Beschreibung
:
Die HZD als zentraler IT-Dienstleister des Landes Hessen betreibt viele unterschiedliche IT-Services für das Land Hessen. Diese Services werden sowohl in internen als auch in öffentlichen Netzen (wie z.B. dem Internet) betrieben. Darüber hinaus bestehen auch Kommunikationsverbindungen zwischen vereinzelten internen und externen Services. Einzelne Dienststellen betreiben eine eigene Infrastruktur, teilweise unabhängig von den zentralen Systemen, die von der HZD bereitgestellt werden. Diese häufig komplexen Kommunikationsstrukturen sind vielfältigen Bedrohungen ausgesetzt, besonders die Systeme, die über Verbindungen zu öffentlichen Netzen verfügen. Die HZD hat es sich zur Aufgabe gemacht, die Risiken durch diese Bedrohungen für das Land Hessen zu minimieren, indem es präventive IT-Sicherheits-Tests bzw. Penetrationstests an den oben genannten IT-Services und -Systemen durchführt. Folgende Leistungen gehören zum Themenfeld Penetrationstests und müssen abgedeckt werden: •Planung und Durchführung von IS (Informations-Sicherheits) Penetrationstests •Planung und Durchführung von IS Webchecks •IS-Kurzrevisionen •Regressionstests zu vorher stattgefundenen Penetrationstests •Technische Sicherheitsaudits •Erstellen von Dokumentationen •Durchführung von Penetrationstest-Kickoffs und Ergebnispräsentationen •Planung und Durchführung von gezielten Schulungsmaßnahmen zu Penet-rationstest-Themen und Penetrationstest-Werkzeugen •Beratungsleistungen zu Penetrationstests •Konzeptionelle Arbeiten zu Penetrationstests •Unterstützungsleistungen beim Aufbau HZD-interner Penetrationstest-Services •Forensische Untersuchungen von Systemen •Code-Analysen und Code-Reviews Der Fokus liegt unbenommen der o.g. Liste bei der Durchführung von Penetrationstests. Operativer Leistungsumfang und Aufgaben bei Penetrationstests Die Durchführung von Penetrationstests als White-, Grey- und Blackbox-Tests machen den Großteil der zu beauftragenden Leistungen aus. Folgende Tätigkeiten sind hier zu erwarten: -Testvorbereitung -Testdurchführung -Testabschluss Expertise in folgenden Schlüsseltechnologien Folgende Technologien und Methodiken können grundsätzlich bei Penetrationstests in der HZD erforderlich sein und müssen durch den Auftragnehmer abgedeckt werden: 1.Administration von Webservices, Webanwendungen o Applikationsserver wie z.B. Apache tomcat, Glassfish, JBoss, Wildfly, IIS, etc. o Webserver wie z.B. Apache Webserver, IIS, Squid, SAP Netweaver, NGINX, etc. o Gängige CMS 2.Web-Programmierung Server a)CGI (Perl, C, PHP, Ruby, Python, etc.) b)Java und Java-Frameworks (JSP, JSF, Struts, etc.) c)ASP.NET d)ABAP 3.Web-Programmierung Client (Javascript, JSON; AJAX, etc.) 4.Programmier-Frameworks wie Java, .NET, C++ 5.Weitere Script-Sprachen (Batch, Shellscript, Python, etc.) 6.Server/Client-Technologien o Schnittstellen-Protokolle (z.B. RDP, SSH, POP, SMTP, etc.) o thin/rich Client, fat client, webclient o Middleware-Technologien 7.Mobile Geräte (Tablet, Notebook, IOS- und Android-Smartphones, etc.) 8.Desktop OS (UNIXoide, Microsoft-OS) 9.Server OS (UNIXoide, Microsoft-OS) 10.Mobile OS (Android, IOS) 11.Cloud-Technologien allgemein (Container-Technologien, wie z.B. Docker und deren Orchestrierungs-Engines wie z.B. Kubernetes, Swarm, Podman, etc.), sowie Cloud Sicherheits-Standards (CSA) 12.Netzwerktechnologie und Netzsicherheit (kompletter ISO/OSI Stack) o Netzkoppel- und Lastverteil-Systeme (Router, Switches, Hubs, (VPN-)Gateways, Loadbalancer) o Sicherheitsgateways (Firewalls: Paketfilter, Application Level, Hybrid) o Intrusion Detection und Intrusion Protection Systeme o Virenscanner o Drahtlos-Netz-Technologie (WLAN, Bluetooth, Nearfield, GSM, LTE, etc.) o Netzwerk-Protokolle (IPv4/IPv6, tcp, udp, etc.) 13.Backend- bzw. Datenbank-Technologien (Oracle DB, MSSQL, MySQL, Mari-aDB, PostGreSQL, DB2, SQLite, NoSQL, etc.) 14.SAP-Technologie 15.Telekommunikations-Anlagen 16.Infrastruktur-Einrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung) 17.Methodiken bei der Durchführung von Penetrationstests (z. B. Blackbox- und Whitebox-Szenarien) 18.Kenntnisse und Erfahrungen zum Einsatz von geeigneten Werkzeugen zur Nachbildung von Cyber-Angriffen und Angriffsmustern (z.B. Vulnerabilty-Scanner, Werkzeuge unter Kali LINUX, etc.) 19.Kenntnisse und Erfahrungen mit dem OWASP Testing Guide 20.Kenntnisse und Erfahrungen mit den CIS-Listen der Organisation MITRE 21.Kenntnisse und Erfahrungen in der Nutzung und dem Testen von Large Language Modellen (wie z.B. Chat GPT, Perplexity, etc.) und Bildgenerieren-den KI (wie z.B. Midjourney, Dall-E, etc.) und deren Technologie 22.Kenntnisse und Erfahrungen mit den Service-Modellen IaaS, PaaS, SaaS 23.Kenntnisse und Erfahrungen mit der Nutzung von Private-, Public- und Hybrid Cloud-Lösungen 24.Kenntnisse und Erfahrungen sowohl in der Nutzung als auch in der Fehlersuche und Schwachstellenanalyse bei Container-Technologie wie Docker und den zugehörigen Orchestrierungsmechanismen, wie Swarm/Kubernetes/Podman. Dies wird auch für unterstützende Technologien wie z.B. das RedHat Cloud-Ökosystem und dessen Verwaltung (z.B. über image registrys, Infrastructure as Code, etc.) aber auch anderen Cloud-Ökosystemen, wie OpenStack oder ApacheCloudStack, etc. erwartet. 25.Kenntnisse und Erfahrungen mit Software Composition Analyses (SCA), Static- Dynamic- und Interactive Application Security Testing (SAST, DAST, IAST) 26.Kenntnisse und Erfahrungen mit Active Directory sowie unterstützenden Technologien und Standards wie Kerberos, LAN-Manger, NTLM und LDAP Um eine Ausfallsicherheit zu garantieren und das Vier-Augen-Prinzip zu wahren, sind immer mindestens zwei Tester pro Testprojekt einzuplanen. Ein Pentester hat hierbei die fachliche Leitung im Team. Die fachliche Leitung hat hierbei die Verantwortung für den jeweiligen Pentest, muss aber selbst nicht zwingend operativ daran beteiligt sein. Eine ausführliche Beschreibung ist der Leistungsbeschreibung Los 1 zu entnehmen.