Die Rentenbank passt ihre IT-Sicherheitsarchitektur kontinuierlich und risikobasiert an die aktuelle Bedrohungslage an. Die Vorhaben sind in der „Roadmap IT-Sicherheit“ gebündelt. Diese hat die wesentlichen Ziele die IT-Sicherheitsarchitektur zu implementieren, aktuelle regulatorische Anforderungen der IT-Compliance umzusetzen sowie Maßnahmen aus Prüfungsvorhaben umzusetzen. Die Umsetzung der dazu erforderlichen Maßnahmen erfolgt schrittweise unter Beachtung von Risikogesichtspunkten. Um diese Ziele erreichen zu können, benötigt die Rentenbank externe Beratungsdienstleistungen. Die Implementierung der IT-Sicherheitsarchitektur führt zu einer weitreichenden Änderung in vielen IT-Bereichen, insbesondere • dem Berechtigungsmanagement, • dem Security Monitoring und Security Incident Management, • der Netzwerksicherheit und der operativen IT-Sicherheit, • dem Asset-Management, • der Thread Intelligence & dem Vulnerability Management, • der Anwendungssicherheit. Die Rentenbank überprüft und erweitert kontinuierlich die IT-Sicherheitsarchitektur, um flexibel und nachhaltig auf geänderte Bedrohungslagen und Vorgaben zu reagieren. Im Jahr 2022 wurde die Rentenbank IT einer Prüfung nach § 44 KWG unterzogen. Mit Blick auf die verfolgte Zielsetzung bildet daher die Umsetzung der gegenüber der Aufsicht zugesagten Maßnahmen einen wesentlichen Schwerpunkt. Hierzu benötigt die Rentenbank Unterstützungs- und Beratungsleistungen zu einzelnen Themenstellungen im Bereich der Roadmap IT-Sicherheit im Zuge von Einzelmaßnahmen oder Projekten. Mit dieser Ausschreibung werden die dafür erforderlichen Beratungsleistungen für folgende Themen vergeben: • die kontinuierliche Erweiterung und Anpassung der Zielarchitektur an die aktuelle Sicherheitslage, • Ausbau des Security Monitoring und Security Incident Management, z.B. Evaluierung einer EDR-Lösung (Endpoint Detection and Response) mit Ausbau zu Host Isolation sowie Evaluierung des Einsatz eines SOAR-Systems (Security Orchestration, Automation and Response), • kontinuierliche Erweiterung des Identity & Access Management, z.B. Digitale Anbindung aller Anwendungen an das Active Directory/ Omada Identity und Ausbau SSO, • Erweiterung des Asset Management, z.B. Etablierung eines umfassenden Asset-Management inkl. Asset Bewertung, Asset-Beziehungen und Integration des Asset Managements in wesentliche Bereiche der IT-Sicherheitsarchitektur (IAM, Netzwerk, SIEM, Endpoint Protection, Schwachstellenscan), • kontinuierliche Erweiterung der Netzwerksicherheit, z.B. die Umsetzung einer dynamischen Netzwerksegmentierungsstrategie sowie der Zielarchitektur IDS/IPS, • die Umsetzung der Zielarchitektur Schwachstellenmanagement, z.B. Erweiterung der Automatisierung im Schwachstellenmanagement, • Unterstützungsleistungen bei der Sicherstellung der IT-Compliance (z.B. Abarbeitung von Feststellungen aus der IT44-Prüfung), • das Projektmanagement auf Programm- und Projektebene sowie begleitendes Test-, Anforderungs- und Qualitäts-Management. Die Beratungsleistungen sind Teil des Transformationsprozesses der Rentenbank hin zu einer zukunftsfähigen und tragfähigen IT-Architektur. Ziel ist die Schaffung von ausreichender Flexibilität für die Umsetzung der zu erwartenden Geschäftsanforderungen sowie der aufsichtsrechtlichen bzw. gesetzlichen Anforderungen. Dazu werden insbesondere folgende Beratungsleistungen benötigt, die im Rahmen von Einzelbeauftragungen abgerufen werden sollen: • Los 1: Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld: o Implementierungsberater/Senior-Implementierungsberater für alle beschriebenen Bereiche der IT-Sicherheit o Architekt/Senior Architekt o Schnittstellen-Entwickler o Fachberater o Senior Fachberater • Los 2: ITB (IT Betrieb)-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld: o Providermanagement o Benutzer-Administration im Projektkontext o Datenbank-Administration / Applikationsbetrieb Windows / Linux im Projektkontext • Los 3: Projektleitung, PMO und Querschnittsfunktionen – Berater im IT-Sicherheitsumfeld: o Projektleitung o Projektunterstützung (PMO) o Test- und Releasemanagement o Ressourcenmanagement Zur Beschaffung der benötigten Beratungsleistungen soll eine Rahmenvereinbarung mit mindestens drei und höchstens zwölf Unternehmen je Los abgeschlossen werden. Auf Basis dieser Rahmenvereinbarung wird die Rentenbank ihren Bedarf an Beratungsdienstleistungen durch Abschluss zeitlich befristeter Einzelaufträge decken. Die Einzelaufträge werden im Wettbewerb zwischen den Rahmenvereinbarungspartnern gemäß § 21 Abs. 4 und 5 VgV vergeben. Die Einzelheiten der zu erbringenden Leistung ergeben sich aus dieser Leistungsbeschreibung, die im Zuschlagsfall Bestandteil der Rahmenvereinbarung wird, und den Einzelaufträgen, die nach Abschluss der Rahmenvereinbarung erteilt werden. Die Rahmenvereinbarung hat eine Laufzeit von 24 Monaten. Die Laufzeit kann durch die Rentenbank zweimal um jeweils 12 Monate verlängert werden. Die Rahmenvereinbarung wird für jedes Los individuell geschlossen. | Los 1: Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld | Los 2: ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld | Los 3: Projektleitung, PMO und Querschnittsfunktionen – Beratungsleistungen im IT-Sicherheitsumfeld