Beschreibung
TätigkeitenbeschreibungBeschreibung des Projekt-/ Verfahrenskontexts
Die Leistungen des Auftragnehmers (Dienstleisters) werden für das Projekt IT-Security erbracht. Dieses hat folgenden Inhalt:
Das IT-Sicherheitsgesetz sowie die im Juni 2017 in Kraft gesetzte Erste Verordnung zur Änderung der BSI-Kritisverordnung definieren neue, höhere Anforderungen an die IT-Sicherheit der DB Netz AG. Die DB Netz AG ist Betreiber kritischer Infrastruktur im Sinne der Verordnung. Diese höheren Anforderungen sind bis Juni 2019 auditreif umzusetzen. Die entsprechende Ausgestaltung wird die DB Netz AG zunächst in Projektform und durch zusätzliche Beraterunterstützung starten und später in eine Linienorganisation überführen.
Die DB Netz AG ist das Schieneninfrastrukturunternehmen der Deutschen Bahn AG. Mit rund 41.000 Mitarbeitern ist sie für das rund 33.300 Kilometer lange Streckennetz inklusive aller betriebsnotwendigen Anlagen verantwortlich. Pro Tag fahren auf der Infrastruktur der DB Netz AG im Schnitt 40.000 Züge. So konnte die DB Netz AG in 2016 einen Umsatz von über 5,5 Milliarden Euro erwirtschaften.
Zentrale Aufgabe ist es, den rund 420 Eisenbahnverkehrsunternehmen eine Infrastruktur in hoher Qualität und Verfügbarkeit diskriminierungsfrei zur Verfügung zu stellen und den Betrieb der Infrastruktur zu managen. Dazu gehören die Erstellung von Fahrplänen in enger Zusammenarbeit mit den Kunden, die Betriebsführung sowie das Baumanagement und die Instandhaltung. Hinzu kommt die Weiterentwicklung der Schieneninfrastruktur durch Investitionen in das bestehende Netz, in moderne Leit- und Sicherungstechnik sowie in Neu- und Ausbaustrecken.
Zur Erfüllung dieser Aufgaben werden Informationstechnik, Kommunikationstechnik und Leit- und Sicherungstechnik eingesetzt. Alle drei Technikfelder sind Inhalt dieses Projektes und betrachtungsgegenstand der IT-Sicherheit.
Gegenstand des Vertrags
Der Dienstleister erbringt folgende Leistungen:
Informieren
Veröffentlichen und Verbreiten von Informationen bzw. Warnungen über Intrusions, Sicherheitsschwachstellen und Sicherheitsanweisungen.
Bereitstellen von Informationen über neue Entwicklungen mit mittel- bis langfristigen Auswirkungen, wie neu gefundene Schwachstellen oder hackingtools, bevor sie ausgenutzt werden können.
Entwicklung der Technik verfolgen
Verfolgen und Beobachten neuer technischer Entwicklungen, Einbruch-Szenarien und verwandter Trends, um zukünftige Bedrohungen identifizieren zu können.
Verknüpfung von rechtlichen und legislativen Vorgaben sowie sozialer oder politischer Bedrohungen in die technologischen Überlegungen.
Auswerten von Sicherheits-Mailing-Listen, Sicherheits-Websites und aktuellen Nachrichten und Zeitschriftenartikeln in den Bereichen Wissenschaft, Technologie, Politik und Verwaltung, um Informationen zu erhalten, die für die IT-Sicherheit relevant sind.
Beraten bei der Erstellung von Ankündigung, Richtlinien oder Empfehlungen, die auf mittel- bis langfristige Sicherheitsfragen ausgerichtet sind
Sicherheits-Audits bzw. Assessments
Erarbeitung von Audit-Plänen zur detaillierte Überprüfung und Analyse der Sicherheitsinfrastruktur des Unternehmens, basierend auf den geltenden Richtlinien der Organisation oder anderen Industriestandards
Überprüfung der organisatorischen Sicherheitspraktiken und –Prozesse bezüglich der Einhaltung von internen organisatorischen Sicherheitsstandards (Compliance Check“)
Entwicklung einer abgestimmten Vorgehensweise mit denen die Tests oder Bewertungen durchgeführt werden.
Infrastrukturprüfung
manuelles Überprüfen der Hardware- und Softwarekonfigurationen, Router, Firewalls, Server und Desktop-Geräte, um sicherzustellen, dass sie mit den Sicherheitsrichtlinien und Standardkonfigurationen des Unternehmens oder branchenweit gültigen Methoden übereinstimmen
Best Practice Review durch Befragung von Mitarbeitern und System- und Netzwerkadministratoren, um festzustellen, ob ihre Sicherheitspraktiken mit der definierten Informationssicherheits-Politik und Industriestandards übereinstimmen
Scanning mittels Vulnerability- oder Virenscannern, um festzustellen, welche Systeme und Netzwerke anfällig sind
Penetrationstest zur Prüfung der Sicherheit von IT-Services durch gezielte Angriff auf ihre Systeme und das Netzwerke
Identifizieren und Bereitstellen von geeigneten Anleitungen zur sicheren Konfiguration und Wartung von Tools, Anwendungen und Systemen
Beratung bei der Entwicklung bzw. Beschaffung von Sicherheitstools
Anforderungsprofil an Erfüllungsgehilfen (externe Fachkräfte)
Gewichtung fachliche Anforderungen: 70%, davon
Methodische Kompetenzen (30%)
Fachliche Kompetenzen (40%)
Technische Kompetenzen (30%)
Muss-Anforderungen
Kenntnis allgemein gültiger Normen und Gesetze zur IT-Sicherheit
Hohe Affinität zu Themen der IT-Sicherheit
Erarbeitung und Präsentation von Reports / Lageberichten
Beherrschen moderner wissenschaftlicher, analytischer Arbeitsmethodik im Bereich IT-Security
fundierte Kenntnisse aktueller Betriebssysteme
Erfahrung mit aktiven Netzwerk- und Netzwerksicherheitskomponenten
Vertrautheit mit Monitoring- und Analysewerkzeugen und der Funktionalität von Security Systemen
Koordinationskompetenz und Ergebnisorientierung
Fähigkeit zur Problemanalyse und zu konzeptioneller Arbeit
Präsentations-Skills
Problemlösungsorientierte Arbeitsweise
Teamorientierte Verhandlungsführung
Soll-Anforderungen
Branchenwissen, besonders DB bzw. DB Netz
technisches Verständnis für Bahnspezifische Technische Infrastrukturen
Hohes Maß an Eigeninitiative, Selbständigkeit und Kreativität