Verfahrensangaben

Der Bewerber (bei Bewerbergemeinschaften jedes Mitglied) hat folgende Unterlagen vorzulegen:

Berufs- oder Handelsregisterauszug: Nicht älter als sechs Monate

Eigenerklärung zu Sanktionsvorschriften: Erklärung zur Einhaltung von Sanktionsvorschriften (EU-Russland-Sanktionen) gemäß Anlage TWB 10

Unternehmensbeschreibung: Vorlage des Formblatts Unternehmensbeschreibung (Anlage TWB 4)

Ggf. Bewerbergemeinschaftserklärung: Bei Bewerbergemeinschaften ist eine Erklärung aller Mitglieder vorzulegen (Anlage TWB 3)

Beabsichtigt der Bewerber, sich bei der Erfüllung der Eignungskriterien (wirtschaftlich oder technisch) der Kapazitäten anderer Unternehmen zu bedienen (Eignungsleihe), so sind die entsprechenden Verpflichtungserklärungen (Anlage TWB 7) und das Formblatt Eignungsleihe (Anlage TWB 6) vorzulegen.

Mindestjahresumsatz in den letzten 3 abgeschlossenen Geschäftsjahren im Bereich MDR/SOC-Services: jeweils min. 10 Mio. EUR (netto)

Berufs-/Betriebshaftpflichtversicherung: Min. 5 Mio. EUR für Personen-/Sachschäden und 3 Mio. EUR für Vermögensschäden (2-fach maximiert)

Umsatz in den Bereichen Managed Detection and Response Services in den vergangenen drei abgeschlossenen Geschäftsjahren* jeweils mindestens EUR 10 Millionen EUR netto. Bei einer Bewerbergemeinschaft werden die entsprechenden Angaben der Mitglieder kumuliert.

Nachweis eines Informationssicherheitsmanagementsystems nach DIN ISO 27001 oder IT-Grundschutz auf Basis ISO 27001 (Zertifikat), das den Bereich der Erbringung von MDR-Dienstleistungen umfasst

Gesamtzahl der durchschnittlich fest angestellten Mitarbeitenden in den Bereichen Managed Detection and Response (MDR/SOC) Services in den vergangenen drei abgeschlossenen Geschäftsjahren (B)

20 - 30 MDR Mitarbeitende: 10 EP
Mehr als 30 - 40 MDR Mitarbeitende: 20 EP
Mehr als 40 MDR Mitarbeitende, 30 EP

Max. 30 EP

Angabe in Anlage TWB 4 erforderlich

Anteil der Mitarbeitenden in den Bereichen Managed Detection and Response (MDR/SOC) Services mit für die Serviceerbringung (MDR/SOC) relevanten Zertifizierungen* (B)

30% - 40%: 10 EP
>40%- 50%: 20 EP
>50%: 30 EP

Maximal 30 EP

*Relevante Zertifizierungen:
GIAC Certified Incident Handler (GCIH), GIAC Certified Intrusion Analyst (GCIA), GIAC Certified Detection Analyst (GCDA), GIAC Security Operations (GSOC), GIAC Continuous Monitoring (GMON), GIAC Certified Forensic Analyst (GCFA), GIAC Certified Forensic Examiner (GCFE), CompTIA Security+, Certified CyberDefender (CCD), HTB Certified Defensive Security Analyst (HTB CDSA), INE Certified Digital Forensics Professional (eCDFP), INE Certified Incident Responder (eCIR), INE Certified Threat deDHunting Professional (eCTHP), Certified Red Team Operator (CRTO), Certified Red Team Lead (CRTL)

Nachweise über Sicherheitszertifizierungen oder -testate (B)

Vorlage eines aktuellen SOC 2 Type II Audit-Berichts, der den Bereich der Erbringung von MDR-Dienstleistungen umfasst, als Nachweis für effektiv implementierte und auditierte Kontrollsysteme

oder

Vorlage eines C5-Testats, das den Bereich der Erbringung von MDR-Dienstleistungen umfasst: 20 EP

Maximal 20 EP (keine Kumulation)

Redundanter SOC-Betrieb über mindestens zwei getrennte Rechenzentrums-Standorte (B)

Redundanter Betrieb über mindestens zwei getrennte Rechenzentrums-Standorte: 10 EP

Anteil der Senior-Rollen (mindestens 2 Jahre einschlägige SOC-Erfahrung) im MDR/SOC-Team (B)

20-30%: 10 EP
>30%: 15 EP

Maximal 15 EP

Nachweis über den Betrieb eines MDR-Governance Frameworks: (B)

"Basis": 5 EP
Nachweis grundlegender Strukturen durch Vorlage von:
- einer Beschreibung der organisatorischen Struktur des MDR/SOC-Betriebs (Organigramm oder Funktionsdiagramm),
- dokumentierter Rollen & Verantwortlichkeiten (RACI oder vergleichbar) und
- einem Grundkonzept für MDR-Qualitätssicherung (z. B. Review durch Teamleitung oder Vier-Augen-Prinzip).

"Erweitert": 10 EP
Voraussetzungen von "Basis" liegen vor, zusätzlich:
- formalisierte interne Auditverfahren (z. B. jährliche Service-interne Audits oder Peer-Audits),
- dokumentierte Lessons-Learned-Prozesse, die nach Major Incidents verpflichtend durchgeführt werden und
- definierte Risikomanagementprozesse für den MDR-Servicebereich.
Nachweis: z.B. durch interne Richtlinien und/oder Auszüge aus Prozesshandbüchern oder entsprechenden ISO-Dokumentationen (z.B. ISO 9001/27001)

"Umfassend": 20 EP
Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich:
- definierte Management-KPIs zur Steuerung des MDR-Betriebs (z. B. MTTD, TTR, Analysten-Workload),
- regelmäßige Management-Reviews (mind. quartalsweise) mit dokumentierter Auswertung,
- klar dokumentierte Verbesserungsmaßnahmen (Continuous Improvement), die auf Kennzahlen aufbauen.
Nachweis: Anonymisierter, beispielhafter Managementreport, Prozessbeschreibung, KPI-Dashboard oder aktueller Auditbericht.

Maximal 20 EP (keine Kumulation)

Onboarding-Prozessreife (B)

"Basis": 5 EP
Bewerber verfügt über:
- standardisierten Onboarding-Prozess,
- strukturierte Log-Quellen-Liste,
- Rollenmatrix.
Nachweis: Onboarding-Playbook

"Erweitert": 10 EP
Voraussetzungen von "Basis" liegen vor, zusätzlich:
- Migrations- und Risikoanalyse als fester Be-standteil,
- definierte Kommunikations- & Stakeholder-prozesse,
- Checklisten für technische und organisatori-sche Übergaben.
Nachweis: Onboarding-Playbook

"Hoch": 20 EP
Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich:
- Onboarding mit Phasenmodell (z. B. Discovery -> Baseline -> Integration -> Validation -> Handover),
- wiederholbarer "Rule Baseline Assessment"-Prozess,
- integriertes KPI-Monitoring schon während Onboarding.
Nachweis: Phasenmodell

Maximal 20 EP (keine Kumulation)

Multi-Plattform/Vendor-Fähigkeit (SIEM/EDR) (A/B)

Mindestanforderung: Elastic (A)

Darüber hinaus weitere Plattformen/Vendoren: (B)
1-3 weitere Plattformen/Vendoren zusätzlich zu Elas-tic: 10 EP

Mehr als 3 weitere Plattformen/Vendoren zusätzlich zu Elastic: 15 EP

Maximal 15 EP

Reifegrad Detection Engineering (B)
"Basis": 5 EP
Der Bewerber legt dar, dass:
- Detektionsregeln regelmäßig entwickelt werden,
- manuelle Tests vor Einsatz erfolgen,
- Regeln versioniert werden
Nachweis: Dokumentierte Vorgehensweise, oder interne SOP

"Erweitert": 10 EP
Voraussetzungen von "Basis" liegen vor, zusätzlich:
- formalisierte QA-Prozesse (z. B. Peer Review der Rule Changes),
- definiertes Testverfahren (z. B. Testdatensets, Replay, Sandbox),
- dokumentierter Lebenszyklus für Detektionsregeln (Lifecycle-Management).
Nachweis: entsprechende Richtlinie, QA-Checkliste, Protokolle

"Umfassend": 15 EP
Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich:
- Automatisierte Tests (z. B. CI-Pipeline, automatische Rule Validation),
- Abbildung auf MITRE ATT&CK oder eine andere Methodik für systematische Abdeckung (Mapping),
- kontinuierliche Impact-Analyse & Performance-Monitoring von Regeln.
Nachweis: Mapping-Dokumente, Automatisierungsbeschreibung
Max 15 EP;keine Kum.

SOAR-/Automatisierungsreife (B)

"Basis": 5 EP
- SOAR vorhanden und im produktiven Einsatz
- Mindestens 3 standardisierte Response-Workflows (z.B. Account Compromise, Mal-ware Infection)
Nachweis: Standardisierte Responseworkflows

"Erweitert": 10 EP
Voraussetzungen von "Basis" liegen vor, zusätzlich:
- dediziertes Automationsteam,
- dokumentierte Playbook-Struktur,
- standardisierte Change-Prozesse für Play-books.
Nachweis Prozessbeschreibung

"Umfassend": 15 EP
Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich:
- >10 produktive Response-Playbooks,
- automatisierte Abhängigkeiten (Ticketing, I-OC-Sync, Quarantäne),
- regelmäßige Performance-Auswertung
Nachweis: Standardisierte Responseworkflows

Maximal 15 EP (keine Kumulation)

Für die zu vergebende Leistung benennt der Bewerber jeweils mindestens ein von ihm (ggfs. auch in Zusammenarbeit mit Unterauftragnehmern) durchgeführtes Referenzprojekt in den Kategorien Hybrides SOC (On-prem), Hybrides SOC (Cloud) sowie Managed SOC (24/7), d.h. insgesamt mindestens drei Referenzprojekte (siehe Vorlage in Anlage TWB 5, die hierzu Verwendung finden muss). Das Formblatt ist je Referenz gesondert vorzulegen und mit einem aussagekräftigen Dateinamen zu versehen.

Die Referenzen müssen jeweils alle Ausschlusskriterien (gekennzeichnet durch (A)) erfüllen, um gültig zu sein. Gültige Referenzen werden anhand bestimmter Eigenschaften mit Eignungspunkten bewertet (gekennzeichnet durch (B)).

Es sind je gültiger eingereichter Referenz 130 Eignungspunkte (EP) zu erreichen.

Bei Einreichung von mehr als drei gültigen Referenzen für einen Referenztyp werden jeweils nur die drei Referenzen mit den höchsten erreichten Eignungspunktzahlen in die Wertung einbezogen.

Insgesamt sind damit je Referenztyp 390 EP und über alle Referenzen hinweg 1170 EP zu erreichen.

I. Mindestanforderungen (Ausschlusskriterien)

Jedes Referenzprojekt muss folgende Eigenschaften vollumfänglich erfüllen:

Leistungsinhalt: Das Projekt umfasste die Leistungsbereiche Sicherheitsüberwachung und Eskalation, Detection Engineering, Containment sowie Dokumentation/Reporting.

Rolle des Bewerbers: Der Bewerber agierte als Hauptauftragnehmer oder Konsortialführer mit einer Beteiligungsquote von über 50 %.

Mengengerüst: Es wurden mindestens 5.000 Endpunkte betreut ODER es bestand ein Logvolumen von ? 1.500 EPS ODER ? 80 Log-Quellen (davon mind. 20 Infrastruktur- und 40 Applikationsquellen).

Datenhaltung: Kundendaten wurden ausschließlich in Rechenzentren innerhalb der EU/des EWR verarbeitet; es bestand kein Datenabfluss an Behörden außerhalb der EU/des EWR.

Laufzeit & Aktualität: Das Projekt weist eine Mindestlaufzeit von 12 Monaten im ununterbrochenen Produktivbetrieb auf. Das Projektende liegt maximal 3 Jahre zurück oder das Projekt dauert noch an.

Sprache: Die Projektsprache (Kommunikation und Dokumentation) war Deutsch.

Technischer Zugriff: Der Zugriff auf die Infrastruktur erfolgte über einen sicheren, personalisierten Remote-Zugriff (z. B. Jump-Hosts, PAM).

Steuerung: Die Leistungserbringung war an tabellierten Leistungskennzahlen (KPIs) ausgerichtet.

Transition: Ein strukturiertes Transition-Projekt mit Migrationsplan wurde durchgeführt.

Kategoriespezifische Anforderungen:

Betreuung: Betreuung von Sicherheitswerkzeugen und Alarmbearbeitung innerhalb der Kundenumgebung (Hybrid/Managed).

Mandantentrennung: Nachweisbare logische und technische Trennung der Datenhaltung (für Hybrid On-prem & Managed).

Datenausleitung: Verschlüsselte Übertragung (mind. TLS 1.2, VPN) bei Ausleitung von Daten (für Hybrid Cloud & Managed).

II. Bewertungskriterien und Eignungspunkte

Gültige Referenzen, die alle Mindestanforderungen erfüllen, werden anhand der folgenden Kriterien bewertet. Es werden je Kriterium Punkte bis zu dem angegebenen Maximalwert vergeben:

Projektlaufzeit: Bewertung der Dauer des produktiven Betriebs (über die Mindestlaufzeit von 12 Monaten hinaus).

Maximal erreichbar: 25 Eignungspunkte (EP)

Aktualität: Bewertung, wie weit das Projektende zurückliegt bzw. ob es noch andauert.

Maximal erreichbar: 20 Eignungspunkte (EP)

Threat-Hunting Kampagnen: Bewertung des Umfangs und der Regelmäßigkeit durchgeführter Threat-Hunting Kampagnen.

Maximal erreichbar: 20 Eignungspunkte (EP)

Skalierung: Bewertung einer signifikanten Steigerung des überwachten Umfangs (Events/Daten/Log-Quellen) während der Laufzeit ohne SLA-Verletzung.

Maximal erreichbar: 25 Eignungspunkte (EP)

Sicherheitsüberprüfung des Personals: Bewertung des Anteils des eingesetzten Personals mit Sicherheitsüberprüfung (mind. SÜ2).

Maximal erreichbar: 20 Eignungspunkte (EP)

Automatisierung (SOAR): Bewertung des Einsatzes einer SOAR-/Automationsplattform sowie der Tiefe der Automatisierung (Playbooks/Reaktionsschritte).

Maximal erreichbar: 20 Eignungspunkte (EP)