Pentests 2020

Kurze Beschreibung

Zur technischen Verifizierung des IT-Sicherheitsniveaus und zur Identifikation von Schwachstellen in den IT-Systemen (Webapps, Anwendungen, Netze, Produkte, …) der ekom21 müssen IT-Penetrationstests durchgeführt werden. Ziel dieser Untersuchungen ist es, technische Schwachstellen in den IT-Systemen zu finden, die potenziell bei Cyberangriffen zu Schäden bzw. negativen Auswirkungen auf die Geschäftsprozesse der ekom21 haben können.
Bei Penetrationstests wird zur Überprüfung des Sicherheitsniveaus versucht, über Schwachstellen Systemzugriffe zu ermöglichen, die technisch eigentlich unterbunden sein sollten. Damit soll auch nachgewiesen werden, ob bzw. dass die umgesetzten Maßnahmen zur technischen Absicherung der IT-Systeme den erwarteten Schutz bieten.
Mittels Penetrationstests soll geprüft werden, ob die Zielanwendung gegenüber einem potentiellen Angreifer verwundbar ist und Möglichkeiten bestehen die Zielanwendung zu manipulieren oder in das System einzudringen.
Diese Analysen werden im Vorfeld mit den jeweiligen Verantwortlichen, IT-Sicherheitsmanagern sowie IT-Dienstleistern der betreffenden Verfahren abgestimmt und die Durchführung begleitet.

Beschreibung der Beschaffung

Weltweit nehmen die Cyberangriffe zu. Auch die ekom21 – KGRZ Hessen (im Folgenden: ekom21) kann sich diesem Trend nicht entziehen und steht hier zunehmend im Fokus von gezielten Cyberangriffen. Neben der Prävention werden Maßnahmen zur Detektion von und Reaktion auf solch gezielten Cyberangriffen zum Schutz der IT-gestützten Geschäftsprozesse immer wichtiger.
Bei Cyberangriffen werden i.d.R. vorhandene Sicherheitslücken in IT-Systemen ausgenutzt, so dass die ekom21 systematisch sicherstellen muss, dass regelmäßig nach vorhandenen Schwachstellen gesucht wird, die dann zeitnah beseitigt werden müssen, bevor diese durch Angreifer ausgenutzt werden können.
Zusätzlich muss die ekom21 die Reaktionsfähigkeiten und Analysemöglichkeiten bei erfolgreichen Cyberangriffen nachhaltig verbessern, um Schäden auf die Geschäftsprozesse zu vermeiden bzw. zu minimieren.
Aus diesem Grund besteht der Bedarf nach Sicherheitsdienstleistungen wie der Durchführung von Penetrationstests in den folgenden Leistungsfeldern
— Planung und Durchführung von IS Penetrationstests,
— Planung und Durchführung von IS Webchecks,
— IS-Kurzrevisionen,
— Regressionstests zu vorher stattgefundenen Penetrationstests,
— Technische Sicherheitsaudits,
— Erstellen von Penetrationstest-Ergebnisberichten und Ergebnispräsentationen,
— individuelle Security Beratung.
Es ist mit 120 Personentagen pro Jahr zu rechnen.
Die durchzuführenden Tests sind ausschließlich von eigenen Mitarbeitern des Auftragnehmers durchzuführen, der Einsatz von Subdienstleistern und/ oder externen Fachkräften ist nicht zulässig.
Die Qualifikation der Mitarbeiter (Pentester) ist entsprechend des Erfassungsblatt_Mitarbeiterqualität.xlsx zu dokumentieren.
Im Rahmen der Durchführung ist nicht gewünscht, durch verdeckte Arbeit oder Täuschung der Mitarbeiter Arbeitsfehler zu provozieren oder auf solchen Wegen Informationen zu erhalten (kein Social Engineering).
Die Penetrationstests erfolgen i.d.R. über das Internet bzw. einem vom Auftraggeber bereitgestellten VPN Anschluss oder am Standort des Bestellers in enger Abstimmung mit Vertretern des jeweiligen Geschäftsfeldes/Servicecenters). Fallweise kann die Präsenz der Tester vor Ort (Standorte des Unternehmens in Kassel, Gießen und Darmstadt) sein, z. B. für das Modul WLAN.
Der Auftraggeber gibt eine Schätzung der Durchführungsdauer des Penetrationstests bei der Anfrage an den Auftragnehmer ab. Damit sollte es möglich sein innerhalb von 5 Arbeitstagen ein Angebot abzugeben. Der geschätzte Zeitraum für die Durchführung darf im späteren Penetrationstest bei Bedarf auch unter- bzw. überschritten werden. Der Durchführungszeitraum muss, wenn vom Auftraggeber kein Zeitrahmen angegeben wurde, innerhalb der nächsten 4 Wochen liegen.
Die Ergebnisse der Tests müssen jeweils in einem deutschsprachigen Abschlussbericht erläutert und bewertet werden. Es ist immer eine detaillierte Beschreibung, inkl. relevanter technischer Parameter notwendig. Bei der Analyse sind die gefundenen Schwachstellen mit einem CVSS-Vektor zu bewerten. Die Ergebnisse reiner Vulnerability Scans müssen als solche gekennzeichnet sein. Automatisiert gefundene Schwachstellen sollten verifiziert werden. Dabei muss angegeben werden wie dies erfolgt ist. Sollte eine Verifizierung in Einzelfällen nicht möglich sein, muss dies explizit angegeben werden. Zu den beschriebenen Schwachstellen sollen die möglichen Angriffsvektoren ebenso wie die Ausnutzbarkeit beschrieben sein. Nähere Anforderungen zur Dokumentation sind in Abschnitt 6 definiert.
Darüber hinaus sind bei Bedarf Abschlusspräsentationen für technische und fachliche Spezialisten und Vertreter des Managements jeweils vor Ort durchzuführen. Die Kommunikation erfolgt in deutscher Sprache.
Die elektronische Kommunikation per E-Mails muss beim Austausch schützenswerter Informationen zwischen Besteller und Auftragnehmer verschlüsselt (mittels S/MIME oder PGP) erfolgen.
Für den Datenaustausch wird vom Auftraggeber eine Webanwendung bereitgestellt, welche verwendet werden muss.
Ergebnisse von durchgeführten Penetrationstests müssen vertraulich behandelt werden. Das Prinzip der Datensparsamkeit ist zu berücksichtigen. Anfallende Arbeitsergebnisse sind vom Auftragnehmer an den Auftraggeber zu übermitteln und dann umgehend sicher zu löschen. Die Testberichte sind hiervon ausgenommen, da diese beispielsweise auch Grundlage für eventuelle Nachtests sein können.

Beschreibung der Verlängerungen

Es besteht die einmalige Option einer Verlängerung um 6 Monate. Hierzu bedarf es einer einseitigen Erklärung durch den Auftraggeber gegenüber dem Auftragnehmer bis zum 30.9.2024. In diesem Fall endet dann die Laufzeit dieser Rahmenvereinbarung zum 30.6.2025.

Beschreibung der Optionen

Die Rahmenvereinbarung enthält Regelungen,
— die Angaben zu Art, Umfang und Voraussetzungen möglicher Auftragsänderungen enthalten, insbesondere einem einseitigen Erweiterungsrecht als Mehrbedarf bis zu 20 % des veranschlagten Gesamtwerts,
— die dem Auftraggeber ein ordentliches Kündigungsrecht zum 31.12.2021 und zum 31.12.2022 einräumen,
— zur Verlängerung der Rahmenvereinbarung (Fortsetzungsoption); vgl. dazu auch Abschnitt II.2.7) der Bekanntmachung.
Näheres ist den Vergabeunterlagen zu entnehmen.

Zusätzliche Informationen

Eine feste Abnahmemenge konnte nicht ermittelt werden. Der in den Vergabeunterlagen angegebene geschätzte Gesamtwert kann daher sowohl über- als auch unterschritten werden. Bei Ausübung der Fortsetzungsoption erhöht sich der veranschlagte Gesamtwert entsprechend anteilig.

Liste und kurze Beschreibung der Bedingungen

1) Eigenerklärung des Unternehmens, über die Befähigung und Erlaubnis zur Berufsausübung (§ 44 VgV)[Eigenerklärung Befähigung und Erlaubnis zur Berufsausübung],
2) Eigenerklärung des Unternehmens zu Ausschlussgründen (insbes. zu §§ 123, 124 GWB), gemäß dem Gemeinsamen Runderlass über den „Ausschluss von Bewerbern und Bieter wegen schwerer Verfehlungen, die ihre Zuverlässigkeit in Frage stellen“ in der Fassung vom 12.12.2017 (StAnz. 1/2018 S. 15 ff.), den besonderenAuftragsbedingungen sowie den Abschlusserklärungen [Eigenerklärung zu Ausschlussgründen].
Zu den geforderten Nachweisen werden für alle geforderten Erklärungen Erfassungsformulare zur Verfügung gestellt, die unter Beachtung der Ausfüllhinweise zwingend zu verwenden sind.
Geforderte Eignungsnachweise (gem. §§ 122 ff. GWB, §§ 42 ff. VgV), die in Form anerkannter Präqualifikationsnachweise (u. a. HPQR) vorliegen, werden zugelassen und anerkannt, wenn die Präqualifikationsnachweise in Form und Inhalt den geforderten Eignungsnachweisen entsprechen.
Die weiteren Einzelheiten zu den Bedingungen und Anforderungen sind den Vergabeunterlagen zu entnehmen.

Liste und kurze Beschreibung der Auswahlkriterien

1) Im Hinblick auf den ausgeschriebenen Auftrag: Eigenerklärung zum Unternehmen mit aussagekräftiger Darstellung des Unternehmens (Kenndaten und Kennzahlen, aktuelle Geschäftsbereiche, Tätigkeitsfelder und Marktpositionierung etc.) [Eigenerklärung zum Unternehmen],
2) Erklärung des Unternehmens, dass für den Fall des Zuschlags eine Berufs- oder Betriebshaftpflichtversicherung mit den aufgestellten Mindeststandards für die Dauer der Vertragslaufzeitabgeschlossen wird bzw. — falls bereits vorhanden — eine solche besteht und für die Dauer derAuftragsausführung aufrechterhalten wird [Eigenerklärung zur Berufs- oder Betriebshaftpflichtversicherung],
3) Erklärung über den Gesamtumsatz des Unternehmens bezogen auf die letzten 3 Geschäftsjahre [Eigenerklärung zum Gesamtumsatz].
Zu den geforderten Nachweisen werden für alle geforderten Erklärungen Erfassungsformulare zur Verfügunggestellt, die unter Beachtung der Ausfüllhinweise zu verwenden sind.
Geforderte Eignungsnachweise (gem. §§ 122 ff. GWB, §§ 42 ff. VgV), die in Form anerkannterPräqualifikationsnachweise (u. a. HPQR) vorliegen, werden zugelassen und anerkannt, wenn die Präqualifikationsnachweise in Form und Inhalt den geforderten Eignungsnachweisen entsprechen.
Die weiteren Einzelheiten zu den Bedingungen und Anforderungen sind den Vergabeunterlagen zu entnehmen.

Zu III.1.2.1) — Eigenerklärung zum Unternehmen:
Aufgrund der mitgeteilten Informationen (Kenndaten und Kennzahlen, aktuelle Geschäftsbereiche,Tätigkeitsfelder und Marktpositionierung etc.) darf kein Anlass zu Zweifeln bestehen, dass das Unternehmen in der Lage ist, den ausgeschriebenen Auftrag ordnungsgemäß ausführen zu können.
Zu III.1.2.2) — Eigenerklärung zur Berufs- oder Betriebshaftpflichtversicherung:
Gefordert ist eine marktübliche Berufs- oder Betriebshaftpflichtversicherung bei einem in der EuropäischenUnion zugelassenen Versicherer durch die je Schadensfall Versicherungsschutz in Höhe von mindestens jeweils:
— 2 000 000 EUR für Personenschäden und
— 2 000 000 EUR für Sachschäden und
— 250 000 EUR für Vermögensschäden.
Die sonstigen Bedingungen des Versicherungsschutzes müssen den allgemeinen Bedingungen innerhalb des Großkunden- und Konzerngeschäfts der in der Europäischen Union zugelassenen Versicherer entsprechen. Die Haftpflichtversicherung muss für die gesamte Dauer der späteren Vertragsausführung aufrechterhalten werden.
Bescheinigungen über die Versicherung, z. B. in Form der Versicherungspolice oder einer schriftlichen Bestätigung der Versicherung, dürfen nicht älter als 6 Monate sein. Bescheinigungen in anderer als deutscher Sprache müssen in einer Übersetzung in das Deutsche vorgelegt werden. Der Bewerber steht für die Richtigkeit der Übersetzung ein. Werden diese Bedingungen nicht erfüllt, führt dies zwingend zum Ausschluss aus dem Vergabeverfahren.

Liste und kurze Beschreibung der Auswahlkriterien

1) Eigenerklärung aus der die durchschnittliche jährliche Anzahl der Beschäftigten des Unternehmens in den letzten 3 Jahren ersichtlich ist [Eigenerklärung zur Personenkennzahlen],
2) Erklärung zu geeigneten Referenzleistungen über früher ausgeführte Liefer- und Dienstleistungen die mit Bezug auf die ausgeschriebenen Leistungen Aufschluss über die technische und berufliche Leistungsfähigkeit geben [Eigenerklärung Referenzleistungen] mit.
Zu jeder Referenz müssen mindestens folgende Angaben
Gemacht werden:
— Kurzbezeichnung der Referenz,
— vollständiger Name einschließlich Postadresse und Kontaktdaten des Auftraggebers (=Referenzauftraggeber),
— Auftragswert,
— öffentlicher oder privater Auftraggeber,
— Leistungszeitraum (Liefer- bzw. Erbringungszeitpunkt),
— Termingerechter Projektabschluss,
— Beschreibung des Leistungsanteils des Ausführenden am Referenzprojekt in Prozent,
— Stellung des Ausführenden im Referenzprojekt (Alleinunternehmer, Generalunternehmer, Ressourcengeber, Mitglied einer Bietergemeinschaft,
— Lizenzberatung (Lizenzierung, Lizenzmanagement und Lizenzfragen),
— Anzahl der für den Bewerber im Rahmen des Projektes tätigen Personen.
Aus der Beschreibung der Referenz muss klar erkennbar sein, welche Leistungen der Bewerber, was Mitglied einer Bewerbergemeinschaft oder ein Dritter ist, auf dessen technische und berufliche Leistungsfähigkeit abgestellt wird, selbst durchgeführt hat. Die bloße untergeordnete Mitwirkung bzw. die Überwachung eines Referenzprojekts sind hierbei nicht ausreichend. Die vorzulegenden Referenzen müssen eindeutig demjenigen Unternehmen als Auftragnehmer/Durchführungsverantwortlichen zugeordnet werden können, der sie zum Nachweis seiner technischen und beruflichen Leistungsfähigkeit mit dem Angebot vorlegt.
Die Einreichung einer Bescheinigung des Referenzauftraggebers ist nicht erforderlich. Der Auftraggeber behält sich aber die Überprüfung der gemachten Angaben bei Referenzauftraggebern sowie eigene Ermittlungen vor,
Deren Ergebnisse Berücksichtigung im Rahmen der Eignungsprüfung berücksichtigt werden.
Zu den geforderten Nachweisen werden für alle geforderten Erklärungen Erfassungsformulare zur Verfügung
Gestellt, die unter Beachtung der Ausfüllhinweise zu verwenden sind.
Geforderte Eignungsnachweise (gem. §§ 122 ff. GWB, §§ 42 ff. VgV), die in Form anerkannter Präqualifikationsnachweise (u. a. HPQR) vorliegen, werden zugelassen und anerkannt, wenn die Präqualifikationsnachweise in Form und Inhalt den geforderten Eignungsnachweisen entsprechen.
Die weiteren Einzelheiten zu den Bedingungen und Anforderungen sind den Vergabeunterlagen zu entnehmen.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Zu III.1.3.2) — Eigenerklärung Referenzleistungen:
Es sind mindestens 3 Referenzleistungen einzureichen, diese müssen dem Auftragsgegenstand in Bezug auf die genannten Bereiche nahe kommen oder ähneln. Der Beginn des Leistungszeitraums darf nicht vor dem 1.1.2017 liegen.

Bedingungen für die Vertragserfüllung

Es wird darauf hingewiesen, dass die Bieter sowie deren Nachunternehmen und Verleihunternehmen, soweit diese bereits bei Angebotsabgabe bekannt sind, die erforderlichen Verpflichtungserklärungen zur Tariftreueund zum Mindestentgelt nach dem Hessischen Vergabe- und Tariftreuegesetz (HVTG) vom 19.12.2014, (GVBl.S.354) mit dem Angebot einzureichen haben. Die Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei einem Bieter, Nachunternehmer und Verleihunternehmen im EU-Ausland beschäftigt sind und die Leistung im EU-Ausland erbringen.
Zu den geforderten Nachweisen werden für alle geforderten Erklärungen Erfassungsformulare zur Verfügung gestellt, die unter Beachtung der Ausfüllhinweise zu verwenden sind.

Bieterfragen können längstens bis zum 20.11.2020, 10.00 Uhr, gestellt werden.
Bieterfragen sind gebündelt als Bieternachricht über die Vergabeplattform an die Vergabestelle zu richten. Auf einzelne Fragen ist nach Möglichkeit zu verzichten.
Alle in der Bekanntmachung oder in der Vergabeunterlage geforderten Unterlagen (Nachweise, Erklärungen und sonstige Dokumente) müssen – soweit bei dem betreffenden Nachweis nicht ausdrücklich anders angegeben – fristgerecht und in der vorgegebenen Form – z. B. unter Verwendung der Erfassungsformulare – mit dem Angebot eingereicht werden.
Zusätzlich zu den in der Vergabebekanntmachung getroffenen Vorgaben gelten die für dieses Vergabeverfahren aufgestellten Bewerbungsbedingungen, die Teil der elektronisch bereitgestellten Vergabeunterlagen sind.
Näheres ist den Vergabeunterlagen zu entnehmen.

Genaue Informationen über Fristen für Überprüfungsverfahren

Hinsichtlich der Fristen zur Einlegung von Rechtsbehelfen wird auf § 160 Abs. 3 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) verwiesen.
§ 160 Einleitung, Antrag:
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein,
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht,
(3) Der Antrag ist unzulässig, soweit:
1) Der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4) Mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.

Kurze Beschreibung

Zur technischen Verifizierung des IT-Sicherheitsniveaus und zur Identifikation von Schwachstellen in den IT-Systemen (Webapps, Anwendungen, Netze, Produkte...) der ekom21 müssen IT-Penetrationstests durchgeführt werden. Ziel dieser Untersuchungen ist es, technische Schwachstellen in den IT-Systemen zu finden, die potenziell bei Cyberangriffen zu Schäden bzw. negativen Auswirkungen auf die Geschäftsprozesse der ekom21 haben können.
Bei Penetrationstests wird zur Überprüfung des Sicherheitsniveaus versucht, über Schwachstellen Systemzugriffe zu ermöglichen, die technisch eigentlich unterbunden sein sollten. Damit soll auch nachgewiesen werden, ob bzw. dass die umgesetzten Maßnahmen zur technischen Absicherung der IT-Systeme den erwarteten Schutz bieten.
Mittels Penetrationstests soll geprüft werden, ob die Zielanwendung gegenüber einem potentiellen Angreifer verwundbar ist und Möglichkeiten bestehen die Zielanwendung zu manipulieren oder in das System einzudringen.
Diese Analysen werden im Vorfeld mit den jeweiligen Verantwortlichen, IT-Sicherheitsmanagern sowie IT-Dienstleistern der betreffenden Verfahren abgestimmt und die Durchführung begleitet.

Beschreibung der Beschaffung

Weltweit nehmen die Cyberangriffe zu. Auch die ekom21 - KGRZ Hessen (im Folgenden: ekom21) kann sich diesem Trend nicht entziehen und steht hier zunehmend im Fokus von gezielten Cyberangriffen. Neben der Prävention werden Maßnahmen zur Detektion von und Reaktion auf solch gezielten Cyberangriffen zum Schutz der IT-gestützten immer wichtiger. Bei Cyberangriffen werden i. d. R. vorhandene Sicherheitslücken in IT-Systemen ausgenutzt, so dass die ekom21 systematisch sicherstellen muss, dass regelmäßig nach vorhandenen Schwachstellen gesucht wird, die dann zeitnah beseitigt werden müssen, bevor diese durch Angreifer ausgenutzt werden können. Zusätzlich muss die ekom21 die Reaktionsfähigkeiten und Analysemöglichkeiten bei erfolgreichen Cyberangriffen nachhaltig verbessern, um Schäden auf die Geschäftsprozesse zu vermeiden bzw. zu minimieren. Aus diesem Grund besteht der Bedarf nach Sicherheitsdienstleistungen wie der Durchführung von Penetrationstests in den folgenden Leistungsfeldern
— Planung und Durchführung von IS Penetrationstests,
— Planung und Durchführung von IS Webchecks,
— IS-Kurzrevisionen,
— Regressionstests zu vorher stattgefundenen Penetrationstests,
— Technische Sicherheitsaudits,
— Erstellen von Penetrationstest-Ergebnisberichten und Ergebnispräsentationen,
— individuelle Security Beratung.
Es ist mit 120 Personentagen pro Jahr zu rechnen. Die durchzuführenden Tests sind ausschließlich von eigenen Mitarbeitern des Auftragnehmers durchzuführen, der Einsatz von Subdienstleistern und / oder externen Fachkräften ist nicht zulässig. Die Qualifikation der Mitarbeiter (Pentester) ist entsprechend des Erfassungsblatt_Mitarbeiterqualität.xlsx zu dokumentieren. Im Rahmen der Durchführung ist nicht gewünscht, durch verdeckte Arbeit oder Täuschung der Mitarbeiter Arbeitsfehler zu provozieren oder auf solchen Wegen Informationen zu erhalten (kein Social Engineering). Die Penetrationstests erfolgen i. d. R. über das Internet bzw. einem vom Auftraggeber bereitgestellten VPN Anschluss oder am Standort des Bestellers in enger Abstimmung mit Vertretern des jeweiligen Geschäftsfeldes/ Servicecenters). Fallweise kann die Präsenz der Tester vor Ort (Standorte des Unternehmens in Kassel, Gießen und Darmstadt) sein, z. B. für das Modul WLAN. Der Auftraggeber gibt eine Schätzung der Durchführungsdauer des Penetrationstests bei der Anfrage an den Auftragnehmer ab. Damit sollte es möglich sein innerhalb von fünf Arbeitstagen ein Angebot abzugeben. Der geschätzte Zeitraum für die Durchführung darf im späteren Penetrationstest bei Bedarf auch unter- bzw. überschritten werden. Der Durchführungszeitraum muss, wenn vom Auftraggeber kein Zeitrahmen angegeben wurde, innerhalb der nächsten vier Wochen liegen. Die Ergebnisse der Tests müssen jeweils in einem deutschsprachigen Abschlussbericht erläutert und bewertet werden. Es ist immer eine detaillierte Beschreibung, inkl. relevanter technischer Parameter notwendig. Bei der Analyse sind die gefundenen Schwachstellen mit einem CVSS-Vektor zu bewerten. Die Ergebnisse reiner Vulnerability Scans müssen als solche gekennzeichnet sein. Automatisiert gefundene Schwachstellen sollten verifiziert werden. Dabei muss angegeben werden wie dies erfolgt ist. Sollte eine Verifizierung in Einzelfällen nicht möglich sein, muss dies explizit angegeben werden. Zu den beschriebenen Schwachstellen sollen die möglichen Angriffsvektoren ebenso wie die Ausnutzbarkeit beschrieben sein. Nähere Anforderungen zur Dokumentation sind in Abschnitt 6 definiert. Darüber hinaus sind bei Bedarf Abschlusspräsentationen für technische und fachliche Spezialisten und Vertreter des Managements jeweils vor Ort durchzuführen. Die Kommunikation erfolgt in deutscher Sprache. Die elektronische Kommunikation per E-Mails muss beim Austausch schützenswerter Informationen zwischen Besteller und Auftragnehmer verschlüsselt (mittels S/MIME oder PGP) erfolgen. Für den Datenaustausch wird vom Auftraggeber eine Webanwendung bereitgestellt, welche verwendet werden muss. Ergebnisse von durchgeführten Penetrationstests müssen vertraulich behandelt werden. Das Prinzip der Datensparsamkeit ist zu berücksichtigen. Anfallende Arbeitsergebnisse sind vom Auftragnehmer an den Auftraggeber zu übermitteln und dann umgehend sicher zu löschen. Die Testberichte sind hiervon ausgenommen, da diese beispielsweise auch Grundlage für eventuelle Nachtests sein können.

Beschreibung der Optionen

Die Rahmenvereinbarung enthält Regelungen,
— die Angaben zu Art, Umfang und Voraussetzungen möglicher Auftragsänderungen enthalten, insbesondere einem einseitigen Erweiterungsrecht als Mehrbedarf bis zu 20 % des veranschlagten Gesamtwerts,
— die dem Auftraggeber ein ordentliches Kündigungsrecht zum 31.12.2021 und zum 31.12.2022 einräumen,
— zur Verlängerung der Rahmenvereinbarung (Fortsetzungsoption); vgl. dazu auch Abschnitt II.2.7) der Bekanntmachung. Näheres ist den Vergabeunterlagen zu entnehmen.