In Bern soll ein Security Operations Center (SOC) für die kantonale Polizei entstehen. Auf der Ausschreibungsplattform Simap wird ein Security-Dienstleister gesucht, welcher das "gesamtheitliche SOC" zusammen mit der Kapo aufbaut und den externen Teil betreibt. Für den Krisenfall wird bei der Polizei ein gemeinsamer "War Room" eingerichtet, heisst es in den Ausschreibungsunterlagen. Der Vertrag beginnt bereits am 1. November, die Kapo hofft am 1. Mai 2022 das SOC in Betrieb nehmen zu können.

Die Kantonspolizei habe vor einigen Jahren Splunk als Monitoring-Plattform aufgebaut, die von einer hauseigenen Betriebsorganisation für das interne Monitoring betrieben werde, heisst es in den Unterlagen. Zudem wird derzeit Cortex XDR von Palo Alto Networks für das Endpoint-Monitoring eingeführt. Zusammen mit dem Fachbereich Digitale Forensik der Kriminalpolizei sowie einem internen SOC Service Manager, dessen Rolle derzeit etabliert würde, stünden bereits wichtige interne Ressourcen zur Verfügung.

Diese reichen aber für die rasche Behandlung von Vorfällen nicht aus, wie die Kapo Bern in den Unterlagen einräumt. Der gesuchte Partner soll nun bei der Überwachung der Netzwerke und Systeme sowie der möglichst raschen Erkennung und Behandlung von sicherheitsrelevanten Anomalien mithelfen. Insbesondere die Endgeräte soll er im Auge behalten: Rund 700 Server und 3200 Clients.

Der Gewinner der Ausschreibung muss dafür nicht notwendig Cortex XDR weiterbetreiben, heisst es. Splunk will die Kapo behalten. Die Quelldaten können für die Analyse innerhalb der Netzwerk-Infrastrukturen der Kapo oder auch in einer sicheren, externen Cloud bearbeitet werden, wenn für letztere die notwendigen Nachweise für Sicherheit erbracht werden.

Der externe Dienstleister muss die Organisationsstrukturen sowie die bereits bestehenden technischen Lösungen einbinden, um Doppelspurigkeit zu vermeiden, heisst es in der Ausschreibung. Er soll ab dem 1. November eine erste Ausgestaltung des SOC realisieren, umsetzen und betreiben sowie für Incident Response zur Verfügung stehen. Das heisst, er soll proaktive Überwachung sicherstellen, Alerts automatisch auswerten und Reports erstellen. Im Bedarfsfall soll er auf Angriffe reagieren und sich dafür mit dem Informatik-Betrieb und dem SOC-Service-Manager abstimmen.