Managed Security Service für SOC und SIEM

Die Stadtwerke Achim AG (nachfolgend "SWA" oder "Auftraggeber" oder "Vergabestelle" genannt), Gaswerkstraße 7, 28832 Achim, leitet mit der Auftragsbekanntmachung ein europaweites Ausschreibungsverfahren mit dem Ziel ein, die IT-Sicherheit durch die Einführung und den Betrieb eines Managed Security Information and Event Management (SIEM) und Security Operations Center (SOC) zu verbessern. Der Ausschreibungsgegenstand besteht innerhalb jedes Loses aus vier Phasen. Die ersten drei Phase erfassen die Implementierung und die Stabilisierungsphase und werden auch als "Einführungsprojekt" bezeichnet. Die vierte Phase erfasst den Ausbau und die Entwicklung. Leistungen werden jeweils bedarfsentsprechend abgerufen. Im Rahmen des Einführungsprojektes ist die angebotene SIEM-Lösung inklusive des SOC als full-managed Service nach Maßgabe der Leistungsbeschreibung bereit zu stellen. Bestandteil des full-managed-Service ist die Entwicklung und Bereitstellung eines voll funktionsfähigen Basissatzes an sicherheitsrelevanten Use Cases sowie standardisierten Incident-Response-Playbooks. Ziel dieser Phase ist es, schnellstmöglich ein tragfähiges Sicherheitsniveau zu erreichen, das auf die aktuelle Infrastruktur und die vorliegenden Bedrohungslagen abgestimmt ist. Mit dem Zuschlag werden die Leistungen des Einführungsprojektes beauftragt. Der Auftraggeber ist während der Vertragslaufzeit berechtigt, weitere Leistungen abzurufen, die Bestandteil der Phase 4 Ausbau und Weiterentwicklung sind. Ziel dieser Phase 4 ist der Ausbau und die kontinuierliche Weiterentwicklung der Lösung mitsamt weiterer Use Cases und Playbooks, die auf Grundlage der im Betrieb gewonnenen Erkenntnisse, aktueller Bedrohungsanalysen sowie branchenspezifischer Anforderungen entwickelt werden. Innerhalb des Loses 1 IT liegt ein Schwerpunkt auf der schrittweisen Automatisierung von Reaktionsprozessen im Sinne eines SOAR-Ansatzes (Security Orchestration, Automation and Response). Dies beinhaltet die Integration automatisierter Abläufe zur schnelleren und konsistenteren Behandlung sicherheitsrelevanter Ereignisse sowie die Verknüpfung mit weiteren IT-Sicherheits- und Betriebssystemen. Damit wird eine kontinuierliche Reifegradsteigerung der Sicherheitsorganisation angestrebt - von der initialen, manuell gesteuerten Reaktion hin zu einem automatisiert unterstützten, hoch effizienten Sicherheitsbetrieb. Die SWA versorgt als Eigentümerin des Strom- und Gasnetzes die Stadt Achim im Rahmen der Grundversorgung gemäß § 36 Abs. 2 Energiewirtschaftsgesetzes (EnWG) mit Strom und Gas. Daneben beliefert sie die Gemeinde Oyten sowie die Flecken Ottersberg und Langwedel als Grundversorger mit Gas über die in ihrem Eigentum befindlichen Gasversorgungsnetze. Seit 2018 hat die SWA das Stromnetz in der Gemeinde Oyten von der Netzgesellschaft Oyten GmbH gepachtet und versorgt seit 2019 bis einschließlich 2024 die Gemeinde Oyten im Rahmen der Grundversorgung mit Strom. Zudem können Kunden deutschlandweit durch den Energievertrieb mit Strom und Gas versorgt werden. Nach § 6b Abs. 3 Satz 2 EnWG ergeben sich für die SWA die beiden Tätigkeitsbereiche Elektrizitätsverteilung und Gasverteilung. Daneben übernimmt sie die Elektrizitäts- und Gasverteilung, das Stromvertriebsgeschäft, das Gasvertriebsgeschäft, das Betreiben von Wärmeversorgungsanlagen einschließlich des Vertriebs von Wärme, der moderne Messstellenbetrieb, die Unterhaltung der Straßenbeleuchtungsanlagen in der Stadt Achim sowie die kaufmännische Betriebsführung der Gesellschaft, die das Netz in Oyten betreibt, der NOG. Die Operational Technology (OT), also die IT-Infrastruktur, die für die kritische Infrastruktur und den operativen Betrieb der Anlagen für den Betrieb des Strom- und Gasnetzes erforderlich sind, sind Gegenstand des Loses 2. Ziel der eingeleiteten Ausschreibung ist der Abschluss eines Rahmenvertrages über - die Feinkonzeption, - die Bereitstellung - die Anbindung, - den Betrieb sowie - der Ausbau und die Weiterentwicklung der ausgeschriebenen Leistungen als "Managed Security Service" nach Maßgabe der Vergabeunterlagen und insbesondere der Leistungsbeschreibung und des Rahmenvertrages. Die ausgeschriebene und anzubietende Leistung ist durch einen Managed Security Service Provider (MSSP) auf Basis des Bereitstellungsmodells "Managed Service" in einer durch den Auftragnehmer (AN) betriebenen bzw. bereitgestellten Cloud Infrastruktur zu erbringen. Den Vergabeunterlagen für den Teilnahmewettbewerb beigefügt ist jeweils losbezogen das Dokument "Leistungsbeschreibung Teilnahmewettbewerb" (Anlage 1 a und Anlage 1 b), das die jeweils ausgeschriebenen Leistungen zusammenfasst. Nach Abschluss des Teilnahmewettbewerbs wird den ausgewählten Bietern jeweils pro Los eine verdichtete Fassung der Leistungsbeschreibung elektronisch bereitgestellt. Interessenten sind aufgefordert, einen Teilnahmeantrag einzureichen und anzugeben, für welches Los der Teilnahmeantrag eingereicht wird.

Es gelten nachstehende Anforderungen in Bezug auf die technische Eignung: Referenzliste über vergleichbare und abgeschlossene Leistungen der letzten drei (3) Jahre. Vergleichbar sind Leistungen über den Betrieb eines Security Operations Center (SOC) inklusive eines Security Information and Event Management (SIEM) mit einer Ereignisrate von mindestens 1500 Events per Second (EPS) mit einem 24/7/365-Support in allen drei Support-Level-Klassen (1/2/3) umfassen. Als abgeschlossen gelten Referenzprojekte, deren Implementierung abgeschlossen ist und die SIEM-/SOC-Lösung seit mindestens zwölf (12) Monaten produktiv betrieben wird. Anzugeben sind: - Projektinhalt mit Angaben zu Zeitdauer und Charakteristik, Projektziel, insbesondere zu Implementierung und Dauer des Betriebs von SOC, - Auftraggeber inkl. Ansprechpartner und Telefonnummer, - Leistungszeitraum, - Kurzbeschreibung der durchgeführten Dienstleistungen, insbesondere Angabe zum erbrachten Support/Service und zu dem betreuten SIEM-Tool. Mindestanforderung: Nachweis über mindestens zwei vergleichbare und abgeschlossene Referenzprojekte der letzten drei Jahre, davon mindestens eine vergleichbare Referenz, die für einen Akteur erbracht wurde, der eine kritische Infrastruktur betreibt. Vergleichbar sind Referenzen über Betriebsleistungen eines Security Operations Center (SOC) inklusive eines Security Information and Event Management (SIEM) mit einer Ereignisrate von mindestens 1500 Events per Second (EPS) mit einem 24/7/365-Support in allen drei Support-Level-Klassen (1/2/3), die sich auf die IT-Infrastruktur bezogen, mit der der Bereich der kritischen Infrastrukturen (KRITIS) betrieben wird/wurde (Operational IT - nachfolgend "OT") und Logs sowie sicherheitsrelevante Ereignisse aus einer OT-Umgebung bzw. OT-Infrastruktur verarbeitet hat. Als abgeschlossen gelten Referenzprojekte, deren Implementierung abgeschlossen ist und die SIEM-/SOC-Lösung seit mindestens zwölf (12) Monaten produktiv betrieben wird. Weiter erfolgt die Punktevergabe im Auswahlprozess in Bezug das Kriterium "Referenzen des Bewerbers Kompetenz und Erfahrung" wie folgt: 15 Punkte Referenz über 1.1. Konzeption, Integration und Betrieb einer SIEM-Lösung mit mindestens 3000 EPS im Produktivbetrieb. 1.2. Bereitstellung als hochverfügbare Lösung (? 99,9 % Verfügbarkeit) 1.3. 24/7/365-Überwachung durch ein SOC mit vollständiger Abdeckung der Supportklassen (1/2/3) 1.4. Umsetzung oder Nutzung eines anerkannten Frameworks zur Angriffserkennung, z. B. MITRE Adversarial Tactics, Techniques, and Common Knowledge Framework (MITRE ATT&CK(R)), Lockheed Martin Cyber Kill Chain(R)) 1.5. Einsatz von Incident Response-Mechanismen oder vergleichbare Interventionsmöglichkeiten 1.6. Durchführung forensischer Analysen im Rahmen von Sicherheitsvorfällen (in der Referenzbeschreibung darzustellen) 1.7. Die Referenz muss sich auf einen Auftraggeber aus dem Bereich der kritischen Infrastrukturen (KRITIS) im Bereich der Energiewirtschaft gem. ENWG beziehen. Gegenstand der Referenz muss der Einsatz eines SIEM-Systems sein, das Logs und sicherheitsrelevante Ereignisse aus einer OT-Umgebung bzw. OT-Infrastruktur verarbeitet hat. 1.8. Die Abnahme/Produktivsetzung liegt mindestens 12 Monate zurück 1.9. Die Lösung befindet sich nachweislich im aktiven Betrieb durch den MSSP (Managed Security Service Provider) Der Einsatz des SIEM-Systems bezog sich maßgeblich auf OT-Infrastrukturen (z. B. Produktionsnetzwerke, industrielle Steuerungsanlagen, SCADA, ICS). Die Referenz muss den Umfang der Projektleistung im Hinblick auf die OT-spezifischen Herausforderungen (z. B. Segmentierung, Protokollvielfalt, Echtzeit-Anforderungen) erkennbar machen. 13 Punkte Referenz über 2.1 Konzeption, Integration und Betrieb einer SIEM-Lösung mit mindestens 2500 EPS im Produktivbetrieb. 2.2. Bereitstellung als hochverfügbare Lösung (? 99,9 % Verfügbarkeit) 2.3. 24/7/365-Überwachung durch ein SOC mit vollständiger Abdeckung der Supportklassen (1/2/3) 2.4. Umsetzung oder Nutzung eines anerkannten Frameworks zur Angriffserkennung, z. B. MITRE Adversarial Tactics, Techniques, and Common Knowledge Framework (MITRE ATT&CK(R)), Lockheed Martin Cyber Kill Chain(R)) 2.5. Einsatz von Incident Response-Mechanismen oder vergleichbare Interventionsmöglichkeiten 2.6. Durchführung forensischer Analysen im Rahmen von Sicherheitsvorfällen (in der Referenzbeschreibung darzustellen 2.7. Die Referenz muss sich auf einen Auftraggeber aus dem Bereich der kritischen Infrastrukturen (KRITIS) im Bereich der Energiewirtschaft gem. ENWG beziehen. Gegenstand der Referenz muss der Einsatz eines SIEM-Systems sein, das Logs und sicherheitsrelevante Ereignisse aus einer OT-Umgebung bzw. OT-Infrastruktur verarbeitet hat. 2.8. Die Abnahme/Produktivsetzung liegt mindestens 12 Monate zurück 2.9. Die Lösung befindet sich nachweislich im aktiven Betrieb durch den MSSP (Managed Security Service Provider) Der Einsatz des SIEM-Systems bezog sich maßgeblich auf OT-Infrastrukturen (z. B. Produktionsnetzwerke, industrielle Steuerungsanlagen, SCADA, ICS). Die Referenz muss den Umfang der Projektleistung im Hinblick auf die OT-spezifischen Herausforderungen (z. B. Segmentierung, Protokollvielfalt, Echtzeit-Anforderungen) erkennbar machen. Das Bewertungssystem ist in der Bewerberinformation in Abschnitt III, Ziffer 5.5. definiert.