Beschreibung der Beschaffung
Los 2 beinhaltet folgende Abrufe:
➢Monatliche Servicepauschale für den Basisbetrieb über die gesamte Vertragslaufzeit.
Hierin sind alle Grundaufwände zu kalkulieren, insbesondere Support (inkl. Betriebsunterstützung in Form monatlicher Regelmeetings), Wartung, Weiterentwicklung, Aktualisierung und Pflege,
inkl. 50 Jamf-Gerätelizenzen für Test- und Entwicklungszwecke.
➢Nutzungslizenzen (pro Gerät, pro Jahr) mit einer Mindestabnahmemenge von 1.080 Stück (930 + 150 gem. Mindestabnahmemengen an Geräten, siehe Los 1).
Die geschätzte Höchstabnahmemenge an Nutzungslizenzen beträgt 7.700 Stück.
Die zugesicherte Mindestabnahmemenge wird innerhalb des ersten Vertragsjahres abgerufen. Es besteht keine Abrufverpflichtung für die BA über die zugesicherten Mindestabnahmemengen hinaus.
Folgende Leistungen in Bezug auf das Hosting der MDM Lösung sind
Gegenstand der Ausschreibung:
• Betrieb der Online-Funktion (Verfügbarkeit mindestens 95 % pro Jahr).
• Betrieb, Pflege, Aktualisierung und Wartung der für den Betrieb der Anwendung notwendigen Hard- und Software.
• Bereitstellung, Erhaltung, Aktualisierung und Pflege der Verfügbarkeit der IT-Infrastruktur im Rechenzentrum gemäß anerkannter Sicherheitsstandards, u. a. unterbrechungsfreie Stromversorgung, Brandschutz und Klimatisierung.
- Serverstandort ist Deutschland. Es gilt deutsches Recht.
• Die BA greift zur Administration auf das MDM-System ausschließlich über einen
Browser zu. Das System ist komplett kompatibel mit dem Microsoft EDGE ab Version
98 und/oder dem Firefox ab Version 91.
Das System verwendet dabei für den Browserzugriff ausschließlich die Standard-
Webtechnologien HTML(5), CSS und Javascript. Java und andere aktive Inhalte wie
Flash oder ActiveX dürfen nicht für die vollständige Nutzung benötigt werden.
Um einen reibungslosen Betrieb des IT-Begleitsystems sicherzustellen, ist die Einhaltung mindestens folgender Rahmenbedingungen des Plattformbetreibers/Herstellers durch den AN zu gewährleisten:
• Monitoring der Software-Komponenten und ihrer Kommunikation: Der ordnungsgemäße Betrieb des Systems wird durch Mittel der Betriebssysteme überwacht. Die ermittelten Daten sind auszuwerten und auf Schwachstellen und Engpässe zu untersuchen.
• Erhaltung, Pflege, Aktualisierung und Wartung der Software-Komponenten: Im Rahmen des Betriebs werden die benötigten Komponenten des Verfahrens, sowohl
Dienstsoftware als auch die spezifische Verfahrenssoftware, durch das Einspielen
von Sicherheits- und Maintenance-Patches gepflegt.
• Durchführung der Datensicherung und Wiederherstellung der Daten: Die spezifischen Verfahrensdaten sind entweder mit verfahrenseigenen Mitteln oder mit geeigneter Sicherungssoftware regelmäßig (mindestens einmal pro Tag) zu sichern und die Datensicherung 30 Tage vorzuhalten.
• Durchführung von Release-Wechseln der Software-Komponenten: Im Rahmen eines
Change-Verfahrens werden neue Versionen der Dienst- und Verfahrenssoftware installiert.
Im Rahmen des Change-Verfahrens werden vom Softwareersteller freigegebene
Versionen zunächst getestet und dann in einem geregelten Verfahren in den
Betrieb überführt.
Einhaltung der IT-Sicherheit und des Datenschutzes:
o Einhaltung des Bundesdatenschutzes und der DSGVO.
o Zertifizierung der Hosting Plattform der MDM-Lösung nach ISO 27001. Die
ISO Zertifizierung ist nachzuweisen und mit den Angebotsunterlagen einzureichen.
o Software-technischer Schutz der Komponenten gegen unbefugten Zugriff
(Kennungen, Passwörter, Netzkontrollmechanismen).
o Sichere Konfiguration aller beteiligten IT-Komponenten.
o Speichern aller sicherheitsrelevanter Daten für Logins und Gerätekonfigurationen
in gehashter Form mit starker Verschlüsselung. Auf diese Informationen
im Klartext hat der AN somit keinen Zugriff.
Dies gilt z. B. für Passwörter und Logindaten zur MDM-Plattform oder Passwörter
für WLAN-Verbindungsdaten und Entsperrinformationen in einzelnen
MDM-Profilen, jedoch nicht für z. B. SSID-Namen, Proxy-Name/URL und -Port
innerhalb von MDM-Profilen, welche im Klartext in der Datenbank hinterlegt
sein können.
o Installation von Security Patches.
o Nutzung sicherer Kommunikationswege über alle öffentlichen und potentiell
angreifbaren Netze - Hierzu zählt insbesondere die Verwendung etablierter Ende-zu-Ende Verschlüsselungsmethoden. Hierbei muss mindestens TLS 1.2
oder eine stärkere Methode zum Einsatz kommen. Der Schlüsselaustausch
erfolgt durch Perfect Forward Secrecy (PFS) mittels Ephemeral Diffie Hellman.
Zwischen zentralen Systemen wie z. B. dem MDM-System und den
Endgeräten dürfen keine Daten unverschlüsselt übertragen werden. Dies gilt
auch für etwaige Kommunikationswege von über diesen Vertrag beschafften
zusätzlichen Funktionen/Apps. Auch der Zugriff der BA auf die MDM-Konsole
muss verschlüsselt geschehen.
o Verwendung von Zertifikaten oder gleichwertigen Sicherheitsmaßnahmen
zum vertraulichen und sicheren Transport von Daten. Die Schlüssel müssen
mindestens folgenden Sicherheitsstandards entsprechen:
Asymetrisch: RSA mind. 2048bit
ECC mind. 224bit
Hash: SHA-256 oder höher
Schlüsseltransport/aushandlung: DH mind. 2048
• Gesicherter Zugang mittels Zutrittskontrolle zu den Rechenzentrumsräumlichkeiten
nur für berechtigtes Personal.
Die Anzahl von Sicherheits- und Maintenance-Patches für Betriebssystem- sowie Dienst- und Anwendungssoftware erfolgt anlassbezogen.
Bei der Ermittlung der Verfügbarkeiten der Services und der Internetanbindung ist jeder Ausfall mit Zeitpunkt und Dauer zu dokumentieren. Hierbei gilt der Zeitpunkt der Störungsmeldung als Ausgangspunkt bzw. das nachweisbare Auftreten einer Störung, wenn die Diagnose des Problems einen Ausfall des entsprechend vereinbarten Service ergibt. Ein Ausfall liegt dann vor, wenn dadurch betriebsrelevante Services eingeschränkt werden, z. B. die Aktualisierung von
Profilinformationen bereits eingerichteter Geräte oder die Neuinstallation von Geräten im Rahmen der Pflege und des Supports.
Der AN des Loses 2 muss Jamf Certified Service Engineer und mindestens Jamf Silver Partner oder besser sein.