Beschreibung der Beschaffung
Die HZD als zentraler IT-Dienstleister des Landes Hessen betreibt viele unterschiedliche IT-Services für das Land Hessen. Diese Services werden sowohl in internen als auch in öffentlichen Netzen (wie z. B. dem Internet) betrieben. Darüber hinaus bestehen auch Kommunikationsverbindungen zwischen vereinzelten internen und externen Services.
Einzelne Dienststellen betreiben eine eigene Infrastruktur, teilweise unabhängig von den zentralen Systemen, die von der HZD bereitgestellt werden. Diese häufig komplexen Kommunikationsstrukturen sind vielfältigen Bedrohungen ausgesetzt, besonders die Systeme, die über Verbindungen zu öffentlichen Netzen verfügen.
Die HZD hat es sich zur Aufgabe gemacht, die Risiken durch diese Bedrohungen für das Land Hessen zu minimieren, indem es präventive IT-Sicherheits-Tests bzw. Penetrationstests an den oben genannten IT-Services und -Systemen durchführt.
Leistungsumfang
Folgende Leistungen gehören zum Themenfeld Penetrationstests und sollen vom Rahmenvertrags-Dienstleister abgedeckt werden:
1. Planung und Durchführung von IS (Informations-Sicherheits) Penetrationstests,
2. Planung und Durchführung von IS Webchecks,
3. IS-Kurzrevisionen,
4. Regressionstests zu vorher stattgefundenen Penetrationstests,
5. Technische Sicherheitsaudits,
6. Erstellen von Dokumentationen,
7. Durchführung von Penetrationstest-Informationsveranstaltungen (z. B. Kick-offs oder Ergebnispräsentationen),
8. Planung und Durchführung von gezielten Schulungsmaßnahmen zu Pe-netrationstest-Themen und Penetrationstest-Werkzeugen,
9. Beratungsleistungen zu Penetrationstests,
10. Konzeptionelle Arbeiten zu Penetrationstests,
11. Unterstützungsleistungen beim Aufbau HZD-interner Penetrationstest-Services,
12. Forensische Untersuchungen von Systemen,
13. Code-Analysen und Code-Reviews.
Der Fokus liegt unbenommen der o. g. Liste bei der Durchführung von Penetrationstests.
Operativer Leistungsumfang und Aufgaben bei Penetrationstests
Die Durchführung von Penetrationstests als White-, Grey- und Blackbox-Tests machen den Großteil der zu beauftragenden Leistungen aus. Folgende Tätigkeiten sind hier zu erwarten:
Testvorbereitung:
— Einarbeitung in die mitgelieferten Dokumente wie Testkonzept, Netzpläne, Betriebsdokumentation, Verfahrenshandbücher, Sicherheitskonzepte etc. (bei Whitebox-Tests),
— Führen von Interviews, Klärungsgesprächen und vorbereitenden Meetings,
— Anforderungen, Schwerpunkte, Zielsetzung und Durchführungs-Details des Penetrationstests in Abstimmung und Zusammenarbeit mit dem Auftraggeber ermitteln (Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik, Ausgangspunkt, etc.),
— ggf. Erstellung und Abstimmung eines Testkonzepts,
— Beratungsleistungen im Vorfeld eines Penetrationstests (während der Konzeptions-Phase),
— Teilnahme an Kickoff-Terminen,
— Vorbereitung des Test-Setups (Hard- und Software).
Testdurchführung:
— Durchführung einer Reconnaissance (Aufklärung/Erkundung):
—— umfangreiche Suchmaschinen-Recherche,
—— Recherche der Testobjekte auf einschlägigen externen Plattformen wie „shodan.io“ o. ä.
—— Abrufen von Systeminformationen, Versionsständen und Patch-Level der Testobjekte selbst,
— Durchführung von Portscans,
— Perimeter-Erkennung und -Scans,
— Durchführen automatisierter Schwachstellenscans ohne Ausnutzung der Schwachstellen (System- oder Web-Vulnerability Scans),
— Durchführen automatisierter Schwachstellenscans mit Ausnutzung der Schwachstellen ggf. unter Zuhilfenahme von Exploits (nur in Absprache mit dem Auftraggeber),
— manuelle Tests und explorative Untersuchungen auf den Testobjekten (z. B. Rechterweiterungen, Ausbruchsszenarien, MitM-Angriffe, sichere Konfigura-tion von Verschlüsselungen),
— manuelle Ausnutzung von Schwachstellen unter Zuhilfenahme von Exploits (nur in Absprache mit dem Auftraggeber),
— Durchführung von DOS-Attacken (nur in Absprache mit dem Auftraggeber),
— Umsetzung von Social Engineering-Szenarien (nur in Absprache mit dem Auftraggeber),
— bei Web-Anwendungen: mindestens Testabdeckung nach aktuellem O-WASP Testing Guide.
Kritische Schwachstellen, d. h. Schwachstellen, bei denen Gefahr im Verzug für die angestrebten Sicherheitsziele erkannt wird, sind unmittelbar an den Auftraggeber zu kommunizieren. D. h. die Beschreibung der Schwachstelle wird nachvollziehbar (z. B. per verschlüsselter E-Mail) übermittelt. Der Dienstleister muss im Anschluss daran konstruktive Vorschläge für die Behebung der gefundenen Schwachstellen liefern.
Alle Zugriffe auf Prüfobjekte, die nur in den internen Netzen des Landes Hessen erreichbar sind, müssen während des Penetrationstests über tcpdump mitgeschnit-ten werden (s. Textziffer 5.10). Die Mittschnitte werden zum Ende der Testphase dem Auftraggeber übergeben.
Testabschluss:
— Erstellen einer aussagekräftigen, belastbaren und qualitätsgesicherten Ergebnisdokumentation,
— Lösungsvorschläge bei Bugfixing,
— Durchführung von Abschluss-Workshops,
— Datenschutzkonformes Löschen und Vernichten von Testdaten sowie Daten, die bei Testtätigkeiten aufgefunden wurden.
Ergebnisdokumentationen müssen der HZD-Dokumentationsrichtlinie entsprechen. Sie müssen von mindestens einem weiteren versierten Mitarbeiter des Dienstleisters qualitätsgesichert werden. Dies ist in den Metadaten bzw. im Dokumenten-Kopf in einer Versionshistorie nachzuweisen.
Alle zur Leistungserbringung eingesetzten Tester müssen die deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen.
Einzusetzende Personen, die nicht deutsche Muttersprachler sind, oder nicht in Deutschland einen Hochschulabschluss erworben haben, müssen die Kenntnis der deutschen Sprache mit einem C1-Sprachdiplom nachweisen.
Expertise in folgenden Schlüsseltechnologien
Folgende Technologien und Methodiken können grundsätzlich bei Penetrationstests in der HZD erforderlich sein und sollen durch den Auftragnehmer abgedeckt werden:
1. Administration von Webservices, Webanwendungen:
— Applikationsserver wie z. B. Apache tomcat, Glassfish, JBoss, Wildfly, IIS, etc.
— Webserver wie z. B. Apache Webserver, IIS, Squid, SAP Netweaver, NGINX, etc.
— Gängige CMS.
2. Web-Programmierung Server:
a) CGI (Perl, C, PHP, Ruby, etc.),
b) Java und Java-Frameworks (JSP, JSF, Struts, etc.),
c)
ASP.NET,
d) ABAP.
3. Web-Programmierung Client (Javascript, JSON; AJAX, etc.),
4. Programmier-Frameworks wie Java, .NET, C++,
5. Weitere Script-Sprachen (Batch, Shellscript, Python, etc.),
6. Server/Client-Technologien:
— Schnittstellen-Protokolle (z. B. RDP, SSH, POP, SMTP, etc.),
— thin/rich Client, fat client, webclient,
— Middleware-Technologien.
7. Mobile Geräte (Tablet, Notebook, IOS- und Android-Smartphones, etc.),
8. Desktop OS (UNIXoide, Microsoft-OS),
9. Server OS (UNIXoide, Microsoft-OS),
10. Mobile OS (Android, IOS),
11. Netzwerktechnologie und Netzsicherheit (kompletter ISO/OSI Stack):
— Netzkoppel- und Lastverteil-Systeme (Router, Switches, Hubs, (VPN-)Gateways, Loadbalancer),
— Sicherheitsgateways (Firewalls: Paketfilter, Application Level, Hybrid),
— Intrusion Detection und Intrusion Protection Systeme,
— Virenscanner,
— Drahtlos-Netz-Technologie (WLAN, Bluetooth, Nearfield, GSM, LTE, etc.),
— Netzwerk-Protokolle (IPv4/IPv6, tcp, udp, etc.).
12. Backend- bzw. Datenbank-Technologien (Oracle DB, MSSQL, MySQL, Mari-aDB, PostGreSQL, DB2, SQLite),
13. SAP-Technologie,
14. Telekommunikations-Anlagen,
15. Infrastruktur-Einrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung),
16. Methodiken bei der Durchführung von Penetrationstests (z. B. Blackbox- und Whitebox-Szenarien),
17. Kenntnisse und Erfahrungen zum Einsatz von geeigneten Werkzeugen zur Nachbildung von Cyber-Angriffen und Angriffsmustern (z. B. Vulnerabilty-Scanner, Werkzeuge unter Kali LINUX, etc.),
18. Kenntnisse und Erfahrungen mit dem OWASP Testing Guide,
19. Kenntnisse und Erfahrungen mit den CIS-Listen der Organisation MITRE.
Folgende Anforderungen werden an das vom Auftragnehmer mit der Ausführung des Einzelauftrags betrauten Personals gestellt:
— mindestens 4 Jahre Erfahrung als Mitarbeiter in IT-Projekten,
— Bereitschaft zum Einsatz an unterschiedlichen Standorten,
— Zeitgerechte und fristgerechte Abarbeitung von Arbeitsaufträgen,
— Fähigkeit, komplexe Sachverhalte zielgruppengerecht in Wort und Schrift darzustellen.
Technisches Arbeitsumfeld:
Ziel eines Penetrationstests können letztendlich alle IT-Infrastrukturen der HZD sowie vergleichbare IT-Infrastrukturen in den einzelnen Dienststellen des Landes Hessen sein. Das sind beispielsweise
— Anwendungen
—— Webanwendungen (z. B. Internet- und Intranet-Auftritte, Vorgangsbearbeitung, Webshop)
—— Client-Anwendungen (Java-, .Net-Anwendung etc., verfügbar im In-ternet und Intranet)
—— Anwendungen wie Mail, SAP-Verfahren, Dokumentenmanagement-system etc.
— Infrastrukturen
—— Netzinfrastrukturen (kabelgebundene, wireless-, Funk-Netze) inklusi-ve der Netzkoppelelemente (z. B. Router, Switches, Hubs, (VPN-)Gateways)
—— Sicherheitsinfrastrukturen (Paketfilter, Firewalls, Intrusion Detection System, Virenscanner, etc.)
—— Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.)
— Arbeitssysteme
—— Arbeitsplatzsysteme (Desktop-Systeme)
—— Mobile Arbeitsgeräte (Tablets, Smartphones, Notebooks etc.)
— Sonstige IT-Komponenten
—— Hardware wie Scan-Arbeitsplätze, Drucker- und Druckstraßen etc.
—— Telekommunikationsanlagen
—— Infrastruktureinrichtungen (wie z. B. Zutrittskontrollmechanismen)
—— Hardware und PC-Peripherie (z. B. Hardware für biometrische Authen-tifikation)
Geeignete Werkzeuge, wie z. B. fachspezifische Hard- und Software zur Durchführung der Penetrationstests, werden vom Auftraggeber nicht gestellt und sind vom Auftragnehmer vorzuhalten.