Projekt 260 – Bedrohungen von SAP-ERP-Systemen durch APTs – Risiko- und Sicherheitsanalyse (SAPAPT)

Zusätzliche Informationen

Bei diesem Vergabeverfahren handelt es sich um ein ausschließlich elektronisches Verfahren. Die gesamte Kommunikation erfolgt nur über die E-Vergabe-Plattform des Bundes (www.evergabe-online.de). Weitere Informationen zum Zugang zur E-Vergabe-Plattform erhalten Sie unter evergabe-online.info

Kurze Beschreibung

SAP ist mit SAP ECC und seinen Komponenten und Branchenlösungen weltweit drittgrößter Softwareentwickler. Anwendungen von SAP unterstützen mittlerweile branchenübergreifend die meisten Geschäftsprozesse und verarbeiten massenweise relevante Kundendaten. In der Bundesverwaltung werden immer mehr Fachanwendungen mit Hilfe von SAP-Produkten realisiert. Ab 2012 ist eine signifikante Zunahme von gezielten Angriffen auf SAP-Produkte bekannt geworden. Wegen der Masse an schützenswerten Daten, die lohnende Angriffsziele darstellen, ist auch künftig mit komplexen, effektiven Angriffen (APTs) auf SAP-Systeme in kritischen IT-Infrastrukturen und auf vertrauliche Daten von Behörden, Groß- und Mittelstandunternehmen in allen Branchen auf zu rechnen. Dieses Projekt hat zum Ziel, wesentliche Angriffspfade für APTs auf der Grundlage aktueller SAP-Anwendungen und der verwendeten Technologien – z. B. NetWeaver, ABAP, HANA, (proprietäre) Protokolle – in der SAP Cloud und On-Premise zu identifizieren und Gegenmaßnahmen zu entwickeln. Das Projekt verfolgt als Teilziele: – bekannte Angriffe und Schwachstellen zu bewerten, – neue Angriffsvektoren für APTs zu ermitteln, – eine Risikoanalyse auf dem aktuellen Sachstand durchzuführen, – Detektionsverfahren zu definieren und zu testen und – wirksame Gegenmaßnahmen vorzuschlagen (Workarounds für Expoits, Werkzeuge, Sofortmaßnahmen im Bedarfsfall, Untersuchungsverfahren, Hinweise und Vorgehensweisen für Entwickler, Anwender und SAP (ToDos). Die Ergebnisse müssen so aufbereitet werden, dass sie vom BSI im Rahmen des gesetzlichen Auftrages bei Meldungen und im IT-Grundschutz verwendet und von SAP als abgestimmte Sicherheitsmaßnahmen umgesetzt werden können, z. B. in Veröffentlichungen und Schulungen für SAP-Entwickler und Anwender. Die Ergebnisse der durchzuführenden Sicherheitsanalyse müssen zu einer belastbaren Risikoanalyse für APT-Angriffe auf SAP ECC Systeme führen, die als Entscheidungsgrundlage für Folgeaktivitäten des BSI dient.

Technische und berufliche Fähigkeiten

Gemäß den gesetzlichen Vorgaben darf die ausgeschriebene Leistung nur an einen geeigneten Bieter vergeben werden. Geeignet ist ein Bieter dann, wenn er die zur Auftragsdurchführung erforderliche Fachkunde und Leistungsfähigkeit besitzt und diese im Angebot hinreichend nachweisen kann. Im Angebot ist auf jedes der unten stehenden Eignungskriterien einzugehen. Die Beantwortung hat sofern nicht anders vorgesehene mit eigenen Worten zu erfolgen. Bei den Kriterien wird zwischen Ausschlusskriterien (A), Bewertungskriterien (B) und informellen Kriterien (I) unterschieden. Kriterien mit dem Präfix (A) sind Ausschlusskriterien, bei denen bereits die Nichterfüllung eines einzelnen Kriteriums zu Ausschluss des Angebots führt. Ein Ausschlusskriterium gilt als nicht erfüllt, wenn – es nicht beantwortet wurde, – ggf. definierte Mindestvoraussetzungen nicht erreicht wurden, – es mit „Nein“ beantwortet wurde (siehe unten), oder – die geforderten Dokumente nicht eingereicht wurden. Für jedes Bewertungskriterium (B) werden Punkte von 0-10 vergeben. Die Eignung eines Bieters ergibt sich aus der Summe der Punkte (ohne Gewichtung) im Abschnitt „Eignungskriterien“ der Leistungsbeschreibung. Diese Summe muss mindestens 65 % der maximal erreichbaren Punkte betragen, damit die Eignung festgestellt wird. Kriterien mit dem Präfix (I) sind informell und gehen nicht in die Bewertung ein. 2.1) (B) Nennen Sie sämtliche Projektbeteiligten sowie deren Rollenqualifikationen in Form von anonymisierten Personalprofilen. Nennen Sie in jedem der Personalprofile Referenzprojekte mit Bezug zu diesem Projekt. Ordnen Sie die Projektbeteiligten den Arbeitspaketen oder Teilaufgaben aus den Arbeitspaketen zu. Benennen Sie Projektleitung und stellvertretende Projektleitung. – 0 Punkte: Es werden nicht alle Projektbeteiligten inkl. Rollen benannt oder es werden nicht mehr als zwei aussagekräftige und im Projektkontext relevante Referenzprojekte genannt. – 5 Punkte: Es werden sämtliche Projektbeteiligten inkl. Rollen benannt und es werden aussagekräftige und im Projektkontext relevante Referenzprojekte dargestellt. – 10 Punkte: Es werden sämtliche Projektbeteiligten inkl. Rollen benannt und es werden mehrere aussagekräftige und im Projektkontext relevante Referenzprojekte dargestellt. 2.2) (B) Erläutern Sie anhand der Personalprofile (und ggf. mit entsprechenden Publikationen – auch als Auszug – als Beleg) Ihre Kenntnisse in systematischer Identifikation von Gefährdungen und Ausnutzung von Schwachstellen auf allen Ebenen des Softwarestacks in Multi-Tier-Systemen. – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der Befassung mit der Thematik in der Theorie, ohne dass eigene Publikationen erstellt wurden. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur theoretischen Befassung durch die Erstellung eigener Publikationen in diesem Kontext und/oder praktische Erfahrungen (z.B. als Dienstleister, etc.). 2.3) (B) Beschreiben Sie anhand der Personalprofile (und ggf. mit entsprechenden Publikationen – auch als Auszug – als Beleg) Ihre Erfahrung in der statischen und dynamischen Sicherheitsanalyse von komplexen Softwareprojekten einschließlich Penetrationstests. – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der Befassung mit der Thematik in der Theorie, ohne dass eigene Publikationen erstellt wurden. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur theoretischen Befassung durch die Erstellung eigener Publikationen in diesem Kontext und/oder praktische Erfahrungen (z. B. Durchführung von Sicherheitsanalysen als Dienstleistung). 2.4) (B) Beschreiben Sie anhand der Personalprofile (und ggf. mit entsprechenden Publikationen – auch als Auszug – als Beleg) Ihre Erfahrung im Zusammenhang mit der Sicherheitsanalyse von SAP R3-, SAP ERP- oder SAP ECC-Anwendungen und mit SAP HANA. – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der Befassung mit der Thematik in der Theorie, ohne dass Projekte oder eine entsprechende Dienstleistung in diesem Bereich durchgeführt wurden. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur theoretischen Befassung durch entsprechende Projekte oder Dienstleistungen in diesem Bereich, z. B. durch Sicherheitsberatung für SAP-Systeme in Organisationen oder Unternehmen. 2.5) (B) Beschreiben Sie anhand der Personalprofile (und ggf. mit entsprechenden Publikationen – auch als Auszug – als Beleg) Ihren Kenntnisstand bzw. Ihre Aktivitäten in der Analyse von Sicherheitsvorfällen in Industrieanwendungen und die Bandbreite an eingesetzten Methoden. – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der passiven Befassung mit der Thematik in der Theorie, ohne Eigenerfahrung. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur theoretischen Befassung durch die aktive Teilnahme an Diskussionen in dem Bereich oder durch aktive Mitwirkung bei der Analyse von Vorfällen. Weiterhin wurde bezogen auf den Untersuchungsgegenstand eine erfolgreiche Schwachstellensuche und Exploitanalyse durchgeführt. 2.6) (B) Haben Sie (oder die genannten Projektbeteiligten) in den vergangenen zwei Jahren an Fachkonferenzen mit unmittelbarem IT-Sicherheitsbezug (z. B. Blackhat, Defcon, SyScan, CanSecWest) passiv oder aktiv teilgenommen? (Auszug oder Verweis als Beleg beifügen) – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der passiven Teilnahme an mindestens einer der genannten Hackerkonferenz im genannten Zeitraum. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur passiven durch aktive Teilnahme an mindestens einer der genannten Hackerkonferenzen in Form von eigenen Beiträgen. Es müssen mindestens 5 Punkte erreicht werden. 2.7) (B) Benennen Sie Projekte, in denen Sie sich mit sicherheitsrelevantem Code für marktgängige Systemsoftware, Virtualisierungsumgebungen oder Cloud Computing Komponenten (IaaS, SaaS) befasst haben. – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der Befassung mit der Thematik in der Theorie, ohne dass eigene Publikationen erstellt wurden. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur theoretischen Befassung durch die Erstellung von Programmcode in diesem Kontext und/oder praktische Erfahrungen (z.B. Aufsetzen von gehärteten Systemen, Analyse von Treibern und Protokollen, Einrichtung und Konfiguration von Anwendungen und Diensten). 2.8) (I) Geben Sie Ihre Erfahrungen der Zusammenarbeit mit Software-Herstellern bei sicherheitstechnischen Problemstellungen an. 2.9) (B) Beschreiben Sie Ihre Erfahrung und Kenntnisse hinsichtlich Netzwerkarchitekturen und Netzwerk- und Systemprotokollen. – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der Befassung mit der Thematik in der Theorie, ohne dass eigene Publikationen erstellt wurden. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur theoretischen Befassung durch die Erstellung eigener Lösungen und/oder praktische Erfahrungen. 2.10) (B) Beschreiben Sie Ihre Erfahrungen, Kenntnisse und Sachverstand bezüglich vergangenen, aktuellen und zukünftigen Exploit-Typen (vorzugsweise für Netzwerke, Betriebssysteme, Datenbanken und Anwendungssoftware). – 0 Punkte: Es liegt keine fachliche Qualifikation bzgl. der genannten Aspekte vor. – 5 Punkte: Die fachliche Qualifikation ergibt sich aus der Befassung mit der Thematik in der Theorie, ohne dass eigene Publikationen erstellt wurden. – 10 Punkte: Die fachliche Qualifikation ergibt sich zusätzlich zur theoretischen Befassung durch die erfolgreiche Eigenentwicklung von Exploits in der Vergangenheit und zum aktuellen Zeitpunkt. 2.11) (B) Erfahrungen bei verständlichen, praxisgerechte Referenzpublikationen – 0 Punkte: Es liegen keine bis zwei Referenzpublikationen vor, die zudem nicht verständlich und praxisgerecht sind. – 5 Punkte: Es liegen nur zwei bis vier Referenzpublikationen von einem der Projektbeteiligten vor. Diese sind verständlich und praxisgerecht. – 10 Punkte: Mehrere Projektbeteiligte haben verständliche, praxisgerechte Referenzpublikationen veröffentlicht. 2.12) (I) Benennen Sie adäquate Alternativen bei fehlenden Kompetenzen. 3.1) (A) Fügen Sie Ihrem Angebot eine aussagekräftige Darstellung Ihrer Organisation bei. 3.2) (I) Fügen Sie die Kontaktstellen im Zusammenhang mit dem Angebot, insbesondere Namen, E-Mail-Adressen und telefonische Erreichbarkeiten der für die Durchführung des Projekts vorgesehenen Mitarbeiter an. 3.3) (A) Bestätigen Sie, dass Sie die eingeplanten Projektbeteiligten auch tatsächlich im vorgesehenen Umfang für das Projekt einsetzen. Insbesondere die Weitergabe von Projektteilen an Unterauftragnehmer, die inklusive der von Ihnen durchzuführenden und genau benannten Leistungen nicht im Angebot aufgeführt sind, ist nicht zulässig. Bitte nur mit „Ja“ oder „Nein“ beantworten. 3.4) (A) Bestätigen Sie, dass die angebotene Leistung den geforderten Leistungsumfang vollständig abdeckt. Bitte nur mit „Ja“ oder „Nein“ beantworten.

Sonstige besondere Bedingungen

*Eigenerklärung zu den gesetzlichen Ausschlussgründen* Reichen Sie das ausgefüllte Formular „Eigenerklärung zu den gesetzlichen Ausschlussgründen“ mit Ihrem Angebot ein. Das Formular ist auch von allen Partnern im Rahmen einer Bewerbergemeinschaft sowie von allen Unterauftragnehmern auszufüllen und mit dem Angebot einzureichen. Die einfache elektronische Signatur (eingescanntes Dokument mit Unterschrift und Firmenstempel) ist ausreichend. *Vertraulichkeit der Kommunikation* Besätigen Sie, dass Sie im Falle einer Beauftragung bereit sind, die E-Mail-Kommunikation verschlüsselt und signiert nach dem OpenPGP- oder S/MIME-Standard zu senden und zu empfangen. (Nur mit Ja oder Nein zu beantworten).

Informationen zu Fristen für Nachprüfungsverfahren

Unternehmen haben ein Anspruch auf Einhaltung der bieter- und bewerberschützenden bestimmungen über das Vergabeverfahren gegenüber dem öffentlichen Auftraggeber. Sieht ein am Auftrag interesiertes Unternehmen durch Nichtbeachtung von Vergabevorschriften in seinen Rechten verletzt, ist der Verstoß innerhalb einer Frist von 10 Kalendertagen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu rügen (§ 160 Abs. 3 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Verstöße, die aufgrund der Bekanntmachung oder der Vergabeunterlagen erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung genannten Frist zur Angebotsabgabe oder Bewerbung gegenüber dem BSI geltend gemacht werden (§ 160 Abs. 3 Nr. 2-3 GWB). teilt das BSI dem Unternehmen mit, seiner Rüge nicht abhelfen zu wollen, so besteht die Möglichkeit innerhalb von 15 Tagen nach Eingang der Mitteilung einen Antrag auf Nachprüfung bei der Vergabekammer zu stellen. Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage nach Absendung dieser Information durch das BSI geschlossen werden; bei Übermittlung per Fax oder auf elektronischem Weg beträgt diese Frist 10 Kalendertage. Sie beginnt am Tag nach Absendung der Information durch das BSI.