Öffentliche Ausschreibung zur Beschaffung von Beratungsleistungen für die Etablierung eines Security Operation Centers ("SOC") - gemäß § 9 UVgO

Ausgangslage

Die Malteser befinden sich in einer Phase der zunehmenden Digitalisierung, in der bereits heute zahlreiche kritische Geschäftsprozesse, wie z.B. der Katastrophenschutz von digitalen ITK-Services abhängen. Die kritischen ITK-Services werden durch die SoCura (Shared Service Center für IT und 100ige Tochter der Malteser) sowohl in einer virtualisierten VMWare/Citrix Infrastruktur on Premises als auch im Rahmen von Microsoft Azure bzw. M365 SaaS-Lösungen betrieben.

Um die IT-Services gegen Störungen und Cyberbedrohungen abzusichern, betreibt die SoCura ein nach ISO/IEC 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS) und ein Computer Incident Response Team (CSIRT), das Prävention, Detektion und Reaktion auf IT-Sicherheitsvorfälle koordiniert.

Als technische Sicherheitsinfrastruktur kommen u.a. Next Generation Firewalls von Palo Alto, Microsoft Defender als EDR-Lösung sowie SolarWinds Orion als Monitoring-Lösung zum Einsatz.

Um der wachsenden Bedrohungslage zu begegnen, beabsichtigt die SoCura Aufbau und Einsatz eines Security Operations Centers (SOC) als zentrale Leitstelle, in der Bedrohungen überwacht, qualifiziert und abgewehrt werden. Dazu müssen die SOC-Analysten mit den IT Security Experten des CSIRT, anderer Fachabteilungen und ggf. externen Dienstleistern, wie Forensikern und Use Case Entwicklern in abgestimmten Prozessen und mit speziellen Tools zusammenarbeiten. Insbesondere sollen dafür Schwachstellenscanner, Systeme zur Endpoint Detection and Response (EDR), Log Management sowie Security Incident and Event Management (SIEM) eingesetzt werden.

Für den Betrieb des SOC und der zugehörigen Tools sind verschiedene Betriebsmodelle denkbar, wie z.B.:

1. SOC als Managed Service mit eigenem (externen) SIEM als On-Premise-Lösung

2. SOC als Managed Service mit SIEM als Software-as-a-Service (SaaS)

3. SOC als interne Organisationseinheit mit eigenem (internen) SIEM

4. SOC als interne Organisationseinheit mit SIEM als SaaS

Maßgeblich für die Verfügbarkeit sind die Service- und Reaktionszeiten, die von 24/7 über 12/5 bis zu Next Business Day reichen können.

Bei der Konzeption der Prozesse und Auswahl des Betriebsmodells und der Tools sind die folgenden Best Practices zu beachten:

- BSI-Orientierungshilfe für Systeme zur Angriffserkennung

- ISO/IEC 27001:2022

- MITRE Att@ck Framework TTPs (Taktiken, Techniken und Prozeduren der Angreifer)

Leistungszeitraum und geschätzte Mengen der benötigten Personentage

Die Arbeitspakete Ziffer III Nr. 1-3 müssen bis zum 31.08.2023 erledigt sein (verbindliche Vertragsfrist). Das Arbeitspaket 4 muss bis zum 31.12.2023 erledigt sein (verbindliche Vertragsfrist). Für die Arbeitspakete Ziffer II Nr. 1-3 ist eine Aufwandobergrenze von 60 PT für alle drei Arbeitspakete insgesamt zu beachten, für Nr. 4 weitere 80 PT. Die Arbeitspakete sind vom Auftragnehmer in der Reihenfolge 1-4 zu erledigen. Nach Abschluss jedes Arbeitspakets ist das Ergebnis dem Auftraggeber vorzustellen und zu erläutern.

Mit dem Zuschlag wird Arbeitspaket Ziffer III Nr. 1 beauftragt. Der Auftraggeber hat das einseitige Recht, die weiteren Arbeitspakete (Ziff. 3 Nr. 2, 3 und 4) durch Einzelabruf zu beauftragen, wobei kein Anspruch des Auftragnehmers auf Einzelabruf besteht. Der Auftragnehmer ist im Falle des Abrufs zur Leistungserbringung verpflichtet (einseitig verbindliche Rahmenvereinbarung).

Rollen- und Aufgabenbeschreibung

Der Auftragnehmer stellt zur Erfüllung der Leistung Personal bei, welches über alle Arbeitspakte hinweg insbesondere, aber nicht ausschließlich, folgende Aufgaben übernimmt:

- Erstellung Projektplan,

- Abstimmung Teilprojekte und Aufgaben Auftraggeber,

- Überwachung der Erreichung der Meilensteine und Sicherstellung der Erreichung der Projektergebnisse,

- Durchführung Ist-Aufnahme der für die Aufgabe relevanten Prozesse, Assets und Schnittstellen,

- Ergänzung der vorhandene Risikobewertung um aktuelle Bedrohungen und Schwachstellen,

- Durchführung Gap-Analyse des Ist-Standes zu gängigen Best Practices,

- Erstellung einer Anforderungsdefinition und eines Soll-Konzepts,

- Begleitung Einführung und Dokumentation der Prozesse,

- Präsentation von Zwischenergebnissen für Stakeholder,

- Dokumentation der Ist-Analyse, Gap-Analyse, Anforderungen und des Soll-Konzepts,

- Dokumentation des Projektfortschritts,

- Übernahme projektübergreifender Planung und Abstimmung,

- Terminorganisation,

- Eskalationsmanagement,

- Kenntnisse zu Normen und Best Practices der IT Sicherheit,

- Kenntnisse über gängige SIEM-Produkten, deren Einsatz und Kosten,

- Kenntnisse im Projektmanagement (z.B. IPMA, Prince2) ,

II. Projektscope & Aufgabenstellung

1. Arbeitspaket: Ist-Analyse (20 PT)

Kritische Assets (Systeme, Anwendungen und Datenbestände) sind zu identifizieren und anhand ihrer Kritikalität zu bewerten.

Davon ausgehend sind die Schwachstellen und -bedrohungen und somit die Hauptrisiken zu identifizieren und gemeinsam mit dem AG zu bewerten. Die Wirksamkeit der aktuellen

risikomindernden Maßnahmen und möglicher Handlungsbedarf ist in einer Gap-Analyse aufzuzeigen.

Es wird erwartet, dass bei der Erstellung der Ist-Analyse die Einhaltung der in Abschnitt 3 der "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" [1] beim Auftraggeber überprüft wird.

2. Arbeitspaket: Anforderungsanalyse und -definition (20 PT, Optional)

- Ausgehend von der IST-Analyse sind die Anforderungen an die vom SOC bereitzustellenden Funktionen und Services zu definieren.

- Die dafür benötigten Werkzeuge und Ressourcen sind zu benennen und zu bewerten.

Es wird erwartet, dass bei der Anforderungsanalyse die Erfüllung der in Abschnitt 3 der "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" [1] beim Auftraggeber berücksichtigt wird.

3. Arbeitspaket: SOLL Konzeption (20 PT, Optional)

Ausgehend von am Markt verfügbaren Tools und Ressourcen ist ein Konzept mit folgenden Inhalten zu erstellen:

- SOC-Funktionsbeschreibung und Betriebsmodell, ggf. mit Alternativen, das die unter Ziffer IV Nr. 2. ermittelten Anforderungen erfüllt.

- Schnittstellen, Prozesse und Use Cases, insbesondere sind die Schnittstellen und Eskalationswege zu den verantwortlichen Teams CSIRT, IT Security-Management, IT-Notfallmanagement, Service Desk und den beteiligten Fachabteilungen festzulegen. Für jeden zu betrachtenden Ereignistyp sind die benötigten Log-Quellen, Erkennungskriterien und Meldewege sowie empfohlenen Maßnahmen zu beschreiben

- Schulungs- und Sourcing-Konzept für internes Personal

- Auswahlkriterien und Leistungsbeschreibung für die benötigten Werkzeuge SIEM und Schwachstellenscanner

Es wird erwartet, dass das erstellte Soll-Konzept umsetzbar ist und auf den Umsetzungsgrad 4 der "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" [1] abzielt.

4. Arbeitspaket: Prozessbegleitung (80 PT, Optional)

- Unterstützung bei der organisatorischen Implementierung der entsprechenden Prozesse und Schnittstellen, insbesondere Erstellung der nach ISO 27001 und BSI erforderlichen Dokumente, wie z.B. Betriebshandbücher, Logging- und Löschkonzepte.

- Evaluation des Erfüllungsgrads anhand des BSI-Reifegradmodells