Fähigkeiten | Planung, Steuerung und Controlling | Cyber Security | Success Story | 30. Mai 2024

Verfasst von: Peter Flütsch

Wie von «Inside IT» berichtet

haben die Kantone Appenzell Ausserrhoden, Appenzell Innerrhoden, Glarus, Schaffhausen, St. Gallen und Thurgau, unter der Federführung des Kantons St.Gallen, gemeinsam Dienstleistungen und IT-Services im Bereich eines Security Operations Center (SOC) bzw. eines Security Information and Event Managements (SIEM) beschafft. Damit soll die Resilienz der Kantone gegenüber Cyberangriffen gestärkt und gemeinsame Synergien genutzt werden.

Die CSP durfte diese Ausschreibung von der Erarbeitung der Beschaffungsstrategie, über die Erhebung der Anforderungen bis zum Vergabeentscheid begleiten und war mit einem Beschaffungsspezialisten und einem Security Consultant im kantonsübergreifenden Projekt vertreten.

Da die Ausgangslage in jedem Kanton unterschiedlich ist, war eine fundierte Anforderungsanalyse notwendig. In einer ersten Phase wurde daher die IST-Situation rund um das Thema SOC in allen Kantonen erhoben. Analysiert wurden dabei insbesondere folgende Bereiche:

  • 24×7 SOC mit entsprechenden Security-Analysten
  • Security Incident-Response und IT-Forensik
  • Security Information and Event Management (SIEM)
  • Endpoint Detection and Response (EDR) und Network Detection and Response (NDR)
  • Verwundbarkeitsmanagement
  • Umsetzung von spezifischen SIEM Use-Cases

Die in den Kantonen bereits eingesetzten Sicherheitslösungen wurden beurteilt, damit die zu beschaffenden SOC-Dienstleistungen ergänzend dazu ausgeschrieben werden konnten. Sämtliche Dienstleistungen wurden «as a service» (extern erbrachte Dienstleistung auf Abonnementbasis) ausgeschrieben und on-prem (vor Ort installierte) Komponenten nur dort wo zwingend notwendig zugelassen. Der Beschaffungsgegenstand basierte zusammenfassend auf die unten in roter Schrift aufgeführten Dienstleistungen und Services:

Im Bereich SIEM wurden unterschiedliche Lösungsansätze angeboten. Einige Anbietende setzten auf wenige wichtige und dafür gut getestete SIEM Use-Cases und andere verfolgten die Strategie, möglichst viele Logdaten in einem zentralen Datalake zu sammeln und basierend darauf mögliche Anomalien zu detektieren und potenzielle Security-Alerts zu generieren. Auch bei der SIEM-Architektur zeigten sich unterschiedliche Lösungsansätze – vom umfassenden Einsatz von Cloud-Lösungen wie bspw. Microsoft Sentinel bis zu on-prem Log-Management-Lösungen zur Triagierung der relevanten Log-Events.

Bei einer SOC-Beschaffung sind folgende Punkte zu beachten:

  • Ein externes SOC löst nicht «mit Zauberhand» alle Security-Herausforderungen. Eine sinnvolle Einbettung in bestehende Prozesse, Produkte und Fähigkeiten eines Unternehmens ist zentral. Abhängig von der Grösse und Heterogenität des Unternehmens sind interne Ressourcen für eine effektive Integration des externen SOC unerlässlich.
  • Viele SOC-Anbieter setzen eine ihnen bekannte EDR /XDR Lösung voraus, ohne die bei einem Security-Incident eine effiziente und effektive Reaktion kaum möglich wäre.
  • SOC-Anbieter verfolgen unterschiedliche Lösungsansätze. Entweder man ist in Bezug auf die Architektur und die eingesetzten Produkte offen oder es besteht die Gefahr, einzelne Anbieter mit spezifischen Anforderungen auszuschliessen.
  • Das tägliche Logvolumen kann je nach SIEM-Lösungsansatz und den damit offerierten Produkten ein grosser Kostentreiber sein.

Dank der Kombination des Expertenwissens der CSP aus den Bereichen öffentliche Beschaffung und Cybersecurity konnte die Ausschreibung für die 6 Ostschweizer Kantone zur vollen Zufriedenheit (hinsichtlich Zeit, Kosten und Qualität) des Auftraggebers abgeschlossen werden. Mit der Vergabe wurde die Grundlage für die Nutzung von Synergien und den Austausch von Fachwissen im Bereich SOC zwischen den 6 Kantonen gelegt.

Planen auch Sie eine öffentliche Beschaffung im Bereich Cybersecurity und wären froh um Unterstützung? Dann nehmen Sie mit Peter Flütsch, Expert Security Consultant und Partner, Kontakt auf.