Für ein Projekt im Umfeld der operativen IT-Sicherheit suchen wir externe Unterstützung mit nachgewiesener Erfahrung im Bereich DDoS-Tests und DDoS-Schutzmechanismen.

Hintergrund und Zielsetzung

Im Rahmen eines Projekts zur operativen IT-Sicherheit verfolgt ein Finanzinstitut das Ziel, die Widerstandsfähigkeit seiner IT-Infrastruktur gegenüber Distributed-Denial-of-Service-Angriffen (DDoS) systematisch zu überprüfen und weiter zu erhöhen.

Hierzu sollen strukturierte, kontrollierte und revisionssichere DDoS-Tests konzipiert, durchgeführt und ausgewertet werden. Für diese Aufgaben wird eine externe, spezialisierte Unterstützung gesucht, die über nachgewiesene Erfahrung in der Durchführung von DDoS-Tests in komplexen, hochverfügbaren und regulierten IT-Umgebungen verfügt.

Leistungsgegenstand:

Gegenstand der Beauftragung ist die fachliche und technische Unterstützung bei der Konzeption zur Validierung bestehender bzw. neu implementierter DDoS-Schutzmaßnahmen innerhalb einer komplexen IT-Landschaft.

Daran anschließend könnte in einer weiteren Beauftragung auch die Durchführung und Auswertung von DDoS-Tests erfolgen.

Der Auftragnehmer erbringt insbesondere folgende Leistungen:

• Analyse der bestehenden DDoS-Schutz-Architektur sowie der relevanten System- und Netzwerklandschaft

• Konzeption eines ganzheitlichen DDoS-Testkonzepts, inklusive

- Definition geeigneter Testarten und Angriffsszenarien
- Festlegung von Erfolgskriterien, Messgrößen und Abbruchkriterien
- Berücksichtigung regulatorischer, organisatorischer und betrieblicher Rahmenbedingungen

• Planung kontrollierter DDoS-Simulationen, beispielsweise

- volumetrische Angriffe
- protokollbasierte Angriffe
- Applikations-Layer-Angriffe

• Bewertung der Erkennungs-, Reaktions- und Abwehrmechanismen der eingesetzten DDoS-Schutzlösungen

Qualifikationen und Erfahrungen:

• Mehrjährige, nachweisbare Erfahrung in der Planung und Durchführung von DDoS-Tests in komplexen IT-Infrastrukturen

• Tiefgehendes technisches Verständnis gängiger DDoS-Angriffsarten sowie moderner Abwehr- und

Mitigationsmechanismen

• Erfahrung mit DDoS-Schutzlösungen in On-Premises-, Cloud- oder hybriden Architekturen

• Sehr gute Kenntnisse in Netzwerktechnologien, insbesondere TCP/IP, Routing, Firewalls und Load-Balancer

• Mehr als 10 Jahre Erfahrung im geforderten komplexen Aufgabenumfeld

• Mehr als 5 Jahre Erfahrung in regulierten Umfeldern (z. B. Finanzsektor oder KRITIS) von Vorteil

• Kenntnisse der Sicherheitsstandards im Banken- bzw. Finanzumfeld sind wünschenswert

• Erfahrung bei der Bearbeitung und Schließung von Feststellungen der Bankenaufsicht

• Hohes Kommunikationsvermögen zur Abstimmung mit Stakeholdern

(Projektleitung, IT-Sicherheit, Revision, Wirtschaftsprüfer)

• Deutsch und Englisch verhandlungssicher

Stundensatz Remote Addons