Derzeit betreibt die Abteilung Informationssicherheit im Kanton Aargau ein Security Operations Center (SOC), welches das Netzwerk der Kantonsverwaltung überwacht. Darüber hinaus werden dort "auftretende Sicherheitsereignisse, das Krisenmanagement und das Schwachstellenmanagement" abgewickelt, so heisst es im Pflichtenheft zu einer laufenden Ausschreibung des Kantons.

Die Aargauer suchen für den Ausbau dieser Dienstleistungen und für den 24-Stunden-Betrieb einen externen Anbieter, der die Aufgaben "ganz oder teilweise" übernimmt, wie es weiter heisst. Angestrebt wird ein hybrider Ansatz mit dem Provider, also eine Zusammenarbeit der internen IT mit dem externen SOC-Betreiber.

Die Datenhaltung soll auf den bestehenden Systemen der Abteilung Informatik des Kantons bestehen bleiben. Der externe Anbieter soll deshalb seine "Analysefähigkeit auf der bestehenden cloudbasierten Lösung implementieren und sinnvoll mit seiner Plattform verknüpfen". Eine Spiegelung der Logdatei in die Umgebung des Anbieters sei nicht vorgesehen. Zudem soll der Monitoring-Aufwand für Mitarbeitende der kantonalen Verwaltung minimiert werden.

Vorgesehen ist ein dreistufiges System: Der Dienstleister soll die Logdatei auf sicherheitsrelevante Ereignisse prüfen, um die sich ein eigener "Tier-1 SOC-Analyst" kümmern soll. Kompliziertere Fälle soll ebenfalls ein eigene "Tier-2 SOC Analyst" behandeln. Erst bei "vertieften oder sehr komplexen Analysen" werde ein Experte aus dem SOC des Kantons als "Tier-3 SOC Analyst" hinzugezogen.

Zur Systemlandschaft des Kantons Aargau zählen 9100 Clients, 900 Windows Server, 500 Linux-Server und 2300 Datenbanken. Im Netzwerkbereich listet das Pflichtenheft 11'000 Active Directory Accounts und 20 Milliarden Hits im Monat auf die Firewall. Eine steigende Anzahl von Systemgeräten soll keinen Einfluss auf die Performance des künftigen hybriden SOCs haben, so eine Anforderung.

Der Dienstleister soll unter anderem fähig sein, Brute-Forcing-, Password-Spraying- und Password-Guessing-Angriffe zu erkennen. Gleiches gilt für Auffälligkeiten im Login-Verhalten von Nutzerinnen und Nutzern oder unautorisierte Fernzugriffe, das Ausführen von unautorisierter Software, Ransomware oder Datenabfluss übers Netzwerk und vieles mehr.

Ziel des Kantons ist es, dass der Regierungsrat bis spätestens Ende August den Vergabeentscheid fällt. Im 4. Quartal 2024 soll der Grosse Rat den entsprechenden Beschluss fassen und anschliessend sollen die Verträge unterzeichnet werden. Der Start mit dem evaluierten Anbieter ist frühestens zum 1. Januar 2025 vorgesehen. Nicht zugelassen ist die Firma Oneconsult, da diese an einer Vorstudie und bei der Erstellung der Unterlagen für die Ausschreibung beteiligt war.