Projekt 500 - Sicherheitsanalysen von Produkten aus dem Bereich Smart Home und Smart City (SniPS)

Kurze Beschreibung

Hauptaufgabe des Projektes ist es, Produkte sowie Plattformen aus dem Bereich Smart Home und Smart City allgemeinen Schwachstellenanalysen sowie Konformitätsbewertugen zu unterziehen, um die IT- Sicherheit der Produkte einschätzen zu können und ggf. deren Sicherheit durch Mitigierungsmaßnahmen und Handlungsempfehlungen wieder herzustellen und/oder zu verbessern.
Um schnell auf externe Meldungen über Schwachstellen reagieren zu können, sollen knappe Ersteinschätzungen zur Plausibilität und Kritikalität der Schwachstellen innerhalb von 24 Stunden erstellt werden. Außerdem soll eine Prüfinfrastruktur für IoT-Produkte aus dem Bereich Smart Home und Smart City aufgebaut werden, in der Protokolle und Technologien bei Bedarf hinsichtlich des Niveaus an IT-Sicherheit untersucht und Demonstratoren zur Veranschaulichung von Bedrohungen für die IT-Sicherheit von Produkten erstellt werden können.

Beschreibung der Beschaffung

Ziel des Projektes ist, Produkte aus den Bereichen Smart Home und Smart City technischen Sicherheitsanalysen,
unter anderem zum Auffinden von Schwachstellen, zu unterziehen. Hierzu zählen insbesondere:
- Allgemeine techinsche Sicherheitsanalysen und Konformitätsbewertungen an Produkten aus den
Bereichen Smart Home (Consumer IoT) und Smart City (Public IoT).
- ad-hoc-Sicherheitsanalysen und Konformitätsbewertungen an Produkten aus den Bereichen Smart
Home (Consumer IoT) und Smart City (Public IoT) mit dem Ziel, in den Medien beschriebene oder
durch externe Stellen gemeldete Schwachstellen schnell zu verifizieren und einzuschätzen.
- Belastbare, ausführliche und nachvollziehbare Dokumentationen über Vorgehensweise und Durchführung
der technischen Sicherheitsanalysen und Konformitätsbewertungen.
- Bereitstellung von Handlungsempfehlungen mit Lösungsmöglichkeiten zur Behebung von
Schwachstellen. Ggf. auch die direkte Beratung von Herstellern schwachstellenbehafteter IoT-Produkte
aus den Bereichen Smart Home und Smart City.
- Entwicklung und Aufbau einer Prüfinfrastruktur sowie Entwicklung und Evaluierung von Prüfkonzepten,
um Produkte aus dem Bereich Smart Home und Smart City belastbar und ggf. automatisiert
oder teilautomatisiert testen zu können.
- Implementierung von Demonstratoren zur Evaluation der Prüfinfrastruktur und Darstellung der
Schwachstellen nach außen.
- Nutzung der Erkenntnisse für die Entwicklung von Sicherheitsstandards, der Aufforderung von Herstellern
zur Behebung von Schwachstellen (gem. §7a BSIG) und ggf. Produktwarnungen, dem Entwickeln
von Leitlinien und Handlungsempfehlungen gegenüber der Wirtschaft und Gesellschaft.
- Generell die Verbesserung der IT-Sicherheit schwachstellenbehafteter Produkte.

Beschreibung der Optionen

Die vorgesehene Projektlaufzeit von 2 Jahren kann vom AG optional um ein weiteres Jahr verlängert werden (siehe Kapitel 3 der Leistungsbeschreibung). Zudem kann das vorgegebene Abrufkontingent an Personentagen für die AP 2 bis AP 6 vom AG bei Bedarf innerhalb der Projektlaufzeit aufgestockt werden (optionale Aufstockung, siehe Kapitel 4.2.1 der Leistungsbeschreibung). Ob vom AG aus allen Arbeitspaketen Leistungen abgerufen werden ist abhängig von den aktuellen Entwicklungen während der Projektlaufzeit.

Liste und kurze Beschreibung der Auswahlkriterien

1) Ausschluss eines Interessenskonflikts
Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.
Bitte mit „JA“ oder „NEIN“ beantworten.
Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines untersuchten Produkts oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor.
Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
2) Referenzen Technische Sicherheitsanalysen
Weisen Sie mindestens ein Projekt mit Schwerpunkt „technische Sicherheitsanalysen an IoT-Produkten aus dem Bereich Smart Home“ und ein Projekt aus dem Bereich „technische Sicherheitsanalysen an IoT-Produkten aus dem Bereich Smart City“ nach, das von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft oder den Unterauftragnehmern innerhalb der letzten drei Jahre erfolgreich durchgeführt wurde, und welches mit der hier zu vergebenden Leistung vergleichbar ist (Dauer, Umfang, Inhalt) oder darüber hinaus geht.
- Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang
- Dauer
- Auftragsvolumen
Aus den Ausführungen müssen sich Rückschlüsse auf die Leistungsfähigkeit des Bieters / der Bietergemeinschaft (ggf. unter Einbeziehung eines Unterauftragnehmers (Eignungsleihe)) im oben genannten Bereich ziehen lassen. Die Darstellung sollte eine DIN A4-Seite pro Referenz nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Benennung und Beschreibung von mindestens einer geeigneten Referenz.
Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
3) Referenzen: Gefundene Schwachstellen
Belegen Sie anhand geeigneter Referenzen (z.B. Einträge in Schwachstellendatenbanken wie z.B. CVE) mind. 1 von Ihrem Unternehmen gefundene und veröffentlichte Schwachstelle im Bereich von IoT-Produkten aus dem Bereich Smart Home und Smart City.
Gehen Sie dabei auf folgende Punkte ein:
- Beschreibung der Schwachstelle
- Betroffene Produkt(e)
- Veröffentlichungsdatum
Mindestanforderungen: Benennung und Beschreibung von mindestens einer geeigneten Referenz und der von Ihrem Unternehmen gefundenen und veröffentlichten Schwachstelle.
Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
4) Technische Ausrüstung
Geben Sie einen kurzen Überblick über das technische Equipment, welches Ihnen zur Verfügung steht und von Ihnen zur Erbringung der hier ausgeschriebenen Leistung eingesetzt wird.
Mindestanforderung: Der Bieter ist aus Sicht des BSI in der Lage, die hier zu vergebende Leistung (siehe Beschreibung der Arbeitspakete unter Kapitel 2 und der zu erbringenden Qualifikationen und Erfahrungen unter Kapitel 5.1.2) mit Hilfe der beschriebenen technischen Ausrüstung erfolgreich zu erbringen.
5) Qualitätsmanagement
Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.
Mindestanforderung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.

Genaue Informationen über Fristen für Überprüfungsverfahren

Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.
Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.