Beschaffung von Penetrationstest-Leistungen in 3 Losen

Kurze Beschreibung

Beschaffung von Penetrationstest-Leistungen:
1. Penetrationstest – Dienstleistungen vor Ort in der HZD,
2. Projektgebundenen operativen IT Sicherheits-Test-Dienstleistungen,
3. Personal für die Projektleitung von Penetrationstest-Projekten (ANÜ).

Hauptstandort oder Erfüllungsort

Leistungsort für die zu erbringenden Leistungen sind die derzeitigen und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld, sowie der Standort der föderalen IT-Kooperation (FITKO) in Frankfurt am Main

Beschreibung der Beschaffung

Das vom Auftragnehmer zur Unterstützung des SecurityTest Service der HZD eingesetzte Fachpersonal ist für die operative Durchführung von Penetrationstests und Schwachstellenscans vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD.
Voraussetzung für jeden Pentest/Schwachstellenscan stellt das Testkonzept dar. Dieses ist u. a. Grundlage für verschiedene Meilensteine des Pentest-Prozesses. Die eingesetzten Pentester arbeiten nach den Vorgaben des Pentest-Konzeptes, das dezidiert z. B. die zu testenden Systeme eines IT-Verfahrens, sowie die Art der Tests (z. B. nach OWASP, CIS, …) beinhaltet.
Die Tester bekommen die Testkonzepte im Vorfeld der Tests von Pentest-Projektleitern des SecurityTest Service zur Verfügung gestellt.
Ebenfalls im Vorfeld der Tests nehmen die Tester an einer Kickoff-Veranstaltung teil, in der zusammen mit dem Betriebs- und Verfahrens-Personal des zu testenden IT-Verfahrens die üblichen technischen und organisatorischen Fragen zu den Tests geklärt werden. Hierzu erstellt der Tester eine PowerPoint-Präsentation, in der das Test-Setup und die -Planung zu den jeweiligen Arbeitspaketen (AP), Tätigkeiten innerhalb der AP, usw. von ihm detailliert dargelegt werden.
Im weiteren Verlauf des Pentest-Projekts organisiert der Pentester selbständig und eigenverantwortlich das Testumfeld bzgl. Test-Planung und -Werkzeuge (Test-Hardware und -Software). Sind die Vorarbeiten zu den Tests erledigt, werden zum vereinbarten Zeitfenster die Tests durchgeführt. Die Kommunikation mit dem Betriebspersonal und der Projektleitung ist eng während der Testphase. Kritische Schwachstellen-Funde werden unmittelbar an Projektleitung, Betriebsleitung und die IT-Sicherheit der HZD weiterkommuniziert. Die Testergebnisse sind sorgfältig zu dokumentieren. Die Dokumentation der Ergebnisse und die nachfolgende Berichterstellung erfolgt anhand der Dokumentationsrichtlinie für Penetrationstest-Ergebnisse der HZD. Nach der Richtlinie wird ein umfangreicher Bericht mit einer Bewertung der gefundenen Schwachstellen nach CVSS sowie eine Schwachstellen-Tabelle als Zusammenfassung der Ergebnisse erstellt.
Im Nachgang der Testphase erstellt der Tester eine Powerpoint-Präsentation, in der die Ergebnisse strukturiert aufbereitet wiedergegeben werden. Diese stellt er auf einem Abschluss-Workshop vor und geht auf Fragen der geladenen Gäste ein.
Zusammengefasst ergeben sich hiermit u.a. folgende hauptsächlichen Tätigkeiten für das eingesetzte Fachpersonal:
— Konzeption von Test-Setups nach den Vorgaben von Pentest-Konzepten,
— Erstellen von Präsentationen des Test-Setups,
— Präsentation auf einer Kickoff-Veranstaltung,
— Vorbereiten, Einrichten und Rüsten des Arbeitsumfeldes (stationäre und mobile Pentest-Umgebung),
— Durchführung von Pentests, Audits und Schwachstellenscans auf Grundlage einschlägiger Testfall-Kataloge wie z. B. den aktuellen OWASP Testing-Guide und Schwachstellen-Enumerationen, wie z. B. den Mitre CIS-Listen,
— Durchführung von Pentests explorativer Natur, abweichend von o. g. Hilfsmitteln,
— Erstellen von Dokumentationen und Ergebnisberichten auf Grundlage der Dokumentationsrichtlinie für Pentests in der HZD,
— Erstellen von Präsentationen für Projektabschluss-Workshops.
Des Weiteren fallen gelegentlich u. a. folgende Aufgaben an:
— Dokumentation von Lessons Learned und HowTo’s im SecurityTest Wiki,
— Teilnahme an regelmäßigen wöchentlichen Team-Meetings,
— Unterstützung beim Aufbau HZD-interner zentraler Pentest-Plattformen,
— Planung und Durchführung von gezielten Schulungsmaßnahmen zu Penetrationstest-Themen und Penetrationstest-Werkzeugen.
Alle im Rahmenvertrag eingesetzten Tester müssen die Deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen.
Vom Auftragnehmer zur Auftragsausführung eingesetztes Personal, das nicht deutsche Muttersprachler ist, oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben hat, muss die Kenntnis der deutschen Sprache mindestens mit einem C1-Sprachdiplom nachweisen.
Fachliche Voraussetzungen/Kompetenzen:
Wenn der vom Auftragnehmer eingesetzte Tester ein OSCP-Zertifikat vorweisen kann, hat er damit alle für die Aufgabenstellung notwendigen Kompetenzen schon nachgewiesen.
Alternativ dazu kann auch Test-Personal eingesetzt werden, das folgende fachlichen Voraussetzungen erfüllt:
1 .Die Tester müssen mindestens 3 Jahre Berufserfahrung in der IT vorweisen können,
2. Die Tester müssen mindestens 2 Jahre Berufserfahrung als Penetration-Tester vorweisen können,
3. Innerhalb dieser 2 Jahre müssen die Tester mindestens 5 Penetrationstests selbstständig durchgeführt haben,
4. In den o. g. 5 Pentest-Projekten soll mindestens einmal mit einem der in der Leistungsbeschreibung genannten Pentest-Werkzeuge gearbeitet worden sein,
5. Die Tester müssen folgende Themenschwerpunkte der Informatik in Theorie und Praxis sicher beherrschen:
a) Netzwerke (TCP/IP-Stack, Netzwerkprotokolle, Netzwerk-Systeme, Netzkoppel-Elemente, Firewalls, etc.),
b) Web-Technologien (u.a. Webserver, Web-Applikationsserver, http/SOAP/REST),
c) Scriptsprachen Batch oder Powershell, Bash, Perl oder Python,
d) Web-Programmierung: Basis-Kenntnisse (Server- und Clientseitig),
e) Server-Betriebssysteme (UNIXoide und Windows),
f) Client-Betriebssysteme (Linux und Windows),
g) Datenbank-Technologien.
6. Die vom Auftragnehmer eingesetzten Tester müssen eines der folgenden einschlägig bekannten Penetrationstest-Zertifikate vorweisen können: BSI, EC-Council - LPT (Master) oder ECSA (Practical) oder CEH (Basic).

Beschreibung der Verlängerungen

Der Rahmenvertrag hat eine Mindestlaufzeit von 2 Jahren mit einer zweimaligen automatischen Verlängerung um jeweils ein weiteres Jahr. Der Rahmenvertrag endet spätestes nach 48 Monaten.

Zusätzliche Informationen

Die Leistungen können bis zu einem Höchstwert von 2 150 400,00 EUR (netto) abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Hauptstandort oder Erfüllungsort

Leistungsort für die zu erbringenden Leistungen sind die derzeitigen und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld, der Standort der föderalen IT-Kooperation (FITKO) in Frankfurt am Main sowie die Standorte der Dienststellen des Landes Hessen.

Beschreibung der Beschaffung

Die HZD als zentraler IT-Dienstleister des Landes Hessen betreibt viele unterschiedliche IT-Services für das Land Hessen. Diese Services werden sowohl in internen als auch in öffentlichen Netzen (wie z. B. dem Internet) betrieben. Darüber hinaus bestehen auch Kommunikationsverbindungen zwischen vereinzelten internen und externen Services.
Einzelne Dienststellen betreiben eine eigene Infrastruktur, teilweise unabhängig von den zentralen Systemen, die von der HZD bereitgestellt werden. Diese häufig komplexen Kommunikationsstrukturen sind vielfältigen Bedrohungen ausgesetzt, besonders die Systeme, die über Verbindungen zu öffentlichen Netzen verfügen.
Die HZD hat es sich zur Aufgabe gemacht, die Risiken durch diese Bedrohungen für das Land Hessen zu minimieren, indem es präventive IT-Sicherheits-Tests bzw. Penetrationstests an den oben genannten IT-Services und -Systemen durchführt.
Leistungsumfang
Folgende Leistungen gehören zum Themenfeld Penetrationstests und sollen vom Rahmenvertrags-Dienstleister abgedeckt werden:
1. Planung und Durchführung von IS (Informations-Sicherheits) Penetrationstests,
2. Planung und Durchführung von IS Webchecks,
3. IS-Kurzrevisionen,
4. Regressionstests zu vorher stattgefundenen Penetrationstests,
5. Technische Sicherheitsaudits,
6. Erstellen von Dokumentationen,
7. Durchführung von Penetrationstest-Informationsveranstaltungen (z. B. Kick-offs oder Ergebnispräsentationen),
8. Planung und Durchführung von gezielten Schulungsmaßnahmen zu Pe-netrationstest-Themen und Penetrationstest-Werkzeugen,
9. Beratungsleistungen zu Penetrationstests,
10. Konzeptionelle Arbeiten zu Penetrationstests,
11. Unterstützungsleistungen beim Aufbau HZD-interner Penetrationstest-Services,
12. Forensische Untersuchungen von Systemen,
13. Code-Analysen und Code-Reviews.
Der Fokus liegt unbenommen der o. g. Liste bei der Durchführung von Penetrationstests.
Operativer Leistungsumfang und Aufgaben bei Penetrationstests
Die Durchführung von Penetrationstests als White-, Grey- und Blackbox-Tests machen den Großteil der zu beauftragenden Leistungen aus. Folgende Tätigkeiten sind hier zu erwarten:
Testvorbereitung:
— Einarbeitung in die mitgelieferten Dokumente wie Testkonzept, Netzpläne, Betriebsdokumentation, Verfahrenshandbücher, Sicherheitskonzepte etc. (bei Whitebox-Tests),
— Führen von Interviews, Klärungsgesprächen und vorbereitenden Meetings,
— Anforderungen, Schwerpunkte, Zielsetzung und Durchführungs-Details des Penetrationstests in Abstimmung und Zusammenarbeit mit dem Auftraggeber ermitteln (Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik, Ausgangspunkt, etc.),
— ggf. Erstellung und Abstimmung eines Testkonzepts,
— Beratungsleistungen im Vorfeld eines Penetrationstests (während der Konzeptions-Phase),
— Teilnahme an Kickoff-Terminen,
— Vorbereitung des Test-Setups (Hard- und Software).
Testdurchführung:
— Durchführung einer Reconnaissance (Aufklärung/Erkundung):
—— umfangreiche Suchmaschinen-Recherche,
—— Recherche der Testobjekte auf einschlägigen externen Plattformen wie „shodan.io“ o. ä.
—— Abrufen von Systeminformationen, Versionsständen und Patch-Level der Testobjekte selbst,
— Durchführung von Portscans,
— Perimeter-Erkennung und -Scans,
— Durchführen automatisierter Schwachstellenscans ohne Ausnutzung der Schwachstellen (System- oder Web-Vulnerability Scans),
— Durchführen automatisierter Schwachstellenscans mit Ausnutzung der Schwachstellen ggf. unter Zuhilfenahme von Exploits (nur in Absprache mit dem Auftraggeber),
— manuelle Tests und explorative Untersuchungen auf den Testobjekten (z. B. Rechterweiterungen, Ausbruchsszenarien, MitM-Angriffe, sichere Konfigura-tion von Verschlüsselungen),
— manuelle Ausnutzung von Schwachstellen unter Zuhilfenahme von Exploits (nur in Absprache mit dem Auftraggeber),
— Durchführung von DOS-Attacken (nur in Absprache mit dem Auftraggeber),
— Umsetzung von Social Engineering-Szenarien (nur in Absprache mit dem Auftraggeber),
— bei Web-Anwendungen: mindestens Testabdeckung nach aktuellem O-WASP Testing Guide.
Kritische Schwachstellen, d. h. Schwachstellen, bei denen Gefahr im Verzug für die angestrebten Sicherheitsziele erkannt wird, sind unmittelbar an den Auftraggeber zu kommunizieren. D. h. die Beschreibung der Schwachstelle wird nachvollziehbar (z. B. per verschlüsselter E-Mail) übermittelt. Der Dienstleister muss im Anschluss daran konstruktive Vorschläge für die Behebung der gefundenen Schwachstellen liefern.
Alle Zugriffe auf Prüfobjekte, die nur in den internen Netzen des Landes Hessen erreichbar sind, müssen während des Penetrationstests über tcpdump mitgeschnit-ten werden (s. Textziffer 5.10). Die Mittschnitte werden zum Ende der Testphase dem Auftraggeber übergeben.
Testabschluss:
— Erstellen einer aussagekräftigen, belastbaren und qualitätsgesicherten Ergebnisdokumentation,
— Lösungsvorschläge bei Bugfixing,
— Durchführung von Abschluss-Workshops,
— Datenschutzkonformes Löschen und Vernichten von Testdaten sowie Daten, die bei Testtätigkeiten aufgefunden wurden.
Ergebnisdokumentationen müssen der HZD-Dokumentationsrichtlinie entsprechen. Sie müssen von mindestens einem weiteren versierten Mitarbeiter des Dienstleisters qualitätsgesichert werden. Dies ist in den Metadaten bzw. im Dokumenten-Kopf in einer Versionshistorie nachzuweisen.
Alle zur Leistungserbringung eingesetzten Tester müssen die deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen.
Einzusetzende Personen, die nicht deutsche Muttersprachler sind, oder nicht in Deutschland einen Hochschulabschluss erworben haben, müssen die Kenntnis der deutschen Sprache mit einem C1-Sprachdiplom nachweisen.
Expertise in folgenden Schlüsseltechnologien
Folgende Technologien und Methodiken können grundsätzlich bei Penetrationstests in der HZD erforderlich sein und sollen durch den Auftragnehmer abgedeckt werden:
1. Administration von Webservices, Webanwendungen:
— Applikationsserver wie z. B. Apache tomcat, Glassfish, JBoss, Wildfly, IIS, etc.
— Webserver wie z. B. Apache Webserver, IIS, Squid, SAP Netweaver, NGINX, etc.
— Gängige CMS.
2. Web-Programmierung Server:
a) CGI (Perl, C, PHP, Ruby, etc.),
b) Java und Java-Frameworks (JSP, JSF, Struts, etc.),
c) ASP.NET,
d) ABAP.
3. Web-Programmierung Client (Javascript, JSON; AJAX, etc.),
4. Programmier-Frameworks wie Java, .NET, C++,
5. Weitere Script-Sprachen (Batch, Shellscript, Python, etc.),
6. Server/Client-Technologien:
— Schnittstellen-Protokolle (z. B. RDP, SSH, POP, SMTP, etc.),
— thin/rich Client, fat client, webclient,
— Middleware-Technologien.
7. Mobile Geräte (Tablet, Notebook, IOS- und Android-Smartphones, etc.),
8. Desktop OS (UNIXoide, Microsoft-OS),
9. Server OS (UNIXoide, Microsoft-OS),
10. Mobile OS (Android, IOS),
11. Netzwerktechnologie und Netzsicherheit (kompletter ISO/OSI Stack):
— Netzkoppel- und Lastverteil-Systeme (Router, Switches, Hubs, (VPN-)Gateways, Loadbalancer),
— Sicherheitsgateways (Firewalls: Paketfilter, Application Level, Hybrid),
— Intrusion Detection und Intrusion Protection Systeme,
— Virenscanner,
— Drahtlos-Netz-Technologie (WLAN, Bluetooth, Nearfield, GSM, LTE, etc.),
— Netzwerk-Protokolle (IPv4/IPv6, tcp, udp, etc.).
12. Backend- bzw. Datenbank-Technologien (Oracle DB, MSSQL, MySQL, Mari-aDB, PostGreSQL, DB2, SQLite),
13. SAP-Technologie,
14. Telekommunikations-Anlagen,
15. Infrastruktur-Einrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung),
16. Methodiken bei der Durchführung von Penetrationstests (z. B. Blackbox- und Whitebox-Szenarien),
17. Kenntnisse und Erfahrungen zum Einsatz von geeigneten Werkzeugen zur Nachbildung von Cyber-Angriffen und Angriffsmustern (z. B. Vulnerabilty-Scanner, Werkzeuge unter Kali LINUX, etc.),
18. Kenntnisse und Erfahrungen mit dem OWASP Testing Guide,
19. Kenntnisse und Erfahrungen mit den CIS-Listen der Organisation MITRE.
Folgende Anforderungen werden an das vom Auftragnehmer mit der Ausführung des Einzelauftrags betrauten Personals gestellt:
— mindestens 4 Jahre Erfahrung als Mitarbeiter in IT-Projekten,
— Bereitschaft zum Einsatz an unterschiedlichen Standorten,
— Zeitgerechte und fristgerechte Abarbeitung von Arbeitsaufträgen,
— Fähigkeit, komplexe Sachverhalte zielgruppengerecht in Wort und Schrift darzustellen.
Technisches Arbeitsumfeld:
Ziel eines Penetrationstests können letztendlich alle IT-Infrastrukturen der HZD sowie vergleichbare IT-Infrastrukturen in den einzelnen Dienststellen des Landes Hessen sein. Das sind beispielsweise
— Anwendungen
—— Webanwendungen (z. B. Internet- und Intranet-Auftritte, Vorgangsbearbeitung, Webshop)
—— Client-Anwendungen (Java-, .Net-Anwendung etc., verfügbar im In-ternet und Intranet)
—— Anwendungen wie Mail, SAP-Verfahren, Dokumentenmanagement-system etc.
— Infrastrukturen
—— Netzinfrastrukturen (kabelgebundene, wireless-, Funk-Netze) inklusi-ve der Netzkoppelelemente (z. B. Router, Switches, Hubs, (VPN-)Gateways)
—— Sicherheitsinfrastrukturen (Paketfilter, Firewalls, Intrusion Detection System, Virenscanner, etc.)
—— Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.)
— Arbeitssysteme
—— Arbeitsplatzsysteme (Desktop-Systeme)
—— Mobile Arbeitsgeräte (Tablets, Smartphones, Notebooks etc.)
— Sonstige IT-Komponenten
—— Hardware wie Scan-Arbeitsplätze, Drucker- und Druckstraßen etc.
—— Telekommunikationsanlagen
—— Infrastruktureinrichtungen (wie z. B. Zutrittskontrollmechanismen)
—— Hardware und PC-Peripherie (z. B. Hardware für biometrische Authen-tifikation)
Geeignete Werkzeuge, wie z. B. fachspezifische Hard- und Software zur Durchführung der Penetrationstests, werden vom Auftraggeber nicht gestellt und sind vom Auftragnehmer vorzuhalten.

Zusätzliche Informationen

Die Leistungen können bis zu einem Höchstwert von 4 331 520,00 EUR (netto) abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Hauptstandort oder Erfüllungsort

Leistungsort für die zu erbringenden Leistungen sind die derzeitigen und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld, sowie der Standort der föderalen IT-Kooperation (FITKO) in Frankfurt am Main.

Beschreibung der Beschaffung

Arbeitsumfeld/der SecurityTest Service der HZD
Der SecurityTest Service ist eine Fachgruppe der HZD. Sie bietet den Dienststellen des Landes Hessen Dienstleistungen rund um das Thema IT-Sicherheits-Tests an. Dazu gehört u. a. die Konzeption und Projektierung von Penetrationstests und Schwachstellenscans, das Projektmanagement von Penetrationstest- (nachfolgend kurz Pentest) und Scan-Projekten sowie der Durchführung von Schwachstellen-Scans, Penetrationstests, Audits, Code-Reviews, usw.
Der Auftragnehmer von Los 3 stellt einen oder mehrere ständige stationäre Projektleiter für die Konzeption und das Management von Pentest-Projekten in der HZD. Die Durchführung der eigentlichen Penetrationstests selbst ist nicht Bestandteil der Tätigkeiten im Rahmen des Los 3.
Die Projektleiter werden im SecurityTest Service der HZD im Rahmen einer Arbeitnehmerüberlassung (ANÜ) eingesetzt.
Das vom Auftragnehmer im SecurityTest Service der HZD eingesetzte Fachpersonal ist für die Konzeption, Planung und das Management von Pentest-Projekten vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD, der nachfolgend erläutert wird:
Das zentrale Dokument eines Penetrationstest-Projektes in der HZD ist das Penetratiostest-Konzept. Die Inhalte des Penetratiostest-Konzepts enthalten u.a. wichtige Informationen als Grundlage für die Genehmigung von Pentests in der HZD, für die Erstellung von belastbaren Angeboten durch unseren Pentest-Dienstleister sowie für die Dokumentation von Entscheidungen zur Auswahl von Testobjekten eines IT-Verfahrens. Die Erstellung eines Pentest-Konzept ist eine der zentralen Aufgaben des Pentest-Projektleiters.
Im Vorfeld der Erstellung eines Penetrationstest-Konzepts wird das betreffende IT-Verfahren durch den Pentest-Projektleiter analysiert bzgl. dessen eingesetzter Verfahrens-Bestandteile (Netzwerk, Architektur, Technologie, etc.) und dessen zugrundeliegender Betriebs- und Verfahrens-Prozesse. Hierzu führt der Pentest-Projektleiter Interviews mit den IT-Verfahrens-Spezialisten sowie dem Betriebs-Personal des zu testenden IT-Verfahrens und führt hierzu Dokumentations- und Online-Recherchen durch.
Aus den gewonnen Informationen erfolgt eine Bedrohungs-Analyse und Bewertung der einzelnen Verfahrens-Bestandteile bzgl. deren Risiko für einen Sicherheitsvorfall, woraus wiederum die Auswahl der zu testenden Objekte des IT-Verfahrens folgert.
Verschiedene planerische und organisatorische Details zu dem Pentest-Projekt und dem zugehörigen IT-Verfahren runden das Pentest-Konzept ab.
Im Anschluss an die Erstellung des Pentest-Konzepts muss dies von den Auftraggebern abgenommen und danach in einem bestimmten Prozess in der HZD genehmigt werden.
Das abgenommene Pentest-Konzept ist das Lastenheft für den Pentest-Dienstleister, der die eigentlichen Tests durchführt. Er übersendet ein belastbares Angebot als Pflichtenheft für den Test. Im weiteren Verlauf wird der Test mit Hilfe des ITIL Change Managements organisiert und letztlich umgesetzt.
Pentest-Ergebnisse des erfolgten Tests sind zu prüfen und mit dem Auftraggeber abzustimmen.
Sowohl im Vorfeld als auch im Nachgang der Tests organisiert und moderiert der Pentest-Projektleiter Termine, in denen Details zur Durchführung (Kickoff) und Er-gebnisse (Abschluss- bzw. Ergebnis-Workshop) besprochen und präsentiert werden. Für Kickoff und Abschluss- bzw. Ergebnis-Workshop sind jeweils Ergebnisprotokolle anzufertigen.
Der Projektleiter organisiert alle notwendigen Projekt- und Gesprächs-Termine selbstständig und hält diese selbstständig im Blick.
Einmal pro Woche werden die Projektfortschritte in der SecurityTest Service Projektleiter-Runde präsentiert und besprochen.
Alle im Rahmenvertrag eingesetzten Projektleiter müssen die Deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen.
Vom Auftragnehmer überlassenes Personal, das nicht deutsche Muttersprachler ist, oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben hat, muss die Kenntnis der deutschen Sprache mindestens mit einem C1-Sprachdiplom nachweisen.
Folgende fachlichen Voraussetzungen muss das vom Auftragnehmer überlassene Personal erfüllen:
Verpflichtend ist ein:
— Hochschulabschluss in IT und mindestens 3 Jahre Berufserfahrung in der IT-Branche, wobei u. g. Themenfelder bearbeitet wurden,
— oder alternativ ein beliebiger Hochschulabschluss und mindestens 5 Jahre Berufserfahrung in der IT (ebenfalls mit Bearbeitung der u. g. Themenfelder),
— mindestens 2 Jahre Erfahrung als Projektleiter,
— mindestens 3 Jahre Erfahrung bei IT-Sicherheits-Projekten.
Mit folgende Themenfeldern der IT muss das Personal vertraut sein: Netzwerke/ISO-OSI, Programmierung oder Scripting, Webserver/Web-Services, Datenbanken, verteilte Infrastrukturen.
Darauf aufbauend muss das eingesetzte Personal Expertise in folgenden Themenfeldern der IT-Sicherheit besitzen:
— ISO 27001 und/oder IT-Grundschutz nach BSI,
— Kryptographie,
— OWASP,
— Cyber-Threat Management.
Wünschenswert (optional) wäre:
— Erfahrung im ITIL Change Management,
— Pentest-Erfahrung,
— Risiko-Modellierung mit Stride/Dread,
— IT-Architektur-Planung.

Zusätzliche Informationen

Die Leistungen können bis zu einem Höchstwert von 6 696 000,00 EUR (netto) abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Liste und kurze Beschreibung der Bedingungen

Im Hinblick auf die Befähigung und Erlaubnis zur Berufsausübung des Bieters wird im Los 3 Folgendes verlangt:
— Erlaubnis zur Arbeitnehmerüberlassung gem. § 1 AÜG (in Kopie).

Liste und kurze Beschreibung der Auswahlkriterien

Los 1 – Referenzen:
Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei Jahren (Stichtag „Ablauf der Angebotsfrist“), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entspricht.
Art: Durchführung von Penetrationstests inkl. der Dokumentation und Präsentation der Ergebnisse.
Umfang jeder eingereichten Referenz: Mindestens 2 Wochen Test-Tätigkeit
In mindestens einer Referenz muss bei der Durchführung des Penetrationstests der OWASP Testing Guide 4.1 vollständig angewandt worden sein.
In mindestens einer Referenz müssen auch Server auf Schwachstellen untersucht worden sein.
(Datei „Referenzen Los 1“)
Los 2 – Referenzen:
Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei Jahren (Stichtag „Ablauf der Angebotsfrist“), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.
Art:
Durchführung von Penetrationstests aus den unter Kapitel 4.2.3 der Leistungsbeschreibung von Los 2 beschriebenen Themenfeldern (mit Ausnahme von Profil A):
— Profil B: SAP,
— Profil C: Mobile Endgeräte,
— Profil D: Desktop- und Arbeitsplatz-Systeme,
— Profil E: Netzwerk-Systeme und IT-Sicherheits Infrastruktur-Systeme,
— Profil F – IT-forensische Tests,
— Profil G – Gebäude-Infrastruktur und Telekommunikations-Anlagen.
Es sind zu mindestens drei der unter Ziffer 4.2.3 der Leistungsbeschreibung beschriebenen Profilen (mit Ausnahme von Profil A) jeweils eine Referenz einzureichen.
Umfang jeder eingereichten Referenz: Mindestens 10 Projekt-Tage.
(Datei „Referenzen Los 2“)
Los 2 – Maßnahme nzur Qualitätssicherung:
Der Bieter hat daher durch Eigenerklärung in Los 2 nachzuweisen, dass seine Vertrauenswürdigkeit und Zuverlässigkeit durch Einhaltung einer der unten aufgeführten Qualitätssicherungsnormen (Zertifizierungen) gewährleistet ist.
— BSI – Zertifizierung,
— ISO 27001-Zertifikat,
— Zertifikat von europäischen Organisationen die dem BSI gleichgestellt sind auf Basis von ISO 27001.
(Datei „Erklaerung_Zertifizierung“)
Kann der Bieter keinen Nachweis bezüglich der Einhaltung einer der oben aufgeführten Qualitätssicherungsnormen geben, führt dies zum Ausschluss des Angebots von der weiteren Wertung.
Hinweis der Vergabestelle: Der Auftraggeber behält sich jederzeit vor, als Beleg der Einhaltung einer der oben genannten Qualitätssicherungsnormen, sich vom Bieter das Zertifikat in Kopie vorlegen zu lassen.
Los 3 – Referenzen:
Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei Jahren (Stichtag „Ablauf der Angebotsfrist“), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.
— Art: Projektmanagement von IT-Sicherheits-Projekten mit u. a. konzeptionellen Auf-gaben zu IT-Sicherheits-Tests,
— Umfang jeder eingereichten Referenz: Mindestens 5 Monate.
Mindestens eine Referenz muss ein Projekt umfassen, bei dem Penetrationstests selbst organisiert und konzipiert wurden (Diese eigenständige Organisation und Konzeption ist in der Projektbeschreibung darzustellen).
(Datei „Referenzen Los 3“)
In der jeweiligen Referenzvorlage (Dateien „Referenzen Los 1“, „Referenzen Los 2“, „Erklaerung_Zertifizierung“, „Referenzen Los 3“) ist abschließend die Person des Erklärenden namentlich anzugeben.

Bedingungen für die Vertragserfüllung

Es wird darauf hingewiesen, dass die Bieter sowie deren Nachunternehmen und Verleihunternehmen, soweit diese bereits bei Angebotsabgabe bekannt sind, die erforderlichen Verpflichtungserklärungen (Datei „Verpflichtungserklaerung_oeff_AG“) zur Tariftreue und zum Mindestentgelt nach dem Hessischen Vergabe- und Tariftreuegesetz (HVTG) vom 19.12.2014, (GVBl. S. 354) mit dem Angebot abzugeben haben. Die Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei einem Bieter, Nachunternehmer und Verleihunternehmen im EU-Ausland beschäftigt sind und die Leistung im EU-Ausland erbringen.

Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.
Erklärung zum Ausschluss wegen schweren Verfehlungen:
Der Bieter (jedes Mitglied einer Bietergemeinschaft) sowie seine Unterauftragnehmer haben die Eigenerklärung gemäß dem Gemeinsamen Runderlass über den „Ausschluss von Bewerbern und Bietern wegen schwerer Verfehlungen, die ihre Zuverlässigkeit in Frage stellen“ in der Fassung vom 23. Oktober 2020 (StAnz 48/2020 S. 1216) ausgefüllt mit ihren Angeboten einzureichen.
Bei elektronischem Versand ist die Verpflichtungserklärung auch ohne Unterschrift rechtsgültig.
(Datei „Erklaerung_Vergabesperre“)
Eigenerklärung zu zwingenden Ausschlussgründen nach § 123 GWB:
Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen nach § 123 GWB ausgefüllt mit seinem Angebot vorzulegen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern ist die Eigenerklärung von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.
(Datei „Eigenerklaerung_Par_123_GWB“)
Eigenerklärung zu fakultativen Ausschlussgründen nach § 124 GWB:
Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen nach § 124 GWB ausgefüllt mit seinem Angebot einzureichen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern ist die Eigenerklärung von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.
(Datei „Eigenerklaerung_Par_124_GWB“)
Los 1 + 3:
Den Zuschlag in Los 1 und 3 erhält der Bieter mit dem jeweils wirtschaftlichsten Angebot in Bezug auf den Preis. Entscheidend ist die jeweilige Gesamtangebotssumme (brutto), die sich aus der entsprechenden Positionen im Preisblatt (Dateien „Preisblatt Los 1“, „Preisblatt Los 3“) ergibt. Sofern mehrere Bieter exakt den gleichen Preis anbieten, entscheidet das Los.
Los 2:
Der Zuschlag wird auf das wirtschaftlichste Angebot erteilt (§ 127 GWB, § 58 VgV).
Die Ermittlung des wirtschaftlichsten Angebots nach der einfachen Richtwertmethode (Ziffer 4.2.3 der UfAB 2018.04) findet auf Basis der festgestellten Leistungspunkte und der feststehenden Angebotspreise statt.
Hierfür wird die Kennzahl eines jeden Bieters für das Leistungs-Preis-Verhältnis (Z) gebildet:
Kennzahl Z = L/P * 1 000 000
Nach der oben genannten Formel wird die Kennzahl (Z) zur Leistungs-Preis-Bewertung aus dem Quotienten der Leistungspunkte des Angebots und des Angebotspreises, multipliziert mit dem Faktor 1 000 000, gebildet. Der Bieter, dessen Angebot die höchste Kennzahl (Z) erreicht, hat das für den Auftraggeber wirtschaftlichste Angebot unterbreitet und erhält den Zuschlag. Sollten mehrere Bieter die gleiche Kennzahl erreichen, erhält der Bieter mit der höheren Leistungspunktzahl den Zuschlag. Sind auch die erzielten Leistungspunkte gleich, entscheidet das Los.
Der Preis des zu bewertenden Angebots ist der wertungsrelvante Gesamtpreis aus dem Preisblatt (Datei „Preisblatt Los 2“).
Leistungskriterium (Dateit: „Leistungskriterium_Aufgabenstellung_Los 2“)
Im genannten Dokument wird ein hypothetischer Penetrationstest dargestellt.
Die Aufgabe des Bieters ist, auf Grundlage der gegebenen Informationen ein Ergebnisdokument (ggf. mehrere Dokumente) zu entwerfen, wie es üblicherweise bei einem Penetrationstest an den Auftraggeber ausgeliefert wird.
Wertung:
— Struktur des Dokuments – max. 3,
— Dokumenteigenschaften – max. 7,
— Inhaltlichen Kriterien – max. 40,
—— Übersichtlichkeit, Gliederung, Verständlichkeit – (max. 21),
—— Behandlung von Schwachstellenfunden – (max. 4),
—— Testmanagement – (max. 15).
Maximal können 50 (Leistungs)Punkte erreicht werden. Zur näheren Bewertung siehe Ziffer 5.3.2.3 der Ausschreibungsbestimmungen.

Genaue Informationen über Fristen für Überprüfungsverfahren

§ 160 GWB (Einleitung, Antrag):
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit:
1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegen-über dem Auftraggeber gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.