Beschreibung der Beschaffung
Weltweit nehmen die Cyberangriffe zu. Auch die ekom21 – KGRZ Hessen (im Folgenden: ekom21) kann sich diesem Trend nicht entziehen und steht hier zunehmend im Fokus von gezielten Cyberangriffen. Neben der Prävention werden Maßnahmen zur Detektion von und Reaktion auf solch gezielten Cyberangriffen zum Schutz der IT-gestützten Geschäftsprozesse immer wichtiger.
Bei Cyberangriffen werden i.d.R. vorhandene Sicherheitslücken in IT-Systemen ausgenutzt, so dass die ekom21 systematisch sicherstellen muss, dass regelmäßig nach vorhandenen Schwachstellen gesucht wird, die dann zeitnah beseitigt werden müssen, bevor diese durch Angreifer ausgenutzt werden können.
Zusätzlich muss die ekom21 die Reaktionsfähigkeiten und Analysemöglichkeiten bei erfolgreichen Cyberangriffen nachhaltig verbessern, um Schäden auf die Geschäftsprozesse zu vermeiden bzw. zu minimieren.
Aus diesem Grund besteht der Bedarf nach Sicherheitsdienstleistungen wie der Durchführung von Penetrationstests in den folgenden Leistungsfeldern
— Planung und Durchführung von IS Penetrationstests,
— Planung und Durchführung von IS Webchecks,
— IS-Kurzrevisionen,
— Regressionstests zu vorher stattgefundenen Penetrationstests,
— Technische Sicherheitsaudits,
— Erstellen von Penetrationstest-Ergebnisberichten und Ergebnispräsentationen,
— individuelle Security Beratung.
Es ist mit 120 Personentagen pro Jahr zu rechnen.
Die durchzuführenden Tests sind ausschließlich von eigenen Mitarbeitern des Auftragnehmers durchzuführen, der Einsatz von Subdienstleistern und/ oder externen Fachkräften ist nicht zulässig.
Die Qualifikation der Mitarbeiter (Pentester) ist entsprechend des Erfassungsblatt_Mitarbeiterqualität.xlsx zu dokumentieren.
Im Rahmen der Durchführung ist nicht gewünscht, durch verdeckte Arbeit oder Täuschung der Mitarbeiter Arbeitsfehler zu provozieren oder auf solchen Wegen Informationen zu erhalten (kein Social Engineering).
Die Penetrationstests erfolgen i.d.R. über das Internet bzw. einem vom Auftraggeber bereitgestellten VPN Anschluss oder am Standort des Bestellers in enger Abstimmung mit Vertretern des jeweiligen Geschäftsfeldes/Servicecenters). Fallweise kann die Präsenz der Tester vor Ort (Standorte des Unternehmens in Kassel, Gießen und Darmstadt) sein, z. B. für das Modul WLAN.
Der Auftraggeber gibt eine Schätzung der Durchführungsdauer des Penetrationstests bei der Anfrage an den Auftragnehmer ab. Damit sollte es möglich sein innerhalb von 5 Arbeitstagen ein Angebot abzugeben. Der geschätzte Zeitraum für die Durchführung darf im späteren Penetrationstest bei Bedarf auch unter- bzw. überschritten werden. Der Durchführungszeitraum muss, wenn vom Auftraggeber kein Zeitrahmen angegeben wurde, innerhalb der nächsten 4 Wochen liegen.
Die Ergebnisse der Tests müssen jeweils in einem deutschsprachigen Abschlussbericht erläutert und bewertet werden. Es ist immer eine detaillierte Beschreibung, inkl. relevanter technischer Parameter notwendig. Bei der Analyse sind die gefundenen Schwachstellen mit einem CVSS-Vektor zu bewerten. Die Ergebnisse reiner Vulnerability Scans müssen als solche gekennzeichnet sein. Automatisiert gefundene Schwachstellen sollten verifiziert werden. Dabei muss angegeben werden wie dies erfolgt ist. Sollte eine Verifizierung in Einzelfällen nicht möglich sein, muss dies explizit angegeben werden. Zu den beschriebenen Schwachstellen sollen die möglichen Angriffsvektoren ebenso wie die Ausnutzbarkeit beschrieben sein. Nähere Anforderungen zur Dokumentation sind in Abschnitt 6 definiert.
Darüber hinaus sind bei Bedarf Abschlusspräsentationen für technische und fachliche Spezialisten und Vertreter des Managements jeweils vor Ort durchzuführen. Die Kommunikation erfolgt in deutscher Sprache.
Die elektronische Kommunikation per E-Mails muss beim Austausch schützenswerter Informationen zwischen Besteller und Auftragnehmer verschlüsselt (mittels S/MIME oder PGP) erfolgen.
Für den Datenaustausch wird vom Auftraggeber eine Webanwendung bereitgestellt, welche verwendet werden muss.
Ergebnisse von durchgeführten Penetrationstests müssen vertraulich behandelt werden. Das Prinzip der Datensparsamkeit ist zu berücksichtigen. Anfallende Arbeitsergebnisse sind vom Auftragnehmer an den Auftraggeber zu übermitteln und dann umgehend sicher zu löschen. Die Testberichte sind hiervon ausgenommen, da diese beispielsweise auch Grundlage für eventuelle Nachtests sein können.