Kanton Aargau will sein SOC teil-outsourcen

3. April 2024 um 10:45
image
Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4

Ein externer Anbieter soll das Security Operations Center (SOC) des Kantons übernehmen und ausbauen. Angestrebt wird ein hybrider Ansatz.

Derzeit betreibt die Abteilung Informationssicherheit im Kanton Aargau ein Security Operations Center (SOC), welches das Netzwerk der Kantonsverwaltung überwacht. Darüber hinaus werden dort "auftretende Sicherheitsereignisse, das Krisenmanagement und das Schwachstellenmanagement" abgewickelt, so heisst es im Pflichtenheft zu einer laufenden Ausschreibung des Kantons.

Zusammenarbeit zwischen interner IT und externem Dienstleister

Die Aargauer suchen für den Ausbau dieser Dienstleistungen und für den 24-Stunden-Betrieb einen externen Anbieter, der die Aufgaben "ganz oder teilweise" übernimmt, wie es weiter heisst. Angestrebt wird ein hybrider Ansatz mit dem Provider, also eine Zusammenarbeit der internen IT mit dem externen SOC-Betreiber.
Die Datenhaltung soll auf den bestehenden Systemen der Abteilung Informatik des Kantons bestehen bleiben. Der externe Anbieter soll deshalb seine "Analysefähigkeit auf der bestehenden cloudbasierten Lösung implementieren und sinnvoll mit seiner Plattform verknüpfen". Eine Spiegelung der Logdatei in die Umgebung des Anbieters sei nicht vorgesehen. Zudem soll der Monitoring-Aufwand für Mitarbeitende der kantonalen Verwaltung minimiert werden.

Dreistufiges Warnsystem

Vorgesehen ist ein dreistufiges System: Der Dienstleister soll die Logdatei auf sicherheitsrelevante Ereignisse prüfen, um die sich ein eigener "Tier-1 SOC-Analyst" kümmern soll. Kompliziertere Fälle soll ebenfalls ein eigene "Tier-2 SOC Analyst" behandeln. Erst bei "vertieften oder sehr komplexen Analysen" werde ein Experte aus dem SOC des Kantons als "Tier-3 SOC Analyst" hinzugezogen.
Zur Systemlandschaft des Kantons Aargau zählen 9100 Clients, 900 Windows Server, 500 Linux-Server und 2300 Datenbanken. Im Netzwerkbereich listet das Pflichtenheft 11'000 Active Directory Accounts und 20 Milliarden Hits im Monat auf die Firewall. Eine steigende Anzahl von Systemgeräten soll keinen Einfluss auf die Performance des künftigen hybriden SOCs haben, so eine Anforderung.

Oneconsult darf nicht mitmachen

Der Dienstleister soll unter anderem fähig sein, Brute-Forcing-, Password-Spraying- und Password-Guessing-Angriffe zu erkennen. Gleiches gilt für Auffälligkeiten im Login-Verhalten von Nutzerinnen und Nutzern oder unautorisierte Fernzugriffe, das Ausführen von unautorisierter Software, Ransomware oder Datenabfluss übers Netzwerk und vieles mehr.
Ziel des Kantons ist es, dass der Regierungsrat bis spätestens Ende August den Vergabeentscheid fällt. Im 4. Quartal 2024 soll der Grosse Rat den entsprechenden Beschluss fassen und anschliessend sollen die Verträge unterzeichnet werden. Der Start mit dem evaluierten Anbieter ist frühestens zum 1. Januar 2025 vorgesehen. Nicht zugelassen ist die Firma Oneconsult, da diese an einer Vorstudie und bei der Erstellung der Unterlagen für die Ausschreibung beteiligt war.

Loading

Mehr erfahren

Mehr zum Thema

image

Thurgau beginnt mit der M365-Einführung

Für die kantonale Verwaltung soll ein "umfassender digitaler Arbeitsplatz" auf Microsoft-Cloud-Basis umgesetzt werden.

publiziert am 16.4.2024
image

Was das Unispital Zürich von seinem KIS-Anbieter erwartet

Das USZ hat eine Ausschrei­bung für ein neues Klinik­informations­system publiziert. Zunächst trifft das Spital eine Vorauswahl.

publiziert am 15.4.2024
image

Deutsche Hilfe für Schweizer Drohnen

Der deutsche Rüstungskonzern Diehl Defence soll Drohnen des Schweizer Unternehmens Skysec Defence zur militärischen Drohnenabwehr weiter entwickeln.

publiziert am 15.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024