Penetrationstests

Kurze Beschreibung

Unterstützungsleistungen für Planung und Durchführung von Penetrationstests an Verfahren, Produkten, Hardwarekomponenten, IT-Infrastrukturen und Netzinfrastruktur-Komponenten, usw.

Hauptstandort oder Erfüllungsort

Die Standorte der Hessische Zentrale für Datenverarbeitung
In 65185 Wiesbaden, 36088 Hünfeld, 55130 Mainz, sowie in Abhängigkeit vom Prüfobjekt in sämtlichen Dienststellen des Landes Hessen.

Beschreibung der Beschaffung

Folgende Leistungen sind durch den Auftragnehmer bei Bedarf für den Auftraggeber zu erbringen:
— Planung und Durchführung von IS Penetrationstests,
— Planung und Durchführung von IS Webchecks,
— IS-Kurzrevisionen,
— Regressionstests zu vorher stattgefundenen Penetrationstests,
— Technische Sicherheitsaudits,
— Erstellen von Penetrationstestkonzepten, Penetrationstest-Ergebnisberichten und Ergebnispräsentationen,
— Planung und Durchführung von Penetrationstest-Workshops,
— Planung und Durchführung von gezielten Schulungsmaßnahmen zu Penetrationstest-Themen und Penetrationstest-Werkzeugen,
— Beratungsleistungen zu Penetrationstests,
— Unterstützungsleistungen beim Aufbau HZD-interner Penetrationstest-Services,
— Forensische Untersuchungen von Systemen,
— Code-Analysen und Code-Reviews.
Es ist mit 250 Personentagen pro Jahr zu rechnen.

Beschreibung der Verlängerungen

Mindestlaufzeit 12 Monater mit dreimaliger automatischer Verlängerung um jeweils ein weiteres Jahr. Der Rahmenvertrag endet spätestens nach Ablauf von 48 Monaten nach Zuschlagserteilung.

Liste und kurze Beschreibung der Bedingungen

Erklärung betr. Ausschluss wegen schwerer Verfehlungen
Der Bieter hat die Eigenerklärung gemäß dem Gemeinsamen Runderlass über den „Ausschluss von Bewerbern und Bieter wegen schwerer Verfehlungen, die ihre Zu-verlässigkeit in Frage stellen“ in der Fassung vom 12.12.2017 (StAnz. 1/2018 S. 15 ff) ausgefüllt mit seinem Angebot einzureichen (Datei „Erklaerung_Ausschluss“).
Zusätzlich weist die Vergabestelle an dieser Stelle bereits darauf hin, dass für den für den Zuschlag in Aussicht genommenen Bieter sowie die von ihm im Vergabeverfahren gemeldeten Unterauftragnehmer eine Abfrage bei Korruptions- und Vergaberegistern, insbesondere bei der zentralen Melde- und Informationsstelle für Vergabesperren (MIS) bei der Oberfinanzdirektion Frankfurt am Main, vorgenommen wird. Ebenso wird von dem für den Zuschlag in Aussicht genommenen Bieter gemäß § 19 Abs. 4 MiLoG vor Zuschlagserteilung eine Auskunft aus dem Gewerbezentralregister nach § 150a der Gewerbeordnung angefordert.
Eigenerklärung zu zwingenden Ausschlussgründen nach § 123 GWB
Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen nach § 123 GWB (Datei „Eigenerklaerung_Ausschlussgruende_Par_123_GWB“) ausgefüllt mit seinem Angebot vorzulegen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern ist die Eigenerklärung von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.
Eigenerklärung zu fakultativen Ausschlussgründen nach § 124 GWB
Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen nach § 124 GWB (Datei „Eigenerklaerung_Ausschlussgruende_Par_124_GWB“) ausgefüllt mit seinem Angebot einzureichen.
Hinweise der Vergabestelle zu den Ausschlussgründen nach §§ 123, 124 GWB: Sollten ein oder mehrere Gründe bejaht werden, wird der Bieter/das Mitglied der Bietergemeinschaft/Unterauftragnehmer gebeten, diesen Grund bzw. diese Gründe unter präziser Darstellung des relevanten Sachverhalts sowie die unternommenen Selbstreinigungsmaßnahmen (§ 125 GWB) auf einem gesonderten Blatt zu erläutern. Die Vergabestelle wird dann nach pflichtgemäßem Ermessen entscheiden, ob die Teilnahme des Bieters/Mitglieds der Bietergemeinschaft/Unterauftragnehmers am Vergabeverfahren zulässig ist oder der Bieter/das Mitglied der Bietergemeinschaft/Unterauftragnehmer vom Vergabeverfahren ausgeschlossen werden muss.

Liste und kurze Beschreibung der Auswahlkriterien

Eigenerklärung getätigte Umsätze (Pos. 2.1 im Muster Eigenerklärung weitere Eignungskriterien). Es sind Angaben über den erzielten Gesamtumsatz, jeweils netto aus den vergangenen 3 Jahren vorzunehmen. (Datei „Eigenerklaerung_weitere_Eignungskriterien“)

Liste und kurze Beschreibung der Auswahlkriterien

Referenzen:Die Eignung setzt voraus, dass mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung A), mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung B), mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung C) und mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung D) vorliegt.
A) Anwendungen
— Webanwendungen (z. B. Internet- und Intranet-Auftritte, Vorgangsbearbeitung, Webshop),
— Client-Anwendungen (Java-, .Net-Anwendung etc., verfügbar im Internet und Intranet),
— Anwendungen wie Mail, SAP-Verfahren, Dokumentenmanagementsystem etc.
B) Infrastrukturen
— Netzinfrastrukturen (Kabelgebundene, Wireless-, Funk-Netze) inklusive der Netzkoppelelemente (z. B. Router, Switches, Hubs, (VPN-)Gateways),
— Sicherheitsinfrastrukturen (Paketfilter, Firewalls, Intrusion Detection System, Virenscanner, etc.),
— Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.).
C) Arbeitssysteme
— Arbeitsplatzsysteme (Desktop-Systeme),
— Mobile Arbeitsgeräte (Tablets, Smartphones, Notebooks etc.).
D) Sonstige IT-Komponenten
— Hardware wie Scan-Arbeitsplätze, Drucker- und Druckstraßen, etc.,
— Telekommunikationsanlagen,
— Infrastruktureinrichtungen (wie z. B. Zutrittskontrollmechanismen).
(Datei „Referenzen_Penetrationstests“)
Erklärung zum Prüflabor
Der Bieter hat eine Eigenerklärung einzureichen, mit welcher er bestätigt, dass ein Prüflabor vorhanden ist und das auf Grundlage der DIN EN ISO/IEC 17025 geführt wird. Eine Akkreditierung des Prüflabors nach der DIN EN ISO/IEC 17025 ist wünschenswert, jedoch nicht zwingend.
(Datei „Eigenerklaerung_Prueflabor“)
Erklärung zur Beschäftigtenzahl (Pos. 1.1a-1.1b im Muster „Eigenerklärung weitere Eignungskriterien“)
Es sind Angaben über die Höhe der Beschäftigtenzahl aus den letzten 3 Jahren zu machen.
(Datei „Eigenerklaerung_weitere_Eignungskriterien“)
Eigenerklärung ausgeführte Projekte (Pos.1.2 im Muster Eigenerklärung weitere Eignungskriterien)
Es sind Angaben über die Anzahl der ausgeführten Projekte als IT-Sicherheitsdienstleister für die letzten 3 Geschäftsjahre zu machen.
(Datei „Eigenerklaerung_weitere_Eignungskriterien“)
Eigenerklärung (Pos.1.3 im Muster Eigenerklärung weitere Eignungskriterien)
Es sind Angaben über die Anzahl der Kunden zu machen, bei welchen in den letzten 3 Geschäftsjahren IT-Sicherheitsdienstleistungen ausgeführt wurden.
(Datei „Eigenerklaerung_weitere_Eignungskriterien“)
Eigenerklärung (Pos.1.4. im Muster Eigenerklärung weitere Eignungskriterien)
Der Bieter hat anzugeben, dass er über mindesten eines der folgenden Zertifikate verfügt:
— Das Unternehmen ist eine BSI- zertifizierte Prüfstelle,
— Das Unternehmen ist ein BSI zertifizierter Sicherheitsdienstleister in den Geltungsbereichen IS-Revision und IS-Penetrationstests,
— Das Unternehmen verfügt über eine Zertifizierung nach BSI Grundschutz,
— Das Unternehmen verfügt über eine Zertifizierung nach ISO27001.
(Datei „Eigenerklaerung_weitere_Eignungskriterien“)

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Referenzen: Die Eignung setzt voraus, dass mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung A), mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung B), mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung C) und mindestens eine geeignete Referenz aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“) zu Anforderung D) vorliegt.
A) Anwendungen
— Webanwendungen (z. B. Internet- und Intranet-Auftritte, Vorgangsbearbeitung, Webshop),
— Client-Anwendungen (Java-, .Net-Anwendung etc., verfügbar im Internet und Intranet),
— Anwendungen wie Mail, SAP-Verfahren, Dokumentenmanagementsystem etc.
B) Infrastrukturen
— Netzinfrastrukturen (Kabelgebundene, Wireless-, Funk-Netze) inklusive der Netzkoppelelemente (z. B. Router, Switches, Hubs, (VPN-)Gateways),
— Sicherheitsinfrastrukturen (Paketfilter, Firewalls, Intrusion Detection System, Virenscanner, etc.),
— Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.).
C) Arbeitssysteme
— Arbeitsplatzsysteme (Desktop-Systeme),
— Mobile Arbeitsgeräte (Tablets, Smartphones, Notebooks etc.).
D) Sonstige IT-Komponenten
— Hardware wie Scan-Arbeitsplätze, Drucker- und Druckstraßen, etc.,
— Telekommunikationsanlagen,
— Infrastruktureinrichtungen (wie z. B. Zutrittskontrollmechanismen).
(Datei "Referenzen_Penetrationstests")
Erklärung zum Prüflabor
Der Bieter hat eine Eigenerklärung einzureichen, mit welcher er bestätigt, dass ein Prüflabor vorhanden ist und das auf Grundlage der DIN EN ISO/IEC 17025 geführt wird. Eine Akkreditierung des Prüflabors nach der DIN EN ISO/IEC 17025 ist wünschenswert, jedoch nicht zwingend.
(Datei „Eigenerklaerung_Prueflabor“)
Eigenerklärung (Pos. 1.4. im Muster Eigenerklärung weitere Eignungskriterien)
Der Bieter hat anzugeben, dass er über mindesten eines der folgenden Zertifikate verfügt:
— Das Unternehmen ist eine BSI-zertifizierte Prüfstelle,
— Das Unternehmen ist ein BSI zertifizierter Sicherheitsdienstleister in den Geltungsbereichen IS-Revision und IS-Penetrationstests,
— Das Unternehmen verfügt über eine Zertifizierung nach BSI Grundschutz,
— Das Unternehmen verfügt über eine Zertifizierung nach ISO27001.
(Datei „Eigenerklaerung_weitere_Eignungskriterien“)

Bedingungen für die Vertragserfüllung

Der Auftraggeber sowie die Bieter (Bietergemeinschaften) sowie deren Unterauftragnehmer sind zur Einhaltung der Vorschriften des Hessischen Vergabe- und Tariftreuegesetzes (HVTG) vom 19.12.2014 (GVBl. S. 354) verpflichtet. Bieter (jedes Mitglied einer Bietergemeinschaft) sowie deren Unterauftragnehmer (§ 8 HVTG) haben die erforderliche Verpflichtungserklärungen nach § 4 Abs. 1 bis 5 HVTG (Tariftreueerklärung) und § 6 HVTG (Mindestentgelterklärung) abzugeben (Datei „Verpflichtungserklaerung_oeff_AG“).

Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.
Der Zuschlag wird auf das wirtschaftlichste Angebot erteilt (§ 127 GWB, § 58 VgV). Das wirtschaftlichste Angebot ergibt sich aus der angebotenen „Leistung“ (=Zuschlagskriterium, Gewichtung 70 %), dieses wiederum untergliedert in die Unterkriterien „Testkonzept“ (Gewichtung 20 %), „Angebot“ (Gewichtung 10%), „Ergebnisdokumentation“ (Gewichtung 20 %) sowie die „Erfahrung/Qualifikation des mit der Ausführung des Auftrags betrauten Personals“ (Gewichtung jeweils 5 %) sowie dem angebotenen „Preis“ (=Zuschlagskriterium, Gewichtung 30 %).
Neben der Bewertung des mit der Auftragsausführung betrauten Personals (Kap. 6.1.5 der Ausschreibungsbestimmungen) wird — um eine aussagekräftigere Bewertung des Bieters vornehmen zu können — eine Verfahrensbeschreibung (siehe Kap. 6.1.1) vorgegeben. Dazu ist ein Testkonzept (siehe Kap. 6.1.2), ein Angebot (siehe Kap. 6.1.3) und eine Ergebnisdokumentation (siehe Kap. 6.1.4) zu fertigen.
Zu den Einzelheiten der Ermittlung des wirtschafltichsten Angebots wird auf Kapitel 6 der Ausschreibungsbestimmungen verwiesen.

Genaue Informationen über Fristen für Überprüfungsverfahren

§ 160 Einleitung, Antrag
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.