Optimierung der Cybersecurity durch Spezifikation und Beschaffung eines SIEM-Systems

Die IT-Verantwortlichen der E-Control haben die Neu-Einführung eines umfassenden SIEM-Systems für die IT-Landschaft der Organisation als wichtigen Schritt hin zu einer gesetzeskonformen Cyber-Security-Landschaft identifiziert. Zwar gab es schon Erfahrungen mit SIEM-Systemen in der Organisation. Jedoch hat man sich dazu entschlossen, die Spezifikation und Ausschreibung eines entsprechenden Systems und der dazugehörigen Dienstleistungen gemeinsam mit ReqPOOL als externen Partner vorzunehmen. Ziel der Ausschreibung war es, einen Dienstleister für das Setup und den Betrieb eines SIEM-Systems (Cloud und/oder On-Premise) sowie für den Betrieb eines SOC (Security-Operations-Center) mit SIEM-Analysten zu beschaffen.

ReqPOOL sieht zwei seiner Stärken in den Bereichen Spezifikation von komplexen IT-Themen sowie Vorbereitung dieser komplexen Themen auf EU-weite Ausschreibungen nach den relevanten gesetzlichen Vorgaben (etwa Bundesvergabegesetz, BVerG 2020). Speziell bei öffentlichen Auftraggebern spielt eine korrekte Spezifikation sowie eine genaue und gesetzeskonforme Bildung von Eignungs- Auswahl und Zuschlagskriterien eine große Rolle.

Gemeinsam mit Stakeholdern der E-Control wurden im Projekt die folgenden Schritte gesetzt:

Spezifikation der Anforderungen:

ReqPOOL hat für E-Control auf Basis erster Recherchen zum Thema SIEM, Anforderungen in einem „Standard-Anforderungskatalog für SIEM-Systeme“ erfasst. Der Anforderungs-katalog wurde anschließend mit den Stakeholdern der E-Control validiert und mit den tatsächlich im Haus benötigten bzw. ablaufenden Security-Prozessen verglichen und überarbeitet. Zusätzlich zum Anforderungskatalog wurde eine Leistungsbeschreibung („Scope-Dokument“) für die spätere Ausschreibung verfasst. Ziel war, alle relevanten Prozesse bei E-Control mit dem Neu-System unterstützen zu können und trotzdem hierbei nicht „am Markt vorbei“ Anforderzungen zu spezifizieren. Um Anforderungen und Leistungsbeschreibung besser verstehen zu können, wurden zusätzlich prozesshafte User-Stories für die Umsetzer erhoben.

Request-for-Information:

Um die Anforderungen sowie die Leistungsbeschreibung am Markt aktiv zu validieren, wurde von ReqPOOL ein Request-for-Information durchgeführt. Hierbei wurden die Anforderungen und User-Stories mit mehreren dutzend möglichen Dienstleistern im Bereich SIEM-Systeme validiert. Die Ergebnisse waren ein geschärfter Anforderungskatalog, Feedback zu den User-Stories und erste Kostenindikationen für die beschriebenen Leistungen. Auf deren Basis konnte auch eine Auftragswertschätzung erstellt werden, die eine nötige Ausschreibung (EU-Oberschwelle) ergeben hat. Der RFI war somit die ideale Vorbereitung auf einen RFQ – eine EU-weite Ausschreibung.

EU-Ausschreibung:

Die geschärften Spezifikationsdokumente konnten unter Zuhilfenahme eines spezialisierten Vergaberechtsjuristen für eine EU-Ausschreibung herangezogen werden. Gemeinsam mit diesem Juristen und ReqPOOL wurden auch Eignungskriterien sowie Auswahl- und Zuschlagskriterien für die Ausschreibung erstellt. Ebenso Teil der Vorbereitungen war der Entwurf eines Service-Level-Agreements (SLA) für die Dienstleistungen sowie ein Projektvertrag. ReqPOOL unterstützte in späteren Phasen der Ausschreibung auch bei der Angebotsbewertung sowie bei den Bieterpräsentationen.

‍

Ergebnis dieser Beschaffung für E-Control war die erfolgreiche Auswahl des am besten geeigneten Dienstleisters für das Setup und den Betrieb von SIEM-Systemen im öffentlichen Umfeld. Ebenso konnten SOC-Dienstleistungen im Bereich Cyber-Security abgerufen werden. Somit werden die internen Stakeholder der ECA-IT ideal in ihrem Bestreben nach einer Gesetzeskonformen Cybersecurity unterstützt. Die Ausschreibungsunterlagen, Verträge und Zeitpläne sind auch die Ausgangsbasis für die Umsetzung, Abnahme und den Regelbetrieb des SIEM-Systems, also eine grundlegende Vorbereitung des Deployments der Lösung.