Die ETH fragt nach Basisinformationen für ihre IT-Security

25. März 2020, 15:02
image

Die Security-Verantwortlichen wollen die komplexe Endpoint-Landschaft zukunftsfähig machen. Mit einem RFI als Startpunkt.

Die ETH Zürich ist eine normale, grosse Organisation mit komplexer ICT-Landschaft, und auch für die ETH ist es anspruchsvoll, in der eigenen Security den Überblick zu behalten. Dies soll sich ändern. Die Hochschule sucht mit einem Request for Information (RFI) Unterstützung dabei, den IT-Grundschutz im Bereich Schwachstellenmanagement und Compliance in Etappen zu steigern.
Per RFI möchte die ETH nun vorerst einen Vorschlag für einen möglichen groben Lösungsansatz für die Bereitstellung von Basisinformationen erhalten. Dies sei ein Schritt in einem längerfristigen ETH-Projekt namens "System Health", heisst es in der Simap-Ausschreibung.
Es geht also nicht darum, Firewalls zu kaufen oder ein SOC aufzubauen. Es geht bei dieser Phase des Projekts "System Health" darum, zuerst überhaupt einmal unterschiedliche Lösungen kennenzulernen. "Mit diesem RFI möchten die Informatikdienste der ETH Zürich den Markt und die Produkte im Bereich Schwachstellenmanagement und Compliance von IT-Endgeräten kennenlernen."
Also muss man Antworten auf Fragen bieten, die von Preismodellen für Lösungen über deren Integrationsfähigkeit/Schnittstellen, Skalierbarkeit, Cloud vs. On-Prem bis hin zum Dashboard und dem Support reichen. Und natürlich die dazugehörigen Herausforderungen und Lösungsideen skizzieren.

Umfassender Überblick über die Endpoints

Hat man diese Basisinformationen, will die ETH fähig sein, mit einer neuen Ausschreibung den Aufbau einer "System-Health"-Plattform zu starten. Allgemeine Ziele des Projekts sind schon formuliert: "Es soll Transparenz über die IT-Sicherheitszustände der Endgeräte im Netz der ETH Zürich schaffen und zur Verkürzung von Reaktionszeiten bei der Behebung der Schwachstellen beitragen." Des Weiteren wollen die IT-Security-Verantwortlichen der ETH dereinst einen umfassenden, schnellen Überblick über den Zustand ihrer Endpoints haben, um rasch reagieren zu können.
Über deren Security-Zustand wissen sie nämlich bis anhin offenbar nicht viel: Unbekannt seien die Aktualisierungen (Patches), Virenschutz-Software (Produkte, Incidents) und Konfigurationen (Systemeinstellungen, Personal Firewall). Und die ETH-Informatiker würden gerne eine ziemlich vielfältige, komplexe und grosse Device-Landschaft im Auge behalten: Je nach Jahreszeit geht es um 50'000 bis 100'000 Devices aller Art, von BYOD-Devices über IoT-Hardware bis hin zu Servern "mit praktisch allen verbreiteten Betriebssystemen".
Auch würden die Endpoints auf unterschiedliche Weise administriert, manche von Externen. Zum Netzwerk hält die Ausschreibung fest, dieses sei in rund 180 Zonen unterteilt, wobei vor jeder Zone eine Firewall wache.
Damit das klargestellt sei: Die ETH hat nicht die Security einfach vernachlässigt, Schatten-IT oder ein "Jekami" zugelassen. Die technische und organisatorische Vielfalt ist auch der ETH-Organisation, der Wissenschaft und deren Arbeitsweisen geschuldet. "Ein hoher Grad an institutioneller Autonomie, die internationale Einbettung der wissenschaftlichen Einheiten, die starke Internetpräsenz der ETH Zürich, die hohen Anforderungen an IT-Services aller Art, die hohen personellen Fluktuationen (Doktoranden, Gäste, Studierende …), sowie die dezentrale IT-Steuerung, führen insgesamt zu einer grossen Komplexität von IT-Infrastruktur und IT-Services, sowie – damit einhergehend – des IT-Sicherheitsmanagements", halten die Verantwortlichen fest.
Zu den Teilnahmebedingungen halten die Verantwortlichen fest: "Dieser RFI und dessen Publikation stellen kein Ausschreibungsverfahren dar. Der RFI dient ausschliesslich der Information." Damit seien keine weitergehenden Aufträge garantiert. Eine Vergütung der Aufwände gibt es keine.

Loading

Mehr zum Thema

image

Neue Chefin für das BSI

Die Tech-Expertin Claudia Plattner soll die Spitze des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) übernehmen, nachdem das Amt monatelang unbesetzt war.

publiziert am 7.2.2023
image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

EFK: Skyguide muss das Continuity Management verbessern

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

publiziert am 7.2.2023
image

Bard vs. Ernie vs. ChatGPT: Der Wettlauf um die Vormacht im Internet

Microsoft treibt zusammen mit OpenAI Konkurrenten wie Google vor sich her. Auch in China soll demnächst ein mächtiges KI-Tool lanciert werden.

publiziert am 7.2.2023