Germany – IT services: consulting, software development, Internet and support – Penetrationstest-Leistungen in 2 Losen

Tytuł: Germany – IT services: consulting, software development, Internet and support – Penetrationstest-Leistungen in 2 Losen Zamawiający: Land Hessen, vertreten durch die Hessische Zentrale für Datenverarbeitung Kraj: DEU Data publikacji: 2025-06-06 Termin składania ofert: 2025-07-14 23:59 Szacunkowa wartość: 2675000.00 EUR Opis przetargu: {'deu': ['Die HZD als zentraler IT-Dienstleister des Landes Hessen betreibt viele unterschiedliche IT-Services für das Land Hessen. Diese Services werden sowohl in internen als auch in öffentlichen Netzen (wie z.B. dem Internet) betrieben. Darüber hinaus bestehen auch Kommunikationsverbindungen zwischen vereinzelten internen und externen Services. Einzelne Dienststellen betreiben eine eigene Infrastruktur, teilweise unabhängig von den zentralen Systemen, die von der HZD bereitgestellt werden. Diese häufig komplexen Kommunikationsstrukturen sind vielfältigen Bedrohungen ausgesetzt, besonders die Systeme, die über Verbindungen zu öffentlichen Netzen verfügen. Die HZD hat es sich zur Aufgabe gemacht, die Risiken durch diese Bedrohungen für das Land Hessen zu minimieren, indem es präventive IT-Sicherheits-Tests bzw. Penetrationstests an den oben genannten IT-Services und -Systemen durchführt. Folgende Leistungen gehören zum Themenfeld Penetrationstests und müssen abgedeckt werden: •Planung und Durchführung von IS (Informations-Sicherheits) Penetrationstests •Planung und Durchführung von IS Webchecks •IS-Kurzrevisionen •Regressionstests zu vorher stattgefundenen Penetrationstests •Technische Sicherheitsaudits •Erstellen von Dokumentationen •Durchführung von Penetrationstest-Kickoffs und Ergebnispräsentationen •Planung und Durchführung von gezielten Schulungsmaßnahmen zu Penet-rationstest-Themen und Penetrationstest-Werkzeugen •Beratungsleistungen zu Penetrationstests •Konzeptionelle Arbeiten zu Penetrationstests •Unterstützungsleistungen beim Aufbau HZD-interner Penetrationstest-Services •Forensische Untersuchungen von Systemen •Code-Analysen und Code-Reviews Der Fokus liegt unbenommen der o.g. Liste bei der Durchführung von Penetrationstests. Operativer Leistungsumfang und Aufgaben bei Penetrationstests Die Durchführung von Penetrationstests als White-, Grey- und Blackbox-Tests machen den Großteil der zu beauftragenden Leistungen aus. Folgende Tätigkeiten sind hier zu erwarten: -Testvorbereitung -Testdurchführung -Testabschluss Expertise in folgenden Schlüsseltechnologien Folgende Technologien und Methodiken können grundsätzlich bei Penetrationstests in der HZD erforderlich sein und müssen durch den Auftragnehmer abgedeckt werden: 1.Administration von Webservices, Webanwendungen o Applikationsserver wie z.B. Apache tomcat, Glassfish, JBoss, Wildfly, IIS, etc. o Webserver wie z.B. Apache Webserver, IIS, Squid, SAP Netweaver, NGINX, etc. o Gängige CMS 2.Web-Programmierung Server a)CGI (Perl, C, PHP, Ruby, Python, etc.) b)Java und Java-Frameworks (JSP, JSF, Struts, etc.) c)ASP.NET d)ABAP 3.Web-Programmierung Client (Javascript, JSON; AJAX, etc.) 4.Programmier-Frameworks wie Java, .NET, C++ 5.Weitere Script-Sprachen (Batch, Shellscript, Python, etc.) 6.Server/Client-Technologien o Schnittstellen-Protokolle (z.B. RDP, SSH, POP, SMTP, etc.) o thin/rich Client, fat client, webclient o Middleware-Technologien 7.Mobile Geräte (Tablet, Notebook, IOS- und Android-Smartphones, etc.) 8.Desktop OS (UNIXoide, Microsoft-OS) 9.Server OS (UNIXoide, Microsoft-OS) 10.Mobile OS (Android, IOS) 11.Cloud-Technologien allgemein (Container-Technologien, wie z.B. Docker und deren Orchestrierungs-Engines wie z.B. Kubernetes, Swarm, Podman, etc.), sowie Cloud Sicherheits-Standards (CSA) 12.Netzwerktechnologie und Netzsicherheit (kompletter ISO/OSI Stack) o Netzkoppel- und Lastverteil-Systeme (Router, Switches, Hubs, (VPN-)Gateways, Loadbalancer) o Sicherheitsgateways (Firewalls: Paketfilter, Application Level, Hybrid) o Intrusion Detection und Intrusion Protection Systeme o Virenscanner o Drahtlos-Netz-Technologie (WLAN, Bluetooth, Nearfield, GSM, LTE, etc.) o Netzwerk-Protokolle (IPv4/IPv6, tcp, udp, etc.) 13.Backend- bzw. Datenbank-Technologien (Oracle DB, MSSQL, MySQL, Mari-aDB, PostGreSQL, DB2, SQLite, NoSQL, etc.) 14.SAP-Technologie 15.Telekommunikations-Anlagen 16.Infrastruktur-Einrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung) 17.Methodiken bei der Durchführung von Penetrationstests (z. B. Blackbox- und Whitebox-Szenarien) 18.Kenntnisse und Erfahrungen zum Einsatz von geeigneten Werkzeugen zur Nachbildung von Cyber-Angriffen und Angriffsmustern (z.B. Vulnerabilty-Scanner, Werkzeuge unter Kali LINUX, etc.) 19.Kenntnisse und Erfahrungen mit dem OWASP Testing Guide 20.Kenntnisse und Erfahrungen mit den CIS-Listen der Organisation MITRE 21.Kenntnisse und Erfahrungen in der Nutzung und dem Testen von Large Language Modellen (wie z.B. Chat GPT, Perplexity, etc.) und Bildgenerieren-den KI (wie z.B. Midjourney, Dall-E, etc.) und deren Technologie 22.Kenntnisse und Erfahrungen mit den Service-Modellen IaaS, PaaS, SaaS 23.Kenntnisse und Erfahrungen mit der Nutzung von Private-, Public- und Hybrid Cloud-Lösungen 24.Kenntnisse und Erfahrungen sowohl in der Nutzung als auch in der Fehlersuche und Schwachstellenanalyse bei Container-Technologie wie Docker und den zugehörigen Orchestrierungsmechanismen, wie Swarm/Kubernetes/Podman. Dies wird auch für unterstützende Technologien wie z.B. das RedHat Cloud-Ökosystem und dessen Verwaltung (z.B. über image registrys, Infrastructure as Code, etc.) aber auch anderen Cloud-Ökosystemen, wie OpenStack oder ApacheCloudStack, etc. erwartet. 25.Kenntnisse und Erfahrungen mit Software Composition Analyses (SCA), Static- Dynamic- und Interactive Application Security Testing (SAST, DAST, IAST) 26.Kenntnisse und Erfahrungen mit Active Directory sowie unterstützenden Technologien und Standards wie Kerberos, LAN-Manger, NTLM und LDAP Um eine Ausfallsicherheit zu garantieren und das Vier-Augen-Prinzip zu wahren, sind immer mindestens zwei Tester pro Testprojekt einzuplanen. Ein Pentester hat hierbei die fachliche Leitung im Team. Die fachliche Leitung hat hierbei die Verantwortung für den jeweiligen Pentest, muss aber selbst nicht zwingend operativ daran beteiligt sein. Eine ausführliche Beschreibung ist der Leistungsbeschreibung Los 1 zu entnehmen.', 'Der SecurityTest Service ist eine Fachgruppe der HZD. Sie bietet den Dienststellen des Landes Hessen Dienstleistungen rund um das Thema IT-Sicherheits-Tests an. Dazu gehört u.a. die Konzeption und Projektierung von Penetrationstests und Schwachstellenscans, das Projektmanagement von Penetrationstests (nachfolgend kurz Pentest) und Scan-Projekten sowie der Durchführung von Schwachstellen-Scans, Penetrationstests, Audits, Code-Reviews, usw. Der Auftragnehmer stellt einen oder mehrere ständige stationäre Projektleiter für die Konzeption und das Management von Pentest-Projekten in der HZD. Die Durchführung der eigentlichen Penetrationstests selbst ist nicht Bestandteil der Tätigkeiten im Rahmen des Los 2. Das vom Auftragnehmer im SecurityTest Service der HZD eingesetzte Fachpersonal ist für die Konzeption, Planung und das Management von Pentest-Projekten vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD, der nachfolgend erläutert wird: Das zentrale Dokument eines Penetrationstest-Projektes in der HZD ist das Penetratiostest-Konzept. Die Inhalte des Penetratiostest-Konzepts enthalten u.a. wichtige Informationen als Grundlage für die Genehmigung von Pentests in der HZD, für die Erstellung von belastbaren Angeboten durch unseren Pentest-Dienstleister sowie für die Dokumentation von Entscheidungen zur Auswahl von Testobjekten eines IT-Verfahrens. Die Erstellung eines Pentest-Konzepts ist eine der zentralen Aufgaben des Pentest-Projektleiters. Im Vorfeld der Erstellung eines Penetrationstest-Konzepts wird das betreffende IT-Verfahren durch den Pentest-Projektleiter analysiert bzgl. dessen eingesetzter Verfahrens-Bestandteile (Netzwerk, Architektur/IT-Topologie, Systeme/Technologie, etc.) und dessen zugrundeliegender Betriebs- und Verfahrens-Prozesse. Hierzu führt der Pentest-Projektleiter Interviews mit den IT-Verfahrens-Spezialisten sowie dem Betriebs-Personal des zu testenden IT-Verfahrens und führt Dokumenten- und ggf. Online-Recherchen durch. Aus den gewonnen Informationen erfolgt eine Bedrohungs-Analyse und Bewertung der einzelnen Verfahrens-Bestandteile bzgl. deren Risiko für eine Kompromittierung bzw. einen Sicherheitsvorfall, woraus wiederum die Auswahl der zu testenden Objekte des IT-Verfahrens folgert. Verschiedene planerische und organisatorische Details zu dem Pentest-Projekt und dem zugehörigen IT-Verfahren runden das Pentest-Konzept ab. Im Anschluss an die Erstellung des Pentest-Konzepts muss dies von den Auftraggebern abgenommen und danach in der HZD genehmigt werden. Das abgenommene Pentest-Konzept ist das Lastenheft für den Pentest-Dienstleister, der die eigentlichen Tests durchführt. Er übersendet ein belastbares Angebot als Pflichtenheft für den Test. Im weiteren Verlauf wird der Test mit Hilfe des ITIL Change Managements organisiert und letztlich umgesetzt. Pentest-Ergebnisse des erfolgten Tests sind zu prüfen und mit dem Auftraggeber abzustimmen. Sowohl im Vorfeld als auch im Nachgang der Tests organisiert und moderiert der Pentest-Projektleiter Termine, in denen Details zur Durchführung (Kickoff) und Ergebnisse (Abschluss- bzw. Ergebnis-Workshop) besprochen und präsentiert werden. Für Kickoff und Abschluss- bzw. Ergebnis-Workshop sind jeweils Ergebnisprotokolle anzufertigen. Der Projektleiter organisiert alle notwendigen Projekt- und Gesprächs-Termine selbstständig und hält diese selbstständig im Blick. Zusammengefasst besteht die Aufgabe eines Pentest-Proejktleiters aus 2 Arbeitsfeldern: 1.Analyse von beauftragenden IT-Verfahren/-IT-Projekte bzgl. IT-Sicherheits-Aspekten inklusive Bedrohungsabschätzung der Verfahrens-Komponenten sowie Überführen der Informationen in ein Penetrationstest-Konzept (Arbeitsfeld 1) 2.Management des anschließenden Pentest-Projekts gem. HZD Pentest-Prozess incl. Budget- und Zeit-/Ressourcenplanung (Arbeitsfeld 2) Alle im Rahmenvertrag eingesetzten Projektleiter müssen die Deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen. Bewerber, die nicht deutsche Muttersprachler sind, oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben haben, müssen die Kenntnis der deutschen Sprache mit einem deutschen C1-Sprachdiplom nachweisen. Folgende fachlichen Voraussetzungen müssen die vom Auftragnehmer eingesetzten Projektleiter erfüllen: Verpflichtend ist ein •Hochschulabschluss in IT und mindestens 4 Jahre Berufserfahrung in der IT-Branche, wobei u.g. Themenfelder bearbeitet wurden •oder alternativ ein beliebiger Hochschulabschluss und mindestens 5 Jahre Berufserfahrung in der IT (ebenfalls mit Bearbeitung der u.g. Themenfelder) •Arbeitsfelder: Um die genannten Arbeitsfelder erfolgreich umsetzen zu können, muss mindestens eines der beiden Arbeitsfelder IT-Sicherheit oder Projektmanagement durch ein erworbenes Zertifikat nachgewiesen werden. Ein Arbeitsfeld, welches nicht durch ein erworbenes Zertifikat nachgewiesen wird, ist durch praktisch erworbene Kenntnisse nachzuweisen: Das erste Arbeitsfeld kann durch erworbene praktische Kenntnisse (mindestens 3 Jahre Erfahrung bei IT-Sicherheits-Projekten) belegt werden. Diese sind durch eine Projektliste mit Tätigkeits-Beschreibungen nachzuweisen. Das zweite Arbeitsfeld kann durch erworbene praktische Kenntnisse (mindestens 2 Jahre Erfahrung als IT-Projektleiter mit Erfahrung im Budget- und Zeitmanagement) belegt werden. Zertifikate zum Thema IT-Sicherheit wären z.B. TISP, CISSP, CompTIA, Security+ oder Pentest-Zertifikate, wie EC-Council (z.B. CEH, etc), OSCP, BSI, oder vergleichbare. Zertifikate zum Thema Projektmanagement wären z.B. PMP, PRINCE, SCRUM, KANBAN oder gleichwertige. Eine ausführliche Beschreibung ist der Leistungsbeschreibung Los 2 zu entnehmen.']} Platforma: TED (Tenders Electronic Daily) - Unia Europejska