Rahmenvertrag zur Analyse von Standard-Anti-Viren-Produkten

Beschreibung der Beschaffung

Es sollen Konfigurationen von in der Bundesverwaltung eingesetzten Anti-Viren-Produkten (AV-Produkten) im Rahmen von Standardtests auf die Effektivität des Schutzes überprüft werden.
Die Tests sollen Auskunft darüber geben, wie gut spezifische AV-Produkte gegen Standard-Angriffe schützen.
Laufzeit 1 Jahr + 3 x 1 Jahr optional ohne Abrufverpflichtung.

Liste und kurze Beschreibung der Bedingungen

Die Anlage 5 „Unternehmensdaten" ist vom Bieter auszufüllen und dem Angebot beizufügen. Vor der Auftragsvergabe wird von der Vergabestelle eine Gewerbezentralregisterauskunft eingeholt. Für einen Zuschlag kommt nur ein Bieter in Frage, der keine auftragsverhindernden Eintragungen besitzt.

Liste und kurze Beschreibung der Auswahlkriterien

1.3) Unternehmenszahlen
Bitte füllen Sie die Anlage 10 Unternehmenszahlen aus. Machen Sie bitte dort Angaben zu den Umsätzen im einschlägigen Geschäftsbereich für die Jahre 2016, 2017 und 2018 sowie zu den Gesamtumsätzen Ihres Unternehmens in obigen Jahren.
Bitte beachten Sie: Die Abfrage bezieht sich ausschließlich auf die Zahlen des sich hier bewerbenden Unternehmens. Umsätze von wirtschaftlich verbundenen Unternehmen (insbesondere von unabhängigen Mutter-/oder Tochtergesellschaften) sind hier nicht berücksichtigungsfähig. Die auswertende Stelle ist berechtigt, Nachweise für die von Ihnen gemachten Angaben zu fordern. Bietergemeinschaften werden dabei wie ein einzelnes Unternehmen behandelt. Definition: Der Begriff Geschäftsbereich bezieht sich hier weniger auf eine organisatorische Abgrenzung, sondern auf den Teil des Unternehmens, der die bei den Testern definierten Leistungen erbringt. Die Erfüllung der Anforderungen zu 1.3.1 und 1.3.2 wird anhand der Eintragungen in die Anlage_10 Unternehmenszahlen durch die auswertende Stelle festgestellt. Falsche oder unvollständige Angaben können zum Ausschluss aus dem Verfahren führen.
1.3.1) Lag der Jahresumsatz im einschlägigen Geschäftsbereich (vgl. Nr. 1.3) in den Jahren 2016, 2017 und 2018 im Durchschnitt über 400 000 EUR?
1.3.2) Lag der Gesamtjahresumsatz in den Jahren 2016, 2017 und 2018 im Durchschnitt über 800 000 EUR?

Liste und kurze Beschreibung der Auswahlkriterien

2.1) Als unabhängig im Sinne dieser Ausschreibung kann Ihr Unternehmen nur angesehen werden, wenn es nicht Hersteller eines AV-Produktes im klassischen Sinne ist. Die Vermarktung der Testinfrastruktur bestehend aus Produkten anderer Hersteller (z. B. durch Bereitstellung einer AV-Phalanx) ist ausdrücklich kein Ausschlussgrund. Können Sie die Unabhängigkeit in diesem Sinne bestätigen ?
2.2.1) Lag die Anzahl der fest angestellten Tester in den Jahren 2016, 2017 und 2018 im einschlägigen Geschäftsbereich in obigen Jahren im Durchschnitt über 8?
2.2.2) Lag die Anzahl der festangestellten Mitarbeiter insgesamt und freiberuflicher Mitarbeiter in obigen Jahren über 16 ?
2.3) Unternehmensdarstellung
Stellen Sie bitte kurz Ihr Unternehmen und Ihr Leistungsportfolio bezogen auf den Ausschreibungsgegenstand dar. Bitte benutzen Sie dafür die Anlage 7 „Unternehmensdarstellung". Diese Anlage muss für jedes Unternehmen (also von jedem Einzelunternehmen, jedem Mitglied eines Bieterkonsortiums sowie vom Generalauftragnehmer und jedem Unterauftragnehmer) ausgefüllt werden. Wurde die Anlage 7 für jedes im Antrag genannte Unternehmen vollständig ausgefüllt vorgelegt?
2.4) Geben Sie bitte im Hinblick auf die unter Nummern 2.4.2 bis 2.4.6 genannten Anforderungen mit deutlicher Zuordnung eine geeignete Anzahl von Referenzprojekten an. Machen Sie bitte für jedes Referenzprojekt folgende Angaben: Projektbezeichnung, Bieter/Bietergemeinschaft, Name und Anschrift der beauftragenden Stelle, d.h. der Stelle, für die die Dienstleistung erbracht wurde, Ansprechpartner der beauftragenden Stelle mit Organisationseinheit, Telefonnummer und E-Mailadresse, Projektaufwand in Personentagen, Anzahl der von Ihnen eingesetzten Tester, Anzahl der in den Vergleich einbezogenen AV-Produkte, Beschreibung des Leistungsumfangs und des Vorgehens und Verwendung der Testergebnisse. Pro Referenz füllen Sie bitte die in der Anlage_8 Projektreferenzen enthaltene Tabelle vollständig aus, da ansonsten die Berücksichtigung des jeweiligen Referenzprojektes nicht möglich ist. Bitte tragen Sie zusätzlich jedes Referenzprojekt in die Anlage_9 Übersicht Projektreferenzen ein. Bitte fügen Sie diese Anlagen Ihrem Angebot bei. Bitte beachten Sie, dass eine Berücksichtigung des jeweiligen Referenzprojektes nur möglich ist, wenn diese Auflistung vollständig ausgefüllt ist. Bitte berücksichtigen Sie, dass die Referenzen durch die auswertende Stelle zur Plausibilisierung Ihrer Antworten zu Nrn. 2.4.2 bis 2.4.6 herangezogen werden (vgl. Nr. 2.4.7). Die auswertende Stelle behält sich zudem vor, Ihre Angaben bei den jeweiligen Auftragnehmern zu validieren;
2.4.2) Haben Sie in den letzten 3 Jahren in mindestens 8 Testreihen pro Jahr AV-Software für den Consumermarkt für die Betriebssysteme Windows, Linux, Mac OS X und Android getestet und die Testergeb-nisse hierzu veröffentlicht? (Die Testreihen für verschiedene Betriebs-systeme dürfen addiert werden. Von den genannten Betriebssystemen müssen mindestens drei in der Auflistung enthalten sein);
2.4.3) Haben Sie in den letzten drei Jahren in mindestens 4 Testreihen pro Jahr Enterprise-Lösungen zu Virenschutz für Microsoft Windows getestet?
2.4.4) Haben Sie zu unter Nr. 2.4.2 und Nr. 2.4.3 genannten Tests die Testszenarien sowohl mit Real-World-Tests als auch mit On-Demand Scans verbunden? (Hinweis: Es müssen nicht alle Tests diese Bedingung erfüllen.) Unter Real-World-Test wird verstanden, dass im Internet befindliche aktive Drive-By-Exp loit Webseiten und E-Mails mit schadhaften Anhängen in die Testreihen mit eingebunden werden. Unter On-Demand Scan wird verstanden, dass der Virenscanner manuell angetriggert wird, um eine vollständige Überprüfung des Systems, insbesondere der Festplatte u. dgl., durchzuführen. Der On-Demand Scan stellt sicher, dass mögliche Infektionen auch später z. B. aufgrund von Signatur-Updates detektiert werden können;
2.4.5) Haben Sie zu unter Nr. 2.4.2 genannten Tests auch die Reparaturfähigkeit der AV-Software bei einem.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Bereits infizierten System überprüft? (Hinweis: Es müssen nicht alle Tests diese Bedingung erfüllen.)
2.4.6) Haben Sie in den letzten 3 Jahren sowohl verschiedene AV-Software für den Privatanwender als auch verschiedene Enterprise-AV Lösungen unter dem Gesichtspunkt Usability getestet?
Unter „Usability" wird die Softwareergonomie verstanden. Diese widmet sich der Gebrauchstauglichkeit und misst die Effektivität, Effizienz und Zufriedenheit bei der Verwendung von Software.
2.4.7) Sind die Antworten zu den Fragen 2.4.2 bis 2.4.6 unter Berücksichtigung der vorgelegten Referenzen plausibel?
Keine Antwort des Bieters erforderlich. Die Feststellung, ob das Kriterium erfüllt ist, trifft die auswertende Stelle.
2.5) Quellen für Schadsoftware
Bitte beschreiben Sie Ihre Quellen für Schadsoftware unter Bezugnahme auf die Fragen 2.5.1 bis 2.5.6. Bitte beachten Sie, dass Ihre Beschreibung der auswertenden Stelle zur Plausibilisierung Ihrer Antworten zu den Fragen 2.5.1 bis 2.5.6 dient.
2.5.1) Verfügen Sie über exklusive Quellen für Schadsoftware (d. h. selbständig gefundene und durch Unterauftragnehmer bzw. Kooperationspartner erhaltene bzw. ausgetauschte Schadsoftware)? Anm.: Die Auswertung kommerzieller oder Open Source Quellen reicht nicht aus!
2.5.2) Werten sie täglich mindestens 2 Millionen neue Objekte in Form von schädlichen bzw. vermutlich schädlichen Dateien, E-Mails (mit oder ohne Anhang), Webseiten u. dgl. aus?
2.5.3) Befinden sich aus den täglich ausgewerteten Objekten auch Objekte aus eigenen Honeypot-Systemen (bzw. Honey-Client-Systeme und E-Mail-Honeypots)?
2.5.4) Werten Sie zum Auffinden von Schadprogrammen und Drive-by-Exploits bzw. Drive-by-Downloads täglich mindestens 100.000 Anfragen auf Suchmaschinen als auch auch mindestens 100 000 Social-Media-Seiten, wie z. B. Twitter-Nachrichten aus?
2.5.5) Entdecken Sie monatlich mindestens 5 Millionen neue Schadprogramme? Unter neuen Schadprogrammen werden Dateien verstanden, deren Hash-Wert in ihrer Datenbank noch nicht gespeichert ist. Beschreiben Sie hierzu bitte auch, wie viele Hash-Werte sich in ihrer Datenbank bis dato befinden und mit welchem Algorithmus sie neue Hash-Werte generieren und wie Sie den Abgleich neu erstellter Hash-Werte mit den bereits gespeicherten Hash-Werten durchführen.
2.5.6) Verfügen Sie über eine tagesaktuelle Auswahl an Schadprogrammen, die die verschiedensten Anti-Analyse-Techniken nutzen? Unter Anti-Analyse-Technik wird insbesondere die Erkennung von virtuellen Systemen, Sandboxen und typischen Analysetools wie Debugger/Disassembler oder auch die Auswertung von User-Aktivitäten per Mauszeiger und Tastatur verstanden. Ferner wird darunter auch das Erschweren des Debuggens und Disassemblieren verstanden.
2.5.7) Sind die Antworten zu den Fragen Nr. 2.5.1 bis Nr. 2.5.6 unter Berücksichtigung der Darstellung zu Nr. 2.5 plausibel?
Keine Antwort des Bieters erforderlich. Die Feststellung, ob das Kriterium erfüllt ist, trifft die auswertende Stelle.
2.6) Auswahl von Malware für Tests:
Bitte beschreiben Sie unter Bezugnahme auf die Fragen Nr. 2.6.1 bis Nr. 2.6.4 die Auswahl von Malware für Tests. Bitte beachten Sie, dass Ihre Beschreibung der auswertenden Stelle zur Plausibilisierung Ihrer Antworten zu den Fragen Nr. 2.6.1 bis Nr. 2.6.4 dient.
2.6.1) Steht für Tests eine umfangreiche Auswahl an unterschiedlicher und aktueller (nicht älter als zwei Wochen) Schadsoftware wie z. B. Viren, Würmer, Trojaner, Backdoors, Rootkits, Keylogger, Bots und Makroviren zur Verfügung?
2.6.2) Ist die Schadsoftware in ihrem Repository nach Bekanntheitsgrad und Verbreitung kategorisiert?
Für alle Kriterien gilt: bei „Nein" oder „keine Angaben" zu mindestens einem Kriterium ist das Angebot nicht geeignet.
! Weiter unter VI.3) (zusätzliche Angaben) !

2.6.3) Ist die Schadsoftware in ihrem Repository nach Malware-Kategorien (z. B. Rootkit, Keylogger, Bot etc.) und Zugehörigkeit zu Schadsoftware-Familien (z. B. Bot-A, Bot-B ...) gruppiert?
2.6.4) Befinden sich in ihrem Fundus jederzeit Schadprogramme für Real-World-Tests die nicht älter als 24 Stunden und auch nicht in der Datenbank unter http://www.virustotal.com zu finden sind?
2.6.5) Sind die Antworten zu den Fragen Nr. 2.6.1 bis Nr. 2.6.4 unter Berücksichtigung der Darstellung unter Nr. 2.6 plausibel? Keine Antwort des Bieters erforderlich. Die Feststellung, ob das Kriterium erfüllt ist, trifft die auswertende Stelle;
2.7) Analyse von Malware
Bitte beschreiben Sie unter Bezugnahme auf die Fragen Nr. 2.7.1 bis Nr. 2.7.4 Ihre Expertise und Ihr Vorgehen hinsichtlich der Analyse von Malware. Weisen Sie bitte dabei Ihre Expertise zu den Fragestellungen Nr. 2.7.1 und Nr. 2.7.2 beispielsweise durch ein über ein eigens entwickeltes Analysesystem und Analyseverfahren nach. Bitte beachten Sie, dass Ihre Beschreibung der auswertenden Stelle zur Plausibilisierung Ihrer Antworten zu den Fragen Nr. 2.7.1 bis Nr. 2.7.4 dient.
2.7.1) Besitzen Sie eine Expertise zur Eigenentwicklung einer Analyseumgebung zur Durchführung von Testreihen, wie z. B. Vergleichstests von AV-Software?
2.7.2) Besitzen Sie eine Expertise zur Eigenentwicklung einer automatisierten Analyse und Kategorisierung von Malware?
2.7.3) Besitzen Sie eine definierte Vorgehensweise mit klaren Kriterien zur Unterscheidung von gutartigen und bösartigen Dateien?
2.7.4) Besitzen Sie eine definierte Vorgehensweise mit klaren Kriterien zur Unterscheidung von Malwarefamilien?
2.7.5) Sind die Antworten zu den Fragen Nr. 2.7.1 bis Nr. 2.7.4 unter Berücksichtigung der Darstellung unter Nr. 2.7 plausibel?
Keine Antwort des Bieters erforderlich. Die Feststellung, ob das Kriterium erfüllt ist, trifft die auswertende Stelle;
2.8) Detektionsleistung
Verfügen Sie über Expertise in der Fähigkeit zum Mitschneiden und zur Analyse von Telemetriedaten und Datenübertragungen in die Herstellercloud speziell bei AV-Programmen?
2.9) Managementsysteme des Unternehmens;
2.9.1) Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.
Verfügt das Unternehmen über ein Qualitätsmanagementsystem?
2.9.2) Bitte stellen Sie das unternehmensweite Projektmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.
Verfügt das Unternehmen über ein unternehmensweites Projektmanagement?
Hinweis: Bei den Nrn. 2.9.1 und 2.9.2 sind immer die Managementsysteme des gesamten Unternehmens zu betrachten. Bei Bietergemeinschaften in der Konstellation Generalunternehmer/Unterauftragnehmer ist für die Beurteilung der folgenden Kriterien ausschließlich die Situation beim Generalunternehmer für die Erfüllung der Kriterien 2.9.1 und 2.9.2 relevant. Bei Bietergemeinschaften in der Konstellation Bieterkonsortium müssen die Kriterien 2.9.1 und 2.9.2 von jedem dem Konsortium angehörigen Unternehmen erfüllt werden.

Genaue Informationen über Fristen für Überprüfungsverfahren

Unternehmen haben einen Anspruch auf Einhaltung der bieter- und bewerberschützenden Bestimmungen über das Vergabeverfahren gegenüber dem öffentlichen Auftraggeber, Bundesrepublik Deutschland, vertreten durch das Beschaffungsamt des Bundesministeriums des Innern (BeschA).
Sieht sich ein am Auftrag interessiertes Unternehmen durch Nichtbeachtung von Vergabevorschriften in seinen Rechten verletzt, ist der Verstoß innerhalb einer Frist von zehn Kalendertagen gegenüber dem BeschA zu rügen (§ 160 Abs. 3 S. 1 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB)). Verstöße, die aufgrund der Bekanntmachung oder der Vergabeunterlagen erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem BeschA gerügt werden (§ 160 Abs. 3 S. 1 Nr. 2 und 3 GWB).
Teilt das BeschA dem Unternehmen mit, seiner Rüge nicht abhelfen zu wollen, so besteht die Möglichkeit, innerhalb von 15 Tagen nach Eingang der Mitteilung einen Antrag auf Nachprüfung bei der Vergabekammer zu stellen (§ 160 Abs. 3 S. 1 Nr. 4 GWB).
Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 Abs. 1 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage nach Absendung dieser Information durch das BeschA geschlossen werden; bei Übermittlung per Fax oder auf elektronischem Wege beträgt diese Frist zehn Kalendertage. Sie beginnt am Tag nach Absendung der Information durch das BeschA.
Ein Antrag auf Nachprüfung ist schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Villemombler Straße 76, 53123 Bonn zu richten.
Hinweis: Das BeschA ist im Falle eines Nachprüfungsantrags verpflichtet, die Vergabeakten, die auch die abgegebenen Angebote enthalten, an die Vergabekammer weiterzuleiten. Die Beteiligten haben ein Recht auf Akteneinsicht. Um Betriebs- und Geschäftsgeheimnisse zu wahren, teilen Sie uns konkret mit Bezug auf die entsprechenden Dokumente des Angebotes mit, welche Informationen als Betriebs- und Geschäftsgeheimnisse zu behandeln sind.

Beschreibung der Beschaffung

Es sollen Konfigurationen von in der Bundesverwaltung eingesetzten Anti-Viren-Produkten (AV-Produkten) im Rahmen von Standardtests auf die Effektivität des Schutzes überprüft werden. Die Tests sollen Auskunft darüber geben, wie gut spezifische AV-Produkte gegen Standard-Angriffe schützen. Laufzeit 1 Jahr + 3 x 1 Jahr optional ohne Abrufverpflichtung.

Genaue Informationen über Fristen für Überprüfungsverfahren

Ein Antrag auf Nachprüfung kann schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Villemombler Straße 76, 53123 Bonn, gerichtet werden. Die Unwirksamkeit des Vertrages gemäß § 135 GWB kann innerhalb von 30 Kalendertagen nach Veröffentlichung dieser Bekanntmachung im Amtsblatt der Europäischen Union geltend gemacht werden.