Objekt Umfang der Beschaffung
Titel: Rahmenvertrag Jährliche Penetrationstest
EK-L_A-2021-0167
Produkte/Dienstleistungen: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung📦
Kurze Beschreibung: Rahmenvertrag für jährliche Penetrationstest
Informationen über Lose
Angebote können für alle Lose eingereicht werden
1️⃣ Umfang der Beschaffung
Titel: Kategorie 1 - Jährliche Penetrationstests
Titel
Los-Identifikationsnummer: 1
Beschreibung
Zusätzliche Produkte/Dienstleistungen: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung📦
Ort der Leistung: Berlin🏙️
Hauptstandort oder Erfüllungsort: Berliner Wasserbetriebe - Alle Standorte
Beschreibung der Beschaffung:
“Jährliche Penetration der von außen erreichbaren IT-Services
Alle von außen (aus dem Internet) erreichbaren IT-Services (Anwendungen, Webseiten, etc. der...”
Beschreibung der Beschaffung
Jährliche Penetration der von außen erreichbaren IT-Services
Alle von außen (aus dem Internet) erreichbaren IT-Services (Anwendungen, Webseiten, etc. der Berliner Wasserbetriebe ) müssen auf der Grundlage der Arbeitsanweisung "IT-Sicherheitsrichtlinie Penetrationstests" jährlich wiederkehrend penetriert werden. Derzeit umfasst dies 30-35 IT-Services.
Anwendungen / Webseiten aus dieser Kategorie sollen entsprechend des IS-Penetrationstest nach Vorgabe des BSI in moderater Weise und dem OWASP Testing Guide (Version 4.2) penetriert sowie aufgedeckte Schwachstellen oder Risiken dokumentiert werden.
Leistungsumfang maximal 400 Tage
Mehr anzeigen Vergabekriterien
Der Preis ist nicht das einzige Zuschlagskriterium, und alle Kriterien werden nur in den Auftragsunterlagen genannt
Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Der nachstehende Zeitrahmen ist in Monaten ausgedrückt.
Beschreibung
Dauer: 48
Zusätzliche Informationen:
“Es ist beabsichtigt einen Rahmenvertrag mit mindestens drei Bietern, maximal mit vier Bietern abzuschließen.
Das Ziel des Abschlusses der Rahmenvereinbarung...”
Zusätzliche Informationen
Es ist beabsichtigt einen Rahmenvertrag mit mindestens drei Bietern, maximal mit vier Bietern abzuschließen.
Das Ziel des Abschlusses der Rahmenvereinbarung mit mehreren Bietern besteht im Wesentlichen darin, auf diejenigen Bieter im Einzelfall zugreifen zu können, die hinsichtlich der konkreten zu erbringenden Abrufleistung den wirtschaftlichsten
Leistungserbringungsansatz haben. Um dies zu ermitteln, geht der Auftraggeber wie folgt vor:
Der Auftraggeber konsultiert die Rahmenvertragsbeteiligten und schildert diesen den notwendigen Handlungsbedarf.
Gleichzeitig legt der Auftraggeber fest, inwieweit der Auftraggeber in preislicher
Hinsicht den Unternehmen die Möglichkeit eines Abschlags auf die angebotenen Preise der Abrufleistung einräumt.
Die Ermittlung des wirtschaftlichsten Angebotes erfolgt wie folgt:
70% Preis
Die Bewertung des Preises erfolgt nach folgender Formel:
Das niedrigste eingereichte Gesamtangebot (inkl. eventuellem Abschlag) erhält 100 Punkte
Ergebnis Kriterium Preis = niedrigste eingereichte Angebotssumme geteilt durch eingereichte Angebotssumme Bieter x 100 x Gewichtung (hier 70)
15% Reaktionszeit (Beginn der Leistung)
Die Bewertung der Reaktionszeit erfolgt nach folgender Formel
Die kürzeste Reaktionszeit (der Bieter der im Angebot den frühestens Beginn angegeben hat) erhält 100 Punkte. Die Wertung für die höheren Reaktionszeiten erfolgt anhand der Formel:
kürzeste angebotene Reaktionszeit x 100 / Reaktionszeit Bieter x Gewichtung (hier 15)
15% Leistungsdauer in Werktagen (ab Beginn der Leistung bis zum vollständigen Abschluss - Übergabe Management-Summary, Findings (PDF und Excel-Tabel) sowie abschließender Auswertungstermin/Liefertermin).
Die Bewertung der Leistungsdauer in Werktagen erfolgt nach folgender Formel
Die kürzeste Leistungsdauer in Werktagen erhält 100 Punkte. Die Wertung für die nachfolgenden Angaben zur Leistungsdauer in Werktag erfolgt anhand der Formel:
kürzeste Leistungsdauer in Werktagen x 100 / Leistungsdauer in Werktagen Bieter x Gewichtung (hier 15)
Der Bieter mit der höchsten Gesamtpunktzahl erhält den Zuschlag im entsprechenden Miniwettbewerb.
Voraussetzung für die Zuschlagserteilung im Miniwettbewerb:
Um ein hohes Maß an Sicherheit zu gewährleisten, die Objektivität zu erhalten und um eine Betriebsblindheit zu verhindern, ist es notwendig, dass das ausführende Unternehmen immer einen frischen Blick auf die Anwendungen hat. So soll zwischen der Penetration, ein und desselben IT-Services durch ein Penetrationsunternehmen ein Zeitraum von einem Jahr liegen. D.h. dass der Rahmenvertragsbeteiligte dementsprechend nicht zur Angebotsabgabe im Folgejahr aufgefordert wird (Aussetzung für 1 Jahr).
2️⃣ Umfang der Beschaffung
Titel: Kategorie 2 Adhoc-Untersuchung einzelner IT-Services
Titel
Los-Identifikationsnummer: 2
Beschreibung
Beschreibung der Beschaffung:
“Unterjährige Penetration der einem Major-Change unterzogenen oder neu einzuführenden Services oder Webseiten der Berliner Wasserbetriebe.
Im Laufe eines...”
Beschreibung der Beschaffung
Unterjährige Penetration der einem Major-Change unterzogenen oder neu einzuführenden Services oder Webseiten der Berliner Wasserbetriebe.
Im Laufe eines Jahres werden neue IT-Services (Anwendungen, Webseiten, etc.) eingeführt oder erfahren ein Major Update, manche sogar wiederkehrend (mehrmals im Jahr). Die BWB bewegen sich hier in einer Größenordnung von 10-15 IT-Services pro Jahr. Diese müssen vor der Produktivsetzung penetriert werden. Dies geschieht auf der Grundlage der Arbeitsanweisung
"IT-Sicherheitsrichtlinie Penetrationstests". Damit sämtliche Tests des Produktivsetzungsprozesses so effizient wie möglich für das Unternehmen gestaltet werden, bedingt dies auch eine unkomplizierte Beauftragung eines Penetrationstests, unter Nennung und kurzer Beschreibung des IT-Services.
Anwendungen aus dieser Kategorie sollen entsprechend des IS-Penetrationstest nach Vorgabe des BSI in moderater Weise sowie dem OWASP Testing Guide (in der aktuellen Version, derzeit 4.2) sowie dem OWASP ASVS (in der aktuellen Version ). Der entsprechende Penetrationslevel ist abhängig von der IT-Kritikalität der Anwendung und der Daten die darin verarbeitet werden und wird bei der Beauftragung angegeben) penetriert und aufgedeckte Schwachstellen oder Risiken dokumentiert werden.
Leistungsumfang maximal 450 Tage
Rechtliche, wirtschaftliche, finanzielle und technische Informationen Bedingungen für die Teilnahme
Liste und kurze Beschreibung der Bedingungen:
“Direktlink auf Dokument mit Eignungskriterien: (URL) https://vergabekooperation.berlin/NetServer/SelectionCriteria/54321-Tender-17d2d81020d-784ec99e0abcb0ae” Wirtschaftliche und finanzielle Leistungsfähigkeit
Liste und kurze Beschreibung der Auswahlkriterien:
“Direktlink auf Dokument mit Eignungskriterien: (URL) https://vergabekooperation.berlin/NetServer/SelectionCriteria/54321-Tender-17d2d81020d-784ec99e0abcb0ae” Technische und berufliche Fähigkeiten
Liste und kurze Beschreibung der Auswahlkriterien:
“Direktlink auf Dokument mit Eignungskriterien: (URL) https://vergabekooperation.berlin/NetServer/SelectionCriteria/54321-Tender-17d2d81020d-784ec99e0abcb0ae” Informationen über das für die Ausführung des Auftrags zuständige Personal
Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der mit der Ausführung des Auftrags betrauten Mitarbeiter
Verfahren Art des Verfahrens
Offenes Verfahren
Informationen über eine Rahmenvereinbarung oder ein dynamisches Beschaffungssystem
Rahmenvereinbarung mit mehreren Betreibern
Beschreibung
Vorgesehene Höchstzahl der Teilnehmer an der Rahmenvereinbarung: 4
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2022-03-09
12:00 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Das Angebot muss gültig sein bis: 2022-04-29 📅
Bedingungen für die Öffnung der Angebote: 2022-03-09
12:00 📅
Bedingungen für die Öffnung der Angebote (Informationen über die befugten Personen und das Öffnungsverfahren): entfällt
Ergänzende Informationen Informationen über das Wiederauftreten
Dies ist eine wiederkehrende Beschaffung ✅
Voraussichtlicher Zeitpunkt für die Veröffentlichung weiterer Bekanntmachungen: 1. Quartal 2026
Informationen über elektronische Arbeitsabläufe
Die elektronische Bestellung wird verwendet
Elektronische Zahlung wird verwendet
Zusätzliche Informationen
“Frauenförderung:
Gemäß Frauenförderverordnung (FFV) müssen die Bieter eine entsprechende Erklärung abgeben, die den Angebotsunterlagen beigefügt ist....”
Frauenförderung:
Gemäß Frauenförderverordnung (FFV) müssen die Bieter eine entsprechende Erklärung abgeben, die den Angebotsunterlagen beigefügt ist. Angebote, die keine oder unvollständige Erklärungen gemäß § 1 Abs. 2 FFV enthalten, werden nicht berücksichtigt.
Mehr anzeigen Körper überprüfen
Name: Vergabekammer des Landes Berlin
Postanschrift: Martin-Luther-Straße 105
Postort: Berlin
Postleitzahl: 10825
Land: Deutschland 🇩🇪
Telefon: +49 30-90138316📞
E-Mail: vergabekammer@senwtf.berlin.de📧
Fax: +49 30-90137613 📠 Für Mediationsverfahren zuständige Stelle
Name: Vergabekammer des Landes Berlin
Postanschrift: Martin-Luther-Straße 105
Postort: Berlin
Postleitzahl: 10825
Land: Deutschland 🇩🇪
Telefon: +49 30-90138316📞
E-Mail: vergabekammer@senwtf.berlin.de📧
Fax: +49 30-90137613 📠
URL: https://www.berlin.de/sen/wirtschaft/wirtschaft-und-technologie/wirtschaftsrecht/vergabekammer/🌏 Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
“Innerhalb von 10 Kalendertagen nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, kann ein Nachprüfverfahren bei der...”
Genaue Informationen über Fristen für Überprüfungsverfahren
Innerhalb von 10 Kalendertagen nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, kann ein Nachprüfverfahren bei der Vergabekammer beantragt werden (§ 160 Abs. 3 Nr. 4 GWB).
Bekanntmachung über vergebene Aufträge (2022-04-27) Objekt Informationen über Lose
Dieser Vertrag ist in Lose unterteilt ✅ Beschreibung
Beschreibung der Beschaffung:
“Jährliche Penetration der von außen erreichbaren IT-Services Alle von außen (aus dem Internet) erreichbaren IT-Services (Anwendungen, Webseiten, etc. der...”
Beschreibung der Beschaffung
Jährliche Penetration der von außen erreichbaren IT-Services Alle von außen (aus dem Internet) erreichbaren IT-Services (Anwendungen, Webseiten, etc. der Berliner Wasserbetriebe ) müssen auf der Grundlage der Arbeitsanweisung "IT-Sicherheitsrichtlinie Penetrationstests" jährlich wiederkehrend penetriert werden. Derzeit umfasst dies 30-35 IT-Services. Anwendungen / Webseiten aus dieser Kategorie sollen entsprechend des IS-Penetrationstest nach Vorgabe des BSI in moderater Weise und dem OWASP Testing Guide (Version 4.2) penetriert sowie aufgedeckte Schwachstellen oder Risiken dokumentiert werden. Leistungsumfang maximal 400 Tage
Mehr anzeigen Vergabekriterien
Preis
Beschreibung
Beschreibung der Beschaffung:
“Unterjährige Penetration der einem Major-Change unterzogenen oder neu einzuführenden Services oder Webseiten der Berliner Wasserbetriebe. Im Laufe eines...”
Beschreibung der Beschaffung
Unterjährige Penetration der einem Major-Change unterzogenen oder neu einzuführenden Services oder Webseiten der Berliner Wasserbetriebe. Im Laufe eines Jahres werden neue IT-Services (Anwendungen, Webseiten, etc.) eingeführt oder erfahren ein Major Update, manche sogar wiederkehrend (mehrmals im Jahr). Die BWB bewegen sich hier in einer Größenordnung von 10-15 IT-Services pro Jahr. Diese müssen vor der Produktivsetzung penetriert werden. Dies geschieht auf der Grundlage der Arbeitsanweisung "IT-Sicherheitsrichtlinie Penetrationstests". Damit sämtliche Tests des Produktivsetzungsprozesses so effizient wie möglich für das Unternehmen gestaltet werden, bedingt dies auch eine unkomplizierte Beauftragung eines Penetrationstests, unter Nennung und kurzer Beschreibung des IT-Services. Anwendungen aus dieser Kategorie sollen entsprechend des IS-Penetrationstest nach Vorgabe des BSI in moderater Weise sowie dem OWASP Testing Guide (in der aktuellen Version, derzeit 4.2) sowie dem OWASP ASVS (in der aktuellen Version ). Der entsprechende Penetrationslevel ist abhängig von der IT-Kritikalität der Anwendung und der Daten die darin verarbeitet werden und wird bei der Beauftragung angegeben) penetriert und aufgedeckte Schwachstellen oder Risiken dokumentiert werden. Leistungsumfang maximal 450 Tage
Verfahren Informationen zur Rahmenvereinbarung
Die Beschaffung umfasst die Erstellung einer Rahmenvereinbarung
Administrative Informationen
Frühere Veröffentlichungen zu diesem Verfahren: 2022/S 025-062561
Auftragsvergabe
1️⃣
Los-Identifikationsnummer: 1
Titel: Kategorie 1 - Jährliche Penetrationstests
Informationen über nicht gewährte Zuschüsse
Andere Gründe (Abbruch des Verfahrens)