BüvA_IT-Sicherheitsprüfungen und Dienstleistungen zur technischen Sicherheit

Description

Zur Sicherstellung der Informationssicherheit sollen durch den Auftragnehmer nach Maßgabe der jeweiligen Beschreibungen der sechs Fachlose etwaig auftretende technische Schwachstellen sowie etwaige prozessuale Verbesserungen und Designschwächen in der IT-Landschaft der Auftraggeberinnen zielgerichtet aufgezeigt werden. Des Weiteren sollen von den Auftraggeberinnen derzeit angewendete Konzepte und Standards nach dem Stand der Technik weiterentwickelt werden. Durch eine fachkundige Analyse von IT-Sicherheitsvorfällen sollen Schäden vermieden und zielgerichtet unterbunden werden. Die AOKs planen die Gründung einer Arbeitsgemeinschaft i.S.v. § 94 Absatz 1a SGB X - wahrscheinlich in der Rechtsform einer Gesellschaft bürgerlichen Rechts - über die vor allem der Betrieb und die Beschaffung von Anwendungen der elektronischen Patientenakte und möglicherweise auch weitergehende Anwendungen der Telematikinfrastruktur wahrgenommen werden sollen (die "AML-Gesellschaft"). Falls und sobald die AML-Gesellschaft rechtskräftig gegründet wurde und rechtsfähig ist, ist sie berechtigt - aber nicht verpflichtet - durch schriftliche Erklärung gegenüber dem Auftragnehmer dem Vertrag als weitere Auftraggeberin beizutreten. Der Auftragnehmer stimmt diesem Beitritt mit Vertragsabschluss unwiderruflich zu. Lot 1: Technische Prüfung Der IT-Betrieb der Auftraggeberinnen umfasst IT-Systeme, Management-, Netzwerk- und Kommunikationskomponenten sowie Anwendungen, welche zentral, dezentral oder auch bei Dritten betrieben werden. Das Anwendungs-Portfolio wird sowohl durch die AOKs selbst als auch durch externe Partner entwickelt. Es umfasst Fachanwendungen zur internen Nutzung durch die Fachabteilungen, Schnittstellen zur Leistungserbringung, Web-Portale für Versicherte und Interessenten sowie Lösungen zur Automatisierung von Aufgaben. Die Entwicklung erfolgt sowohl nach linearen als auch nach iterativen Entwicklungsmodellen. Zu den Anwendungsarten zählen insbesondere: - Webanwendungen, - Webservices, - Mobile Apps für Android und iOS, - SAP-basierte GKV-Plattform oscare, - Erweiterungen und Module für Standardanwendungen (bspw. Microsoft Office, Typo 3, Google Angular), sowie - Kommandozeilenbasierte Skripte. Im Kontext der gesetzlichen Krankenversicherung verarbeiten die entwickelten Anwendungen im Regelfall Sozialdaten gem. § 67 Abs. 1 SGB X. Je nach Verfahren werden darüber hinaus weitere, besondere Datenkategorien gem. Art. 9 Ab. 1 Datenschutz-Grundverordnung (DSGVO), verarbeitet. Als jeweils eigenständige Körperschaften des öffentlichen Rechts können bei den AOKs sowie bei deren Arbeitsgemeinschaften (wie z.B. AOK-Bundesverband GbR, ITSCare GbR, gkv informatik, kubusIT GbR, AML-Gesellschaft) auch weitere Anforderungen an die Datenverarbeitung aus bundeslandspezifischen Regelungen und Vorgaben hinzukommen. Gegenstand der Ausschreibung im Rahmen des Loses 1 waren Technische Prüfungen auf alle im IT-Betrieb relevanten Komponenten. Die Technischen Prüfungen gliedern sich in vier Bereiche: - Überprüfung von Konfigurationen, - Scannen von IT-Komponenten und Netzbereichen auf Schwachstellen, - Durchführung von Penetrationstests, sowie - Durchführung individueller Prüfungen. Konfigurationsprüfungen dienen zur Identifizierung von Schwachstellen, die sich aus der aktuellen Konfiguration ergeben. Schwachstellenscans sollen bei der Identifizierung bisher nicht erkannter Schwachstellen unterstützen. Dazu sind sowohl ein interner als auch ein externer Netzbereich oder einzeln benannte IT-Komponenten mit geeigneten Werkzeugen automatisiert zu überprüfen und manuell zu ergänzen. Penetrationstests sind nach einem etablierten und anerkannten Standard für Penetrationstests (OSSTMM oder vergleichbar) durchzuführen und zwar grundsätzlich als Grey-Box Test. Bei kleineren Funktionserweiterungen ohne wesentliche Architekturprüfungen sind ergänzende Penetrationstests durchzuführen. Darüber hinaus sind Passwortaudits zur Identifizierung unsicherer Passwörter zu erbringen. Abgrenzung: Ist im Rahmen einer Begutachtung für die gematik GmbH eine technische Prüfung, beispielsweise ein Penetrationstest oder Schwachstellenscan, durchzuführen, ist dies Bestandteil von Los 6 "Auditierung Informationssicherheit und KRITIS" und dort als Leistung zu erbringen. Lot 2: Beratungs- und Dienstleistungen zum sicheren IT-Betrieb Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese ihrerseits teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück. Gegenstand der Ausschreibung im Rahmen des Loses 2 waren die Beratung der Auftraggeberinnen in Fragen der IT-Sicherheit und die Unterstützung mit folgenden Dienstleistungen: - Erstellung und Pflege von Empfehlungen zur Systemhärtung (Härtungsempfehlungen) und Sicherheitsstandards - Durchführung von Prozessanalysen - Bewertung von Konzepten zum sicheren IT-Betrieb - Unterstützung bei Erstellung und Pflege von Sicherheitskonzepten - Beratung zur IT-Sicherheit. - Workshops zu sicherheitsrelevanten Aspekten einer IT-Komponente. Abgrenzungen: - Ausgeschlossen sind Beratungsleistungen nach §8a BSIG / (KritisV) und Themen zur Informationssicherheit, die sich aus der ISO/IEC 27001ff ergeben - Durchgeführten Risiko- und Gefährdungsanalysen sind rein technisch unter Anwendung der spezifischen Risikobewertungsmethodik der Auftraggeberinnen zu betrachten - Die Beratung, Planung, Konzeptionierung und Durchführung von Awareness-Schulungen und Sensibilisierungsmaßnahmen sind Bestandteil von Los 5. Lot 3: Sichere Anwendungsentwicklung Die Auftraggeberinnen verfügen über ein breites Portfolio an Anwendungen. Diese Anwendungen werden sowohl durch die AG selbst, aber auch durch externe Partner entwickelt. Bei den Anwendungen handelt es sich u. a. um Fachanwendungen zur internen Nutzung durch die Fachabteilungen, Schnittstellen zur Leistungserbringung, Web-Portale für Versicherte und Interessenten oder auch Lösungen zur Automatisierung von Aufgaben. Die Entwicklung erfolgt sowohl nach linearen als auch nach iterativen Entwicklungsmodellen. Zu den Anwendungsarten zählen insbesondere: - Webanwendungen - Webservices - Mobile Apps für Android und iOS - SAP-basierte GKV-Plattform oscare - Erweiterungen und Module für Standardanwendungen (bspw. Microsoft Office, Typo 3, Google Angular), - Kommandozeilenbasierte Skripte. Im Kontext der gesetzlichen Krankenversicherung verarbeiten die entwickelten Anwendungen im Regelfall Sozialdaten gem. § 67 Abs. 1 SGB X. Je nach Verfahren werden darüber hinaus weitere, besondere Datenkategorien gem. Art. 9 Ab. 1 Datenschutz-Grundverordnung (DSGVO), verarbeitet. Als jeweils eigenständige Körperschaften des öffentlichen Rechts können bei den AOKs sowie bei deren Arbeitsgemeinschaften (wie z.B. AOK-Bundesverband GbR, ITSCare GbR, gkv informatik, kubusIT GbR, AML-Gesellschaft) auch weitere Anforderungen an die Datenverarbeitung aus bundeslandspezifischen Regelungen und Vorgaben hinzukommen. Gegenstand der Ausschreibung im Rahmen des Loses 3 war die Beratung zur Sicheren Anwendungsentwicklung. Diese gliedert sich in sechs Bereiche: - Durchführung von Quelltext-Audits - Überprüfung von Entwicklungsprozessen - Beratung zur sicheren Anwendungsentwicklung - Erstellung und Überprüfung von Bedrohungsanalysen - Erstellung und Überprüfung von Coding Guidelines - Schulungen mit Schwerpunkt sichere Anwendungsentwicklung. Bei Quelltext-Audits sollen automatisierte als auch manuelle Analysen durchgeführt werden. Neben statischen, dynamischen und interaktiven Analysen sind auch die Verwendung eingesetzter Softwarekomponenten und deren weitere Abhängigkeiten, z.B. auf bekannte Sicherheitslücken und Lizenzierungen, zu analysieren. Die Anwendungsentwicklungs-Prozesse für Software oder Teile davon sind zu analysieren, um u.a. den Reifegradbewertung des/der Prozesse/s zu ermitteln, eine Risikobewertung vorzunehmen und Verbesserungspotentiale aufzuzeigen. In der Beratung zur sicheren Anwendungsentwicklung sind aktuelle Themen und Trends sowie neue für die Auftraggeberinnen relevante Technologien zu betrachten. Zur Erstellung oder Überprüfung von Bedrohungsanalysen sind zu einer individuellen Anwendung gemäß einem zu vereinbarenden Standard (bspw. Microsoft STRIDE) alle relevanten Informationen zu erheben und zielgerichtet zu ergänzen. Darüber hinaus sind die Auftraggeberinnen bei der risikobasierten Beurteilung identifizierter Bedrohungen zu unterstützen. Coding Guidelines sind zu erstellen, zu überprüfen und ggf. zu aktualisieren unter Berücksichtigung branchenüblicher Frameworks (bspw. Python Django, PHP Laminas) oder Bibliotheken (bspw. Java JAXB, C# RestSharp). Zielgruppengerechte Schulungen mit dem Schwerpunkt sichere Anwendungsentwicklung sind zur Aufrechterhaltung und Verbesserung von Qualifikationen und zur Sensibilisierung durchzuführen. Lot 4: IT-Forensik Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese ihrerseits teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück. Gegenstand der Ausschreibung im Rahmen des Loses 4 waren die strategische Vorbereitung der Auftraggeberinnen und die Durchführung forensischer Analysen zur Identifizierung und Sicherung relevanter Daten sowie zur Erstellung gerichtsverwertbarer Beweise. Im Rahmen der strategischen Vorbereitung sind folgende Leistungen zu erbringen: - Überprüfung der bestehenden Infrastruktur - Konfiguration Forensische Workstation - Leitfaden für Erstmaßnahmen bei einem IT-Sicherheitsvorfall - Bereitstellung eines Leitfadens für Beweissicherung bei IT-Sicherheitsvorfällen - Dokumentation der Auswahl von forensischen Werkzeugen - Überprüfung des Incident Management-Prozesses Im Rahmen der Vorfallsuntersuchung und -aufklärung sind folgende Leistungen zu erbringen: - Operationale Vorbereitung - Datensammlung - Datenuntersuchung - Datenanalyse - Dokumentation des Vorfalles - Empfehlung zum sofortigen Abschalten oder Weiterbetrieb der IT-Anlage - Aufbewahrung von Beweismitteln - Unterstützung der Juristen der AG in technischen Fragestellungen - Fachliche Unterstützung der AG bei internen Eskalationsmeetings - Dokumentation von Verbesserungspotenzial bei den AG in der Beweissicherungskette für die AG. Abgrenzung: Datenrettung und Reparatur bei Defekten an Speichermedien sind nicht Bestandteil der Leistung. Lot 5: Beratung zu Informationssicherheit und KRITIS Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese IT-Dienstleister teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück. Die Auftraggeberinnen sind oder werden teilweise "Betreiber einer kritischen Infrastruktur" nach der Kritis-Verordnung (KritisV) und unterliegen somit zum Teil bereits jetzt oder in Zukunft den Anforderungen aus dem BSIG und der Kritis-Verordnung (KritisV). Die Auftraggeberinnen orientieren sich überwiegend an der ISO/IEC 27000ff oder ISO/IEC 27001 auf Basis IT-Grundschutz. Gegenstand der Ausschreibung im Rahmen des Loses 5 war die Beratung zu Informationssicherheit und KRITIS in Fragen der Informationssicherheit und der Nachweisführung nach § 8a Abs. 3 BSIG im regulatorischen Umfeld. Dabei sind folgende Leistungen zu erbringen: - Beratung und Unterstützung zu Konzeption, Einführung, Betrieb und Weiterentwicklung eines ISMS nach ISO/IEC 27001 - Durchführung von Schulungen inkl. optionaler Zertifizierungsmöglichkeit für die Teilnehmenden - Konzeption, Beratung, Erstellung, Weiterentwicklung und Etablierung eines B3S nach §8a BSIG (KritisV), sowie Begleitung und Unterstützung des Antragsstellungsverfahrens des B3S beim BSI - Beratung und Unterstützung zu allen Themen der Informationssicherheit, die sich aus der Normenreihe ISO/IEC 27000ff ergeben, - Vorbereitung und Begleitung von Audits, die sich aus der Normenreihe ISO 27000ff und/oder der Nachweisführung nach §8a BSIG ergeben - Beratung und Unterstützung zur Informationssicherheit in Geschäftsprozessen. Zur Schärfung und Vertiefung des Mitarbeiterbewusstseins zu Themen der IT- und Informationssicherheit sind individuelle, gezielte Awareness- und Präventions-Kampagnen online oder an den jeweiligen Standorten der Auftraggeberinnen zu planen, zu erstellen und durchzuführen. Abgrenzung: Folgende Leistungen sind nicht Bestandteil der Leistung, sondern werden von Los 6 abgedeckt: - Auditierung der Managementsysteme nach ISO 27000f - Nachweisführung nach § 8a Abs. 3 BSIG - Zertifizierungs-, Überwachungs-, Rezertifizierungs-Audits sowie Voraudits zur Überprüfung der Zertifizierungsfähigkeit - Nachweisführung nach § 8a Abs. 3 BSIG und jeweiliger Audit des Managementsystems als Kombinations-Audit - Zulassungsprüfungen und Erstellung von Sicherheitsgutachten nach Vorgaben der gematik GmbH. Lot 6: Auditierung Informationssicherheit und KRITIS Die AG nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechen-zentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese IT-Dienstleister teilweise auf externe, nicht zur AOK Gemeinschaft gehörende, Service Provider zurück. Die AG sind oder werden teilweise "Betreiber einer kritischen Infrastruktur" nach der Kritis-Verordnung (KritisV) und unterliegen somit zum Teil bereits jetzt oder in Zukunft den Anforderungen aus dem BSIG und in der Folge der KritisV. Die AG orientieren sich überwiegend an der Normenreihe ISO/IEC 27000ff und ISO/IEC 27001 auf Basis IT-Grundschutz. Gegenstand der Ausschreibung im Rahmen des Loses 6 war die Auditierung der Informationssicherheit und der Nachweisführung nach § 8a Abs. 3 BSIG im regulatorischen Umfeld. Folgende Leistungen sind zu erbringen: - Auditierung der Managementsysteme nach ISO 27000f - Nachweisführung nach § 8a Abs. 3 BSIG - Zertifizierungs-, Überwachungs-, Rezertifizierungs-Audits sowie Voraudits zur Überprüfung der Zertifizierungsfähigkeit - Nachweisführung nach § 8a Abs. 3 BSIG und jeweiliger Audit des Managementsystems als Kombinations-Audit - Zulassungsprüfungen und Erstellung von Sicherheitsgutachten nach Vorgaben der gematik GmbH. Abgrenzung: Folgende Leistungen sind nicht Bestandteil der Leistung, sondern werden von Los 5 abgedeckt: - Beratung und Unterstützung zu Konzeption, Einführung, Betrieb und Weiterentwicklung eines ISMS nach ISO/IEC 27001 - Durchführung von Schulungen inkl. optionaler Zertifizierungsmöglichkeit für die Teilnehmenden - Konzeption, Beratung, Erstellung, Weiterentwicklung und Etablierung eines B3S nach §8a BSIG (KritisV), sowie Begleitung und Unterstützung des Antragsstellungsverfahrens des B3S beim BSI - Beratung und Unterstützung zu allen Themen der Informationssicherheit, die sich aus der Normenreihe ISO/IEC 27000ff ergeben - Vorbereitung und Begleitung von Audits, die sich aus der Normenreihe ISO 27000ff und/oder der Nachweisführung nach §8a BSIG ergeben, sowie - Beratung und Unterstützung zur Informationssicherheit in Geschäftsprozessen - Planung und Durchführung von Awareness- und Präventions-Kampagnen.