Incident Response und forensische Dienstleistungen

Der Dienstleister übernimmt im Ernstfall die zentrale Rolle bei der Bewältigung von IT-Sicherheitsvorfällen. Dazu gehören:

• Suche nach Indicators of Compromise (IoC): Aufspüren verdächtiger Spuren in Logs und Netzwerkverkehr
• Schadensbewertung: Ermittlung des Ausmaßes eines Angriffs
• Ursachenanalyse: Aufklärung, wie der Angreifer eingedrungen ist
• Malware-Analyse: Untersuchung und Klassifikation von Schadsoftware
• Eindämmung: Sperrung kompromittierter Zugänge, Trennung befallener Systeme vom Netz
• Prävention: Maßnahmen, damit sich ein Angriff nicht wiederholt
• Bereinigung: Säuberung und Wiederherstellung betroffener Systeme
• Wiederherstellung: Unterstützung beim Neustart des IT-Betriebs
• Dokumentation: Lückenlose, fallbezogene Dokumentation aller Tätigkeiten und Zeiten
• Verhandlungsunterstützung: Bei Erpressungsvorfällen wird ein geschulter Verhandlungsführer eingebunden

• Gerichtsfeste Sicherung und Auswertung digitaler Beweise
• Forensische Auswertung soll in Deutschland stattfinden (B-Kriterium)
• Vorhaltung eines portablen / mobilen Forensik-Labors (B-Kriterium)
• Umgang mit besonders sensiblen Datenkategorien (Active Directory, Client-Daten, Netzwerk-Logs, ggf. Sozialdaten) ist möglich

• Retainer-Modell mit einer jährlichen Pauschale (2 Pauschalen über Vertragslaufzeit)
• Zusätzliche Abrufleistung: bis zu 60 Personentage pro Vertragslaufzeit, abrufbar in 8-Stunden-Tagessätzen mit 5 Tagen Vorlauf
• Rund um die Uhr erreichbar: 24 Stunden / 7 Tage / 365 Tage
• Reaktionszeit: max. 4 Stunden nach Meldung
• Vor-Ort-Einsatz am TK-Standort: innerhalb von 24 Stunden (A-Kriterium); in Hamburg auch innerhalb von 8 Stunden möglich (B-Kriterium)
• Haupterfüllungsort: Hamburg, Leistung kann remote oder vor Ort erbracht werden

• Fundierte Expertise in einem breiten Technologiespektrum wird vorausgesetzt:
• Windows-Clients und -Server, macOS, Linux
• Microsoft Active Directory, Exchange, SharePoint, Microsoft 365
• Datenbanken (MS SQL, Oracle)
• Webtechnologien, SAP, Virtualisierung, Netzwerkinfrastruktur
• Kommunikation komplett auf Deutsch (schriftlich und mündlich, C1-Niveau)
• Threat-Intelligence-Team zur Unterstützung

• Verschlüsselte elektronische Schnittstelle (z. B. Ticketsystem) zur Meldung und Datenübertragung
• TLS gemäß BSI TR-02102-2, jährlicher Abgleich
• Eigene 24/7-Notfallnummer für telefonische Meldungen

• Kickoff-Workshop spätestens 2 Wochen nach Vertragsbeginn, vor Ort in Hamburg (ca. 8 Stunden), mit Konzept, Moderation und Protokoll (Protokollversand innerhalb von 3 Werktagen)
• Jährliche Notfallübung vor Ort in Hamburg
• Mindestens 2 Austauschtermine pro Jahr zum Abgleich von Prozessen und Maßnahmen (B-Kriterium)
• IT-Infrastrukturanalyse zur Ableitung von Maßnahmenempfehlungen (B-Kriterium)

• Verarbeitung erfolgt ausschließlich in EU/EWR
• Drittlandübermittlung nur mit vorheriger Zustimmung des Auftraggebers und unter Voraussetzungen der DSGVO
• Bestellung eines Datenschutzbeauftragten innerhalb von 14 Tagen nach Vertragsunterschrift
• Schriftliche Geheimhaltungsverpflichtung der Beschäftigten (inkl. § 203 StGB und Sozialgeheimnis nach § 35 SGB I)
• Beim Cloud-Einsatz mit Sozialdaten: zusätzlich C5-Testat erforderlich

• Mindestens 5 Jahre Berufserfahrung im Bereich Incident Response und Forensik
• Deutschkenntnisse auf C1-Niveau in Wort und Schrift
• Einsatz von fachkundigem und zuverlässigem Personal, das den Anforderungen der Leistungsbeschreibung entspricht
• Optional (B-Kriterien, punktewirksam):
• Mindestens ein Mitarbeiter mit GCFA (GIAC Certified Forensic Analyst)
• Mindestens ein Mitarbeiter mit GCIH (GIAC Certified Incident Handler)
• Verhandlungsführer mit 'Vorfall-Experte'-Zertifizierung
• Mindestens 10 Forensiker:innen mit Schwerpunkt IT-Forensik im Team

• ISO/IEC 27001-Zertifizierung, gültig zum Zeitpunkt der Leistungserbringung (mindestens jährlich nachzuweisen)
• Listung als qualifizierter APT-Response-Dienstleister beim BSI
• Bei Cloud-Computing mit Sozialdaten zusätzlich: gültiges C5-Testat (mindestens jährlich)

• IT-Haftpflichtversicherung mit einer Deckungssumme von mindestens 1.000.000 € pro Schadensereignis/Jahr
• Pauschale Mindestdeckung für Personen- und Sachschäden von 3.000.000 €
• Versicherungsschutz muss während der gesamten Vertragslaufzeit aufrechterhalten werden
• Für Unterauftragnehmer ist ein gleichwertiger Versicherungsschutz sicherzustellen
• Konkrete Anforderungen (z. B. Mindestumsatz) sind in der Anlage E1 (Eigenerklärung zur Eignung) hinterlegt

• Keine rechtskräftige Verurteilung in den letzten 5 Jahren nach § 123 GWB
• Keine Ausschlussgründe nach § 124 GWB in den letzten 3 Jahren
• Keine schweren Verfehlungen, keine unzutreffenden Eigenerklärungen
• EU-Sanktionskonformität:
• Keine Beteiligung russischer Staatsangehöriger oder in Russland niedergelassener Organisationen als Bieter, Unterauftragnehmer oder Eignungsleihgeber
• Kein Auftragswertanteil über 10 % durch sanktionierte Personen/Organisationen
• Zusicherung der Einhaltung während der gesamten Vertragslaufzeit

• Eigene Systeme zur Angriffserkennung, Patch-Management und Schwachstellenmanagement
• Verschlüsselungslösungen gemäß BSI-Standards
• TLS-Konfiguration gemäß BSI TR-02102-2, jährlicher Abgleich
• Vorhalten eines Threat-Intelligence-Teams mit Expertise über das geforderte Technologiespektrum
• Kapazität für verschlüsselte Schnittstelle und 24/7-Notfallnummer
• Mindestens 2 Austauschtermine pro Jahr und Möglichkeit zur jährlichen Notfallübung vor Ort in Hamburg

• Bietergemeinschaften sind zugelassen (gesamtschuldnerische Haftung)
• Nebenangebote sind nicht zugelassen
• Eignungsleihe ist möglich, der Eignungsleihgeber muss die Leistung jedoch selbst erbringen
• Einsatz von Unterauftragnehmern bedarf der vorherigen dokumentierten Zustimmung des Auftraggebers
• Datenschutzbeauftragter ist innerhalb von 14 Tagen nach Vertragsunterschrift schriftlich zu benennen