Energie-Control Austria

Optimierung der Cybersecurity durch Spezifikation und Beschaffung eines SIEM-Systems

Österreichische Strommarkt Aufsichtsbehörde E-Control

Die Energie-Control Austria (E-Control, ECA) für die Regulierung der Elektrizitäts- und Erdgaswirtschaft – oder kurz E-Control – ist die für die Strom- und Gaswirtschaft zuständige Regulierungsbehörde Österreichs. Aufgabe des Regulators ist es, den Wettbewerb zu stärken. Dieser soll unter Berücksichtigung der Vorgaben der Versorgungssicherheit und Nachhaltigkeit funktionieren. E-Control ist dazu politisch und finanziell unabhängig aufgestellt.

Zu den Aufgaben der E-Control zählen die Erstellung von Gutachten und Stellungnahmen über die Markt- und Wettbewerbsverhältnisse im Elektrizitäts- und Erdgasbereich. Zusätzlich überwacht wird die Wahrnehmung der den Regulatoren durch das Kartellgesetz eingeräumten Antrags- und Stellungsnahmerechte.
Darüber hinaus obliegt der E-Control die Wahrnehmung von Angelegenheiten im Zusammenhang mit der Behandlung von Stromerzeugung in Anlagen aus erneuerbaren Energieträgern und Kraft-Wärme-Kopplungsanlagen.
Neben den regulatorischen Aufgaben ist E-Control eine Informationsstelle für Verbraucher von Strom und Gas. In diesem Bereich betreibt und entwickelt E-Control für die österreichischen Bürgerinnen und Bürger eigene Informationsportale und IT-Applikationen.

Zusammenfassung

Öffentliche Organisationen wie E-Control sind oft in der Situation, komplexe IT-Landschaften Betreiben zu müssen. Egal ob für interne Business-Applikationen oder für externe Dienstleistungen – jede öffentliche Körperschaft sieht sich mit einer vielseitigen Server- und Systemlandschaft konfrontiert. Hierbei spielt das Thema IT-Security auch auf Basis neuer EU-Gesetzgebung (NIS/NISG) eine große Rolle. Eines der ersten Themen in diesem Bereich ist – neben Asset-Management, Netzwerksegmentierung und Firewall-Regelungen – das Security und Event-Management (SIEM).

1

Ziel

Die IT-Verantwortlichen der E-Control haben die Neu-Einführung eines umfassenden SIEM-Systems für die IT-Landschaft der Organisation als wichtigen Schritt hin zu einer gesetzeskonformen Cyber-Security-Landschaft identifiziert. Zwar gab es schon Erfahrungen mit SIEM-Systemen in der Organisation. Jedoch hat man sich dazu entschlossen, die Spezifikation und Ausschreibung eines entsprechenden Systems und der dazugehörigen Dienstleistungen gemeinsam mit ReqPOOL als externen Partner vorzunehmen. Ziel der Ausschreibung war es, einen Dienstleister für das Setup und den Betrieb eines SIEM-Systems (Cloud und/oder On-Premise) sowie für den Betrieb eines SOC (Security-Operations-Center) mit SIEM-Analysten zu beschaffen.

2

Vorgehen

ReqPOOL sieht zwei seiner Stärken in den Bereichen Spezifikation von komplexen IT-Themen sowie Vorbereitung dieser komplexen Themen auf EU-weite Ausschreibungen nach den relevanten gesetzlichen Vorgaben (etwa Bundesvergabegesetz, BVerG 2020). Speziell bei öffentlichen Auftraggebern spielt eine korrekte Spezifikation sowie eine genaue und gesetzeskonforme Bildung von Eignungs- Auswahl und Zuschlagskriterien eine große Rolle.

Gemeinsam mit Stakeholdern der E-Control wurden im Projekt die folgenden Schritte gesetzt:

Spezifikation der Anforderungen:

ReqPOOL hat für E-Control auf Basis erster Recherchen zum Thema SIEM, Anforderungen in einem „Standard-Anforderungskatalog für SIEM-Systeme“ erfasst. Der Anforderungs-katalog wurde anschließend mit den Stakeholdern der E-Control validiert und mit den tatsächlich im Haus benötigten bzw. ablaufenden Security-Prozessen verglichen und überarbeitet. Zusätzlich zum Anforderungskatalog wurde eine Leistungsbeschreibung („Scope-Dokument“) für die spätere Ausschreibung verfasst. Ziel war, alle relevanten Prozesse bei E-Control mit dem Neu-System unterstützen zu können und trotzdem hierbei nicht „am Markt vorbei“ Anforderzungen zu spezifizieren. Um Anforderungen und Leistungsbeschreibung besser verstehen zu können, wurden zusätzlich prozesshafte User-Stories für die Umsetzer erhoben.

Request-for-Information:

Um die Anforderungen sowie die Leistungsbeschreibung am Markt aktiv zu validieren, wurde von ReqPOOL ein Request-for-Information durchgeführt. Hierbei wurden die Anforderungen und User-Stories mit mehreren dutzend möglichen Dienstleistern im Bereich SIEM-Systeme validiert. Die Ergebnisse waren ein geschärfter Anforderungskatalog, Feedback zu den User-Stories und erste Kostenindikationen für die beschriebenen Leistungen. Auf deren Basis konnte auch eine Auftragswertschätzung erstellt werden, die eine nötige Ausschreibung (EU-Oberschwelle) ergeben hat. Der RFI war somit die ideale Vorbereitung auf einen RFQ – eine EU-weite Ausschreibung.

EU-Ausschreibung:

Die geschärften Spezifikationsdokumente konnten unter Zuhilfenahme eines spezialisierten Vergaberechtsjuristen für eine EU-Ausschreibung herangezogen werden. Gemeinsam mit diesem Juristen und ReqPOOL wurden auch Eignungskriterien sowie Auswahl- und Zuschlagskriterien für die Ausschreibung erstellt. Ebenso Teil der Vorbereitungen war der Entwurf eines Service-Level-Agreements (SLA) für die Dienstleistungen sowie ein Projektvertrag. ReqPOOL unterstützte in späteren Phasen der Ausschreibung auch bei der Angebotsbewertung sowie bei den Bieterpräsentationen.

3

Resultat

Ergebnis dieser Beschaffung für E-Control war die erfolgreiche Auswahl des am besten geeigneten Dienstleisters für das Setup und den Betrieb von SIEM-Systemen im öffentlichen Umfeld. Ebenso konnten SOC-Dienstleistungen im Bereich Cyber-Security abgerufen werden. Somit werden die internen Stakeholder der ECA-IT ideal in ihrem Bestreben nach einer Gesetzeskonformen Cybersecurity unterstützt. Die Ausschreibungsunterlagen, Verträge und Zeitpläne sind auch die Ausgangsbasis für die Umsetzung, Abnahme und den Regelbetrieb des SIEM-Systems, also eine grundlegende Vorbereitung des Deployments der Lösung.

Durch die Mithilfe von ReqPOOL konnten wir unser Beschaffungsprojekt von Beginn an beschleunigen. Vom Requirements-Engineering über die Marktrecherche bis hin zur eigentlichen Ausschreibung wurde eine Struktur eingebracht, die unsere interne Arbeit und Abstimmung erleichtert hat. Der Mehrwert lag sowohl in der fachlichen Mithilfe, als auch in der Einbringung der richtigen Methoden. Die Moderation und die Best-Practices und Benchmarks von ReqPOOL haben ihr Übriges dazu getan, die Zusammenarbeit wertvoll zu machen. Wir werden ReqPOOL auch bei künftigen strategischen IT-Projekten weiter mit einbinden.

Thomas Reitinger Projektleiter E-Control
Christian Buchegger

Ihr Ansprechpartner

Christian Buchegger

Kontaktdaten:

Österreich: +43 (0) 800 500122

Deutschland: +49 (0) 30 84415801