Threat Intelligence ICS

Liste und kurze Beschreibung der Bedingungen

Die „Anlage Eigenerklaerung-Ausschlussgruende“ ist vom Bieter auszufüllen und dem Angebot beizufügen. Vor der Auftragsvergabe wird von der Vergabestelle eine Gewerbezentralregisterauskunft eingeholt. Für einen Zuschlag kommt nur ein Bieter in Frage, der keine auftragsverhindernden Eintragungen besitzt.

Liste und kurze Beschreibung der Auswahlkriterien

— Erstellen sie von sich als Einzelbieter, bzw. von jedem Mitglied der Bietergemeinschaft, ein aussagekräftiges Firmenprofil. Die Darstellung muss in tabellarischer Form erfolgen und folgende Punkte umfassen:
—— Offizielle Unternehmensbezeichnung;
—— Rechtsform;
—— Firmensitz und Standorte;
—— Struktur und Organisation.
——— z. B. Abbildung des Organigramms.
—— Geschäftsfelder;
——— Auflistung der einzelnen Geschäftsfelder;
——— Benennung der Geschäftsfelder, die für den hier zu vergebenden Auftrag relevant sind (auftragsbezogenen Geschäftsfelder);
—— Anzahl der Mitarbeiter in den auftragsbezogenen Geschäftsfeldern;
—— Umsatz in den letzten 3 Geschäftsjahren (Angabe pro Jahr), bezogen auf den Tätigkeitsbereich des Ausschreibungsgegenstands. Dieser Jahresumsatz muss durchschnittlich mindestens 400 000 EUR betragen.
— Gehen sie im Falle einer Bietergemeinschaft zudem auf die Aufteilung der zu erbringenden Leistung auf die einzelnen Mitglieder der Bietergemeinschaft ein;
— Im Falle der Eignungsleihe sind alle Angaben zur Eignung des eingeschalteten Unternehmens bereits mit dem Angebot einzureichen;
— Werden wesentliche Teile der angebotenen Leistung von einem oder mehreren Unterauftragnehmern erbracht, so sind diese Unternehmen inkl. der von ihnen durchzuführenden Leistungen genau zu beschreiben. Erstellen sie von jedem Unterauftragnehmer zudem ein aussagekräftiges Firmenprofil inkl. der folgenden Angaben:
—— Offizielle Unternehmensbezeichnung;
—— Rechtsform;
—— Firmensitz und Standorte;
—— Auftragsbezogene Geschäftsfelder;
—— Anzahl der Mitarbeiter in den auftragsbezogenen Geschäftsfeldern;
—— Durchzuführende Leistungen.
Die Übertragung von Leistungsbestandteilen an andere, als die genannten Unterauftragnehmer, ist nicht zulässig.
Sollten sie zum Zeitpunkt der Angebotsabgabe den oder die Unterauftragnehmer noch nicht benennen können, so müssen die geforderten Angaben spätestens vor Zuschlagserteilung nachgereicht werden.
Im Falle einer Eignungsleihe sind alle Angaben zur Eignung des eingeschalteten Unternehmens mit dem Angebot einzureichen.

Liste und kurze Beschreibung der Auswahlkriterien

— Weisen Sie nach, dass Sie in den letzten 2 Kalenderjahren mindestens 3 Kampagnen aus dem Bereich der gezielten Angriffe auf Industrial Control Systems (ICS) systematisch analysiert haben. Systematisch analysiert bedeutet dabei, dass zugehörige Schadprogramme manuell reverse engineert wurden, dass Indicators of Compromise erstellt wurden, und dass die Ziele/Opfer hinsichtlich ihrer Branche und Region ausgewertet wurden.
— Referenzen: Legen Sie zu den folgenden vergangenen Vorfällen einen Technischen Bericht (TeB; Definition siehe VI.3) vor:
—— Stuxnet;
—— Triton.
Legen Sie einen TeB zu der Schwachstelle vor:
—— VxWorks.
Legen Sie 2 TeB Ihrer Wahl vor.
—— Vorfall A nach Wahl des Bieters;
—— Vorfall B nach Wahl des Bieters.
Alle 5 Referenzerichte müssen der formalen Definition eines TeB genügen (Definition siehe VI.3), sowie fachlich zum Gegenstand dieses Vergabeverfahrens passend sein.
— alle Referenzberichte müssen als natürlichsprachlicher Text in deutscher oder englischer Sprache verfasst sein.
— um die Anforderungen des BSI inhaltlich bearbeiten und bereitstellen zu können, muss die Auftragnehmerin über Wissen, Expertise, Tools und Daten aus den im Folgenden aufgelisteten Bereichen verfügen. Die Informationen müssen dabei aus ihrem eigenen Sensornetz oder vertrauenswürdigen, nicht öffentlichen Quellen (Hersteller, Betreiber oder Behörden) stammen, die zum Teil exklusiv nur der Auftragnehmerin vorliegen:
—— Betrieb von Kundeninstallationen wie Intrusion-Detection-/Intrusion-Prevention-Systemen, Firewalls oder Endpoint-Protection-Lösungen und datenschutzkonforme Auswertung der dort anfallenden Sensordaten, oder alternativ Zugriff auf solche Daten über einen Partner.
—— Systematische Auswertung von Quellen und Daten zu den folgenden Themen:
——— Angriffsvektor auf ICS-Komponenten (z. B. Speicherprogrammierbare Steuerungen; SPS) und Subsysteme (z. B. Safety);
——— Schadprogramme aus gezielten Angriffen auf ICS;
——— Maßnahmen zur Prävention und Detektion.
—— Fähigkeit, Schadsoftware-Samples durch Reverse Engineering manuell zu analysieren, um Funktionalität und Command-and-Control-Kanäle zu identifizieren;
—— die Auftragnehmerin gruppiert Schadsoftware-Samples hinsichtlich ihrer Ähnlichkeiten und liefert Kontextinformationen wie Detektionsregionen (ggf. Länder), betroffene Branchen, zugehörige Angriffskampagnen;
—— Bereitstellung von Indicators of Compromise (z. B. Hashwerte von Exploits und Spionageprogrammen, C&C-Adressen, Registry-Keys, User-Agents, ggf. Suricata-, Sigma-, Snort- oder Yara-Regeln);
—— Analyse von gezielten Angriffen:
——— welche Exploits und Malware-Familien werden genutzt?
——— Angriffsvektoren;
——— Angegriffene Industriezweige bzw. Organisationsformen.
— Weisen Sie nach, dass Sie ein Team von Analysten besitzen, deren Hauptaufgabe das Reverse Engineering von Schadsoftware-Samples für ICS-Komponenten ist. Dies kann über die einzureichenden TeBs zum Nachweis der Fachkunde (s. o.) oder durch einen gesonderten Bericht erfolgen, der eine entsprechende Software reverse engineert;
— Weisen Sie nach, dass Sie Informationen aus nicht-öffentlichen Quellen (wie Kundeninstallationen oder forensischen Untersuchungen in Kundennetzwerken) für die Erstellung Ihrer Technische Berichte verwenden und diese nicht-öffentlichen Informationen in Form von Indicators of Compromise zur Verfügung stellen können. Dies kann beispielsweise über die einzureichenden TeBs zum Nachweis der Fachkunde (Nr. 1.3) erfolgen.
— Weisen Sie nach, dass Sie die folgenden Themenbereiche systematisch analysieren:
—— Angriffscharakterisierung (Delivery, Exploit, Command and Control – C2, etc.);
—— Nachgeladene Schadprogramme.
Dies kann beispielsweise über die einzureichenden TeBs zum Nachweis der Fachkunde (s. o.) erfolgen.
— Besitzen Sie Incident-Response-Teams, die im Auftrag von Kunden ggf. vor Ort Festplatten und Logdateien forensisch auswerten und fließen die dadurch gewonnenen Erkenntnisse in die Analysearbeit für TeBs ein?

Unter einem „Technischen Bericht“ (TeB) wird in diesem Dokument folgendes verstanden:
Ein natürlichsprachlicher Text, der eine aktuelle Schadsoftware oder einen aktuellen Angriff auf eine OT-Komponente oder ICS ausführlich auswertet. Es sind die Taktik, Techniken und Vorgehensweisen (engl. Tactics, Techniques and Procedures, TTP) der Angreifer zu beschreiben. Zu einem TeB gehören:
—— Hintergrundinformationen und/oder Anlass für den Bericht sowie Nennung von Key-Findings oder einer Zusammenfassung;
—— die Nennung von verwendeten Schadprogrammen oder Exploits zur Manipulation von ICS-Komponenten;
—— Vorgehen der Angreifer zur initialen Kompromittierung sowie Ausbreitung (lateral movement);
—— die Benennung von Region oder Branche der Ziele / Betroffenen;
—— die Nennung von Indicators of Compromise;
—— die Nennung von verdächtigten Domains bezüglich des im Bericht dargelegten Inhalts;
—— Maßnahmen zur akuten Abwehr;
—— Verbindungen zu anderer Schadsoftware und damit erfolgten Angriffen.
Schwerpunkte der Berichte können dabei:
a) eine detaillierte Analyse über konkrete Vorgehensweisen bei einem Angriff auf ICS oder OT-Komponenten (TTP) sein oder
b) eine detaillierte Analyse eines Schadprogramms oder Angriffs-Tools. Dies kann Ergebnisse aus einem Reverse Engineering einschließen und beinhaltet, wenn möglich, das Vorgehen zum Ausnutzen von Schwachstellen von ICS-Komponenten, anhand von Code-Erläuterungen oder Befehlen.
Der TeB enthält zudem Einschätzungen
—— sofern es zu keinem Schadereignis gekommen ist, zu den möglichen Folgen;
—— zur Übertragbarkeit der genutzten Schwachstellen auf andere Anlagen enthalten und
—— zu den Voraussetzungen für die Ausnutzung der Schwachstelle/Durchführung des Angriffs.
Auf Basis dieser Informationen werden Gegenmaßnahmen erläutert, die einen Schaden verhindert hätten. Dazu wird auf konkrete Maßnahmen aus einschlägigen Standards verwiesen.
Um die geforderten Inhalte darzustellen, muss ein Bericht mindestens 5 Seiten umfassen, wobei Deckblätter, Inhaltsverzeichnisse, Anhänge und Erläuterungen zu Formalien wie Weitergaberegelungen nicht mitgezählt werden. Zudem muss der Bericht erkennbar auf eigenen Recherchen und Arbeiten basieren. Eine Zusammenstellung von öffentlichen zugänglichen Advisories von Herstellern oder Schwachstellenmeldungen reichen nicht aus. Der Bericht muss deutlich über die Inhalte solcher Advisories und Meldungen hinausgehen.
Dokumente, Texte oder Veröffentlichungen, die diese Bedingungen nicht erfüllen, werden im Folgenden nicht als „Technischer Bericht“ klassifiziert. Des Weiteren zählen Updates von TeB nicht als eigenständige TeBs.

Genaue Informationen über Fristen für Überprüfungsverfahren

Unternehmen haben einen Anspruch auf Einhaltung der bieter- und bewerberschützenden Bestimmungen über das Vergabeverfahren gegenüber dem öffentlichen Auftraggeber, Bundesrepublik Deutschland, vertreten durch das Beschaffungsamt des Bundesministeriums des Innern (BeschA).
Sieht sich ein am Auftrag interessiertes Unternehmen durch Nichtbeachtung von Vergabe-vorschriften in seinen Rechten verletzt, ist der Verstoß innerhalb einer Frist von 10 Kalendertagen gegenüber dem BeschA zu rügen (§ 160 Abs. 3 S. 1 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB)). Verstöße, die aufgrund der Bekanntmachung oder der Vergabeunterlagen erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem BeschA gerügt werden (§ 160 Abs. 3 S. 1 Nr. 2 und 3 GWB).
Teilt das BeschA dem Unternehmen mit, seiner Rüge nicht abhelfen zu wollen, so besteht die Möglichkeit, innerhalb von 15 Tagen nach Eingang der Mitteilung einen Antrag auf Nachprüfung bei der Vergabekammer zu stellen (§ 160 Abs. 3 S. 1 Nr. 4 GWB).
Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 Abs. 1 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage nach Absendung dieser Information durch das BeschA geschlossen werden; bei Übermittlung per Fax oder auf elektronischem Wege beträgt diese Frist 10 Kalendertage. Sie beginnt am Tag nach Absendung der Information durch das BeschA.
Ein Antrag auf Nachprüfung ist schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Villemombler Straße 76, 53123 Bonn zu richten.
Hinweis: Das BeschA ist im Falle eines Nachprüfungsantrags verpflichtet, die Vergabeakten, die auch die abgegebenen Angebote enthalten, an die Vergabekammer weiterzuleiten. Die Beteiligten haben ein Recht auf Akteneinsicht. Um Betriebs- und Geschäftsgeheimnisse zu wahren, teilen Sie uns konkret mit Bezug auf die entsprechenden Dokumente des Angebotes mit, welche Informationen als Betriebs- und Geschäftsgeheimnisse zu behandeln sind.

Genaue Informationen über Fristen für Überprüfungsverfahren

Ein Antrag auf Nachprüfung kann schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Villemombler Straße 76, 53123 Bonn, gerichtet werden. Die Unwirksamkeit des Vertrages gemäß § 135 GWB kann innerhalb von 30 Kalendertagen nach Veröffentlichung dieser Bekanntmachung im Amtsblatt der Europäischen Union geltend gemacht werden.