730000-4
Sicherheitssoftwarepaket

Abgabefrist

n.V.

Laufende Ausschreibungen durchsuchen
Finden Sie offene Ausschreibungen

Jetzt anmelden

Vergabeart / Vergabeordnung

National UVGO

Mandant

Schwester Euthymia Stiftung

Ort der Ausführung

Bürgermeister-Möller-Platz 1, 49377 Vechta

Art und Umfang der Leistung

Die Schwester Euthymia Stiftung beabsichtigt, für die vier Krankenhausgesellschaften St. Josefs-Hospital Cloppenburg gemeinnützige GmbH, Krankenhaus St. Elisabeth gemeinnützige GmbH, St. Franziskus-Hospital Lohne gemeinnützige GmbH und die St. Marienhospital Vechta gemeinnützige GmbH, die in ihrer Trägerschaft sind, Verträge über die Lieferung von Endpoint Security-Software als Cloud Lösung (SaaS) zu vergeben.

Auftraggeber sind die St. Josefs-Hospital Cloppenburg gemeinnützige GmbH, Krankenhaus St. Elisabeth gemeinnützige GmbH, St. Franziskus-Hospital Lohne gemeinnützige GmbH und die St. Marienhospital Vechta gemeinnützige GmbH. Vertragspartner des Bieters/ der Bietergemeinschaft wird die jeweilige Krankenhausgesellschaft.

Der Auftragsgegenstand wird entsprechend in vier Lose aufgeteilt:

- Los 1: St. Josefs-Hospital Cloppenburg gemeinnützige GmbH (500 Lizenzen)

- Los 2: Krankenhaus St. Elisabeth gemeinnützige GmbH (500 Lizenzen)

- Los 3: St. Franziskus-Hospital Lohne gemeinnützige GmbH (400 Lizenzen)

- Los 4: St. Marienhospital Vechta gemeinnützige GmbH (700 Lizenzen)

Angebote können abgegeben werden für ein einzelnes oder alle Einzellose oder für die Kombination aus mehreren Einzellosen (Kombinationsangebot). Alle Regelungen in den Vergabeunter-lagen gelten für alle Lose gleichermaßen, wenn nicht ausdrücklich etwas anderes festgelegt ist.

Die Endpoint Security-Software als Cloud Lösung muss folgende Mindestanforderungen erfüllen:

Management-Infrastruktur

- Die Lösung ist Cloud-native und wurde von Grund auf für die Cloud designed

- Die Verwaltungsinfrastruktur sollte keine ständige Wartung erfordern, und Aktualisierungen sollten ohne Ausfallzeiten erfolgen.

- Die Lösung muss eine einzige Verwaltungskonsole für alle Systeme, Endpunkte und Module verwenden.

- Die Lösung ist vollumfänglich innerhalb einer Konsole zu administrieren.

- Die Benutzerschnittstelle muss durch eine mehrstufige Authentifizierung geschützt sein und SSO (SAML 2.0) unterstützen.

- Die Lösung muss eine minimale Konfiguration und laufende Verwaltung erfordern, um die besten Ergebnisse zu erzielen.

- Die Lösung muss die Möglichkeit bieten, Hosts auf der Grundlage von Host-Identifikatoren, Active Directory OU und/oder Tags für die Durchsetzung von Richtlinien zu gruppieren

- Die Lösung sollte eine granulare rollenbasierte Zugriffskontrolle bieten, um den Zugriff für einzelne Geschäftseinheiten oder Funktionen zu ermöglichen.

- Die Lösung bietet eine reichhaltige und robuste API zur Integration mit bestehenden Tools von Drittanbietern (SIEM, Infrastruktur, Orchestrierung oder Fallverwaltungssysteme)

- Die Lösung muss Echtzeit-Erkennungswarnungen liefern (z. B. per E-Mail, Microsoft Teams, Webhook, etc)

- Die Lösung muss Berichte und Dashboards in Echtzeit bereitstellen

- Die Verwaltungskonsole sollte eine Risikobewertung enthalten.

- Die Lösung muss ein Audit-Log für die Benutzeraktivitäten einschließlich der Verwaltungs- und Vorfallsreaktionsaufgaben bieten.

- Die Lösung muss über einen Webbrowser zugänglich sein.

- Die Lösung erfüllt die Anforderungen gem. DSGVO, die Daten sind innerhalb von Deutschland gespeichert.

- Die Plattform bietet die integrierte Möglichkeit, Prozesse/Workflows gem. SOAR in der gleichen Oberfläche abzubilden. Ein einfach zu bedienender Editor mit grafischen Elementen ist vorhanden.

- Die Plattform bietet die Möglichkeit Malware nach bestimmten Kriterien (ASCII, HEX, WIDE) zu suchen und diese zu Traings-/Analysezwecken herunterzuladen.

Endpunkt Agent/Sensor

- Die Lösung muss die Funktionalität über einen separat zu installierenden Sensor abbilden.

- Die Lösung muss auf allen derzeit unterstützten Microsoft-Betriebssystemen laufen.

- Die Lösung muss auf allen derzeit unterstützten Apple MacOS-Versionen laufen.

- Die Lösung muss auf allen derzeit unterstützten Linux-Betriebssystemen laufen (einschließlich, aber nicht beschränkt auf RHES, Debian, Ubuntu, Amazon Linux)

- Der Endpunkt-Agent muss virtuelle Desktop-Infrastrukturen und virtualisierte Rechenzentren unterstützen

- Die Endpunkttechnologie muss Cloud-Plattformen wie Amazon Web Services EC2, Google Cloud Platform und Azure unterstützen.

- Die Lösung sollte mobile Plattformen unterstützen (IOS und Android)

- Der Endpoint-Agent muss leichtgewichtig sein (<5% CPU / < 50MB Speicher / < 100MB Festplatte)

- Die Performance des Sensors/Agenten darf den Endanwender nicht beeinträchtigen.

- Endpunkt-Telemetrie und forensische Details müssen in der Konsole nahezu in Echtzeit zur Verfügung gestellt werden.

- Die Lösung darf nicht von Betriebssystem-Updates oder bestimmten Versionen abhängig sein, um die Funktionalität zu gewährleisten.

- Schutz vor Manipulationen; der Endpunkt-Agent muss Mechanismen bieten, die verhindern, dass Benutzer mit administrativen Rechten oder Angreifer den Agenten deaktivieren oder Funktionen oder Komponenten entfernen können

- Die Endpunkttechnologie muss über gängige Bereitstellungstools bereitgestellt werden können.

- Die Lösung muss ohne Neustart oder Benutzereingriff bereitgestellt und aktualisiert werden. Beschreiben Sie den Umfang der Aktualisierungen und Abhängigkeiten.

- Der Endpunkt-Agent muss richtliniengesteuerte Software-Updates von der Cloud-Plattform unterstützen und N-1- und N-2-Änderungskontrollen unterstützen.

- Der Endpunkt-Agent muss Cloud-fähig sein, damit Echtzeit-Alarmierungs- und Vorfallsreaktionsmaßnahmen durchgeführt werden können, wenn die Benutzer roamen oder sich die Arbeitslasten in der Cloud befinden.

- Der Endpunkt-Agent arbeitet sowohl im Benutzer- als auch im Kernel-Bereich; der Kernel-Modus sorgt für volle Transparenz und beseitigt blinde Flecken.

- Der Sensor/Agent muss in Co-Existenz mit einer aktuell im Einsatz befindlichen AV Lösung betrieben werden können. Die Bestandslösung ist im Windows Security Center entsprechend registriert.

- Die Installation, Update oder Dowgrade des Sensors/Agenten erfordert keinen System-Neustart.

- Die Lösung bietet das automatisierte Sensoren/Agenten upgrade/downgrade innerhalb von VDI Infrastrukturen.

Schutz Mechanismen

- Bei der Lösung muss es sich um eine Endgeräteschutzplattform der nächsten Generation handeln, die maschinelles Lernen für die Prävention vor der Ausführung bekannter und unbekannter Malware einsetzt.

- Die Lösung darf sich nicht primär auf Signaturen oder Hash-Lookups zur Malware-Prävention stützen.

- Die Lösung muss in der Lage sein, präventive Kontrollen sowohl online als auch offline durchzuführen.

- Die Lösung benötigt keine täglichen Updates oder DAT-Dateien, um den Schutz auf höchstem Niveau zu halten.

- Die Lösung muss Malware unter Quarantäne stellen und die Möglichkeit bieten, unter Quarantäne gestellte Dateien über die Verwaltungskonsole wiederherzustellen oder auf die Whitelist zu setzen.

- Die Lösung muss in der Lage sein, Dateien aus der Quarantäne zur automatischen Analyse in die Sandbox zu schicken, wobei sowohl eine erweiterte statische als auch eine dynamische Analyse durchgeführt wird.

- Die Lösung muss über integrierte Bedrohungsdaten verfügen, um eine Zuordnung, Erkennung und Vorbeugung gegen bekannte Bedrohungsakteure zu ermöglichen.

- Der Anbieter muss über ein Cyber Threat Intelligence-Programm verfügen.

- Die Lösung muss eine benutzerdefinierte Allowlist und Blocklist für Datei-Hashes ermöglichen.

- Die Lösung muss einen Wirksamkeitsnachweis in Form von Tests von Drittanbietern erbringen können (AV, MITRE ATT&CK, Gartner, Forrester...)

- Die Lösung muss anpassbare Allowlisting-Optionen für Dateien und Verzeichnisse bereitstellen können.

- Die Lösung muss eine Verhaltensanalyse nach der Ausführung bieten, um vor gängigen Ransomware-Aktivitäten zu schützen (Verschlüsselung von Dateien, Löschen von Schattendateien usw.)

- Die Lösung muss eine verhaltensbasierte Erkennung und Prävention nach der Ausführung auf der Grundlage von Angriffsindikatoren (Indicator of Attack, IOA) bieten, die dem MITRE ATT&CK-Framework entsprechen.

- Die Lösung muss die Möglichkeit bieten, Erkennungen in eine Prävention umzuwandeln, einschließlich verhaltensbasierter Erkennungen.

- Vorbeugungsmaßnahmen müssen Angriffe stoppen, bevor Schäden am Betriebssystem entstehen. So muss z. B. die Injektion von Prozessen verhindert werden, bevor sie stattfindet, damit der Zielprozess nicht unterbrochen oder beeinträchtigt wird.

- Die Lösung muss Speicherschutz bieten (z. B. ASLR, Überschreibschutz bei strukturierter Ausnahmebehandlung, Schutz vor Nullseiten, Vorabzuweisung von Heap-Sprays usw.)

- Die Lösung muss in der Lage sein, die böswillige Verwendung von Powershell und skriptbasierte Angriffe zu verhindern.

- Die Lösung muss in der Lage sein, die USB-Nutzung im Offline-Modus einzuschränken, einschließlich, aber nicht beschränkt auf Gerätetyp und -funktion

- Die Lösung muss in der Lage sein, vorbeugende Kontrollen gegen dateilose Angriffe (während des Offline-Betriebs) durchzuführen.

- Die Lösung muss in der Lage sein, benutzerdefinierte Verhaltenserkennungen zu schreiben, die auf Artefakten im Zusammenhang mit der Erstellung von Prozessen, Dateien, Netzwerkverbindungen und Domain-Lookups basieren

- Die Lösung muss gängige Techniken zum Diebstahl von Anmeldeinformationen erkennen

- Zeitgemäße Schutzmechanismen, wie Anti-Ransomware, Exploit Schutz und ML-basiertes AV sind auf allen Betriebssystem-Plattformen: Windows, macOS und Linux, verfügbar.

- Erkennung und Echt-Zeit Antworten

- Der Endpunkt-Agent muss kontinuierlich Rohereignisse erfassen, auch wenn sie nicht mit Warnungen und Erkennungen verbunden sind.

- Die Lösung muss Telemetrie- und Metadaten (IOC) im Zusammenhang mit dem Angriff automatisch korrelieren und in einer Zeitleiste darstellen. Dazu gehören z. B. Befehlszeilenargumente, Dateischreibvorgänge, DNS-Anfragen, IP-Verbindungen usw.

- Die Lösung muss, soweit möglich, den Infektionsvektor und die Absicht des Angreifers in Bezug auf die Angriffskette durch Korrelation mit Telemetrie, Prozessbaum und Bedrohungsdaten korrelieren.

- Die Lösung muss Erkennungen mit den wichtigsten Bedrohungsakteuren (Nationalstaaten und E-Kriminalität) korrelieren, sofern dies möglich ist.

- Die Lösung muss in der Lage sein, einen Endpunkt mithilfe von Mechanismen, die nicht mit der Firewall des Betriebssystems zusammenhängen, aus der Ferne einzudämmen. Die Eingrenzung muss auch nach einem Neustart bestehen bleiben.

- Die Lösung muss die Möglichkeit bieten, aus der Ferne eine Verbindung zu den Zielsystemen herzustellen, um zusätzliche forensische Beweise zu sammeln. Dieser Mechanismus muss ebenfalls als API vorhanden sein. (vollständige Speicherauszüge, Registry, Dateien usw.)

- Die Lösung muss die Möglichkeit bieten, Dateien auf entfernte Systeme zu übertragen, Dateien auszuführen, Skripte zu starten, Prozesse zu beenden, Registrierungsschlüssel zu ändern und andere Aufgaben durchzuführen, die während der Reaktion auf einen Vorfall erforderlich sind.

- Die Lösung muss eine API zur Integration in gängige Orchestrierungs- und Automatisierungstools sowie Fallverwaltungssysteme bieten.

- Die Lösung muss EDR-Telemetrie in Echtzeit für Live-Abfragen übermitteln, und die Ergebnisse sollten umfassend sein, auch wenn die Endpunkte offline sind.

- Die Lösung muss eine kontinuierliche Aufzeichnung von Schlüsselereignissen für die retrospektive Analyse aller gesammelten Ereignisse bieten.

- Die Lösung muss eine breite Abdeckung von Ereignissen bieten und gleichzeitig weniger als 20 MB an Daten pro Endpunkt oder Arbeitslast pro 24 Stunden übertragen. Bitte geben Sie die Anzahl der Ereignistypen an.

- Die Lösung muss über mehrere Methoden der Ereignissammlung auf dem Endpunkt sammeln (API-Aufrufe, ETW, Kernel-Filtertreiber usw.)

- Die Lösung muss den Benutzerkontext (lokal oder Domäne) mit relevanten Ereignissen auf allen Microsoft-Betriebssystemen verknüpfen.

- Die Lösung muss die Zuordung einer Erkennung zu einer bestimmten Angreifergruppe automatisiert umsetzen.

- Der Lösungsanbieter muss eine eigene Möglichkeit anbieten, mobile Endpunkte, basierend auf iOS und Android, absichern zu können.

- Logs, Artefakte, Speicherabbilder müssen bis zu einer Größe von 4 GB im Rahmen einer Echt-Zeit-Bearbeitung mit einer einzigen Aktion per interaktiver Shell vom Endpunkt in die Cloudlösung übertragen werden können.

- Für die Bearbeitung der Echtzeit-Anforderungen bietet die Lösung die Möglichkeit zentral Scripte bereitzustellen, damit diese durch den Mitarbeiter zentral abgerufen und ausgeführt werden können.

Threat Hunting (aktive Angriffssuche bzw. -analyse)

- Die Lösung muss die Endpunktaktivitäten kontinuierlich überwachen und Ereignisse und forensische Details von Interesse nahezu in Echtzeit erfassen.

- Die Lösung muss vollständig anpassbare Echtzeit- und historische Suchfunktionen (z. B. Datenstapelung) enthalten, ohne dass die Endpunkte bei der Suche beeinträchtigt werden.

- Die Lösung muss vordefinierte Abfragen für alle benutzer- und endpunktbezogenen Aktivitäten bieten

- Die Lösung muss vordefinierte Abfragen für forensische Artefakte (z. B. Hash, Domain, Raw Events, Registry Keys) bieten

- Gleichzeitige unternehmensweite Abfragen dürfen sich nicht auf die Endpunkte auswirken

- Die Lösung muss die Möglichkeit bieten, eine Rohereignissuche mit einer strukturierten Abfragesprache über alle gesammelten Ereignis-Telemetrien durchzuführen (Datenstapelung).

- Die Endpunkttelemetrie muss den Export in gängige Formate wie CSV, XML und Rohdaten unterstützen.

- Die Lösung muss Berichte zur Bedrohungssuche und eine Zeitleistenanalyse bereitstellen.

- Die Lösung muss einen Bericht zur Verfügung stellen, der die gesamte Zeitachse der auf einem Host auftretenden Ereignisse aufzeigt.

- Die Lösung muss einen Bericht zur Verfügung stellen, der die gesamte Zeitachse der Ereignisse für einen Prozess aufzeigt.

- Der Anbieter muss in der Lage sein, die Bedrohungssuche rund um die Uhr als zusätzlichen Service anzubieten.

- Der Lösungsanbieter muss pro-aktives Threat Hunting anbieten können, rein KI basierte Algorithmen sind hier nicht ausreichend.

IT Betrieb

- Die Lösung muss ein umfassendes Anlageninventar bereitstellen

- Die Lösung muss in der Lage sein, nicht verwaltete Anlagen zu identifizieren

- Die Lösung muss ein umfassendes, durchsuchbares Inventar der Anwendungen bereitstellen

- Die Lösung muss eine umfassende Funktion zur Überwachung privilegierter Konten bieten

- Die Lösung muss in der Lage sein, Schwachstellen in Betriebssystemen in Echtzeit zu erkennen, ohne dass ein Scan durchgeführt werden muss.

- Die Lösung muss in der Lage sein, Anwendungsschwachstellen für Anwendungen zu identifizieren, die häufig ausgenutzt werden (z. B. Java, Flash, Adobe)

- Die Lösung muss Schwachstellen, die von einer Angreifergruppe ausgenutzt bzw. dieser zugeordnet werden, in der Kundenumgebung erkennen und entsprechende Endpunkte eindeutig identifizieren können.

- Die Lösung ermöglicht eine Schwachstellenanalyse. Eine Zuordnung zu CVE, Bereitstellen von OWASSP Score, NVD und Herstellerlinks und Handlungsempfehlungen sind möglich. Die Daten werden in der Anbieterplattform (NG-AV) dargestellt/ausgewertet.

- Die Umsetzung der Schwachstellenanalyse erfolgt nicht über eine API Integration zu Drittanbieter-Lösungen.

- Die Lösung bietet die Möglichkeit bisher unverwaltete Netzwerk-Nachbarn ohne Auswertung von Netzwerklogs zu identifizieren.

Support und Schulung

- Muss 8/5 (NBD) lokalen und telefonischen Support haben

- Kundenportal - einfaches Einreichen verdächtiger Dateimuster, Meldung technischer Probleme und Verfolgung des Fortschritts bei eingereichten Anfragen

- Die Dokumentation sollte im Lieferumfang des Produkts enthalten sein.

- Das Support-Angebot sollte die Option eines technischen Kundenbetreuers beinhalten, der bei laufenden Anfragen und beim Wissenstransfer hilft.

- Die Lösung muss Unterstützung bei der Bereitstellung und beim Onboarding bieten.

- Sie muss Schulungsoptionen für die Verwaltung, die Reaktion auf Zwischenfälle und die Suche nach Bedrohungen bieten.

CPV-Code / Auftragsgegenstand

48730000-4
Sicherheitssoftwarepaket

Abgabefrist

n.V.

Status

Ausschreibung nicht länger verfügbar

Laufende Ausschreibungen durchsuchen
Einfach Aufträge finden

Mit unserem automatischen Benachrichtigungsservice erhalten Sie täglich passende Ausschreibungen per E-Mail

Kostenfrei testen

Leitfaden: Vergaberecht für Bieter
Vergaberecht für Bieter: Ein Leitfaden Das Vergaberecht wird nicht nur von den Vergabestellen, sondern auch von den Firmen, die sich für öffentliche Aufträge interessieren, als []

Mehr lesen

Webinare und Veranstaltungen
Eine Übersicht unserer Seminare, Webinare und Konferenzen zur E-Vergabe

Mehr lesen

Bieter
Im Deutschen Vergabeportal DTVP finden Sie nahezu 100 % aller Aufträge von öffentlichen Auftraggebern in Deutschland – ohne Extrakosten.

Mehr lesen

Kontaktieren Sie uns direkt:

Zum Kontaktformular

Produktberatung
Bieter

0221 / 97 66 8 - 200 beratung@dtvp.de

Produktberatung
Vergabestellen

030 / 37 43 43 - 810 vergabestellen@dtvp.de

Support

DTVP Kundenumfrage Zertifizierung Top Service

© 2024 DTVP Deutsches Vergabeportal GmbH, Berlin