Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones

VDV eTicket Service GmbH & Co. KG

Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones zur Nutzung in Ticketing-Apps zur Gewährleistung eines Kopierschutzes.

Deadline

Die Frist für den Eingang der Angebote war 2020-01-13. Die Ausschreibung wurde veröffentlicht am 2019-12-04.

Anbieter

Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:

• Incloud Engineering GmbH

Wer?

• VDV eTicket Service GmbH & Co. KG

Wie?

• Entwicklung von Dienstprogrammen für die Software-Entwicklung › Entwicklung von Sicherheitssoftware

Wo?

• Deutschland

Geschichte der Beschaffung

Datum	Dokument
2019-12-04	Auftragsbekanntmachung
2020-04-14	Bekanntmachung über vergebene Aufträge

Auftragsbekanntmachung (2019-12-04)
Objekt
Umfang der Beschaffung
Titel: Entwicklung von Sicherheitssoftware
Kurze Beschreibung:

Metadaten der Bekanntmachung
Originalsprache: Deutsch 🗣️
Dokumenttyp: Auftragsbekanntmachung
Art des Auftrags: Dienstleistungen
Verordnung: Europäische Union
Gemeinsames Vokabular für öffentliche Aufträge (CPV)
Code: Entwicklung von Sicherheitssoftware 📦
Zusätzlicher CPV-Code: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 📦
Ort der Leistung
NUTS-Region: Deutschland 🏙️

Verfahren
Verfahrensart: Verhandlungsverfahren
Angebotsart: Angebot für alle Lose
Vergabekriterien
Wirtschaftlichstes Angebot

Öffentlicher Auftraggeber
Identität
Land: Deutschland 🇩🇪
Art des öffentlichen Auftraggebers: Einrichtung des öffentlichen Rechts
Name des öffentlichen Auftraggebers: VDV eTicket Service GmbH & Co. KG
Postanschrift: Im Mediapark 8a
Postleitzahl: 50670
Postort: Köln
Kontakt
Internetadresse: http://www.eTicket-Deutschland.de 🌏
E-Mail: hoffmann@vdv.de 📧
Telefon: +49 221/716174113 📞
URL der Dokumente: http://www.eticket-deutschland.de 🌏

Referenz
Daten
Absendedatum: 2019-12-04 📅
Einreichungsfrist: 2020-01-13 📅
Veröffentlichungsdatum: 2019-12-09 📅
Kennungen
Bekanntmachungsnummer: 2019/S 237-581475
ABl. S-Ausgabe: 237

Objekt
Umfang der Beschaffung
Kurze Beschreibung:

Gegenstand ist der Aufbau und anschließender Betrieb eines Systems zur Authentisierung und Identifizierung von Smartphone-Apps insbes. im Rahmen von elektronischen Ticketing.

Um eine schnelle, sichere und vor allem auch effiziente Prüfung solcher Tickets zu gewährleisten, hat der VDV eTicket Service den VDV-Barcode mobile+ entwickelt. Das Spezifikationsdokument dazu (KA STB-SPEC mobile plus) ist unter www.eticket-deutschland.de sowohl auf Deutsch als auch Englisch verfügbar.

Basis dieser Lösung ist es, das Nutzer-Smartphone mit einer kryptographischen Signaturfunktion auszustatten, mit der digitale Signaturen über Ticketdaten sowie dynamische Daten (z. B. Challenge von einem Kontrollgerät) erstellt werden können. Auf diese Weise wird das Nutzer-Smartphone gegenüber der Kontroll-Infrastruktur authentisiert und Ticketdaten sowie ggf. andere Daten authentisch übertragen. Dazu benötigt das Nutzer-Smartphone ein Schlüsselpaar. Der öffentliche Teil erhält ein Zertifikat von der PKI des VDV eTicket Service, das verschiedene Attribute mit dem Schlüssel verbindet, insbesondere eine eindeutige Schlüssel-ID. Ein Ticket, das mit dem Nutzer-Smartphone genutzt werden soll, ist ein vom Ausgeber ebenfalls digital signierter Datensatz. Die zum Nutzer-Smartphone gehörende Schlüssel-ID wird vom Ausgeber in die Ticketdaten eingefügt. Somit kann bei einer Kontrolle oder Validierung festgestellt werden, ob das Ticket zum vorliegenden Nutzer-Smartphone gehört. Es ist also nicht möglich, Kopien von Ticketdaten auf ein anderes Geräte als vom Ausgeber des Tickets beabsichtigt zu verwenden.

Um das Schlüsselmaterial und die kryptographische Funktionen, insbesondere die Signaturfunktion, auf dem Nutzer-Smartphone vor Angriffen und Manipulationen zu schützen, beschreibt die Spezifikation eine „Secure Crypto-Environment“ (SCE), welche teilnehmenden Apps die benötigten kryptographischen Funktionen anbietet und in der Lage ist, die verwendeten kryptographischen Schlüssel zu empfangen bzw. zu generieren, zu verwenden, zu schützen und unveränderlich mit dem Nutzer-Smartphone zu verbinden. Die SCE ist resistent gegen die Extrahierung der Schlüssel und gegen das Kopieren auf ein anderes Smartphone oder Gerät. Technisch handelt es sich hierbei um eine Bibliothek, die in eine teilnehmende App integriert wird bzw. alternativ in eine Service-App integriert wird, die von teilnehmenden Apps genutzt wird. Im Rahmen des Auftrags sollen Bibliotheken für bestimmte iOS und Android Versionen entwickelt und bereitgestellt sowie gepflegt und weiterentwickelt werden.

Die SCE wird mit dem Sicherheitsmanagement von (((eTicket Deutschland über ein SCE-Managementsystem (SCE-MS) verbunden. Dabei wird die Eignung des Nutzer-Smartphones als Host für die SCE bzw. für eine App mit integrierter SCE aus sicherheitstechnischer Sicht beurteilt, d. h. es wird eine Attestierung durchgeführt. Die Entwicklung und der Betrieb dieses Systems ist ebenfalls Gegenstand des Auftrags. Ist ein Nutzer-Smartphone geeignet, so erhält die installierte SCE Schlüsselmaterial und ein entsprechendes Zertifikat, das auch eine eindeutige ID enthält. Das Zertifikat bindet den Schlüssel an die ID und belegt auch die Vertrauenswürdigkeit des Nutzer-Smartphones. Das SCE-MS ruft die benötigten Zertifikate in diesem Prozess von der existierenden PKI des Auftraggebers ab. Darüber hinaus überwacht das SCE-MS die SCE auf unbefugte Aktivitäten, die auf Versuche die SCE zu kompromittieren hinweisen können. Die Gültigkeitsdauer der über das SCE-MS gelieferten Zertifikate hängt von Risikometriken ab, die sich aus Messungen im Rahmen des Monitoring ergeben. Innerhalb dieses Zeitraums können beliebig viele Tickets ausgestellt und auf dem Smartphone genutzt werden. Bei Bedarf wird von der App eine Verlängerung des Zertifikats automatisch beantragt.

Die Nutzung des Motics wird im Wesentlichen für den Öffentlichen Personenverkehr angestrebt; sie ist aber nicht darauf beschränkt.

Dauer: 48 Monate
Beschreibung der Verlängerungen: Nähere Informationen sind den Vergabeunterlagen zu entnehmen
Ort der Leistung
Hauptstandort oder Erfüllungsort: Deutschland und europäisches Ausland

Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Befähigung zur Berufsausübung:

Um als Bieter zugelassen zu werden, hat der Bewerber mit seinem Teilnahmeantrag die nachfolgenden Eigenerklärungen abzugeben und mit seiner rechtsverbindlichen Unterschrift die Richtigkeit der Angaben zu versichern:

1) Über das Vermögen des Bewerbers ist kein Insolvenzverfahren oder vergleichbares gesetzliches Verfahren eröffnet oder die Eröffnung beantragt oder dieser Antrag mangels Masse abgelehnt worden. Ein ausländischer Bewerber befindet sich nicht in Verhältnissen, die nach den Rechtsvorschriften seines Landes mit den im vorgehenden Satz genannten Verfahren vergleichbar sind;

2) Das Unternehmen befindet sich nicht in Liquidation;

3) Der Bewerber hat keine sonstige schwere Verfehlung begangen, die seine Zuverlässigkeit als Bieter in Frage stellt;

4) Der Bewerber erfüllt seine Verpflichtung zur Zahlung von Steuern und Abgaben sowie der Beiträge zur gesetzlichen Sozialversicherung ordnungsgemäß;

5) Der Bewerber versichert, dass in seinem Unternehmen keine Schwarzarbeit stattfindet und weder das Unternehmen noch Angehörige des Unternehmens im Zusammenhang mit der Tätigkeit für das Unternehmen nach dem Gesetz zur Bekämpfung der Schwarzarbeit wegen illegaler Beschäftigung von Arbeitskräften verurteilt worden sind;

6) Erklärung über die uneingeschränkte schriftliche und mündliche Kommunikationsfähigkeit der für die Leistungserbringung vorgesehener Personen in deutscher oder englischer Sprache;

7) Erklärung, etwaig geltende Tariftreuegesetze sowie das Mindestlohngesetz anzuwenden und zu beachten;

8) Erklärung, dass der Bewerber im Falle der Aufforderung zur Angebotsabgabe die ihm zur Erstellung des Angebots überlassenen Verdingungsunterlagen und zusätzliche Informationen vertraulich behandelt und Dritten nicht zugänglich macht, sowie die Verpflichtung, seine Mitarbeiter und Unterauftragnehmer zur vertraulichen Behandlung ebenfalls zu verpflichten.

Darüber hinaus sind folgende Nachweise zu erbringen:

1) Nachweis einer Haftpflichtversicherung oder Erklärung der Bereitschaft zum Abschluss einer Projektbezogenen Haftpflichtversicherung im Auftragsfall;

2) Aktueller vollständiger Auszug aus dem einschlägigen Berufs- und Handelsregister (nicht vor dem 1.5.2019 erstellt).

Einsendeschluss für den Teilnahmeantrag ist der 13.1.2020, 12:00 Uhr.

Wirtschaftliche und finanzielle Leistungsfähigkeit:

Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:

1) Umsatz der letzten 3 Geschäftsjahre, incl. einer Angabe, welcher prozentuale Anteil davon auf mit dem Auftragsgegenstand vergleichbare Projekte zurückzuführen ist;

2) Bilanz und GuV-Rechnung des letzten abgeschlossenen Geschäftsjahres.

Technische und berufliche Fähigkeiten:

Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:

1) Leistungsspektrum und -schwerpunkt des Unternehmens;

2) Angaben über die Anzahl der fest angestellten Mitarbeiter/Mitarbeiterinnen des Unternehmens sowie der Führungskräfte bezogen auf die letzten 3 Jahre (d. h. Anzahl der Mitarbeiter in 2016, 2017, 2018);

3) Nachweise über die technische Ausrüstung/Leistungsfähigkeit des Unternehmens;

4) Liste der wesentlichen in den letzten 2-5 Jahren erbrachten Leistungen (Referenzprojekte), mit Angabe des Rechnungswertes, der Leistungszeit, sowie der Auftraggeber mit Ansprechpartner (mit Telefonnummer und/oder E-Mail-Adresse), bezogen auf mit dem Auftragsgegenstand vergleichbare Projekte.

Die Referenzen sollten sich auf vergleichbare Projekte mit folgenden Schwerpunkten beziehen:

a) Realisierung (Aufbau) und/oder Betriebsführung für Smartphone-Applikationen;

b) ungefähre Anzahl der beteiligten Smartphones;

c) ungefähre Anzahl der Updates, Installierungen, Transaktionen etc. (z. B. pro Tag oder Monat);

d) Beschreibung nach welchen Standards/Methoden der Bewerber Software entwickelt, testet und deren Qualität sichert (ggf. mit Zertifizierungen);

e) Beschreibung nach welchen Standards/Methoden der Bewerber Software betreibt (ggf. mit Zertifizierungen);

f) Beschreibung wie der Bewerber die Betriebskontinuität des Systems garantieren wird, insbesondere im Hinblick auf die Kritikalität der zu betreibenden Software.

Mindeststandards:

Wesentliches Kriterium zur Auswahl eines Bewerbers ist, dass in den Referenzen nachgewiesen werden kann, dass der Bewerber bereits Projekte mit vergleichbarem Inhalt und Umfang über einen längeren Zeitraum und ohne nennenswerte technische Beanstandungen durchgeführt hat.

Auftragsausführung
Bedingungen für die Vertragserfüllung:

Darlegung der besonderen Bedingungen: Im Rahmen der Auftragsausführung genutzte Rechenzentren sowie deren Netzwerkinfrastruktur müssen im Geltungsbereich des Rechts eines EU-Mitgliedsstaates betrieben werden. Betrieb der Anwendung in einem Rechenzentrum mit Zertifizierung nach ISO 9001 und ISO 27001 oder äquivalent.

Verfahren
Rechtsgrundlage: 32014L0024
Mindestzahl der Bewerber: 3
Höchstzahl der Bewerber: 8
Zeitpunkt des Eingangs der Angebote: 12:00
Datum der Absendung der Aufforderungen: 2020-01-14 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Englisch 🗣️
Gültigkeitsdauer des Angebots: 2020-06-30 📅

Öffentlicher Auftraggeber
Kontakt
Kontaktperson: VDV eTicket Service GmbH & Co. KG
Internetadresse: www.eTicket-Deutschland.de 🌏
Dokumente URL: www.eticket-deutschland.de 🌏
URL der Dokumente: www.eticket-deutschland.de 🌏

Ergänzende Informationen
Körper überprüfen
Name: Vergabekammer bei der Bezirksregierung Köln
Postanschrift: Zeughausstraße 2-10
Postort: Köln
Postleitzahl: 50667
Land: Deutschland 🇩🇪
Quelle: OJS 2019/S 237-581475 (2019-12-04)

Bekanntmachung über vergebene Aufträge (2020-04-14)
Objekt
Umfang der Beschaffung
Gesamtwert des Auftrags: 500 000 EUR 💰
Metadaten der Bekanntmachung
Dokumenttyp: Bekanntmachung über vergebene Aufträge

Verfahren
Angebotsart: Entfällt
Vergabekriterien
Niedrigster Preis

Referenz
Daten
Absendedatum: 2020-04-14 📅
Veröffentlichungsdatum: 2020-04-16 📅
Kennungen
Bekanntmachungsnummer: 2020/S 075-178488
Verweist auf Bekanntmachung: 2019/S 237-581475
ABl. S-Ausgabe: 75

Objekt
Umfang der Beschaffung
Kurze Beschreibung:

Basis dieser Lösung ist es, das Nutzer-Smartphone mit einer kryptographischen Signaturfunktion auszustatten, mit der digitale Signaturen über Ticketdaten sowie dynamische Daten (z.B. Challenge von einem Kontrollgerät) erstellt werden können. Auf diese Weise wird das Nutzer-Smartphone gegenüber der Kontroll-Infrastruktur authentisiert und Ticketdaten sowie ggf. andere Daten authentisch übertragen. Dazu benötigt das Nutzer-Smartphone ein Schlüsselpaar. Der öffentliche Teil erhält ein Zertifikat von der PKI des VDV eTicket Service, das verschiedene Attribute mit dem Schlüssel verbindet, insbesondere eine eindeutige Schlüssel-ID. Ein Ticket, das mit dem Nutzer-Smartphone genutzt werden soll, ist ein vom Ausgeber ebenfalls digital signierter Datensatz. Die zum Nutzer-Smartphone gehörende Schlüssel-ID wird vom Ausgeber in die Ticketdaten eingefügt. Somit kann bei einer Kontrolle oder Validierung festgestellt werden, ob das Ticket zum vorliegenden Nutzer-Smartphone gehört. Es ist also nicht möglich, Kopien von Ticketdaten auf ein anderes Geräte als vom Ausgeber des Tickets beabsichtigt zu verwenden.

Die SCE wird mit dem Sicherheitsmanagement von ((eTicket Deutschland über ein SCE-Managementsystem (SCE-MS) verbunden. Dabei wird die Eignung des Nutzer-Smartphones als Host für die SCE bzw. für eine App mit integrierter SCE aus sicherheitstechnischer Sicht beurteilt, d.h. es wird eine Attestierung durchgeführt. Die Entwicklung und der Betrieb dieses Systems ist ebenfalls Gegenstand des Auftrags. Ist ein Nutzer-Smartphone geeignet, so erhält die installierte SCE Schlüsselmaterial und ein entsprechendes Zertifikat, das auch eine eindeutige ID enthält. Das Zertifikat bindet den Schlüssel an die ID und belegt auch die Vertrauenswürdigkeit des Nutzer-Smartphones. Das SCE-MS ruft die benötigten Zertifikate in diesem Prozess von der existierenden PKI des Auftraggebers ab. Darüber hinaus überwacht das SCE-MS die SCE auf unbefugte Aktivitäten, die auf Versuche die SCE zu kompromittieren hinweisen können. Die Gültigkeitsdauer der über das SCE-MS gelieferten Zertifikate hängt von Risikometriken ab, die sich aus Messungen im Rahmen des Monitoring ergeben. Innerhalb dieses Zeitraums können beliebig viele Tickets ausgestellt und auf dem Smartphone genutzt werden. Bei Bedarf wird von der App eine Verlängerung des Zertifikats automatisch beantragt.

Auftragsvergabe
Datum des Vertragsabschlusses: 2020-04-07 📅
Name: Incloud Engineering GmbH
Postanschrift: Dolivostraße 17
Postort: Darmstadt
Postleitzahl: 64293
Land: Deutschland 🇩🇪
Gesamtwert des Auftrags: 500 000 EUR 💰
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 5
Quelle: OJS 2020/S 075-178488 (2020-04-14)

Neue Beschaffungen in verwandten Kategorien 🆕

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (>20 neue Beschaffungen)

Softwareprogrammierung und -beratung (>20)

Programmierung von Softwarepaketen (7)

Programmierung von Anwendersoftware (6)

Entwicklung von Dienstprogrammen für die Software-Entwicklung

Entwicklung von Sicherheitssoftware