Beschaffung einer WLAN-Infrastruktur

Beschreibung der Beschaffung

Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten.
Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar.
Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten.
Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit.
Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert.
Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab.
Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist.
Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten.
Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können.
Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben.
Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können.
So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden.
Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift.
Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen.
Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein.
Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet.
Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden.
Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes.
Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können.
Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart.
Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben.
Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse.
Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen.
Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken.
Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.

Beschreibung der Optionen

Dem Auftraggeber steht ein einseitiges Leistungsbestimmungserweiterungsrecht bis zu 20 % der Gesamtangebotssumme (netto) aus diesem Vergabeverfahren als Mehrbedarf (quantitative Leistungserweiterung) zu. Die Gesamtangebotssumme (netto) ergibt sich aus dem Preisblatt.

Beschreibung der Beschaffung

Gefordert wird die Planung, Errichtung und Betrieb von WLAN-Hotspots.
Der Internetanschluss beschreibt die Anbindung des Hotspots an das Internet. Er beinhaltet den uneingeschränkten Zugang zum Internet, dessen Nutzung nach definierten Parametern und alle nutzungsabhängigen Entgelte.
Der Internetanschluss kann, je nach Verfügbarkeit, in einer der geforderten Technologien ausgeführt sein:
• xDSL - Ein Technologiewechsel zwischen ADSL und VDSL muss möglich sein. (ADSL darf nur noch als befristete Übergangslösung im branchenüblichen Rahmen - bis zur Inbetriebnahme der VDSL-Technologie - verwendet werden.)
• Breitband Kabelnetz Technologien (z.B. Koax-Netze)
• Glasfaser (z.B. FTTB)
• Mobilfunk (LTE / LTE-Advanced / 5G) - Diese Option wird nur als Ausweichlösung betrachtet, sofern alle anderen technologischen Ausführungen nicht umgesetzt werden können.
Es sind verschiedene Internetanschlussklassen definiert. Sie beschreiben jeweils mögliche Anschlusstechnologien und minimal verfügbare Datenraten im Up- und Downlink.
Der Auftragnehmer empfiehlt dem Einzelabrufberechtigten, unter Berücksichtigung der Verfügbarkeit im Ausbaugebiet, für jeden Hotspot eine geeignete Internetanschlussklasse. Die Internetanschlussklasse orientiert sich dabei in der Regel an den Anforderungen an Up- und Downlink-Datenraten.
Der Einzelabrufberechtigte kann bei Verfügbarkeit im Ausbaugebiet, die Erschließung einer höheren Internetanschlussklasse verlangen.
Die strukturierte Verkabelung eines WLAN-Hotspots erfolgt gemäß den "Installations-Richtlinien für Kommunikations-Verkabelungen" des Landes Hessen (IRKoV) bzw. der polizeilichen Ergänzung in ihrer jeweils aktuell gültigen Fassung.
Die Notwendigkeit und der Umfang der zentralen Netzwerkkomponenten in der lokalen Netzwerkumgebung eines jeden WLAN-Hotspots sind vom Umsetzungskonzept des Auftragnehmers abhängig. Zu den zentralen Netzwerkkomponenten zählen sowohl Hard- als auch Softwarekomponenten (Switche, WLAN-Controller, Software).
Etwaige notwendige Adapter (SFPs etc.) zur Integration der zentralen Netzwerkkomponenten in die strukturierte Verkabelung einer Lokation sind vom Auftragnehmer bereitzustellen.
Ein WLAN-Hotspot besteht aus mindestens einem versorgenden Accesspoint. Ein Accesspoint stellt die Funkschnittstelle zur Kommunikation zwischen Endgeräten und dem Hotspot zur Verfügung.
Der Auftragnehmer schlägt für verschiedene Montageorte geeignete Accesspoints und Zubehör vor.
Die Accesspoints müssen mindestens folgende Anforderungen erfüllen:
• WLAN-Standards nach IEEE 802.11 g, n und ac - inklusive der darin verwendeten Frequenzbänder im 2,4 GHz und 5 GHz Band (Dual Radio)
• Multi-SSID: Unterstützung von mindestens 4 verschiedenen SSIDs
• Offener Zugang zum WLAN-Hotspot - keine netzseitigen Zugangsbeschränkungen
• WPA2-PSK (Pre-Shared-Key): Zukünftige Erweiterungen des WPA-Standards (z.B. WPA3) müssen ebenfalls - in der Ausführung "PSK" - unterstützt werden.
• WPA3 bzw. eine zeitnahe Umstellung auf den neuen Standard. Damit ältere Geräte von der WLAN Infrastruktur nicht ausgeschlossen werden, muss temporär auch eine Authentifizierung über WPA2-PSK zusätzlich zu WPA3-PSK möglich sein. Eine Deaktivierung des WPA2-Standards orientiert sich am branchenüblichen Rahmen und erfolgt in Abstimmung mit dem Einzelabrufberechtigten.
• Externe oder interne Antennen
• Erweiterbarkeit um externe (remote) Antennen zur räumlichen Entkopplung von Antenne und Accesspoint
• Dynamic Frequency Selection (DFS)
• Black-Listing-Option für WLAN-Kanäle in den Frequenzbändern 2,4 GHz und 5 GHz
• Transmit Power Control (TPC)
• Eignung als Wand- oder Deckenmontage und als Standgerät; im Außenbereich auch als Mastmontage
• Diebstahlsicherungsmöglichkeit, z.B. durch Kensington Lock
• Stromversorgung, neben 230 V auch mittels Power over Ethernet (PoE)
• Konfigurierbare Möglichkeit zur Unterdrückung der SSID-Aussendung pro SSID
• 10/100/1000BASE-T Schnittstelle
Aus technischen, wirtschaftlichen oder anderen Gründen kann der Einsatz unterschiedlicher Accesspoints sinnvoll sein.
Beispielhaft gilt dies für:
• High-Density Accesspoints: zur Versorgung einer höheren Anzahl von Endgeräten
• Beamforming Accesspoints: mit Richtcharakteristik, z.B. mit 120 Richtwirkung
Der Zugang zum WLAN-Hotspot kann auf zwei Arten realisiert werden:
Zugangsart 1: Offen
Der Zugang zu den WLAN-Hotspots muss hierbei für die Nutzer so unkompliziert wie möglich sein. Das WLAN wird daher unverschlüsselt betrieben und verzichtet auf eine Authentisierung durch die Nutzer. Die Nutzer müssen sich ohne Kennung/ Passwort am WLAN-Hotspot anmelden können. Dies ist die Standardkonfiguration eines WLAN-Hotspots und wird durch eine Standard-SSID "HessenWLAN" bereitgestellt.
Zugangsart 2: Gesichert durch WPA2-PSK bzw. WPA3-PSK
Optional kann der Einzelabrufberechtigte weitere SSIDs konfigurieren und mindestens eine SSID mit dem Sicherheitsstandard WPA2-PSK bzw. WPA3-PSK sichern. Wie zuvor beschrieben, müssen hier Geräte im branchenüblichen Rahmen berücksichtigt werden, welche den WPA3 Standard noch nicht unterstützen. Der Zugang zu den WLAN-Hotspots ist nur durch die Authentisierung der Nutzer möglich und wird dabei durch einen, vom Einzelabrufberechtigten definierten und verwalteten Netzwerkschlüssel ermöglicht.
Für alle Zugangsarten muss der Auftragnehmer sicherstellen, dass die Kommunikation der WLAN-Teilnehmer untereinander unterbunden wird.
Eine Beschreibung der Anforderungen an die Montage der Accesspoints befindet sich jeweils in den gültigen Installations-Richtlinien für Kommunikations-Verkabelung (IRKoV) bzw. der polizeilichen Ergänzung.
Darüber hinaus gelten folgende Anforderungen:
• Die Accesspoints dürfen nicht direkt auf Metallträgern oder blechverkleideten Decken montiert werden. In diesem Fall müssen entsprechende Distanzrahmen etc. eingesetzt werden.
• Eine Montage der Accesspoints innerhalb von Zwischendecken oder Blenden ist in der Regel nicht vorgesehen, da die Abstrahlcharakteristik dadurch entscheidend verändert werden würde. Sollte jedoch eine sichtbare Montage aus optischen oder architektonischen Gründen nicht zulässig sein, können externe "Remote-Antennen" optional Abhilfe schaffen und als zusätzliches Zubehör durch den Auftragnehmer zur Verfügung gestellt werden.
• Sofern eine Installation im Außenbereich vorgesehen ist, ist für entsprechende Witterungsfestigkeit zu sorgen und es sind geeignete Blitzschutzmaßnahmen (Erdung) zu berücksichtigen.
• Öffentlich zugängliche Accesspoints müssen mit geeignetem Diebstahlschutz versehen werden.
• Vereinbarungen bezüglich des Denkmalschutzes sind zu beachten.
• Selbsterklärende Montageskizzen oder Fotodokumentation der AP-Installation nach Vorgabe des Einzelabrufberechtigten.
• Bei einer Verortung in einer Arbeitshöhe von über 2,50 m sind evtl. Zugangshilfen zu dokumentieren.
• Dokumentation aufgrund sonstiger projektspezifischer Anforderungen an den WLAN-Hotspot.
Vom WLAN-Hotspot dürfen nur vom Einzelabrufberechtigten vergebene Netzwerkkennungen ausgestrahlt werden. Die im Rahmen dieser Ausschreibung errichteten WLAN-Hotspots dürfen nicht für andere als die in dieser Ausschreibung genannten Zwecke verwendet werden. Insbesondere darf der Auftragnehmer keine eigenen SSIDs ausstrahlen.
Folgende SSID muss von den Accesspoints ausgestrahlt werden: HessenWLAN
Die IEEE-Standards 802.11k, 802.11v und 802.11r müssen unterstützt werden.
Über ein Webportal wird eine Subadministration des WLAN-Hotspots durch den Einzelabrufberechtigten ermöglicht.
Zu den administrativen Einstellungsmöglichkeiten müssen u.a. gehören:
• Konfiguration zusätzlicher SSIDs (inkl. Benennung der SSID-Namen), Konfiguration der Zugangsoptionen für einzelne SSIDs (Aktivierung von WPA2-PSK/WPA3-PSK, Setzen eines neuen WPA2-PSK/WPA3-PSK Netzwerk-schlüssels usw.).
• Konfiguration der Login-Zeiten (Minimale Zeit zwischen zwei WLAN-Hotspot-Logins durch Besuch einer Landing Page).
• Konfiguration von Betriebszeiten für jeden WLAN-Hotspot (Nachtabschaltungen, saisonale Anpassungen usw.).
• Anpassung des Webfilters und Limitierung des Nutzdatenverkehrs mindestens einer SSID.
Zentrales Captive Portal
Das Captive Portal hat die Funktion, die Zugangssicherung des WLAN-Hotspot-Angebots zu übernehmen. Diese Zugangssicherung muss eine Kontrollinstanz von zu erfüllenden Bedingungen bereitstellen, die der Nutzungsfreigabe vorgeschaltet sind.
Üblicherweise sind diese Bedingungen in zwei Abschnitte gegliedert, die in Abhängigkeit des Nutzerstatus zu erfüllen sind.
Betrieb von WLAN-Hotspots
Ein Nutzer erhält für die Dauer der Inanspruchnahme des WLAN-Hotspots sowohl eine IPv6 als auch eine IPv4 Adresse zugewiesen. Bei der IPv4 Adresse kann eine private Adresse nach RFC 1918 in Verbindung mit NAT (Network Address Translation) genutzt werden. Die Adressvergabe erfolgt dynamisch, d.h. die jeweiligen IP-Adressen werden bei jedem Verbindungsaufbau automatisch vergeben.
Das Monitoring soll ein Reporting ergänzen bzw. idealerweise ganz ersetzen. Dazu ist es erforderlich, dass nicht nur aktuelle Kennzahlen, sondern die Kennzahlen rückblickend bis zur Inbetriebnahme und auch in einer Vergleichsdarstellung von mehreren gleichen Betrachtungszeiträumen dargestellt werden. Dies kann durch graphische Aufbereitung in geeigneten Diagrammen erfolgen, in denen z.B. die Anzahl der Verbindungen pro Tag für alle Tage eines Monats bzw. pro Monat für alle Monate seit Inbetriebnahme dargestellt wird.
Nachfolgende Vorgaben sind für Hotline-Serviceleistungen einzuhalten:
• Serviceannahme an Arbeitstagen von 08:00 - 17:00 Uhr;
• Die Hotline ist mit unterwiesenen, Deutsch sprechenden Mitarbeitern zu besetzen;
• Bearbeitung von Änderungswünschen ohne Technikereinsatz und außerhalb der Service Level-Vereinbarungen innerhalb von 7 Werktagen.
Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben.
Im Übrigen wird zu Einzelheiten auf die Leistungsbeschreibung verwiesen.

Liste und kurze Beschreibung der Auswahlkriterien

Lose 1-3:
Darstellung von mindestens 2 geeigneten Referenzen aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.
— Art: Lieferung von Komponenten zum Aufbau einer WLAN/LAN-Infrastruktur,
— Umfang: Lieferung von mindestens 500 Geräten in einem Jahr.
(Datei „Referenzen Lose 1-3“ auf der Vergabeplattform).
Los 4
Darstellung von mindestens 5 geeigneten Referenzen aus den letzten 3 Jahren (Stichtag „Ablauf der Angebotsfrist“), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.
— mindestens 2 Referenzen über die Errichtung von Hotspots in mindestens 150 Lokationen pro Jahr (Art 1),
— mindestens 3 Referenzen jeweils über die Errichtung von mind. 20 Access- Points in einer Lokation inkl. Verkabelung für einen Kunden (Art 2).
(Datei „Referenzen Los 4“ auf der Vergabeplattform).

Bedingungen für die Vertragserfüllung

Es wird darauf hingewiesen, dass die Bieter sowie deren Nachunternehmen und Verleihunternehmen, soweit diese bereits bei Angebotsabgabe bekannt sind, die erforderlichen Verpflichtungserklärungen (Datei „Verpflichtungserklaerung_oeff_AG“) zur Tariftreue und zum Mindestentgelt nach dem Hessischen Vergabe- und Tariftreuegesetz (HVTG) vom 19.12.2014, (GVBl. S. 354) mit dem Angebot abzugeben haben. Die Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei einem Bieter, Nachunternehmer und Verleihunternehmen im EU-Ausland beschäftigt sind und die Leistung im EU-Ausland erbringen.

Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.
Erklärung zum Ausschluss wegen schweren Verfehlungen:
Der Bieter (jedes Mitglied einer Bietergemeinschaft) sowie seine Unterauftragnehmer haben die Eigenerklärung gemäß dem Gemeinsamen Runderlass über den „Ausschluss von Bewerbern und Bietern wegen schwerer Verfehlungen, die ihre Zuverlässigkeit in Frage stellen“ in der Fassung vom 23. Oktober 2020 (StAnz 48/2020 S. 1216) ausgefüllt mit ihren Angeboten einzureichen.
Bei elektronischem Versand ist die Verpflichtungserklärung auch ohne Unterschrift rechtsgültig.
Die Vergabestelle wird für den für den Zuschlag in Aussicht genommenen Bieter und seinen Unterauftragnehmern eine Abfrage bei Korruptions- und Vergaberegistern, insbesondere bei der zentralen Melde- und Informationsstelle für Vergabesperren (MIS) bei der Oberfinanzdirektion Frankfurt am Main, vornehmen. Ebenso wird von dem für den Zuschlag in Aussicht genommenen Bieter gemäß § 19 Abs. 4 MiLoG vor Zuschlagserteilung eine Auskunft aus dem Gewerbezentralregister nach § 150a der Gewerbeordnung angefordert.
(Datei „Erklaerung_Vergabesperre“)
Eigenerklärung zu zwingenden Ausschlussgründen nach § 123 GWB:
Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen nach § 123 GWB ausgefüllt mit seinem Angebot vorzulegen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern ist die Eigenerklärung von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.
(Datei „Eigenerklaerung_Par_123_GWB“)
Eigenerklärung zu fakultativen Ausschlussgründen nach § 124 GWB:
Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen nach § 124 GWB ausgefüllt mit seinem Angebot einzureichen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern ist die Eigenerklärung von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.
(Datei „Eigenerklaerung_Par_124_GWB“)
Hinweise der Vergabestelle zu den Ausschlussgründen nach §§ 123, 124 GWB: Sollten ein oder mehrere Gründe bejaht werden, wird der Bieter/das Mitglied der Bietergemeinschaft/Unterauftragnehmer gebeten, diesen Grund bzw. diese Gründe unter präziser Darstellung des relevanten Sachverhalts sowie die unternommenen Selbstreinigungsmaßnahmen (§ 125 GWB) auf einem gesonderten Blatt zu erläutern. Die Vergabestelle wird dann nach pflichtgemäßem Ermessen entscheiden, ob die Teilnahme des Bieters/Mitglieds der Bietergemeinschaft/Unterauftragnehmers am Vergabeverfahren zulässig ist oder der Bieter vom Vergabeverfahren ausgeschlossen werden muss.

Genaue Informationen über Fristen für Überprüfungsverfahren

§ 160 GWB (Einleitung, Antrag):
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit:
1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.

Beschreibung der Beschaffung

Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten. Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar. Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten. Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit. Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert. Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab. Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist. Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten. Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können. Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben. Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können. So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden. Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift. Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen. Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein. Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet. Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden. Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes. Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können. Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart. Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben. Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse. Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen. Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken. Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.

Beschreibung der Optionen

Dem Auftraggeber steht ein einseitiges Leistungsbestimmungserweiterungsrecht bis zu 20% der Gesamtangebotssumme (netto) aus diesem Vergabeverfahren als Mehrbedarf (quantitative Leistungserweiterung) zu. Die Gesamtangebotssumme (netto) ergibt sich aus dem Preisblatt.

Beschreibung der Beschaffung

Gefordert wird die Planung, Errichtung und Betrieb von WLAN-Hotspots. Der Internetanschluss beschreibt die Anbindung des Hotspots an das Internet. Er beinhaltet den uneingeschränkten Zugang zum Internet, dessen Nutzung nach definierten Parametern und alle nutzungsabhängigen Entgelte. Der Internetanschluss kann, je nach Verfügbarkeit, in einer der geforderten Technologien ausgeführt sein: • xDSL - Ein Technologiewechsel zwischen ADSL und VDSL muss möglich sein. (ADSL darf nur noch als befristete Übergangslösung im branchenüblichen Rahmen - bis zur Inbetriebnahme der VDSL-Technologie - verwendet werden.) • Breitband Kabelnetz Technologien (z.B. Koax-Netze) • Glasfaser (z.B. FTTB) • Mobilfunk (LTE / LTE-Advanced / 5G) - Diese Option wird nur als Ausweichlösung betrachtet, sofern alle anderen technologischen Ausführungen nicht umgesetzt werden können. Es sind verschiedene Internetanschlussklassen definiert. Sie beschreiben jeweils mögliche Anschlusstechnologien und minimal verfügbare Datenraten im Up- und Downlink. Der Auftragnehmer empfiehlt dem Einzelabrufberechtigten, unter Berücksichtigung der Verfügbarkeit im Ausbaugebiet, für jeden Hotspot eine geeignete Internetanschlussklasse. Die Internetanschlussklasse orientiert sich dabei in der Regel an den Anforderungen an Up- und Downlink-Datenraten. Der Einzelabrufberechtigte kann bei Verfügbarkeit im Ausbaugebiet, die Erschließung einer höheren Internetanschlussklasse verlangen. Die strukturierte Verkabelung eines WLAN-Hotspots erfolgt gemäß den "Installations-Richtlinien für Kommunikations-Verkabelungen" des Landes Hessen (IRKoV) bzw. der polizeilichen Ergänzung in ihrer jeweils aktuell gültigen Fassung. Die Notwendigkeit und der Umfang der zentralen Netzwerkkomponenten in der lokalen Netzwerkumgebung eines jeden WLAN-Hotspots sind vom Umsetzungskonzept des Auftragnehmers abhängig. Zu den zentralen Netzwerkkomponenten zählen sowohl Hard- als auch Softwarekomponenten (Switche, WLAN-Controller, Software). Etwaige notwendige Adapter (SFPs etc.) zur Integration der zentralen Netzwerkkomponenten in die strukturierte Verkabelung einer Lokation sind vom Auftragnehmer bereitzustellen. Ein WLAN-Hotspot besteht aus mindestens einem versorgenden Accesspoint. Ein Accesspoint stellt die Funkschnittstelle zur Kommunikation zwischen Endgeräten und dem Hotspot zur Verfügung. Der Auftragnehmer schlägt für verschiedene Montageorte geeignete Accesspoints und Zubehör vor. Die Accesspoints müssen mindestens folgende Anforderungen erfüllen: • WLAN-Standards nach IEEE 802.11 g, n und ac - inklusive der darin verwendeten Frequenzbänder im 2,4 GHz und 5 GHz Band (Dual Radio) • Multi-SSID: Unterstützung von mindestens 4 verschiedenen SSIDs • Offener Zugang zum WLAN-Hotspot - keine netzseitigen Zugangsbeschränkungen • WPA2-PSK (Pre-Shared-Key): Zukünftige Erweiterungen des WPA-Standards (z.B. WPA3) müssen ebenfalls - in der Ausführung "PSK" - unterstützt werden. • WPA3 bzw. eine zeitnahe Umstellung auf den neuen Standard. Damit ältere Geräte von der WLAN Infrastruktur nicht ausgeschlossen werden, muss temporär auch eine Authentifizierung über WPA2-PSK zusätzlich zu WPA3-PSK möglich sein. Eine Deaktivierung des WPA2-Standards orientiert sich am branchenüblichen Rahmen und erfolgt in Abstimmung mit dem Einzelabrufberechtigten. • Externe oder interne Antennen • Erweiterbarkeit um externe (remote) Antennen zur räumlichen Entkopplung von Antenne und Accesspoint • Dynamic Frequency Selection (DFS) • Black-Listing-Option für WLAN-Kanäle in den Frequenzbändern 2,4 GHz und 5 GHz • Transmit Power Control (TPC) • Eignung als Wand- oder Deckenmontage und als Standgerät; im Außenbereich auch als Mastmontage • Diebstahlsicherungsmöglichkeit, z.B. durch Kensington Lock • Stromversorgung, neben 230 V auch mittels Power over Ethernet (PoE) • Konfigurierbare Möglichkeit zur Unterdrückung der SSID-Aussendung pro SSID • 10/100/1000BASE-T Schnittstelle Aus technischen, wirtschaftlichen oder anderen Gründen kann der Einsatz unterschiedlicher Accesspoints sinnvoll sein. Beispielhaft gilt dies für: • High-Density Accesspoints: zur Versorgung einer höheren Anzahl von Endgeräten • Beamforming Accesspoints: mit Richtcharakteristik, z.B. mit 120° Richtwirkung Der Zugang zum WLAN-Hotspot kann auf zwei Arten realisiert werden: Zugangsart 1: Offen Der Zugang zu den WLAN-Hotspots muss hierbei für die Nutzer so unkompliziert wie möglich sein. Das WLAN wird daher unverschlüsselt betrieben und verzichtet auf eine Authentisierung durch die Nutzer. Die Nutzer müssen sich ohne Kennung/ Passwort am WLAN-Hotspot anmelden können. Dies ist die Standardkonfiguration eines WLAN-Hotspots und wird durch eine Standard-SSID "HessenWLAN" bereitgestellt. Zugangsart 2: Gesichert durch WPA2-PSK bzw. WPA3-PSK Optional kann der Einzelabrufberechtigte weitere SSIDs konfigurieren und mindestens eine SSID mit dem Sicherheitsstandard WPA2-PSK bzw. WPA3-PSK sichern. Wie zuvor beschrieben, müssen hier Geräte im branchenüblichen Rahmen berücksichtigt werden, welche den WPA3 Standard noch nicht unterstützen. Der Zugang zu den WLAN-Hotspots ist nur durch die Authentisierung der Nutzer möglich und wird dabei durch einen, vom Einzelabrufberechtigten definierten und verwalteten Netzwerkschlüssel ermöglicht. Für alle Zugangsarten muss der Auftragnehmer sicherstellen, dass die Kommunikation der WLAN-Teilnehmer untereinander unterbunden wird. Eine Beschreibung der Anforderungen an die Montage der Accesspoints befindet sich jeweils in den gültigen Installations-Richtlinien für Kommunikations-Verkabelung (IRKoV) bzw. der polizeilichen Ergänzung. Darüber hinaus gelten folgende Anforderungen: • Die Accesspoints dürfen nicht direkt auf Metallträgern oder blechverkleideten Decken montiert werden. In diesem Fall müssen entsprechende Distanzrahmen etc. eingesetzt werden. • Eine Montage der Accesspoints innerhalb von Zwischendecken oder Blenden ist in der Regel nicht vorgesehen, da die Abstrahlcharakteristik dadurch entscheidend verändert werden würde. Sollte jedoch eine sichtbare Montage aus optischen oder architektonischen Gründen nicht zulässig sein, können externe "Remote-Antennen" optional Abhilfe schaffen und als zusätzliches Zubehör durch den Auftragnehmer zur Verfügung gestellt werden. • Sofern eine Installation im Außenbereich vorgesehen ist, ist für entsprechende Witterungsfestigkeit zu sorgen und es sind geeignete Blitzschutzmaßnahmen (Erdung) zu berücksichtigen. • Öffentlich zugängliche Accesspoints müssen mit geeignetem Diebstahlschutz versehen werden. • Vereinbarungen bezüglich des Denkmalschutzes sind zu beachten. • Selbsterklärende Montageskizzen oder Fotodokumentation der AP-Installation nach Vorgabe des Einzelabrufberechtigten. • Bei einer Verortung in einer Arbeitshöhe von über 2,50 m sind evtl. Zugangshilfen zu dokumentieren. • Dokumentation aufgrund sonstiger projektspezifischer Anforderungen an den WLAN-Hotspot. Vom WLAN-Hotspot dürfen nur vom Einzelabrufberechtigten vergebene Netzwerkkennungen ausgestrahlt werden. Die im Rahmen dieser Ausschreibung errichteten WLAN-Hotspots dürfen nicht für andere als die in dieser Ausschreibung genannten Zwecke verwendet werden. Insbesondere darf der Auftragnehmer keine eigenen SSIDs ausstrahlen. Folgende SSID muss von den Accesspoints ausgestrahlt werden: HessenWLAN Die IEEE-Standards 802.11k, 802.11v und 802.11r müssen unterstützt werden. Über ein Webportal wird eine Subadministration des WLAN-Hotspots durch den Einzelabrufberechtigten ermöglicht. Zu den administrativen Einstellungsmöglichkeiten müssen u.a. gehören: • Konfiguration zusätzlicher SSIDs (inkl. Benennung der SSID-Namen), Konfiguration der Zugangsoptionen für einzelne SSIDs (Aktivierung von WPA2-PSK/WPA3-PSK, Setzen eines neuen WPA2-PSK/WPA3-PSK Netzwerk-schlüssels usw.). • Konfiguration der Login-Zeiten (Minimale Zeit zwischen zwei WLAN-Hotspot-Logins durch Besuch einer Landing Page). • Konfiguration von Betriebszeiten für jeden WLAN-Hotspot (Nachtabschaltungen, saisonale Anpassungen usw.). • Anpassung des Webfilters und Limitierung des Nutzdatenverkehrs mindestens einer SSID. Zentrales Captive Portal Das Captive Portal hat die Funktion, die Zugangssicherung des WLAN-Hotspot-Angebots zu übernehmen. Diese Zugangssicherung muss eine Kontrollinstanz von zu erfüllenden Bedingungen bereitstellen, die der Nutzungsfreigabe vorgeschaltet sind. Üblicherweise sind diese Bedingungen in zwei Abschnitte gegliedert, die in Abhängigkeit des Nutzerstatus zu erfüllen sind. Betrieb von WLAN-Hotspots Ein Nutzer erhält für die Dauer der Inanspruchnahme des WLAN-Hotspots sowohl eine IPv6 als auch eine IPv4 Adresse zugewiesen. Bei der IPv4 Adresse kann eine private Adresse nach RFC 1918 in Verbindung mit NAT (Network Address Translation) genutzt werden. Die Adressvergabe erfolgt dynamisch, d.h. die jeweiligen IP-Adressen werden bei jedem Verbindungsaufbau automatisch vergeben. Das Monitoring soll ein Reporting ergänzen bzw. idealerweise ganz ersetzen. Dazu ist es erforderlich, dass nicht nur aktuelle Kennzahlen, sondern die Kennzahlen rückblickend bis zur Inbetriebnahme und auch in einer Vergleichsdarstellung von mehreren gleichen Betrachtungszeiträumen dargestellt werden. Dies kann durch graphische Aufbereitung in geeigneten Diagrammen erfolgen, in denen z.B. die Anzahl der Verbindungen pro Tag für alle Tage eines Monats bzw. pro Monat für alle Monate seit Inbetriebnahme dargestellt wird. Nachfolgende Vorgaben sind für Hotline-Serviceleistungen einzuhalten: • Serviceannahme an Arbeitstagen von 08:00 - 17:00 Uhr; • Die Hotline ist mit unterwiesenen, Deutsch sprechenden Mitarbeitern zu besetzen; • Bearbeitung von Änderungswünschen ohne Technikereinsatz und außerhalb der Service Level-Vereinbarungen innerhalb von 7 Werktagen. Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben. Im Übrigen wird zu Einzelheiten auf die Leistungsbeschreibung verwiesen.