Beschaffung von Penetrationstest-Leistungen in 3 Losen

Kurze Beschreibung

Beschaffung von Penetrationstest-Leistungen:

1. Penetrationstest - Dienstleistungen vor Ort in der HZD

2. Projektgebundenen operativen IT Sicherheits-Test-Dienstleistungen

3. Personal für difür die Projektleitung von Penetrationstest-Projekten (ANÜ)

Kurze Beschreibung

Das vom Auftragnehmer zur Unterstützung des SecurityTest Service der HZD eingesetzte Fachpersonal ist für die operative Durchführung von Penetrationstests und Schwachstellenscans vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD. Voraussetzung für jeden Pentest/Schwachstellenscan stellt das Testkonzept dar. Dieses ist u.a. Grundlage für verschiedene Meilensteine des Pentest-Prozesses. Die eingesetzten Pentester arbeiten nach den Vorgaben des Pentest-Konzeptes, das dezidiert z.B. die zu testenden Systeme eines IT-Verfahrens, sowie die Art der Tests (z.B. nach OWASP, CIS, ...) beinhaltet. Die Tester bekommen die Testkonzepte im Vorfeld der Tests von Pentest-Projektleitern des SecurityTest Service zur Verfügung gestellt. Ebenfalls im Vorfeld der Tests nehmen die Tester an einer Kickoff-Veranstaltung teil, in der zusammen mit dem Betriebs- und Verfahrens-Personal des zu testenden IT-Verfahrens die üblichen technischen und organisatorischen Fragen zu den Tests geklärt werden. Hierzu erstellt der Tester eine PowerPoint-Präsentation, in der das Test-Setup und die -Planung zu den jeweiligen Arbeitspaketen (AP), Tätigkeiten innerhalb der AP, usw. von ihm detailliert dargelegt werden. Im weiteren Verlauf des Pentest-Projekts organisiert der Pentester selbständig und eigenverantwortlich das Testumfeld bzgl. Test-Planung und -Werkzeuge (Test-Hardware und -Software). Sind die Vorarbeiten zu den Tests erledigt, werden zum vereinbarten Zeitfenster die Tests durchgeführt. Die Kommunikation mit dem Betriebspersonal und der Projektleitung ist eng während der Testphase. Kritische Schwachstellen-Funde werden unmittelbar an Projektleitung, Betriebsleitung und die IT-Sicherheit der HZD weiterkommuniziert. Die Testergebnisse sind sorgfältig zu dokumentieren. Die Dokumentation der Ergebnisse und die nachfolgende Berichterstellung erfolgt anhand der Dokumentationsrichtlinie für Penetrationstest-Ergebnisse der HZD. Nach der Richtlinie wird ein umfangreicher Bericht mit einer Bewertung der gefundenen Schwachstellen nach CVSS sowie eine Schwachstellen-Tabelle als Zusammenfassung der Ergebnisse erstellt. Im Nachgang der Testphase erstellt der Tester eine Powerpoint-Präsentation, in der die Ergebnisse strukturiert aufbereitet wiedergegeben werden. Diese stellt er auf einem Abschluss-Workshop vor und geht auf Fragen der geladenen Gäste ein. Zusammengefasst ergeben sich hiermit u.a. folgende hauptsächlichen Tätigkeiten für das eingesetzte Fachpersonal: • Konzeption von Test-Setups nach den Vorgaben von Pentest-Konzepten • Erstellen von Präsentationen des Test-Setups • Präsentation auf einer Kickoff-Veranstaltung • Vorbereiten, Einrichten und Rüsten des Arbeitsumfeldes (stationäre und mobile Pentest-Umgebung) • Durchführung von Pentests, Audits und Schwachstellenscans auf Grundlage einschlägiger Testfall-Kataloge wie z.B. den aktuellen OWASP Testing-Guide und Schwachstellen-Enumerationen, wie z.B. den MITRE CIS-Listen • Durchführung von Pentests explorativer Natur, abweichend von o.g. Hilfsmitteln • Erstellen von Dokumentationen und Ergebnisberichten auf Grundlage der Dokumentationsrichtlinie für Pentests in der HZD • Erstellen von Präsentationen für Projektabschluss-Workshops Des Weiteren fallen gelegentlich u.a. folgende Aufgaben an: • Dokumentation von Lessons Learned und HowTo’s im SecurityTest Wiki • Teilnahme an regelmäßigen wöchentlichen Team-Meetings • Unterstützung beim Aufbau HZD-interner zentraler Pentest-Plattformen • Planung und Durchführung von gezielten Schulungsmaßnahmen zu Penetrationstest-Themen und Penetrationstest-Werkzeugen Alle im Rahmenvertrag eingesetzten Tester müssen die Deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen. Vom Auftragnehmer zur Auftragsausführung eingesetztes Personal, das nicht deutsche Muttersprachler ist, oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben hat, muss die Kenntnis der deutschen Sprache mindestens mit einem C1-Sprachdiplom nachweisen. Fachliche Voraussetzungen / Kompetenzen Wenn der vom Auftragnehmer eingesetzte Tester ein OSCP-Zertifikat vorweisen kann, hat er damit alle für die Aufgabenstellung notwendigen Kompetenzen schon nachgewiesen. Alternativ dazu kann auch Test-Personal eingesetzt werden, das folgende fachlichen Voraussetzungen erfüllt: 1 .Die Tester müssen mindestens 3 Jahre Berufserfahrung in der IT vorweisen können 2. Die Tester müssen mindestens 2 Jahre Berufserfahrung als Penetration-Tester vorweisen können 3. Innerhalb dieser 2 Jahre müssen die Tester mindestens 5 Penetrationstests selbstständig durchgeführt haben 4. In den o.g. 5 Pentest-Projekten soll mindestens einmal mit einem der in der Leistungsbeschreibung genannten Pentest-Werkzeuge gearbeitet worden sein 5. Die Tester müssen folgende Themenschwerpunkte der Informatik in Theorie und Praxis sicher beherrschen: a. Netzwerke (TCP/IP-Stack, Netzwerkprotokolle, Netzwerk-Systeme, Netzkoppel-Elemente, Firewalls, etc.) b. Web-Technologien (u.a. Webserver, Web-Applikationsserver, http/SOAP/REST) c. Scriptsprachen Batch oder Powershell, Bash, Perl oder Python d. Web-Programmierung: Basis-Kenntnisse (Server- und Clientseitig) e. Server-Betriebssysteme (UNIXoide und Windows) f. Client-Betriebssysteme (Linux und Windows) g. Datenbank-Technologien 6. Die vom Auftragnehmer eingesetzten Tester müssen eines der folgenden einschlägig bekannten Penetrationstest-Zertifikate vorweisen können: BSI, EC-Council - LPT (Master) oder ECSA (Practical) oder CEH (Basic)

Kurze Beschreibung

Die HZD als zentraler IT-Dienstleister des Landes Hessen betreibt viele unterschiedliche IT-Services für das Land Hessen. Diese Services werden sowohl in internen als auch in öffentlichen Netzen (wie z.B. dem Internet) betrieben. Darüber hinaus bestehen auch Kommunikationsverbindungen zwischen vereinzelten internen und externen Services. Einzelne Dienststellen betreiben eine eigene Infrastruktur, teilweise unabhängig von den zentralen Systemen, die von der HZD bereitgestellt werden. Diese häufig komplexen Kommunikationsstrukturen sind vielfältigen Bedrohungen ausgesetzt, besonders die Systeme, die über Verbindungen zu öffentlichen Netzen verfügen. Die HZD hat es sich zur Aufgabe gemacht, die Risiken durch diese Bedrohungen für das Land Hessen zu minimieren, indem es präventive IT-Sicherheits-Tests bzw. Penetrationstests an den oben genannten IT-Services und -Systemen durchführt. Leistungsumfang Folgende Leistungen gehören zum Themenfeld Penetrationstests und sollen vom Rahmenvertrags-Dienstleister abgedeckt werden: 1) Planung und Durchführung von IS (Informations-Sicherheits) Penetrations-tests 2) Planung und Durchführung von IS Webchecks 3) IS-Kurzrevisionen 4) Regressionstests zu vorher stattgefundenen Penetrationstests 5) Technische Sicherheitsaudits 6) Erstellen von Dokumentationen 7) Durchführung von Penetrationstest-Informationsveranstaltungen (z.B. Kick-offs oder Ergebnispräsentationen) 8) Planung und Durchführung von gezielten Schulungsmaßnahmen zu Pe-netrationstest-Themen und Penetrationstest-Werkzeugen 9) Beratungsleistungen zu Penetrationstests 10) Konzeptionelle Arbeiten zu Penetrationstests 11) Unterstützungsleistungen beim Aufbau HZD-interner Penetrationstest-Services 12) Forensische Untersuchungen von Systemen 13) Code-Analysen und Code-Reviews Der Fokus liegt unbenommen der o.g. Liste bei der Durchführung von Penetrationstests. Operativer Leistungsumfang und Aufgaben bei Penetrationstests Die Durchführung von Penetrationstests als White-, Grey- und Blackbox-Tests machen den Großteil der zu beauftragenden Leistungen aus. Folgende Tätigkeiten sind hier zu erwarten: Testvorbereitung • Einarbeitung in die mitgelieferten Dokumente wie Testkonzept, Netzpläne, Betriebsdokumentation, Verfahrenshandbücher, Sicherheitskonzepte etc. (bei Whitebox-Tests) • Führen von Interviews, Klärungsgesprächen und vorbereitenden Meetings • Anforderungen, Schwerpunkte, Zielsetzung und Durchführungs-Details des Penetrationstests in Abstimmung und Zusammenarbeit mit dem Auftraggeber ermitteln (Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik, Ausgangspunkt, etc.) • Ggf. Erstellung und Abstimmung eines Testkonzepts • Beratungsleistungen im Vorfeld eines Penetrationstests (während der Konzeptions-Phase) • Teilnahme an Kickoff-Terminen • Vorbereitung des Test-Setups (Hard- und Software) Testdurchführung • Durchführung einer Reconnaissance (Aufklärung/Erkundung) o Umfangreiche Suchmaschinen-Recherche o Recherche der Testobjekte auf einschlägigen externen Plattformen wie "shodan.io" o.ä. o Abrufen von Systeminformationen, Versionsständen und Patch-Level der Testobjekte selbst • Durchführung von Portscans • Perimeter-Erkennung und -Scans • Durchführen automatisierter Schwachstellenscans ohne Ausnutzung der Schwachstellen (System- oder Web-Vulnerability Scans) • Durchführen automatisierter Schwachstellenscans mit Ausnutzung der Schwachstellen ggf. unter Zuhilfenahme von Exploits (nur in Absprache mit dem Auftraggeber) • Manuelle Tests und explorative Untersuchungen auf den Testobjekten (z.B. Rechterweiterungen, Ausbruchsszenarien, MitM-Angriffe, sichere Konfigura-tion von Verschlüsselungen) • Manuelle Ausnutzung von Schwachstellen unter Zuhilfenahme von Exploits (nur in Absprache mit dem Auftraggeber) • Durchführung von DOS-Attacken (nur in Absprache mit dem Auftraggeber) • Umsetzung von Social Engineering-Szenarien (nur in Absprache mit dem Auftraggeber) • Bei Web-Anwendungen: mindestens Testabdeckung nach aktuellem O-WASP Testing Guide Kritische Schwachstellen, d.h. Schwachstellen, bei denen Gefahr im Verzug für die angestrebten Sicherheitsziele erkannt wird, sind unmittelbar an den Auftraggeber zu kommunizieren. D.h. die Beschreibung der Schwachstelle wird nachvollziehbar (z.B. per verschlüsselter E-Mail) übermittelt. Der Dienstleister muss im Anschluss daran konstruktive Vorschläge für die Behebung der gefundenen Schwachstellen liefern. Alle Zugriffe auf Prüfobjekte, die nur in den internen Netzen des Landes Hessen erreichbar sind, müssen während des Penetrationstests über tcpdump mitgeschnit-ten werden (s. Textziffer 5.10). Die Mittschnitte werden zum Ende der Testphase dem Auftraggeber übergeben. Testabschluss • Erstellen einer aussagekräftigen, belastbaren und qualitätsgesicherten Ergebnisdokumentation • Lösungsvorschläge bei Bugfixing • Durchführung von Abschluss-Workshops • Datenschutzkonformes Löschen und Vernichten von Testdaten sowie Daten, die bei Testtätigkeiten aufgefunden wurden. Ergebnisdokumentationen müssen der HZD-Dokumentationsrichtlinie entsprechen. Sie müssen von mindestens einem weiteren versierten Mitarbeiter des Dienstleisters qualitätsgesichert werden. Dies ist in den Metadaten bzw. im Dokumenten-Kopf in einer Versionshistorie nachzuweisen. Alle zur Leistungserbringung eingesetzten Tester müssen die deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen. Einzusetzende Personen, die nicht deutsche Muttersprachler sind, oder nicht in Deutschland einen Hochschulabschluss erworben haben, müssen die Kenntnis der deutschen Sprache mit einem C1-Sprachdiplom nachweisen. Expertise in folgenden Schlüsseltechnologien Folgende Technologien und Methodiken können grundsätzlich bei Penetrationstests in der HZD erforderlich sein und sollen durch den Auftragnehmer abgedeckt werden: 1. Administration von Webservices, Webanwendungen o Applikationsserver wie z.B. Apache tomcat, Glassfish, JBoss, Wildfly, IIS, etc. o Webserver wie z.B. Apache Webserver, IIS, Squid, SAP Netweaver, NGINX, etc. o Gängige CMS 2. Web-Programmierung Server a) CGI (Perl, C, PHP, Ruby, etc.) b) Java und Java-Frameworks (JSP, JSF, Struts, etc.) c) ASP.NET d) ABAP 3. Web-Programmierung Client (Javascript, JSON; AJAX, etc.) 4. Programmier-Frameworks wie Java, .NET, C++ 5. Weitere Script-Sprachen (Batch, Shellscript, Python, etc.) 6. Server/Client-Technologien o Schnittstellen-Protokolle (z.B. RDP, SSH, POP, SMTP, etc.) o thin/rich Client, fat client, webclient o Middleware-Technologien 7. Mobile Geräte (Tablet, Notebook, IOS- und Android-Smartphones, etc.) 8. Desktop OS (UNIXoide, Microsoft-OS) 9. Server OS (UNIXoide, Microsoft-OS) 10. Mobile OS (Android, IOS) 11. Netzwerktechnologie und Netzsicherheit (kompletter ISO/OSI Stack) o Netzkoppel- und Lastverteil-Systeme (Router, Switches, Hubs, (VPN-)Gateways, Loadbalancer) o Sicherheitsgateways (Firewalls: Paketfilter, Application Level, Hybrid) o Intrusion Detection und Intrusion Protection Systeme o Virenscanner o Drahtlos-Netz-Technologie (WLAN, Bluetooth, Nearfield, GSM, LTE, etc.) o Netzwerk-Protokolle (IPv4/IPv6, tcp, udp, etc.) 12. Backend- bzw. Datenbank-Technologien (Oracle DB, MSSQL, MySQL, Mari-aDB, PostGreSQL, DB2, SQLite) 13. SAP-Technologie 14. Telekommunikations-Anlagen 15. Infrastruktur-Einrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung) 16. Methodiken bei der Durchführung von Penetrationstests (z. B. Blackbox- und Whitebox-Szenarien) 17. Kenntnisse und Erfahrungen zum Einsatz von geeigneten Werkzeugen zur Nachbildung von Cyber-Angriffen und Angriffsmustern (z.B. Vulnerabilty-Scanner, Werkzeuge unter Kali LINUX, etc.) 18. Kenntnisse und Erfahrungen mit dem OWASP Testing Guide 19. Kenntnisse und Erfahrungen mit den CIS-Listen der Organisation MITRE Folgende Anforderungen werden an das vom Auftragnehmer mit der Ausführung des Einzelauftrags betrauten Personals gestellt: - mindestens 4 Jahre Erfahrung als Mitarbeiter in IT-Projekten - Bereitschaft zum Einsatz an unterschiedlichen Standorten - Zeitgerechte und fristgerechte Abarbeitung von Arbeitsaufträgen - Fähigkeit, komplexe Sachverhalte zielgruppengerecht in Wort und Schrift darzustellen Technisches Arbeitsumfeld Ziel eines Penetrationstests können letztendlich alle IT-Infrastrukturen der HZD sowie vergleichbare IT-Infrastrukturen in den einzelnen Dienststellen des Landes Hessen sein. Das sind beispielsweise • Anwendungen o Webanwendungen (z. B. Internet- und Intranet-Auftritte, Vorgangsbearbeitung, Webshop) o Client-Anwendungen (Java-, .Net-Anwendung etc., verfügbar im In-ternet und Intranet) o Anwendungen wie Mail, SAP-Verfahren, Dokumentenmanagement-system etc. • Infrastrukturen o Netzinfrastrukturen (kabelgebundene, wireless-, Funk-Netze) inklusi-ve der Netzkoppelelemente (z. B. Router, Switches, Hubs, (VPN-)Gateways) o Sicherheitsinfrastrukturen (Paketfilter, Firewalls, Intrusion Detection System, Virenscanner, etc.) o Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.) • Arbeitssysteme o Arbeitsplatzsysteme (Desktop-Systeme) o Mobile Arbeitsgeräte (Tablets, Smartphones, Notebooks etc.) • Sonstige IT-Komponenten o Hardware wie Scan-Arbeitsplätze, Drucker- und Druckstraßen etc. o Telekommunikationsanlagen o Infrastruktureinrichtungen (wie z. B. Zutrittskontrollmechanismen) o Hardware und PC-Peripherie (z.B. Hardware für biometrische Authen-tifikation) Geeignete Werkzeuge, wie z.B. fachspezifische Hard- und Software zur Durchführung der Penetrationstests, werden vom Auftraggeber nicht gestellt und sind vom Auftragnehmer vorzuhalten.

Kurze Beschreibung

Arbeitsumfeld / der SecurityTest Service der HZD Der SecurityTest Service ist eine Fachgruppe der HZD. Sie bietet den Dienststellen des Landes Hessen Dienstleistungen rund um das Thema IT-Sicherheits-Tests an. Dazu gehört u.a. die Konzeption und Projektierung von Penetrationstests und Schwachstellenscans, das Projektmanagement von Penetrationstest- (nachfolgend kurz Pentest) und Scan-Projekten sowie der Durchführung von Schwachstellen-Scans, Penetrationstests, Audits, Code-Reviews, usw. Der Auftragnehmer von Los 3 stellt einen oder mehrere ständige stationäre Projektleiter für die Konzeption und das Management von Pentest-Projekten in der HZD. Die Durchführung der eigentlichen Penetrationstests selbst ist nicht Bestandteil der Tätigkeiten im Rahmen des Los 3. Die Projektleiter werden im SecurityTest Service der HZD im Rahmen einer Arbeitnehmerüberlassung (ANÜ) eingesetzt. Das vom Auftragnehmer im SecurityTest Service der HZD eingesetzte Fachpersonal ist für die Konzeption, Planung und das Management von Pentest-Projekten vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD, der nachfolgend erläutert wird: Das zentrale Dokument eines Penetrationstest-Projektes in der HZD ist das Penetratiostest-Konzept. Die Inhalte des Penetratiostest-Konzepts enthalten u.a. wichtige Informationen als Grundlage für die Genehmigung von Pentests in der HZD, für die Erstellung von belastbaren Angeboten durch unseren Pentest-Dienstleister sowie für die Dokumentation von Entscheidungen zur Auswahl von Testobjekten eines IT-Verfahrens. Die Erstellung eines Pentest-Konzept ist eine der zentralen Aufgaben des Pentest-Projektleiters. Im Vorfeld der Erstellung eines Penetrationstest-Konzepts wird das betreffende IT-Verfahren durch den Pentest-Projektleiter analysiert bzgl. dessen eingesetzter Verfahrens-Bestandteile (Netzwerk, Architektur, Technologie, etc.) und dessen zugrundeliegender Betriebs- und Verfahrens-Prozesse. Hierzu führt der Pentest-Projektleiter Interviews mit den IT-Verfahrens-Spezialisten sowie dem Betriebs-Personal des zu testenden IT-Verfahrens und führt hierzu Dokumentations- und Online-Recherchen durch. Aus den gewonnen Informationen erfolgt eine Bedrohungs-Analyse und Bewertung der einzelnen Verfahrens-Bestandteile bzgl. deren Risiko für einen Sicherheitsvorfall, woraus wiederum die Auswahl der zu testenden Objekte des IT-Verfahrens folgert. Verschiedene planerische und organisatorische Details zu dem Pentest-Projekt und dem zugehörigen IT-Verfahren runden das Pentest-Konzept ab. Im Anschluss an die Erstellung des Pentest-Konzepts muss dies von den Auftraggebern abgenommen und danach in einem bestimmten Prozess in der HZD genehmigt werden. Das abgenommene Pentest-Konzept ist das Lastenheft für den Pentest-Dienstleister, der die eigentlichen Tests durchführt. Er übersendet ein belastbares Angebot als Pflichtenheft für den Test. Im weiteren Verlauf wird der Test mit Hilfe des ITIL Change Managements organisiert und letztlich umgesetzt. Pentest-Ergebnisse des erfolgten Tests sind zu prüfen und mit dem Auftraggeber abzustimmen. Sowohl im Vorfeld als auch im Nachgang der Tests organisiert und moderiert der Pentest-Projektleiter Termine, in denen Details zur Durchführung (Kickoff) und Er-gebnisse (Abschluss- bzw. Ergebnis-Workshop) besprochen und präsentiert werden. Für Kickoff und Abschluss- bzw. Ergebnis-Workshop sind jeweils Ergebnisprotokolle anzufertigen. Der Projektleiter organisiert alle notwendigen Projekt- und Gesprächs-Termine selbstständig und hält diese selbstständig im Blick. Einmal pro Woche werden die Projektfortschritte in der SecurityTest Service Projektleiter-Runde präsentiert und besprochen. Alle im Rahmenvertrag eingesetzten Projektleiter müssen die Deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen. Vom Auftragnehmer überlassenes Personal, das nicht deutsche Muttersprachler ist, oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben hat, muss die Kenntnis der deutschen Sprache mindestens mit einem C1-Sprachdiplom nachweisen. Folgende fachlichen Voraussetzungen muss das vom Auftragnehmer überlassene Personal erfüllen: Verpflichtend ist ein • Hochschulabschluss in IT und mindestens 3 Jahre Berufserfahrung in der IT-Branche, wobei u.g. Themenfelder bearbeitet wurden • oder alternativ ein beliebiger Hochschulabschluss und mindestens 5 Jahre Berufserfahrung in der IT (ebenfalls mit Bearbeitung der u.g. Themenfelder) • Mindestens 2 Jahre Erfahrung als Projektleiter • Mindestens 3 Jahre Erfahrung bei IT-Sicherheits-Projekten Mit folgende Themenfeldern der IT muss das Personal vertraut sein: Netzwerke/ISO-OSI, Programmierung oder Scripting, Webserver/Web-Services, Datenbanken, verteilte Infrastrukturen. Darauf aufbauend muss das eingesetzte Personal Expertise in folgenden Themenfeldern der IT-Sicherheit besitzen: • ISO 27001 und/oder IT-Grundschutz nach BSI, • Kryptographie, • OWASP, • Cyber-Threat Management Wünschenswert (optional) wäre • Erfahrung im ITIL Change Management, • Pentest-Erfahrung, • Risiko-Modellierung mit Stride/Dread • IT-Architektur-Planung