== Ausgangssituation und Zielsetzung == Die Deutsche Bundesbank (kurz BBK; nachstehend - Auftraggeber - genannt) betreibt zahlreiche, unterschiedliche IT-Sicherheitssysteme, Netzwerkgeräte, Server und Applikationen. Ein erfolgreich durchgeführter Einbruch könnte grundsätzlich alle Schutzbedarfsziele der erreichbaren Infrastrukturen und Anwendungen gefährden. Um potenzielle Beeinträchtigungen von Vertraulichkeit, Integrität, Authentizität, Nachvollziehbarkeit und Verfügbarkeit von Daten, Anwendungen und IT-Systemen durch Angriffe zu erkennen, deren Erfolg oder Misserfolg und Tragweite schnell(er) einzustufen und auch aufgrund der gewonnenen Erkenntnisse schnell geeignete Maßnahmen zur Eindämmung von Sicherheitsvorfällen einleiten zu können, ist eine übergreifende Sicht auf die sicherheitsrelevante Netzwerkkommunikation notwendig. Ziel ist die Etablierung einer Lösung zur zentralisierten, zeitnahen und automatischen Erkennung und Auswertung von Angriffen und Unregelmäßigkeiten im Netzwerk. Durch die Überwachung der Netzwerkkommunikation sollen bekannte und unbekannte Angriffsmuster erkannt und alarmiert werden. Die Erfassung und Korrelation von Metadaten stellen sicher, dass den Alarmen zugehörige Kontextinformationen sowie eine Einstufung der entsprechen Kritikalität automatisiert ermittelt werden. Durch die Möglichkeit einer retrograden Analyse der erhobenen Daten können auch sicherheitsrelevante Ereignisse in der Vergangenheit überprüft werden. Die angestrebte Lösung dient zur besseren Erkennung von Angriffen auf die und innerhalb der Infrastruktur des Auftraggebers sowie zur allgemeinen Erhöhung der Sichtbarkeit im Netzwerk als Grundvoraussetzung für sicherheitstechnische Analysen. Eine Bekämpfung der Angriffe und das Schließen evtl. Sicherheitslücken kann schneller durchgeführt werden. == Auftragsgegenstand == Im Rahmen dieser Ausschreibung wurde ein Lösungsanbieter gesucht (nachstehend -Auftragnehmer), der eine solche - bereits am Markt etablierte - NDR-Lösung in einem vergleichbaren Umfeld erfolgreich implementiert hat. Es wurde ein Systemlieferungsvertrag abgeschlossen werden, der folgende Punkte abdeckt: - Kauf und Lieferung des Systems - Herbeiführung der Betriebsbereitschaft inkl. Schulung des IT-Sicherheitsbetriebs - Aufrechterhaltung und Wiederherstellung (Störungsbeseitigung) der Betriebsbereitschaft - Pflege der Soft- und Hardware == Technische Anforderungen == Die Lieferung der Lösung kann in unterschiedlichen Ausprägungen erfolgen. Hardware Appliance: Der Auftragnehmer liefert Hardware, Betriebssystem und Anwendungssoftware als vom Hersteller fertig konfektionierte und integrierte Lösung. Diese wird durch den Auftraggeber in dieser Form ins RZ des Auftraggebers eingebaut und in Betrieb genommen. Software-Lösung - Variante 1 (Software Appliance): Der Auftragnehmer liefert eine auf VMware ESX lauffähige, bereits durch den Hersteller integrierte Lösung (bspw. als ISO-Image oder als lauffähige "virtuelle Maschine") bestehend aus Betriebssystem und Anwendungssoftware. Der Auftraggeber stellt nach definierten Anforderungen des Auftragnehmers eine "VMware-Hülle" (virtuelle Hardware, Speicherkapazität etc.) bereit. Software-Lösung - Variante 2: Auf Server-Hardware (Sizing-Anforderungen werden vom Auftragnehmer vorgegeben) des Auftraggebers und Betriebssystem (Windows, RHEL) des Auftraggebers installiert der Auftragnehmer die Anwendungssoftware. Das zentrale NDR-Management und die NDR-Sensoren müssen vom selben Hersteller bezogen werden.