Secure E-Mail Gateways

Kurze Beschreibung

Gegenstand der Ausschreibung ist die Beschaffung von Secure E-Mail Gateway HA Cluster für 5.000 Anwender mit den dazugehörigen Lizenzen (Softwarefunktionen). Weiter ein zweijähriger Wartungsvertrag und die damit verbundenen Dienstleistungen.
Optional können über die Rahmenvereinbarung der proaktive Support, Wartung- und Supportverlängerung für das dritte und vierte Jahr, Erweiterungen für zusätzliche Anwender und weitere Secure E-Mail Gateway HA Cluster bezogen werden.

Beschreibung der Beschaffung

Gegenstand der Ausschreibung ist die Beschaffung von Secure E-Mail Gateway HA Cluster für 5.000 Anwender mit den dazugehörigen Lizenzen (Softwarefunktionen). Weiter ein zweijähriger Wartungsvertrag und die damit verbundenen Dienstleistungen.
Optional können über die Rahmenvereinbarung der proaktive Support, Wartung- und Supportverlängerung für das dritte und vierte Jahr, Erweiterungen für zusätzliche Anwender und weitere Secure E-Mail Gateway HA Cluster bezogen werden.

Liste und kurze Beschreibung der Bedingungen

- Aktueller Nachweis (nicht älter als 1 Jahr), dass der Bieter im Berufs- oder Handelsregister nach Maßgabe der Rechtsvorschriften des Landes der Gemeinschaft oder des Vertragsstaates des EWR-Abkommens eingetragen ist, in dem er ansässig ist. (A)
Unternehmen, die weder im Berufs- noch Handelsregister noch einem anderen Register geführt werden, legen eine Kopie der Gewerbeanmeldung der zuständigen Stelle des Landes, in dem sie ansässig sind (soweit erforderlich) oder einen anderen geeigneten Nachweis (z. B. bereinigter Steuerbescheid) vor, der Aufschluss über die Art der beruflichen Tätigkeit gibt.
- Eigenerklärung, dass keine rechtskräftigen Verurteilungen der in § 123 GWB aufgezählten Straftaten vorliegen. (A)
- Eigenerklärung, dass keine Verstöße der in § 124 GWB aufgezählten fakultativen Ausschlussgründe vorliegen. (A)
1. Der / die Bewerber / Bieter gehört / gehören nicht zu den
in Artikel 5 k) Absatz 1 der Verordnung (EU) Nr. 833/2014 in der Fassung des Art. 1 Ziff. 23 der Verordnung (EU) 2022/576 des Rates vom 8. April 2022 über restriktive Maßnahmen angesichts der Handlungen Russlands, die die Lage in der Ukraine destabilisieren,
genannten Personen oder Unternehmen, die einen Bezug zu Russland im Sinne der Vorschrift aufweisen,
a. durch die russische Staatsangehörigkeit des Bewerbers/Bieters oder die Niederlassung des Bewerbers/Bieters in Russland,
b. durch die Beteiligung einer natürlichen Person oder eines Unternehmens, auf die eines der Kriterien nach Buchstabe a zutrifft, am Bewerber/Bieter über das Halten von Anteilen im Umfang von mehr als 50%,
c. durch das Handeln der Bewerber/Bieter im Namen oder auf Anweisung von Personen oder Unternehmen, auf die die Kriterien der Buchstaben a und/oder b zutrifft.
2. Die am Auftrag als Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Zusammenhang mit der Erbringung des Eignungsnachweises in Anspruch genommen werden, beteiligten Unternehmen, auf die mehr als 10 % des Auftragswerts entfällt, gehören ebenfalls nicht zu dem in der Vorschrift genannten Personenkreis mit einem Bezug zu Russland im Sinne der Vorschrift.
3. Es wird bestätigt und sichergestellt, dass auch während der Vertragslaufzeit keine als Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Zusammenhang mit der Erbringung des Eignungsnachweises in Anspruch genommen werden, beteiligten Unternehmen eingesetzt werden, auf die mehr als 10 % des Auftragswerts entfällt. (A)
- Angabe, von Namen, Sitz des Unternehmens und Adresse. (A)
- Weitere Anforderungen ergeben sich aus dem Kriterienkatalog. (A)
Bei (A) handelt es sich um Ausschlusskriterien, welche zwingend zu erfüllen sind. Eine Nichterfüllung, kann zum Ausschluss vom weiteren Verfahren führen.

Liste und kurze Beschreibung der Auswahlkriterien

- Nachweis einer im Rahmen und Umfang marktüblichen Haftpflichtversicherung oder eine vergleichbare Versicherung eines Versicherungsunternehmens aus einem Mitgliedstaat der EU. Entweder eine aktuelle Bestätigung der Versicherungsgesellschaft oder eine Kopie der Police. (A)
- Eigenerklärung, dass die Versicherung bei Angebotsabgabe nicht gekündigt ist und für den Leistungszeitraum ein Versicherungsschutz bestehen bleibt. (A)
- Eigenerklärung, dass über der Vermögen nicht das Insolvenzverfahren oder ein vergleichbares gesetzliches Verfahren eröffnet oder die Eröffnung beantragt oder dieser Antrag mangels Masse abgelehnt wurde. (A)
- Eigenerklärung, dass sich das Unternehmen nicht in Liquidation befindet. (A)
- Eigenerklärung, dass der Verpflichtung zur Zahlung von Steuern, Abgaben und Beiträgen zur gesetzlichen Sozialversicherung (u.a. auch zur Berufsgenossenschaft) ordnungsgemäß nachgekommen wird. (A)
- Eigenerklärung, dass keine Verstöße im Sinne des § 5 des Gesetzes zur Bekämpfung der Schwarzarbeit begangen hat, bzw. keine Eintragungen im Gewerbezentralregister wegen illegaler Beschäftigung bestehen. (A)
- Eigenerklärung, dass weder das Unternehmen, noch Mehrheitsanteilseigner oder Gesellschafter, noch eine Mutter- oder Tochtergesellschaft oder Mitglieder der Bietergemeinschaft auf einer der in den Anlagen zu den Verordnungen 881/2002 und 2580/2001 sowie der Anlage des Standpunktes des Rates 2001/931/GASP befindlichen Terrorlisten erscheint. (A)
- Eigenerklärung, dass der Bieter die Tariftreue- und Mindestentgeltbestimmungen nach dem Landestariftreue- und Mindestentgeltgesetz einhält. (A)
- Eigenerklärung, dass wir die Anforderungen aus Anlage 2 zum Vertrag - Leistungsbeschreibung vollständig erbringen können und für die erbrachten Dienstleistungen das Muster Leistungsnachweise verwenden werden. (A)
- Eigenerklärung, dass wir bzw. die von uns angebotenen Personen im Falle einer Zuschlagserteilung mit der Anlage 10 zum Vertrag - Einwilligung Zuverlässigkeitsüberprüfung einverstanden sind, die Anlage ausfüllen und zeitnah vor der Leistungserbringung der BITBW übergeben werden. (A)
- Angabe, der Kontaktdaten des Sabotageschutzbeauftragten oder Sicherheitsbevollmächtigten (m/w/d), über welchen die Kommunikation der Sicherheitsüberprüfung stattfindet. (A)
- Weitere Anforderungen ergeben sich aus dem Kriterienkatalog. (A)
Bei (A) handelt es sich um Ausschlusskriterien, welche zwingend zu erfüllen sind. Eine Nichterfüllung, kann zum Ausschluss vom weiteren Verfahren führen.

Liste und kurze Beschreibung der Auswahlkriterien

- Angabe, vom Bieter über eine/n verantwortliche/n deutschsprachige/n Ansprechpartner/in für die anschließende Auftragsabwicklung, die/der für koordinierende Fragen hinsichtlich der Leistungserbringung zur Verfügung steht. (A)
- Angabe, ob beabsichtigt wird ein Unterauftragnehmer einzusetzen (A)
- Angabe, ob der Bieter gemäß der KMU-Definition der Europäischen Kommission (EU-Empfehlung 2003/361) zur Gruppe der Kleinstunternehmen, kleinen oder mittleren Unternehmen (KMU) gehört. (A)
- Eigenerklärung, dass der Auftraggeberin immer die/der aktuelle Ansprechpartner/in für die Vertragsabwicklung bekanntgegeben wird. (A)
- Nachweis von zwei durchgeführten Referenzprojekten in vergleichbarer Größenordnung innerhalb der letzten 3 Jahre (2019-2022), d.h. Lieferung und Betreuung eines Secure Mail Gateways des gleichen Herstellers wie im Angebot mit 5.000 Anwendern in einem System, mit der Angabe der betreuten Firma und auf Anfrage eines Ansprechpartners in der Firma inkl. Telefonnummer und Email-Adresse. (A)
- Eigenerklärung, dass der Bieter die nachfolgend aufgelisteten Gesetze, Richtlinien und Standards im Rahmen der Leistungserbringung berücksichtigt wird: (A)
- Standards und Kompendium des Bundesamts für Sicherheit in der Informationstechnik, insbesondere der Standards 200-2 und 200-3 im Rahmen der Erstellung eines Info-Sicherheitskonzepts,
- Datenschutzgesetz des Bundes (BDSG), des Landes (LDSG BW) in der neuen Fassung und DS-GVO
- Eigenerklärung, dass das seitens der Auftraggeberin übermittelte Muster "Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO" (vgl. Muster Auftragsverarbeitung DS-GVO) zur Kenntnis genommen worden ist. (A)
- Einverständniserklärung, dass mit Zuschlag im Bedarfsfall die oben genannte Vereinbarung zur Auftragsverarbeitung (vgl. Muster Auftragsverarbeitung DS-GVO) bezüglich im Auftrag verarbeiteter personenbezogener Daten mit der Auftraggeberin geschlossen wird. (A)
- Einverständniserklärung, dass mit Abschluss der Vereinbarung zur Auftragsverarbeitung die technischen und organisatorischen Maßnahmen gemäß DS-GVO, unter Berücksichtigung des zur Verfügung gestellten Aufbaus (vgl. Muster Auftragsverarbeitung DS-GVO), der Auftraggeberin zur Verfügung zu stellen. (A)
- Eigenerklärung, dass die Auftraggeberin Kontrollen zur Einhaltung und Berücksichtigung des Vorgenannten beim Auftragnehmer durchführen kann. (A)
- Eigenerklärung, dass das angebotene System muss als komplette, nicht modularisierte Hardware Appliance geliefert werden. Als Betriebssystem muss ein gehärtetes Unix oder Linux Derivat genutzt werden. Sollte Java als Technologie zum Einsatz kommen ist der Hersteller verpflichtet bei Sicherheitslücken unverzüglich, ohne schuldhaftes Verzögern Updates zur Verfügung zu stellen. (A)
- Eigenerklärung, dass die Appliance muss in Funktionseinheiten aufgeteilt werden können, um diese ggf. aufgrund der Protokolle und des speziellen E-Mail Flows in den jeweils dafür vorhergesehenen DMZ betreiben zu können. Die Art der Aufteilungsmöglichkeiten muss vom Anbieter dargestellt werden. (A)
- Eigenerklärung, dass eine Synchronisation der Schlüssel unter den Appliances muss vorhanden sein. (A)
- Eigenerklärung, dass die Appliance muss hochverfügbar (z.B. Geocluster) aufgebaut werden können. (A)
- Eigenerklärung, dass Die angebotene Lösung muss im Standard eine verschlüsselte elektronische Kommunikation per E-Mail ermöglichen, ohne dass der externe Kommunikationspartner ein digitales Zertifikat bzw. geeignetes Schlüsselmaterial besitzt. Dies kann z.B. durch ein WebFrontend ("Portal") bereitgestellt werden. (A)
- Eigenerklärung, dass der Empfang beim externen Kommunikationspartner, der über kein digitales Zertifikat verfügt bzw. kein Schlüsselmaterial besitzt, muss ohne den Einsatz eines speziellen Agenten oder eines PDF-Readers möglich sein. (A)
- Eigenerklärung, dass die Lösung muss in der Lage sein, einem beliebigen, externen Nutzer zu ermöglichen, einen eigenen Account selbstständig und ohne Aktion oder Interaktion durch oder mit einem Administratoren*innen zu generieren, um auch initial ohne Schlüsselmaterial vertraulich mit dem Betreiber der Lösung kommunizieren zu können. (A)
- Eigenerklärung, dass E-Mails müssen durch die angebotene Lösung im Standard immer vollständig an den jeweiligen Empfänger ausgeliefert werden und damit in den Verfügungsbereich des Empfängers gelangen. Sie müssen in der Mailbox des Empfängers bzw. des Providers abrufbar gespeichert werden und dürfen nicht auf dem System des Senders lediglich zum Abruf bereitgestellt werden. (A)
- Eigenerklärung, dass der interne Sender muss eine Rückmeldung darüber, ob und wann die E-Mail den Empfänger erreicht hat, anfordern können (Empfangs-/Lesebestätigung). Diese Bestätigung darf nicht vom Empfänger manipulierbar sein. (A)
- Eigenerklärung, dass die angebotene Lösung muss flexibel modular erweiterbar sein für 5.000 bis mindestens 105.000 Anwendern. (A)
- Eigenerklärung, dass die Secure E-Mail Gateways entsprechend der Spezifikation in Kap. 5.1 sind inklusive aller zum Betrieb und zur Administration notwendigen Hardware, Software und Lizenzen angeboten. (A)
- Eigenerklärung, dass die E-Mail-Signaturen empfangener E-Mails automatisch prüfen und die in der Signatur enthaltenen S/MIME-Public-Keys (Zertifikate) nach erfolgreicher Prüfung zur späteren Verschlüsselung mit den Kommunikationspartnern selbständig einsammeln. (A)
- Eigenerklärung, dass die dauerhafte Speicherung der eingesammelten Zertifikate. (A)
- Eigenerklärung, dass die E-Mails, die vom Absender als zu verschlüsselnd oder zu signierend gekennzeichnet wurden, automatisiert entsprechend bearbeiten und versenden - unter Einsatz der zuvor eingesammelten Zertifikate für die Verschlüsselung bzw. der eigenen Schlüssel für die digitale Signatur. (A)
- Eigenerklärung, dass sämtliche E-Mails, die von einem internen Absender an einen externen Empfänger gesendet werden, der kein digitales Schlüsselmaterial besitzt, sollen immer digital nach dem S/MIME-Standard signiert werden. (A)
- Eigenerklärung, dass die angebotene Lösung muss im Standard in der Lage sein, OpenPGP-Schlüssel zu importieren und durch geeignete Technologien (z.B. Upload des eigenen, öffentlichen Schlüssels) das Vertrauen herzustellen. (A)
- Eigenerklärung, dass die angebotene Lösung muss im Standard Domänen-Verschlüsselung auf Basis der Standardtechnologien S/MIME und OpenPGP zu beliebigen E-Mail-Gateways realisieren können. (A)
- Eigenerklärung, dass der automatisierter Bezug öffentlicher Schlüssel von noch unbekannter Empfänger aus externen Quellen als auch Bereitstellen von Zertifikaten der internen Benutzer an externe Kommunikationspartner muss möglich sein. (A)
- Eigenerklärung, dass die angebotene Lösung muss im Standard in der Lage sein zu anderen MTAs verschlüsselte Verbindungen über TLS in verschiedenen Ausprägungen und mit aktuellen, sicheren Algorithmen zu realisieren, um über diesen Kanal E-Mails senden und empfangen zu können. (A)
- Eigenerklärung, dass das Gateway muss in der Lage sein, die für den Empfänger am besten geeignete Verschlüsselungstechnologie selbstständig auszuwählen. Steht keine der Standardtechnologien zur Verfügung muss automatisch ein eigenes Verfahren zur Spontankommunikation zum Einsatz kommen. (A)
- Eigenerklärung, da das, Secure E-Mail Gateway privates Schlüsselmaterial und andere sensible Daten verwaltet müssen geeignete Schutzmaßnahmen implementiert sein. Diese Schutzmaßnahmen sind vom Bieter darzulegen. (A)
- Eigenerklärung, dass die Geräte müssen in vorhandene 19"-Racks (max. Einbautiefe 100 cm) eingebaut werden. (A)
- Eigenerklärung, dass die angebotene Lösung muss im Standard in der Lage sein, mit jedem Mailclient zu arbeiten. Für den zentral eingesetzten E-Mail-Client "Microsoft Outlook" muss ein Add-In bereitgestellt werden, um den Nutzer zu befähigen, zu sendende E-Mails an Empfänger nutzerfreundlich als "vertraulich" oder "zu verschlüsseln" zu kennzeichnen. (A)
- Eigenerklärung, dass die angebotene Lösung muss für Empfänger ohne persönliche Zertifikate im Standard die Möglichkeit bieten, E-Mails auf mobilen Endgeräten mit den Betriebssystemen Android und iOS zu empfangen und zu beantworten. Die Art der Unterstützung mobiler Endgeräte und anderer Mailclients (z.B. Thunderbird) muss dargestellt werden. (A)
- Eigenerklärung, dass der Nutzer des Webportals kann sich durch Nutzung einer 2-Faktor-Authentifizierung legitimieren. Die unterstützten Protokolle sind vom Anbieter darzulegen. (A)
- Eigenerklärung, dass die angebotene Lösung muss den automatisierten Import und die Verwaltung von S/MIME-Zertifikaten mindestens für die folgenden Cas beherrschen:
o Sectigo (vormals Comodo)
o DFN (Deutsches Forschungsnetz)
o D-Trust (Bundesdruckerei) (A)
- Eigenerklärung, dass die Lösung muss ein oder mehrere Protokolle zur automatischen Zertifikatsausstellung und -verteilung unterstützen. (A)
- Eigenerklärung, dass die Möglichkeit der automatisierten Erzeugung von Schlüsselpaaren bei Neuanlage eines Benutzers sowie Signieren des erzeugten öffentlichen Schlüssels durch die angebundene CA und Rückgabe an das Gateway als Zertifikat. (A)
- Eigenerklärung, dass die Prüfung der Zertifikatsgültigkeit mittels Sperrlisten (CRLs) und Online Certificate Status Protocol (OCSP). (A)
- Eigenerklärung, dass die Benutzeroberflächen müssen an das Corporate Design der BITBW anpassbar sein. Insbesondere folgende Elemente des Corporate Designs müssen umsetzbar sein:
- Logo der Landesoberbehörde IT Baden-Württemberg (BITBW)
- Verwendung der Hausschriften, mindestens jedoch folgende alternative Schriften:
Verdana, Helvetica, Arial
- Verwendung der Hausfarben (A)

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

- Eigenerklärung, dass die Lösung ist nach BITV 2.0 barrierefrei nutzbar. Die Erfüllung der Anforderung wird durch die Durchführung einer "BITV-Selbstbewertung" (http://www.bitvtest.de/bitvtest.html) durch den Auftragnehmer nachgewiesen. Kriterien, die redaktionelle Eingaben betreffen, werden als erfüllt betrachtet:
- Hoher Erfüllungsgrad: Im "BITV-Test" werden mindestens 95 Punkte erreicht.
- Mittlerer Erfüllungsgrad: Im "BITV-Test" werden mindestens 90 Punkte erreicht (A)
- Eigenerklärung, dass die Wartung und Support Montag - Freitag je Tag 06:00-20:00 Uhr (A)
- Eigenerklärung, dass die Reaktionszeit 2 Stunden für Wartung und Support ist. (A)
- Eigenerklärung, dass die Laufzeit 24 Monate nach Abnahme für Wartung und Support ist (A)
- Eigenerklärung, dass die Support deutschsprachig ist. (A)
- Eigenerklärung, für proaktiver Support. (A)
- Eigenerklärung, für Wartung und Support Verlängerung 2 x 1 Jahr. (A)
- Eigenerklärung, dass der Auftragnehmer muss in der Lage sein, ein Problem an den Hersteller zu eskalieren (Third Level). (A)
- Eigenerklärung, dass zum Schutz der Daten müssen defekte Speichermedien, egal ob auf sie kein direkter Zugriff mehr möglich ist oder ob sie proaktiv getauscht werden, ohne zusätzliche Berechnung in der Verfügungsgewalt der Auftraggeberin verbleiben. (A)
- Eigenerklärung, dass der Hersteller gewährleistet die Weiterentwicklung der Lösung über die gesamte Wartungsdauer nach dem Stand der Technik. (A)
- Eigenerklärung, dass bei Softwareupdates darf es zu keiner Betriebsunterbrechung kommen. (A)
- Eigenerklärung, dass die zur sicheren Administration müssen, falls vorhanden, unverschlüsselte Protokolle (z.B. telnet, http:) abschaltbar sein. (A)
- Eigenerklärung, dass der Bieter erstellt die folgenden Systemdokumentationen.
Hierzu gehören:
­ Betriebshandbuch,­ Whitebook inkl. Architekturbilder, ­ Notfallhandbuch, Sicherheitskonzept, Rollen Rechte Konzept, Vorgaben und Informationen für die Anwender (FAQ) (A)
- Eigenerklärung, dass Sie die Anforderungen zur Abnahme erfüllen (gem. Kap. 3.4 LB) (A)
- Eigenerklärung, dass Sie die Anforderungen zu den Verpackungsmaterialerfüllen (gem. Kap. 3.5 LB) (A)
- Weitere Anforderungen ergeben sich aus dem Angebotsblatt Unternehmen und Kriterienkatalog. (A)
Bei (A) handelt es sich um Ausschlusskriterien, welche zwingend zu erfüllen sind. Eine Nichterfüllung, kann zum Ausschluss vom weiteren Verfahren führen.

Genaue Informationen über Fristen für Überprüfungsverfahren

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:
Ein Nachprüfungsantrag ist nach § 160 Abs. 3 GWB unzulässig soweit:
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.