Liste und kurze Beschreibung der Auswahlkriterien
— Weisen Sie nach, dass Sie in den letzten 2 Kalenderjahren mindestens 3 Kampagnen aus dem Bereich der gezielten Angriffe auf Industrial Control Systems (ICS) systematisch analysiert haben. Systematisch analysiert bedeutet dabei, dass zugehörige Schadprogramme manuell reverse engineert wurden, dass Indicators of Compromise erstellt wurden, und dass die Ziele/Opfer hinsichtlich ihrer Branche und Region ausgewertet wurden.
— Referenzen: Legen Sie zu den folgenden vergangenen Vorfällen einen Technischen Bericht (TeB; Definition siehe VI.3) vor:
—— Stuxnet;
—— Triton.
Legen Sie einen TeB zu der Schwachstelle vor:
—— VxWorks.
Legen Sie 2 TeB Ihrer Wahl vor.
—— Vorfall A nach Wahl des Bieters;
—— Vorfall B nach Wahl des Bieters.
Alle 5 Referenzerichte müssen der formalen Definition eines TeB genügen (Definition siehe VI.3), sowie fachlich zum Gegenstand dieses Vergabeverfahrens passend sein.
— alle Referenzberichte müssen als natürlichsprachlicher Text in deutscher oder englischer Sprache verfasst sein.
— um die Anforderungen des BSI inhaltlich bearbeiten und bereitstellen zu können, muss die Auftragnehmerin über Wissen, Expertise, Tools und Daten aus den im Folgenden aufgelisteten Bereichen verfügen. Die Informationen müssen dabei aus ihrem eigenen Sensornetz oder vertrauenswürdigen, nicht öffentlichen Quellen (Hersteller, Betreiber oder Behörden) stammen, die zum Teil exklusiv nur der Auftragnehmerin vorliegen:
—— Betrieb von Kundeninstallationen wie Intrusion-Detection-/Intrusion-Prevention-Systemen, Firewalls oder Endpoint-Protection-Lösungen und datenschutzkonforme Auswertung der dort anfallenden Sensordaten, oder alternativ Zugriff auf solche Daten über einen Partner.
—— Systematische Auswertung von Quellen und Daten zu den folgenden Themen:
——— Angriffsvektor auf ICS-Komponenten (z. B. Speicherprogrammierbare Steuerungen; SPS) und Subsysteme (z. B. Safety);
——— Schadprogramme aus gezielten Angriffen auf ICS;
——— Maßnahmen zur Prävention und Detektion.
—— Fähigkeit, Schadsoftware-Samples durch Reverse Engineering manuell zu analysieren, um Funktionalität und Command-and-Control-Kanäle zu identifizieren;
—— die Auftragnehmerin gruppiert Schadsoftware-Samples hinsichtlich ihrer Ähnlichkeiten und liefert Kontextinformationen wie Detektionsregionen (ggf. Länder), betroffene Branchen, zugehörige Angriffskampagnen;
—— Bereitstellung von Indicators of Compromise (z. B. Hashwerte von Exploits und Spionageprogrammen, C&C-Adressen, Registry-Keys, User-Agents, ggf. Suricata-, Sigma-, Snort- oder Yara-Regeln);
—— Analyse von gezielten Angriffen:
——— welche Exploits und Malware-Familien werden genutzt?
——— Angriffsvektoren;
——— Angegriffene Industriezweige bzw. Organisationsformen.
— Weisen Sie nach, dass Sie ein Team von Analysten besitzen, deren Hauptaufgabe das Reverse Engineering von Schadsoftware-Samples für ICS-Komponenten ist. Dies kann über die einzureichenden TeBs zum Nachweis der Fachkunde (s. o.) oder durch einen gesonderten Bericht erfolgen, der eine entsprechende Software reverse engineert;
— Weisen Sie nach, dass Sie Informationen aus nicht-öffentlichen Quellen (wie Kundeninstallationen oder forensischen Untersuchungen in Kundennetzwerken) für die Erstellung Ihrer Technische Berichte verwenden und diese nicht-öffentlichen Informationen in Form von Indicators of Compromise zur Verfügung stellen können. Dies kann beispielsweise über die einzureichenden TeBs zum Nachweis der Fachkunde (Nr. 1.3) erfolgen.
— Weisen Sie nach, dass Sie die folgenden Themenbereiche systematisch analysieren:
—— Angriffscharakterisierung (Delivery, Exploit, Command and Control – C2, etc.);
—— Nachgeladene Schadprogramme.
Dies kann beispielsweise über die einzureichenden TeBs zum Nachweis der Fachkunde (s. o.) erfolgen.
— Besitzen Sie Incident-Response-Teams, die im Auftrag von Kunden ggf. vor Ort Festplatten und Logdateien forensisch auswerten und fließen die dadurch gewonnenen Erkenntnisse in die Analysearbeit für TeBs ein?