Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones

Titel

Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones

Kurze Beschreibung

Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones zur Nutzung in Ticketing-Apps zur Gewährleistung eines Kopierschutzes.

Beschreibung der Beschaffung

Gegenstand ist der Aufbau und anschließender Betrieb eines Systems zur Authentisierung und Identifizierung von Smartphone-Apps insbes. im Rahmen von elektronischen Ticketing.
Um eine schnelle, sichere und vor allem auch effiziente Prüfung solcher Tickets zu gewährleisten, hat der VDV eTicket Service den VDV-Barcode mobile+ entwickelt. Das Spezifikationsdokument dazu (KA STB-SPEC mobile plus) ist unter www.eticket-deutschland.de sowohl auf Deutsch als auch Englisch verfügbar.
Basis dieser Lösung ist es, das Nutzer-Smartphone mit einer kryptographischen Signaturfunktion auszustatten, mit der digitale Signaturen über Ticketdaten sowie dynamische Daten (z. B. Challenge von einem Kontrollgerät) erstellt werden können. Auf diese Weise wird das Nutzer-Smartphone gegenüber der Kontroll-Infrastruktur authentisiert und Ticketdaten sowie ggf. andere Daten authentisch übertragen. Dazu benötigt das Nutzer-Smartphone ein Schlüsselpaar. Der öffentliche Teil erhält ein Zertifikat von der PKI des VDV eTicket Service, das verschiedene Attribute mit dem Schlüssel verbindet, insbesondere eine eindeutige Schlüssel-ID. Ein Ticket, das mit dem Nutzer-Smartphone genutzt werden soll, ist ein vom Ausgeber ebenfalls digital signierter Datensatz. Die zum Nutzer-Smartphone gehörende Schlüssel-ID wird vom Ausgeber in die Ticketdaten eingefügt. Somit kann bei einer Kontrolle oder Validierung festgestellt werden, ob das Ticket zum vorliegenden Nutzer-Smartphone gehört. Es ist also nicht möglich, Kopien von Ticketdaten auf ein anderes Geräte als vom Ausgeber des Tickets beabsichtigt zu verwenden.
Um das Schlüsselmaterial und die kryptographische Funktionen, insbesondere die Signaturfunktion, auf dem Nutzer-Smartphone vor Angriffen und Manipulationen zu schützen, beschreibt die Spezifikation eine „Secure Crypto-Environment“ (SCE), welche teilnehmenden Apps die benötigten kryptographischen Funktionen anbietet und in der Lage ist, die verwendeten kryptographischen Schlüssel zu empfangen bzw. zu generieren, zu verwenden, zu schützen und unveränderlich mit dem Nutzer-Smartphone zu verbinden. Die SCE ist resistent gegen die Extrahierung der Schlüssel und gegen das Kopieren auf ein anderes Smartphone oder Gerät. Technisch handelt es sich hierbei um eine Bibliothek, die in eine teilnehmende App integriert wird bzw. alternativ in eine Service-App integriert wird, die von teilnehmenden Apps genutzt wird. Im Rahmen des Auftrags sollen Bibliotheken für bestimmte iOS und Android Versionen entwickelt und bereitgestellt sowie gepflegt und weiterentwickelt werden.
Die SCE wird mit dem Sicherheitsmanagement von (((eTicket Deutschland über ein SCE-Managementsystem (SCE-MS) verbunden. Dabei wird die Eignung des Nutzer-Smartphones als Host für die SCE bzw. für eine App mit integrierter SCE aus sicherheitstechnischer Sicht beurteilt, d. h. es wird eine Attestierung durchgeführt. Die Entwicklung und der Betrieb dieses Systems ist ebenfalls Gegenstand des Auftrags. Ist ein Nutzer-Smartphone geeignet, so erhält die installierte SCE Schlüsselmaterial und ein entsprechendes Zertifikat, das auch eine eindeutige ID enthält. Das Zertifikat bindet den Schlüssel an die ID und belegt auch die Vertrauenswürdigkeit des Nutzer-Smartphones. Das SCE-MS ruft die benötigten Zertifikate in diesem Prozess von der existierenden PKI des Auftraggebers ab. Darüber hinaus überwacht das SCE-MS die SCE auf unbefugte Aktivitäten, die auf Versuche die SCE zu kompromittieren hinweisen können. Die Gültigkeitsdauer der über das SCE-MS gelieferten Zertifikate hängt von Risikometriken ab, die sich aus Messungen im Rahmen des Monitoring ergeben. Innerhalb dieses Zeitraums können beliebig viele Tickets ausgestellt und auf dem Smartphone genutzt werden. Bei Bedarf wird von der App eine Verlängerung des Zertifikats automatisch beantragt.
Die Nutzung des Motics wird im Wesentlichen für den Öffentlichen Personenverkehr angestrebt; sie ist aber nicht darauf beschränkt.

Liste und kurze Beschreibung der Bedingungen

Um als Bieter zugelassen zu werden, hat der Bewerber mit seinem Teilnahmeantrag die nachfolgenden Eigenerklärungen abzugeben und mit seiner rechtsverbindlichen Unterschrift die Richtigkeit der Angaben zu versichern:
1) Über das Vermögen des Bewerbers ist kein Insolvenzverfahren oder vergleichbares gesetzliches Verfahren eröffnet oder die Eröffnung beantragt oder dieser Antrag mangels Masse abgelehnt worden. Ein ausländischer Bewerber befindet sich nicht in Verhältnissen, die nach den Rechtsvorschriften seines Landes mit den im vorgehenden Satz genannten Verfahren vergleichbar sind;
2) Das Unternehmen befindet sich nicht in Liquidation;
3) Der Bewerber hat keine sonstige schwere Verfehlung begangen, die seine Zuverlässigkeit als Bieter in Frage stellt;
4) Der Bewerber erfüllt seine Verpflichtung zur Zahlung von Steuern und Abgaben sowie der Beiträge zur gesetzlichen Sozialversicherung ordnungsgemäß;
5) Der Bewerber versichert, dass in seinem Unternehmen keine Schwarzarbeit stattfindet und weder das Unternehmen noch Angehörige des Unternehmens im Zusammenhang mit der Tätigkeit für das Unternehmen nach dem Gesetz zur Bekämpfung der Schwarzarbeit wegen illegaler Beschäftigung von Arbeitskräften verurteilt worden sind;
6) Erklärung über die uneingeschränkte schriftliche und mündliche Kommunikationsfähigkeit der für die Leistungserbringung vorgesehener Personen in deutscher oder englischer Sprache;
7) Erklärung, etwaig geltende Tariftreuegesetze sowie das Mindestlohngesetz anzuwenden und zu beachten;
8) Erklärung, dass der Bewerber im Falle der Aufforderung zur Angebotsabgabe die ihm zur Erstellung des Angebots überlassenen Verdingungsunterlagen und zusätzliche Informationen vertraulich behandelt und Dritten nicht zugänglich macht, sowie die Verpflichtung, seine Mitarbeiter und Unterauftragnehmer zur vertraulichen Behandlung ebenfalls zu verpflichten.
Darüber hinaus sind folgende Nachweise zu erbringen:
1) Nachweis einer Haftpflichtversicherung oder Erklärung der Bereitschaft zum Abschluss einer Projektbezogenen Haftpflichtversicherung im Auftragsfall;
2) Aktueller vollständiger Auszug aus dem einschlägigen Berufs- und Handelsregister (nicht vor dem 1.5.2019 erstellt).
Einsendeschluss für den Teilnahmeantrag ist der 13.1.2020, 12:00 Uhr.

Liste und kurze Beschreibung der Auswahlkriterien

Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:
1) Umsatz der letzten 3 Geschäftsjahre, incl. einer Angabe, welcher prozentuale Anteil davon auf mit dem Auftragsgegenstand vergleichbare Projekte zurückzuführen ist;
2) Bilanz und GuV-Rechnung des letzten abgeschlossenen Geschäftsjahres.

Liste und kurze Beschreibung der Auswahlkriterien

Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:
1) Leistungsspektrum und -schwerpunkt des Unternehmens;
2) Angaben über die Anzahl der fest angestellten Mitarbeiter/Mitarbeiterinnen des Unternehmens sowie der Führungskräfte bezogen auf die letzten 3 Jahre (d. h. Anzahl der Mitarbeiter in 2016, 2017, 2018);
3) Nachweise über die technische Ausrüstung/Leistungsfähigkeit des Unternehmens;
4) Liste der wesentlichen in den letzten 2-5 Jahren erbrachten Leistungen (Referenzprojekte), mit Angabe des Rechnungswertes, der Leistungszeit, sowie der Auftraggeber mit Ansprechpartner (mit Telefonnummer und/oder E-Mail-Adresse), bezogen auf mit dem Auftragsgegenstand vergleichbare Projekte.
Die Referenzen sollten sich auf vergleichbare Projekte mit folgenden Schwerpunkten beziehen:
a) Realisierung (Aufbau) und/oder Betriebsführung für Smartphone-Applikationen;
b) ungefähre Anzahl der beteiligten Smartphones;
c) ungefähre Anzahl der Updates, Installierungen, Transaktionen etc. (z. B. pro Tag oder Monat);
d) Beschreibung nach welchen Standards/Methoden der Bewerber Software entwickelt, testet und deren Qualität sichert (ggf. mit Zertifizierungen);
e) Beschreibung nach welchen Standards/Methoden der Bewerber Software betreibt (ggf. mit Zertifizierungen);
f) Beschreibung wie der Bewerber die Betriebskontinuität des Systems garantieren wird, insbesondere im Hinblick auf die Kritikalität der zu betreibenden Software.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Wesentliches Kriterium zur Auswahl eines Bewerbers ist, dass in den Referenzen nachgewiesen werden kann, dass der Bewerber bereits Projekte mit vergleichbarem Inhalt und Umfang über einen längeren Zeitraum und ohne nennenswerte technische Beanstandungen durchgeführt hat.

Bedingungen für die Vertragserfüllung

Darlegung der besonderen Bedingungen: Im Rahmen der Auftragsausführung genutzte Rechenzentren sowie deren Netzwerkinfrastruktur müssen im Geltungsbereich des Rechts eines EU-Mitgliedsstaates betrieben werden. Betrieb der Anwendung in einem Rechenzentrum mit Zertifizierung nach ISO 9001 und ISO 27001 oder äquivalent.