Im Zuge der Digitalisierung und dem digitalen Wandel befindet sich der Auftraggeber im Umdenken. Der Auftraggeber will seinen Kunden neue Kommunikationskanäle eröffnen und anbieten.
Hierfür sollen regelmäßig die Sicherheitslücken der Geschäftsanwendungen und -prozesse und die dahinterliegenden Backends inklusive ihrer Schnittstellen ermittelt, Schwachstellen aufgedeckt und Gefährdungspotenziale besser eingeschätzt werden. Sicherheitslücken und -risiken müssen frühzeitig erkannt und behoben werden, um schadhafte Angriffe von Dritten oder unrechtmäßigen Zugriff auf Daten zu vermeiden.
Die Sicherheit der Geschäftsanwendungen und -prozesse sind dementsprechend zu optimieren sowie Schutzmechanismen zu priorisieren und die Reaktionsmechanismen zu testen.
Deadline
Die Frist für den Eingang der Angebote war 2021-05-10.
Die Ausschreibung wurde veröffentlicht am 2021-03-30.
Anbieter
Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Objekt Umfang der Beschaffung
Titel: Penetrationstests, Support und Analysen
OV-IT-049/2021
Produkte/Dienstleistungen: Bewertung und Prüfung der Systemqualitätssicherung📦
Kurze Beschreibung:
“Im Zuge der Digitalisierung und dem digitalen Wandel befindet sich der Auftraggeber im Umdenken. Der Auftraggeber will seinen Kunden neue...”
Kurze Beschreibung
Im Zuge der Digitalisierung und dem digitalen Wandel befindet sich der Auftraggeber im Umdenken. Der Auftraggeber will seinen Kunden neue Kommunikationskanäle eröffnen und anbieten.
Hierfür sollen regelmäßig die Sicherheitslücken der Geschäftsanwendungen und -prozesse und die dahinterliegenden Backends inklusive ihrer Schnittstellen ermittelt, Schwachstellen aufgedeckt und Gefährdungspotenziale besser eingeschätzt werden. Sicherheitslücken und -risiken müssen frühzeitig erkannt und behoben werden, um schadhafte Angriffe von Dritten oder unrechtmäßigen Zugriff auf Daten zu vermeiden.
Die Sicherheit der Geschäftsanwendungen und -prozesse sind dementsprechend zu optimieren sowie Schutzmechanismen zu priorisieren und die Reaktionsmechanismen zu testen.
Mehr anzeigen Informationen über Lose
Angebote können für alle Lose eingereicht werden
Umfang der Beschaffung
Der Auftraggeber behält sich das Recht vor, Aufträge zu vergeben, die folgende Lose oder Gruppen von Losen umfassen:
“Bei Angeboten auf mehrere Lose ist sicherzustellen, dass die Bearbeiter der einzelnen Lose komplett voneinander getrennt arbeiten. Unter Beachtung dieser...”
Der Auftraggeber behält sich das Recht vor, Aufträge zu vergeben, die folgende Lose oder Gruppen von Losen umfassen
Bei Angeboten auf mehrere Lose ist sicherzustellen, dass die Bearbeiter der einzelnen Lose komplett voneinander getrennt arbeiten. Unter Beachtung dieser Voraussetzung sind folgende Loskombinationen möglich:
— Los 1 geht in Kombination mit Los 3, 4 und / oder 5,
— Los 2 geht in Kombination mit Los 3,
— Los 3 geht in Kombination mit Los 1, 4 und / oder 5 — Ausnahme: bei einer Kombination von Los 3 mit Los 2 sind keine weiteren Kombinationen möglich,
— Los 4 geht in Kombination mit Los 1, 3 und / oder 5,
— Los 5 geht in Kombination mit Los 1, 3 und / oder 4.
Informationen zu den möglichen Loskombinationen finden Sie in der Anlage 1 „Allgemeine Leistungsbeschreibung“ sowie in der „Aufforderung zur Angebotsabgabe“.
1️⃣ Umfang der Beschaffung
Titel: Whitebox-Penetrationstest
Titel
Los-Identifikationsnummer: 1
Beschreibung
Zusätzliche Produkte/Dienstleistungen: Bewertung und Prüfung der Systemqualitätssicherung📦
Ort der Leistung: Hamburg🏙️
Hauptstandort oder Erfüllungsort: Betriebskrankenkasse Mobil Oil
Hühnerposten 2
20097 Hamburg
Beschreibung der Beschaffung:
“Auf Basis von zur Verfügung gestellten Informationen und Zugängen sollen Sicherheitslücken bei den einzelnen Systemen und Lösungsmöglichkeiten für eine...”
Beschreibung der Beschaffung
Auf Basis von zur Verfügung gestellten Informationen und Zugängen sollen Sicherheitslücken bei den einzelnen Systemen und Lösungsmöglichkeiten für eine IT-Sicherheit aufgezeigt werden.
Mehr anzeigen Vergabekriterien
Preis
Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Der nachstehende Zeitrahmen ist in Monaten ausgedrückt.
Beschreibung
Dauer: 36
Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Dieser Vertrag ist verlängerbar ✅ Beschreibung
Beschreibung der Verlängerungen:
“Der Auftraggeber ist berechtigt, die Laufzeit des Vertrags durch einseitige Erklärung gegenüber dem Auftragnehmer 2-mal um 12 Monate zu verlängern.” Informationen über Optionen
Optionen ✅
Beschreibung der Optionen: Optionale Verlängerung um 3 x 12 Monate.
2️⃣ Umfang der Beschaffung
Titel: Blackbox-Penetrationstest
Titel
Los-Identifikationsnummer: 2
Beschreibung
Beschreibung der Beschaffung:
“Ohne Kenntnisse über die IT-Infrastruktur sollen die Systeme angegriffen werden und Lösungsmöglichkeiten für eine IT-Sicherheit aufgezeigt werden.” Informationen über Optionen
Beschreibung der Optionen: Optionale Vertragsverlängerung um 3 x 12 Monate.
3️⃣ Umfang der Beschaffung
Titel: Social Engineering-Penetrationstest
Titel
Los-Identifikationsnummer: 3
Beschreibung
Beschreibung der Beschaffung:
“Es sollen geplante und zielgerichtete Attacken durchführt werden, um die Mitarbeiter der BKK Mobil Oil auf ihr Informationssicherheitsverhalten im...”
Beschreibung der Beschaffung
Es sollen geplante und zielgerichtete Attacken durchführt werden, um die Mitarbeiter der BKK Mobil Oil auf ihr Informationssicherheitsverhalten im klassischen IT-Umfeld zu prüfen. Bisher getroffene Maßnahmen zur Abwehr von Social Engineering Angriffen sollen überprüft und optimiert werden, zukünftige Maßnahmen sollen vorgeschlagen werden.
Mehr anzeigen
Beschreibung der Verlängerungen: Optionale Vertragsverlängerung um 3 x 12 Monate.
Informationen über Optionen
Beschreibung der Optionen:
“Der Auftraggeber ist berechtigt, die Laufzeit des Vertrags durch einseitige Erklärung gegenüber dem Auftragnehmer 2-mal um 12 Monate zu verlängern.”
4️⃣ Umfang der Beschaffung
Titel: Architekturelle Sicherheits- und Angriffsvektoranalyse sowie Prozessanalyse
Titel
Los-Identifikationsnummer: 4
Beschreibung
Beschreibung der Beschaffung:
“Durchführung einer architekturellen Sicherheits- und Angriffsvektoranalyse sowie Prozessanalyse. Weiterhin ist eine Bedrohungs- und Schwachstellenanalyse...”
Beschreibung der Beschaffung
Durchführung einer architekturellen Sicherheits- und Angriffsvektoranalyse sowie Prozessanalyse. Weiterhin ist eine Bedrohungs- und Schwachstellenanalyse zur Identifikation und Bewertung von Angriffsszenarien anzubieten.
5️⃣ Umfang der Beschaffung
Titel: Support bei Datenschutz- und IT-Sicherheitsvorfällen
Titel
Los-Identifikationsnummer: 5
Beschreibung
Beschreibung der Beschaffung:
“Der Auftragnehmer muss im Rahmen eines Notfallsupports bei Hacker-Angriffen zur Schließung der Sicherheitslücken zur Verfügung stehen.”
Beschreibung der Verlängerungen:
“Der Auftraggeber ist berechtigt, die Laufzeit des Vertrags durch einseitige Erklärung gegenüber dem Auftragnehmer dreimal um 12 Monate zu verlängern.”
Rechtliche, wirtschaftliche, finanzielle und technische Informationen Bedingungen für die Teilnahme
Liste und kurze Beschreibung der Bedingungen:
“Nachweis Auszug Handelsregister. Dieser darf nicht älter als 6 Monate sein. Ausländische Bieter haben eine Bescheinigung des Handelsregisters ihres...”
Liste und kurze Beschreibung der Bedingungen
Nachweis Auszug Handelsregister. Dieser darf nicht älter als 6 Monate sein. Ausländische Bieter haben eine Bescheinigung des Handelsregisters ihres Herkunftslandes beizufügen.
Mehr anzeigen Wirtschaftliche und finanzielle Leistungsfähigkeit
Liste und kurze Beschreibung der Auswahlkriterien:
“— Anlage 3 — Eigenerklärung zur Leistungsfähigkeit, Nichtvorliegen von Ausschlussgründen und Gesetzestreue,
— Anlage 8 — Unternehmensdarstellung inkl....”
Liste und kurze Beschreibung der Auswahlkriterien
— Anlage 3 — Eigenerklärung zur Leistungsfähigkeit, Nichtvorliegen von Ausschlussgründen und Gesetzestreue,
— Anlage 8 — Unternehmensdarstellung inkl. Eignungskriterien.
Mehr anzeigen Technische und berufliche Fähigkeiten
Liste und kurze Beschreibung der Auswahlkriterien:
“— Anlage 3 — Eigenerklärung zur Leistungsfähigkeit, Nichtvorliegen von Ausschlussgründen und Gesetzestreue,
— Anlage 8 — Unternehmensdarstellung inkl....”
Liste und kurze Beschreibung der Auswahlkriterien
— Anlage 3 — Eigenerklärung zur Leistungsfähigkeit, Nichtvorliegen von Ausschlussgründen und Gesetzestreue,
— Anlage 8 — Unternehmensdarstellung inkl. Eignungskriterien zwingende Angabe von mind. 2 positiven Referenzen pro Los.
Zertifizierungen und Erfahrungen:
Mindestanforderungen für die Lose 1 — 3:
— Mind. 5 Jahre Erfahrungen im Bereich Whitebox / Blackbox / Social-Engineering-Penetrationstest,
— Nachweis einer Zertifizierung für IS-Penetrationstest durch das BSI,
— Bei Angebotsabgabe von mehreren Losen: Bestätigung, dass die Bearbeiter der einzelnen Lose komplett voneinander getrennt arbeiten mittels Einreichung eines entsprechenden Umsetzungskonzeptes,
— Bestätigung, dass im Folgejahr nicht dieselben Personen den Penetrationstest durchführen,
— Nachweis ISO 27001-Zertifizierung,
Mindestanforderungen für das Los 4:
— Mind. 5 Jahre Erfahrungen im Bereich Prozessanalyse und ISMS,
— Bei Angebotsabgabe von mehreren Losen: Bestätigung, dass die Bearbeiter der einzelnen Lose komplett voneinander getrennt arbeiten mittels Einreichung eines entsprechenden Umsetzungskonzeptes,
— Nachweis ISO 27001-Zertifizierung.
Mindestanforderungen für das Los 5:
— Mind. 5 Jahre Erfahrungen im CSIRT-Team,
— Bei Angebotsabgabe von mehreren Losen: Bestätigung, dass die Bearbeiter der einzelnen Lose komplett voneinander getrennt arbeiten mittels Einreichung eines entsprechenden Umsetzungskonzeptes,
— Nachweis ISO 27001-Zertifizierung.
Verfahren Art des Verfahrens
Offenes Verfahren
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2021-05-10
13:00 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Das Angebot muss gültig sein bis: 2021-08-31 📅
Bedingungen für die Öffnung der Angebote: 2021-05-10
13:00 📅
Ergänzende Informationen Zusätzliche Informationen
Bekanntmachungs-ID: CXP4YDLDWDX.
Körper überprüfen
Name: Vergabekammer des Bundes
Postanschrift: Villemombler Straße 76
Postort: Bonn
Postleitzahl: 53123
Land: Deutschland 🇩🇪 Dienststelle, bei der Informationen über das Überprüfungsverfahren eingeholt werden können
Name: Vergabekammer des Bundes
Postanschrift: Villemombler Straße 76
Postort: Bonn
Postleitzahl: 53123
Land: Deutschland 🇩🇪
Quelle: OJS 2021/S 065-166497 (2021-03-30)
Objekt Umfang der Beschaffung
Titel: Penetrationstests, Support und Analysen
OV-IT-049/2021 (vergeben)
Gesamtwert der Beschaffung (ohne MwSt.): EUR 0.01 💰
Informationen über Lose
Dieser Vertrag ist in Lose unterteilt ✅ Beschreibung
Hauptstandort oder Erfüllungsort: Mobil Krankenkasse
Hühnerposten 2
20097 Hamburg
Informationen über Optionen
Beschreibung der Optionen: Optionale Verlängerung um 3 x 12 Monate
Beschreibung der Optionen: Optionale Vertragsverlängerung um 3 x 12 Monate
Beschreibung der Optionen:
“Der Auftraggeber ist berechtigt, die Laufzeit des Vertrags durch einseitige Erklärung gegenüber dem Auftragnehmer dreimal um 12 Monate zu verlängern.”
Verfahren Administrative Informationen
Frühere Veröffentlichungen zu diesem Verfahren: 2021/S 065-166497
Auftragsvergabe
1️⃣
Vertragsnummer: OV-IT-049/2021: Penetrationstests, Support und Analysen
Los-Identifikationsnummer: Los 1
Titel: Whitebox-Penetrationstest
Datum des Vertragsabschlusses: 2021-06-14 📅
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 5
Name und Anschrift des Auftragnehmers
Name: mgm security partners GmbH
Postort: München
Land: Deutschland 🇩🇪
Region: Oberbayern🏙️
Der Auftragnehmer ist ein KMU
Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Gesamtwert des Auftrags/Loses: EUR 0.01 💰
2️⃣
Los-Identifikationsnummer: Los 2
Titel: Blackbox-Penetrationstest
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 2
Name und Anschrift des Auftragnehmers
Name: Deutsche Telekom Security GmbH
Postort: Frankfurt
Region: Bonn, Kreisfreie Stadt🏙️ Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Gesamtwert des Auftrags/Loses: EUR 0.01 💰
3️⃣
Los-Identifikationsnummer: Los 3
Titel: Social Engineering-Penetrationstest
Name und Anschrift des Auftragnehmers
Name: Atos Information Technology GmbH
Region: Frankfurt am Main, Kreisfreie Stadt🏙️ Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Gesamtwert des Auftrags/Loses: EUR 0.01 💰
4️⃣
Los-Identifikationsnummer: Los 4
Titel: Architekturelle Sicherheits- und Angriffsvektoranalyse sowie Prozessanalyse
Name und Anschrift des Auftragnehmers
Name: Insentis GmbH
Postort: Geisenheim
Region: Rheingau-Taunus-Kreis🏙️
Der Auftragnehmer ist ein KMU ✅ Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Gesamtwert des Auftrags/Loses: EUR 0.01 💰
5️⃣
Los-Identifikationsnummer: Los 5
Titel: Support bei Datenschutz- und IT-Sicherheitsvorfällen
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 1
Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Gesamtwert des Auftrags/Loses: EUR 0.01 💰
Ergänzende Informationen Zusätzliche Informationen
Bekanntmachungs-ID: CXP4YDLRHJ5
Für Mediationsverfahren zuständige Stelle
Name: Vergabekammer des Bundes
Postanschrift: Villemombler Straße 76
Postort: Bonn
Postleitzahl: 53123
Land: Deutschland 🇩🇪
Quelle: OJS 2021/S 126-333819 (2021-06-28)