LB-11 – Managed Wazuh

Leistungsgegenstand

Der Auftragnehmer betreibt für den Auftraggeber eine Managed Wazuh Umgebung (Security Monitoring, XDR/SIEM) innerhalb der durch b'nerd bereitgestellten Systemumgebung. Die Leistung umfasst insbesondere: - Bereitstellung und Betrieb einer standardisierten Wazuh-Plattform (Wazuh Manager, Indexer und Dashboard) - Betrieb der notwendigen Systemkomponenten und Basisdienste - Bereitstellung und Pflege einer standardisierten Regel-Baseline (Standard-Rulesets, Decoder, Standard-Compliance-Module) - Monitoring, Incident-Handling und Wiederherstellung der Plattform gemäß SLA - Einspielen sicherheitsrelevanter Updates sowie Minor- und Patch-Releases - Technischer Betrieb der Plattform einschließlich Basis-Backup und Wiederherstellbarkeit - Unterstützung bei allgemeinen Betriebsfragen im Rahmen des vereinbarten Supports

Der Schwerpunkt dieser Leistung liegt auf dem sicheren und stabilen Betrieb der Wazuh-Plattform. Die inhaltliche Auswertung sicherheitsrelevanter Ereignisse (Security Operations) ist nicht Bestandteil des Standardbetriebs.

Nicht Bestandteil dieser Leistungsbeschreibung sind insbesondere: - Ausrollung, Konfiguration und Pflege der Wazuh-Agents auf den Systemen des Auftraggebers - inhaltliche Sichtung, Triage und Bewertung von Alarmen und Sicherheitsereignissen - Threat Hunting, forensische Analyse und Incident Response auf Kundensystemen - Pflege kundenspezifischer Erkennungsregeln, Decoder und Korrelationen - fachliche Compliance-Auswertung und Reporting (z. B. PCI DSS, GDPR, NIST) - Migrationen, größere Versionswechsel oder komplexe Integrationsprojekte - Verantwortung für die überwachten Systeme und deren Sicherheitszustand

Kurzform: Der Auftragnehmer stellt den technischen Betrieb der Wazuh-Plattform sicher. Agent-Ausrollung, Alarm-Triage, sicherheitsfachliche Auswertung und Reaktion verbleiben im Verantwortungsbereich des Auftraggebers, soweit nicht gesondert beauftragt.

Technische Grundlage

Die Bereitstellung erfolgt innerhalb der b'nerd.cloud Systemumgebung gemäß: - Anlage LB-00 – Systemumgebung - Anlage LB-01 – Cloud & Storage Plattform - Anlage LB-02 – Managed Kubernetes

Die Wazuh-Umgebung wird standardisiert auf Basis der von b'nerd freigegebenen Architektur- und Betriebsmodelle betrieben. Der Auftragnehmer entscheidet über: - eingesetzte Basisarchitektur - Betriebs- und Deploymentmodell - Sicherheits- und Wartungsmechanismen - Monitoring- und Backup-Integration - technische Betriebsparameter der Plattform

Leistungsumfang

Standardbetrieb Der Auftragnehmer übernimmt: - Bereitstellung und Betrieb der Wazuh-Komponenten (Manager, Indexer, Dashboard) - Betrieb der notwendigen Datenbank-/Index- und Storage-Komponenten - Verwaltung technischer Systemkonfigurationen - Bereitstellung und Pflege der standardisierten Regel-Baseline - Überwachung des Plattformzustands - Incident-Handling der Plattform gemäß SLA - Einspielen sicherheitsrelevanter Updates - Durchführung regulärer Minor- und Patch-Upgrades - Wiederherstellung der Betriebsfähigkeit im Störungsfall

Die Leistungen erfolgen innerhalb des standardisierten Betriebsmodells des Auftragnehmers.

Agent-Management und Sicherheitsauswertung Der Auftraggeber verantwortet die Ausrollung, Registrierung und Pflege der Wazuh-Agents auf seinen Systemen sowie die inhaltliche Auswertung der erfassten Sicherheitsereignisse grundsätzlich eigenständig. Der Auftragnehmer unterstützt bei technischen Problemen oder Plattformstörungen gemäß SLA. Nicht Bestandteil der Standardleistung sind: - Ausrollung und Konfiguration der Agents auf Kundensystemen - Sichtung, Triage und Priorisierung von Alarmen - Threat Hunting, forensische Analyse und Incident Response - Pflege kundenspezifischer Erkennungsregeln, Decoder und Korrelationen - Erstellung fachlicher Compliance- und Sicherheitsberichte

Eine aktive sicherheitsfachliche Alarmbearbeitung und Reaktion (SOC-/MDR-artige Leistung) ist nicht Bestandteil dieser Leistungsbeschreibung und kann gesondert beauftragt werden.

Updates und Versionsmanagement Sicherheitsupdates sowie Minor- und Patch-Releases werden vom Auftragnehmer im Rahmen regulärer Wartungsfenster durchgeführt. Major-Upgrades oder größere Architekturänderungen werden - vorab angekündigt - gemeinsam abgestimmt - gesondert geplant - nach Aufwand abgerechnet

Der Auftragnehmer informiert den Auftraggeber über mögliche Auswirkungen auf: - Agent-Kompatibilität und Agent-Kommunikation - kundenspezifische Regeln und Decoder - Integrationen und API-Nutzung - Dashboards und Reports - kundenspezifische Erweiterungen

Die Analyse und Anpassung kundenspezifischer Konfigurationen liegt im Verantwortungsbereich des Auftraggebers.

Regelwerk, Integrationen und Auswertung Die Erkennungs-, Integrations- und Auswertungsfunktionen stehen im Rahmen der Standardplattform grundsätzlich zur Verfügung. Nicht Bestandteil dieser Leistung sind insbesondere: - Entwicklung und Pflege kundenspezifischer Regeln, Decoder und Korrelationslogik - Einrichtung von Alarm-Integrationen (z. B. Ticketing, Chat, E-Mail, externe SIEM) - inhaltliche Konfiguration und Auswertung der Compliance-Module - Anbindung externer Logquellen und Drittsysteme - Erstellung kundenspezifischer Dashboards und Berichte

Diese Leistungen können gesondert gemäß LB-06 „DevOps as a Service" bzw. als gesonderte Security-Operations-Leistung beauftragt werden.

Backup & Wiederherstellbarkeit

Der Auftragnehmer integriert die Wazuh-Plattform in die standardisierten Backup- und Wiederherstellungsmechanismen gemäß Anlage LB-04. Dies umfasst insbesondere: - Sicherung der Wazuh-Systemdaten und -Konfiguration - Sicherung relevanter Persistenz-/Indexdaten im Rahmen der vereinbarten Retention - technische Wiederherstellbarkeit der Plattform - regelmäßige Überwachung der Backup-Prozesse

Nicht Bestandteil dieser Leistung sind: - fachliche Validierung wiederhergestellter Daten - revisionssichere Langzeitarchivierung von Sicherheitsereignissen über die vereinbarte Retention hinaus - Wiederherstellung einzelner Ereigniszustände ohne vorhandene Sicherung - Garantien für bestimmte RTO- oder RPO-Werte

Monitoring & Incident Handling

Der Auftragnehmer überwacht die Wazuh-Plattform im Rahmen des standardisierten Monitoring- und Alerting-Systems gemäß LB-05. Dies umfasst insbesondere: - Verfügbarkeitsüberwachung - Ressourcenüberwachung - Monitoring kritischer Plattformkomponenten (Manager, Indexer, Dashboard) - Alarmierung bei technischen Störungen der Plattform - Incident-Bearbeitung gemäß SLA

Nicht Bestandteil sind: - inhaltliche Sichtung und Bewertung sicherheitsrelevanter Alarme (Security-Alerts) - sicherheitsfachliche Reaktion auf erkannte Bedrohungen - Troubleshooting kundenseitiger Agents und überwachter Systeme

Hinweis: Das Plattform-Incident-Handling nach SLA bezieht sich auf den technischen Betrieb der Wazuh-Plattform, nicht auf die durch Wazuh erkannten Sicherheitsvorfälle in der Umgebung des Auftraggebers.

Nutzungsvoraussetzungen

Der Auftraggeber verpflichtet sich, die bereitgestellte Wazuh-Umgebung ausschließlich innerhalb des vorgesehenen Betriebsmodells zu verwenden. Nicht zulässig ohne vorherige Abstimmung sind insbesondere: - Eingriffe in System- oder Plattformkonfigurationen - Installation nicht freigegebener Erweiterungen oder Module - Änderungen an Betriebs- oder Sicherheitsmechanismen - Umgehung definierter Backup-, Sicherheits- oder Betriebsprozesse

Eigene administrative Eingriffe dürfen ausschließlich nach Abstimmung und Freigabe durch den Auftragnehmer erfolgen. Der Auftraggeber stellt sicher, dass die Ausrollung der Agents auf seinen Systemen rechtlich zulässig ist (insbesondere arbeits- und datenschutzrechtliche Anforderungen).

Abgrenzung der Verantwortung

Bereich	b'nerd	Auftraggeber
Betrieb der Wazuh-Plattform (Manager/Indexer/Dashboard)	✔
Pflege der standardisierten Regel-Baseline	✔
Monitoring & Incident Response der Plattform	✔
Sicherheitsupdates & Lifecycle	✔
Agent-Ausrollung & -Pflege auf Kundensystemen		✔
Alarm-Triage, Threat Hunting & Incident Response		✔
Kundenspezifische Regeln, Decoder & Korrelationen		✔
Compliance-Auswertung & Sicherheitsreporting		✔
Sicherheitszustand der überwachten Systeme		✔

Kurzform: Agent-Ausrollung, Alarm-Triage, sicherheitsfachliche Auswertung, kundenspezifisches Regelwerk und Reaktion auf Sicherheitsvorfälle verbleiben im Verantwortungsbereich des Auftraggebers. b'nerd übernimmt Betrieb, Wartung, Monitoring und Incident Response der Wazuh-Plattform selbst. Eine aktive Security-Operations-/MDR-Leistung ist gesondert zu beauftragen.

Zusatzleistungen / Abrechnung zusätzlicher Leistungen

Nicht Bestandteil des Standardbetriebs sind insbesondere: - aktive Alarmbearbeitung, Triage und Incident Response (SOC-/MDR-Leistung) - Entwicklung kundenspezifischer Regeln, Decoder und Korrelationen - Aufbau von Alarm-Integrationen und kundenspezifischen Dashboards/Reports - Architektur- oder Prozessberatung (Security Operations, Compliance) - Migrationen und Plattformumbauten - Anbindung externer Logquellen und Drittsysteme - Betrieb individueller Sonderlösungen

Diese Leistungen werden ausschließlich nach gesonderter Beauftragung gemäß - Anlage LB-06 – DevOps as a Service bzw. gesonderter Security-Operations-Leistung - aktueller Preisliste nach Aufwand erbracht und abgerechnet.

Sicherheits- und Compliance-Hinweis

Der Auftragnehmer betreibt die Wazuh-Plattform nach allgemein anerkannten technischen Best Practices. Der Betrieb der Wazuh-Plattform stellt für sich genommen keine Erfüllung regulatorischer Anforderungen und keine durchgängige Sicherheitsüberwachung (Security Operations) dar. Eine automatische Erfüllung regulatorischer Anforderungen wie beispielsweise - NIS2 - DORA - CRA - KRITIS - branchenspezifischer Compliance-Vorgaben ist nicht Bestandteil dieser Leistungsbeschreibung. Die in Wazuh enthaltenen Compliance-Module (z. B. PCI DSS, GDPR, NIST) sind technische Hilfsmittel und ersetzen keine fachliche Compliance-Bewertung. Die Bewertung und Umsetzung regulatorischer Anforderungen sowie die sicherheitsfachliche Auswertung verbleiben im Verantwortungsbereich des Auftraggebers und können gesondert beauftragt werden.

Bezug zur Preisübersicht

Die Preise für Leistungen dieser Anlage ergeben sich aus „Anlage – Preisliste (2026)".