Ausschreibung "Durchführung einer IT-Sicherheitssensibilisierung 2019"

Öffentliche Ausschreibung

Durchführung einer IT-Sicherheitssensibilisierung 2019

Gegenstand der Ausschreibung

Sensibilisierung von Behördenmitarbeitern für Belange der IT-Sicherheit: Wir sind verpflichtet, als integrierten Bestandteil von Maßnahmen zur Verbesserung der IT-Sicherheit entsprechende Sensibilisierungsmaßnahmen durchzuführen.
Die hier vorgesehene Sensibilisierungsmaßnahme soll an aktuellen Bedrohungsszenarien in der IT-Sicherheit ansetzen: Entsprechend der zu erwartenden hauptsächlichen Angriffsszenarien werden Gruppen von Mitarbeitern gebildet, denen unangekündigt eine vorgetäuschte Nachricht zugestellt werden soll, die unter realen Bedingungen Bedrohungspotenzial hätte. Bei den Nachrichtenwegen handelt es sich vorzugsweise um e-Mails; für zumindest eine der Gruppen soll auch der Zugang über Social Media in Erwägung gezogen werden.
Die Zuordnung der Mitarbeiter zu den Gruppen wird vom Auftraggeber in Abhängigkeit von der typischen Arbeitsaufgabe und dem damit einhergehenden Bedrohungspotenzial vorgenommen. Untersucht werden soll, inwieweit tatsächlich von den Betroffenen der Sachverhalt erkannt und danach sachgerecht gehandelt wurde. Das soll in anonymisierter Form ausgewertet und anschließend in gruppenorientierten Workshops mit mindestens 10 und maximal 25 Teilnehmern diskutiert werden. Jeder Workshop soll nur Mitarbeiter der gleichen Gruppe betreuen. Die Workshops werden in deutscher Sprache durchgeführt.
Der Anbieter soll nach der Aufforderung zum Angebot ein Konzept vorschlagen, wie die beabsichtigte Sensibilisierungsmaßnahme für vier noch näher zu bestimmende Gruppen bei insgesamt ca. 240 zu sensibilisierenden Mitarbeitern technisch und organisatorisch umgesetzt werden kann. Das Konzept soll Vorschläge beinhalten, wie die Injektion der vorgetäuschten Nachrichten und die Erfassung möglicher Fehlhandlungen erfolgen sollen. Soweit dafür spezifische Tools erforderlich sind, müssen diese vom Anbieter bereitgestellt werden. Falls diese Tools in der IT-Struktur des AG ausgeführt werden müssen, ist durch Konsultation des IT-Bereichs des AGs sicherzustellen, dass das technisch ohne Beeinträchtigung oder Gefährdung anderer Geschäftsprozesse realisierbar ist.

Nach Auftragserteilung soll der Anbieter das Konzept praktisch umsetzen mit den Schritten
- Erstellung der vorgetäuschten Nachrichten mit einem Level, das der „Qualität“ der aktuell bekannten Versuche zum Download von Schadsoftware entspricht.
- Injektion der vorgetäuschten Nachrichten in die entsprechenden Kanäle
- Erfassung der von Benutzern vorgenommenen Fehlhandlungen in anonymisierter Form, jedoch gruppenspezifisch
- Durchführung der Workshops, wobei von 16 Workshops mit 10 – 25 Teilnehmern mit einer Dauer von jeweils 1,5 h ausgegangen wird.

Art des Auftrags

Dienstleistung

Erfüllungsort (Bundesland):

Thüringen

Die Ausschreibung ist bereits beendet, weil die Angebotsfrist abgelaufen ist.
Eine Bewerbung um diesen Auftrag ist nicht mehr möglich.

Auftraggeber

99096 Erfurt

Eintragsdatum: 13.08.2019
Angebotsfrist: 29.08.2019