Liste und kurze Beschreibung der Auswahlkriterien
Die Bieter müssen das Leistungsspektrum ihres Unternehmens vorstellen.
Für das Erreichen der Eignungsschwelle muss das Unternehmen einen klaren Bezug zu den hier ausgeschriebenen Leistungen haben: Im Gesamten und im Segment der Beratung zu Themen der IT-Sicherheit, insbesondere auch zur Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten.
Die Bieter müssen Erfahrungen in den folgenden Bereichen in Bezug auf das Unternehmen nachweisen:
— Durchführung von Black-Box Analysen von Produkten: In den vergangenen 2 Jahren wurden mindestens 2 Produkte bzw. IT-Gegenstände aus der technischen Domäne „Smartcards and similar Devices“ im Black-Box Szenario durchgeführt. Für beide Produkte konnten erfolgreich Schwachstellen identifiziert werden.
— Durchführung von EM-Seitenkanalanalysen, insb. im Kontext von Black-Box Analysen: Es wurde mindestens ein Produkt in den letzten 2 Jahren im Black-Box Szenario mittels EM-Seitenkanalanalyse analysiert und Schwachstellen im Produkt identifiziert,
— Durchführung von EM-Seitenkanalanalysen von „Smartcards oder similar Devices“ über die kontaktlose NFC/ISO14443-Schnittstelle: Es wurde mindestens ein Produkt im Black-Box Szenario kontaktlos angesteuert und erfolgreich Schwachstelle identifiziert,
— Analyse der Seitenkanalresistenz von asymmetrischen Kryptosystemen, z. B. RSA-Verschlüsselung oder RSA-basierten Signaturen, oder Verfahren basierend auf elliptischen Kurven,
— Meßaufbau zur Seitenkanalanalyse von kontaktlosen Chipkarten,
— Composite-Evaluierungen (min. EAL4+) von komplexer Software auf zertifizierten Hardware-Sicherheitscontrollern (EAL5 oder höher).
Alle vom Bieter vorgesehenen Projektmitarbeiter müssen die nachfolgend genannten Anforderungen erfüllen:
— Erfahrung in der Entwicklung von Schutzprofilen nach Common Criteria (Entwicklung von mindestens 3 Common Criteria Schutzprofilen),
— Erfahrung in der Entwicklung von Schutzprofilen nach Common Criteria aus der technischen Domäne „Smartcards and similar Devices“ (Entwicklung von mindestens einem Common Criteria
Schutzprofil für Produkte aus der technischen Domäne),
— Erfahrung in der Durchführung von Produktevaluierungen aus der Domäne „Smartcards and similar Devices“ (Durchführung von mindestens 2 Produktevaluierungen nach Common Criteria für ein Produkt aus der technischen Domäne „Smartcards and similar Devices“. Die Evaluierungstiefe bei diesen Evaluierungen war EAL4 oder höher. Die Schwachstellenanalyse war auf Niveau
AVA_VAN.5),
— Englischkenntnisse auf Niveau B2 – selbständige Sprachverwendung (Gemeinsamer Europäischer Referenzrahmen für Sprachen). Im Angebot ist kein expliziter Nachweis erforderlich,
— Deutschkenntnisse auf Niveau C2 – annähernd muttersprachliche Kenntnisse (Gemeinsamer Europäischer Referenzrahmen für Sprachen). Sofern ein Mitarbeiter kein deutscher Muttersprachler ist, ist das Niveau C2 durch einen der folgenden Nachweise zu belegen:
1) Deutsche Sprachprüfung für den Hochschulzugang (DSH), Niveau 3;
2) Test Deutsch als Fremdsprache, Niveau 5;
3) Deutsches Sprachdiplom der Kultusministerkonferenz, Stufe II;
4) zu o. g. Prüfungen vergleichbarer Nachweis.