Die Dessauer Versorgungs- und Verkehrsgesellschaft mbH [DVV] ist der zentrale Dienstleister für Energieversorgung, Mobilität und städtische Infrastruktur in Dessau-Roßlau. Als kommunales Unternehmen betreibt die DVV die Stadtwerke Dessau und verantwortet die sichere Versorgung der Bürgerinnen und Bürger mit Strom, Gas, Wärme und Wasser. Darüber hinaus betreibt die DVV den öffentlichen Personennahverkehr (ÖPNV) und engagiert sich für den Ausbau und die Modernisierung der städtischen Verkehrs- und Versorgungsinfrastruktur.
Die DVV-Dessau als besonders wichtige Einrichtung im Sinne der NIS2-Richtlinie (EU) 2022/2555 sowie als Betreiber kritischer Anlagen unterliegt erhöhte Anforderungen an Cybersicherheit und Resilienz.
Angesichts der zunehmenden Zahl und Professionalität von Cyberangriffen auf kommunale Unternehmen und Versorger sowie Vorgaben des Gesetzgebers hat die DVV-Dessau entschieden, den Schutz der Office-Systeme und angrenzende OT-Systeme durch ein extern betriebenes Security Operations Center (SOC) mit integrierten Komponenten zur Angriffserkennung und -reaktion deutlich zu stärken.
Im Rahmen dieser Beschaffung wird daher ein externes SOC bestehend aus EDR-/XDR-Technologien (Endpoint Detection & Response / Extended Detection & Response) sowie einer SIEM-Lösung (Security Information and Event Management) durch den externen AN eingeführt. Der Service wird zusätzlich durch eine IR- und forensische Leistung ergänzt. Dieses Gesamtsystem wird im Folgenden als "System zur Angriffserkennung (SzA)" bezeichnet.
Das geplante Konzept besteht aus zwei zentralen Service-Komponenten sowie zwei technischen Lösungen:
Service-Komponenten durch den Auftragnehmer:
1. 24/7 Managed Security Operations Center (MSOC):
2. 24/7 Incident Response (IR):
Technische Lösungen durch den Auftragnehmer:
1. Security Information and Event Management (SIEM):
2. Endpoint Detection and Response (EDR) / Extended Detection and Response (XDR):
Eine detaillierte Beschreibung zu den Leistungspunkten ist der Anlage C
Leistungsbeschreibung inkl. Anlage C 1 DVV-Systemlandschaft zu entnehmen.
Für den Erhalt dieser vertraulichen Informationen (=detaillierte Leistungsbeschreibung als Anlage C inkl. Anlage C 1 DVV-Systemlandschaft) ist es notwendig die als Anlage A beigefügte Geheimhaltungserklärung per Bieternachricht bei der Vergabestelle einzureichen. Erst nach Vorlage dieser unterschriebenen Erklärung erhält der Bewerber die vollumfänglichen Vergabeunterlage durch Zusendung der detaillierten Leistungsbeschreibung mittels einfacher Bieternachricht. Die Geheimhaltungserklärung sollte bis zum 15.08.2025 eingereicht werden!
Folgende Mindestanforderungen sind gemäß Anlage C Leistungsbeschreibung Punkt 3.5 zwingend für die Leistungsausführung zu erfüllen:
- Die gesamte Korrespondenz im Zusammenhang mit der Vertragserfüllung erfolgt sowohl mündlich als auch schriftlich ausschließlich in deutscher Sprache (mind. C2 Niveau).
- Der Auftragnehmer muss dem Auftraggeber durchgehenden Zugriff auf die Managementoberfläche der EDR-/XDR-Lösung sowie der SIEM-Lösung gewähren. Die Anschaffung, Kontrolle, Implementierung und Wartung der SIEM-Lösung sowie der EDR-/XDR-Lösung obliegen vollständig dem Auftragnehmer.
- Die Reaktionszeit des MSOC auf Alarme der Prioritäten P1 (kritisch) und P2 (hoch) beträgt maximal 1 Stunde. Diese Zeitspanne beginnt mit dem automatisch generierten Alarm aus der SIEM- oder EDR-XDR-Lösung oder einem Ticket durch den AG. Sie umfasst eine qualifizierte Einschätzung des Incidents durch den MSOC-Analysten oder die Monitoring-Lösung sowie die Einleitung einer im Vorfeld gemeinsam mit dem Auftraggeber abgestimmten Reaktion, einschließlich der entsprechenden Information an den AG
- Der Auftragnehmer gewährleistet die Erfüllung der Datenspeicherungsanforderungen des Auftraggebers, indem er im SIEM-System (Hot Storage) eine Log-Retention von 6 Monaten sicherstellt. Insgesamt muss der Datenzugriff für einen Zeitraum von 12 Monaten gewährleistet sein.
- Das SIEM-System muss in der Lage sein, ein tägliches Logvolumen von 80-110 GB zu verarbeiten. Die Verarbeitung mindestens zu 100 GB pro Tag sowie alle Logquellen aus der Systemlandschaft des Auftraggebers muss im Preis enthalten sein. Eine Anpassung des Logvolumens seitens des Auftraggebers führt zu einer proportionalen Anpassung der Lizenzkosten für die technische SIEM-Lösung und dem MSOC-Service
- Die technische SIEM- und EDR/XDR-Lösung sowie der MSOC-Service müssen gemäß den Ausschreibungsinformationen in der Infrastruktur des Auftraggebers einsatzfähig sein. Eine Übersicht der Systemlandschaft ist den Ausschreibungsunterlagen als Datei DVV Systemlandschaft (Anlage C1 der Vergabeunterlagen) beigefügt.
- Die im Auftragsfall sämtliche Dienste, Funktionen, Datenhaltung und Bearbeitungen finden datenschutzkonform nach DSGVO innerhalb der EU bzw. des EWR statt. Das physische Managed Security Operations Center des AN sowie die SOC-Mitarbeiter des AN haben ihren Sitz im Europäischen Wirtschaftsraum (EWR). (Anlage B4)
- Die technische Lösung beinhaltet eine Reporting- und Benutzeroberfläche sowie ein klar strukturiertes Dashboard
- Der Auftragnehmer übernimmt die Entwicklung und Pflege spezifischer SIEM Use Cases für den Auftraggeber und passt diese individuell und in Absprache an die Anforderungen des Auftraggebers an.
Als Vertragsgrundlage für die Leistung wird ein bereitgestellter und auf den Sachverhalt angepasster EBV-IT Vertrag vorgegeben.
Der EBV-IT Vertrag inklusive Anlagen liegt den Vergabeunterlagen ausgefüllt bei. Der EBV-IT Vertrag inklusive Anlagen bildet die Grundlage des Vertragsverhältnisses zwischen Auftraggeber und Aufragnehmer und ist seitens des Auftragsnehmers zu akzeptieren.