Projekt 260 – Bedrohungen von SAP-ERP-Systemen durch APTs – Risiko- und Sicherheitsanalyse (SAPAPT)
SAP ist mit SAP ECC und seinen Komponenten und Branchenlösungen weltweit drittgrößter Softwareentwickler. Anwendungen von SAP unterstützen mittlerweile branchenübergreifend die meisten Geschäftsprozesse und verarbeiten massenweise relevante Kundendaten. In der Bundesverwaltung werden immer mehr Fachanwendungen mit Hilfe von SAP-Produkten realisiert. Ab 2012 ist eine signifikante Zunahme von gezielten Angriffen auf SAP-Produkte bekannt geworden. Wegen der Masse an schützenswerten Daten, die lohnende Angriffsziele darstellen, ist auch künftig mit komplexen, effektiven Angriffen (APTs) auf SAP-Systeme in kritischen IT-Infrastrukturen und auf vertrauliche Daten von Behörden, Groß- und Mittelstandunternehmen in allen Branchen auf zu rechnen. Dieses Projekt hat zum Ziel, wesentliche Angriffspfade für APTs auf der Grundlage aktueller SAP-Anwendungen und der verwendeten Technologien – z. B. NetWeaver, ABAP, HANA, (proprietäre) Protokolle – in der SAP Cloud und On-Premise zu identifizieren und Gegenmaßnahmen zu entwickeln. Das Projekt verfolgt als Teilziele: – bekannte Angriffe und Schwachstellen zu bewerten, – neue Angriffsvektoren für APTs zu ermitteln, – eine Risikoanalyse auf dem aktuellen Sachstand durchzuführen, – Detektionsverfahren zu definieren und zu testen und – wirksame Gegenmaßnahmen vorzuschlagen (Workarounds für Expoits, Werkzeuge, Sofortmaßnahmen im Bedarfsfall, Untersuchungsverfahren, Hinweise und Vorgehensweisen für Entwickler, Anwender und SAP (ToDos). Die Ergebnisse müssen so aufbereitet werden, dass sie vom BSI im Rahmen des gesetzlichen Auftrages bei Meldungen und im IT-Grundschutz verwendet und von SAP als abgestimmte Sicherheitsmaßnahmen umgesetzt werden können, z. B. in Veröffentlichungen und Schulungen für SAP-Entwickler und Anwender. Die Ergebnisse der durchzuführenden Sicherheitsanalyse müssen zu einer belastbaren Risikoanalyse für APT-Angriffe auf SAP ECC Systeme führen, die als Entscheidungsgrundlage für Folgeaktivitäten des BSI dient.
Deadline
Die Frist für den Eingang der Angebote war 2016-07-14.
Die Ausschreibung wurde veröffentlicht am 2016-06-01.
Anbieter
Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Wer?
Wie?
Wo?
Geschichte der Beschaffung
| Datum |
Dokument |
| 2016-06-01
|
Auftragsbekanntmachung
|
| 2016-06-06
|
Ergänzende Angaben
|
| 2016-06-17
|
Ergänzende Angaben
|
| 2016-10-26
|
Bekanntmachung über vergebene Aufträge
|