Bereitstellung und Durchführung von regelm. automatisierten, maschinenbasierten Penetrationstests mit Angriffssimulation für in- und externe Dienste und Systeme der Verwaltung als On-Premises Lösung

Description

Mithilfe von regelmäßigen und automatisierten Penetrationstests sollen potenzielle Schwachstellen in der IKT-Infrastruktur der Kreisverwaltung identifiziert und entsprechend gemeldet werden. Hierzu beabsichtigt der Rhein-Sieg-Kreis die Beschaffung und Einführung einer automatisierten Penetrationstest-Lösung (automatisiertes Pentesting-Tool). Lot 1: Mithilfe von regelmäßigen und automatisierten Penetrationstests sollen potenzielle Schwachstellen in der IKT-Infrastruktur der Kreisverwaltung identifiziert und entsprechend gemeldet werden. Hierzu beabsichtigt der Rhein-Sieg-Kreis die Beschaffung und Einführung einer automatisierten Penetrationstest-Lösung (automatisiertes Pentesting-Tool). Als Ergänzung zu anderen Maßnahmen im Rahmen der Sicherheitsanalyse soll die automatisierte Penetrationstest-Lösung, mögliche Angriffspfade in der IKT-Infrastruktur des Rhein-Sieg-Kreises aufzeigen und die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen regelmäßig und kontinuierlich prüfen. Hierzu werden sowohl interne als auch externe IKT-Systeme und Anwendungen zyklisch und maschinenbasiert nach ethischen Gesichtspunkten untersucht und imitierten Angriffen ausgesetzt. Die Tests werden hierbei an die spezifischen Sicherheitsbedürfnisse und -anforderungen des Rhein-Sieg-Kreises angepasst. Hierbei sollen die Auswirkungen auf die Produktionssysteme der Informations- und Kommunikationstechnik minimiert - während gleichzeitig die Schwachstellen identifiziert werden. Ein umfassendes und detailliertes Reporting der ermittelten Sicherheitsrisiken sowie Vorschläge zur Ergreifung der erforderlichen Maßnahmen helfen dem IT-Sicherheitsteam bei der Behandlung der ermittelten Risiken. Die Einführung und der Betrieb der automatisierten Penetrationstest-Lösung ist mit ca. 300 Lizenzen/Nodes für Desktop-, Server-, Firewall- und Netzwerkumgebung als Pilotphase von 15 Monaten zu betrachten. Nach 12 Monaten erfolgt eine Prüfung, ob die gesetzten Ziele erreicht wurden und ein Rollout auf die gesamte Kreisverwaltung mit dann rund 2200 Lizenzen/Nodes als sinnvoll erachtet wird. Die automatisierte Penetrationstest-Lösung muss entsprechend skalierbar sein.