Was ist ein NDR-Leistungsverzeichnis?
Network Detection & Response (NDR) analysiert den Netzwerkverkehr in Echtzeit, um Angriffe zu erkennen, die andere Sicherheitslösungen umgehen. Durch Deep Packet Inspection und KI-basierte Verhaltensanalyse erkennt NDR laterale Bewegungen, Command-and-Control-Kommunikation und Dateiexfiltration im Netzwerk.
Unser Muster-LV für NDR richtet sich an Organisationen, die ihr Netzwerk umfassend überwachen und bei einem Sicherheitsvorfall schnell reagieren möchten, auch ohne Endpoint-Agent auf jedem Gerät.
Leistungsumfang des Muster-LV NDR
Netzwerk-Sensorik
Network Detection and Response setzt an einem Punkt an, den klassische Endpoint-Security nicht erreicht: dem Netzwerkverkehr selbst. Wir haben Abschnitt A darauf ausgerichtet, weil viele Behörden und KRITIS-Betreiber Geräte im Netz betreiben, auf denen kein Endpoint-Agent installiert werden kann, etwa Drucker, Steuerungsanlagen oder medizinische Geräte. Passives Monitoring über TAP- oder SPAN-Ports ermöglicht die Überwachung des gesamten Netzwerksegments ohne Eingriff in den laufenden Betrieb.
Die Anforderungen an unterstützte Bandbreiten und Protokollabdeckung haben wir bewusst offen formuliert, um Lösungen wie Darktrace, ExtraHop Reveal(x) oder Corelight nicht auszuschließen. Für Betreiber kritischer Infrastrukturen mit OT- und ICS-Umgebungen, beispielsweise Stadtwerke oder Kliniken, ist die optionale Unterstützung für OT-Protokolle wie Modbus, DNP3 oder PROFINET ein wesentliches Differenzierungsmerkmal, das das Leistungsverzeichnis explizit adressiert.
Analyse & Erkennung
Unsere Erfahrung zeigt, dass Behörden NDR-Lösungen vor allem dann unterschätzen, wenn der Analysemechanismus auf reine Signaturerkennung reduziert wird. Wir haben diesen Abschnitt auf verhaltensbasierte Erkennung ausgerichtet: Deep Packet Inspection für Protokollanomalien, Baselining des normalen Netzwerkverhaltens und die Erkennung lateraler Bewegungen, also des Versuchs von Angreifern, sich nach einem initialen Einbruch seitwärts durch das Netzwerk zu bewegen. Das MITRE ATT&CK-Framework klassifiziert „Lateral Movement" (Taktik TA0008) als eine der zentralen Angriffsphasen – NDR ist die einzige Technologieklasse, die diese Bewegungen netzwerkbasiert und ohne Endpoint-Agent zuverlässig aufdeckt.[1] Vectra AI und Cisco Secure Network Analytics sind hier unter den führenden Lösungen im öffentlichen Sektor.
Encrypted Traffic Analysis ist ein Anforderungsfeld, das in vielen älteren Ausschreibungen fehlt, obwohl der Anteil verschlüsselter Angriffskommunikation kontinuierlich steigt. Wir haben diese Anforderung in das Leistungsverzeichnis aufgenommen, weil eine NDR-Lösung ohne Analyse verschlüsselten Traffics blinde Flecken produziert. Stamus Networks und ExtraHop bieten hier besonders ausgereifte Analysefähigkeiten.
Response & Integration
Ein NDR-System, das nur erkennt, aber nicht handeln kann, ist für KRITIS-Betreiber und sicherheitssensible Behörden unzureichend. Wir haben Abschnitt C mit Anforderungen an aktive Netzwerk-Isolierung, automatisiertes Blocking über Firewall-APIs sowie SIEM- und SOAR-Integration ausgestattet. Der BSI-Lagebericht 2024 stellt fest, dass Cyberangriffe auf Behörden und kommunale Infrastrukturen in ihrer Komplexität weiter zunehmen – ein zentrales Argument dafür, dass NDR-Lösungen nicht isoliert betrieben, sondern in eine übergreifende Detektions- und Reaktionsarchitektur eingebettet werden müssen.[2] Wer reale Ausschreibungsunterlagen zu NDR-Beschaffungen studieren möchte, findet entsprechende Referenzdokumente im Vergabe-Archiv.
Threat Intelligence Feeds von Herstellern wie CrowdStrike Falcon Intelligence oder aus dem BSI-eigenen MISP-Netzwerk erhöhen die Trefferquote signifikant. Wir haben diese Anforderung als Pflichtkriterium verankert, weil NDR-Lösungen ohne aktuellen Threat-Intelligence-Input schnell an Erkennungsqualität verlieren.
Quellen
- MITRE Corporation: „ATT&CK® Enterprise – Tactic TA0008: Lateral Movement", attack.mitre.org, 2024.
- Bundesamt für Sicherheit in der Informationstechnik (BSI): „Die Lage der IT-Sicherheit in Deutschland 2024", November 2024.
Technische Details
| Format | Microsoft Excel (.xlsx) + PDF |
| Umfang | mehr als 38 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Lieferung in 5 Werktagen |
Muster-LV: NDR
- aus vergangenen Projekten entwickelt
- Netzwerk & OT/ICS Unterstützung
- BSI IT-Grundschutz orientiert
- GWB / VgV / UVgO konform
- E-Mail Support inklusive
