Support für Individualsoftware inklusive Hotline Service und Schulung/Coaching

Kurze Beschreibung

Pflege und Weiterentwicklung einer Individualsoftware zur Sicherstellung,Überwachung und Konfiguration der Netzzugangssicherheit an den über Hessen verteilten Kundenstandorten sowie Coaching der Mitarbeiter*innen HZD

Beschreibung der Beschaffung

Bei der ausgeschriebenen Leistung handelt es sich um die Pflege und die Weiterentwicklung einer Individualsoftware zur Sicherstellung, Überwachung und Konfiguration der Netzzugangssicherheit an den über Hessen verteilten Kundenstandorten.
Darüber hinaus sollen interne Mitarbeiter*innen der HZD vom Anbieter in den Code und die Weiterentwicklung der Software eingearbeitet und darin gecoached werden.
Die oben beschriebene Individualsoftware ist zentrale Grundlage für den Betrieb und den Schutz der Kundennetze in der Hessischen Landesverwaltung. Sie wurde speziell für die HZD zum herstellerunabhängigen Einsatz im sicherheitskritischen Umfeld ihrer Kunden entwickelt. Hierbei wurde insbesondere auch auf die Konformität mit den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) geachtet.
Die Software ist integraler Bestandteil der Sicherheitsverfahren der Landesverwaltung und eines diesbezüglichen IT-Sicherheitskonzepts. Die Rechte an der Software liegen bei der HZD.
Die Software wurde im Rahmen verschiedener Kundenprojekte von einem externen Dienstleister der HZD - teilweise in Zusammenarbeit mit den Netzwerkkomponenten-Herstellern - erstellt. Sie besteht im Wesentlichen aus zwei Hauptmodulen.
Das Modul "Port-/VLAN-Security" ermöglicht eine Netzzugangskontrolle in den Kundenstandorten der Hessischen Landesverwaltung und basiert auf 802.1X-Fähigkeiten der eingesetzten Netzwerkkomponenten.
Das Modul "Konfig-/Access-Management" stellt ein automatisiertes, zentrales Konfigurationsmanagement für die Netze der Hessischen Landesverwaltung bereit. Das Modul nutzt dabei RADIUS-Funktionen und OpenLDAP-Repositories für das Konfigurations-, Zugriffs und Compliance-Management. Über REST Schnittstelle werden SD-WAN Controller der Fa. Cisco angesprochen.
Die Software befindet sich seit vielen Jahren im Einsatz. Sie wurde in diesem Zeitraum ständig weiterentwickelt und für die Belange der Landesverwaltung optimiert. In den letzten Versionen wurden die beiden Module für "Port-/VLAN-Security" und "Konfig-/Access-Management" in eine gemeinsame Softwareplattform integriert.
Aufgrund des umfangreichen Einsatzes im täglichen Betrieb wurde die Software mit sogenannten CSA-Funktionen (Customer Self Administration) ausgestattet. Diese ermöglichen es, dass die Systembetreuer der Kunden Netzwerk-Sicherheitsparameter über ein User-Interface selbst einstellen können. Die Einstellungen führen im Hintergrund zu automatisierten Anpassungen der Netzwerkkonfiguration. Basis hierfür ist eine enge Abstimmung mit dem Netzservice und der Netzplanung der HZD über die zugrunde liegende Netzwerkgrundkonfiguration. Derzeit nutzen etwa 600 Systembetreuer der HZD-Kunden das Verfahren.
Zusätzlich sind die Systeme über geografisch verteilte kundenspezifische Redundanzen, sogenannte Consumer abgesichert. Bei diesen Systemen handelt es sich um Authentisierungsinstanzen und RHEL auf Basis von RADIUS und LDAP in den Lokationen der Kunden. Diese ermöglichen einen stabilen Betrieb des Verfahrens in aktuell bis zu 350 über Hessen verteilten Kundenlokationen.
Die Individualsoftware steuert u.a. die Replikation der von den Kunden gepflegten Konfigurationsdaten von der zentralen Site auf die verteilten Consumer Systeme. Die Realisierung erfolgt mit Hilfe von OpenSource Werkzeugen (GNU) unter LINUX.
Pflege HZD Individualsoftware
Die Pflege der beschriebenen Individualsoftware umfasst die Erstellung von Patches und Bugfixes sowie die Anpassung auf neue AOS und IOS-Versionen für die nächsten 4 Jahre. Im Rahmen der Pflege muss auch die Anpassung auf neue Netzwerkkomponententypen der Firmen Alcatel und Cisco sowie zukünftiger, im HZD Netzwerkservice eingesetzter Hersteller erbracht werden. Sind neue Komponenten-Typen und -Software vom Hersteller freigegeben, muss der Auftragnehmer auf Anforderung der HZD neue Varianten der SW erstellen, die für definierte Kombinationen von Gerät und Betriebssoftware (AOS / IOS) benötigt werden. Diese Varianten müssen nach Beauftragung in längstens zwei Wochen vom Auftragnehmer erstellt, getestet und der HZD für Produktions- und Abnahmetests übergeben werden.
Die Individualsoftware stellt darüber hinaus Funktionen für die automatisierte Installation und Konfiguration der Radius/LDAP Consumer Infrastruktur und der zentralen Backendsysteme bereit. Diese sind im Rahmen der Pflege regelmäßig an die neuen, von der HZD unterstützten LINUX-, LDAP und RADIUS-Versionen sowie an die aktuellen Sicherheitspatche anzupassen.
Zusätzlich muss ein telefonischer Hotlinesupport angeboten werden. Dieser Hotline-Support bezieht sich auf die Entstörung beim produktiven Einsatz der Software in oben genanntem Kundenumfeld. Gefordert ist dabei die Bereitstellung eines 2nd- bzw. 3rd Level Supports für die Module "Port-/VLAN-Security" und "Konfig-/Accessmanagement Netze" der beschriebenen HZD-Individualsoftware.
Der Support muss während der Geschäftszeiten der HZD von Montag bis Freitag, von jeweils 8:00 - 16:00Uhr mit einer Reaktionszeit von maximal vier Stunden erbracht werden. Ausgenommen sind hessische Feiertage.
Weiterentwicklung HZD Individualsoftware
Darüber hinaus muss der Ausbau von Port-/VLAN-Security und Konfigurationsverwaltung auf Basis aktueller Kundenanforderungen erbracht werden. Die Weiterentwicklung der Software muss die Steuerung von mindestens 150.000 Netzwerk-Anschlüssen bzw. 7.500 Netzkomponenten in den nächsten vier Jahren ermöglichen. Dies umfasst auch die Weiterentwicklung vorhandener Werkzeuge zur Automatisierung der Betriebsabläufe.
Das Verfahren wird in sicherheitskritischen Bereichen sensibler Kunden der Landesverwaltung eingesetzt. Der Auftragnehmer muss daher die für den Support und die Weiterentwicklung erforderlichen Voraussetzungen durch Erfahrungen in einem vergleichbaren Umfeld vergleichbarer Größe nachweisen.
Coaching interner Mitarbeiter*innen
Der Auftragnehmer muss die Schulung der HZD Mitarbeiter*innen zum vorhandenen Software-Code übernehmen und deren Einarbeitung im Rahmen eines Coachings begleiten.
Hierzu sind Erfahrung bei der Vermittlung von Methoden objektorientierter Softwareentwicklung sowie beim Coaching von Mitarbeiter*innen in der Systementwicklung nachzuweisen. Der Auftragnehmer kann dabei davon ausgehen, dass die HZD Mitarbeiter*innen bereits umfangreiche Kenntnissen in den Bereichen Netzwerkmanagement, Netzwerkprotokolle und Scripting besitzen.
Für die Pflege und Weiterentwicklung der HZD Individualsoftware werden konkret nachfolgende Skills benötigt.
Modul Netzzugangssicherheit (Port-VLAN-Security)
Fachliche Skills
Folgende fachliche Skills sind Voraussetzung zur Produkt-(weiter-)entwicklung von Port-/VLAN-Security. Es werden tiefgehende Kenntnisse (mindestens 5 Jahre) in folgenden Bereichen benötigt:
Netzwerke und Netzwerkprotokolle
•Standardprotokolle TCP/IP, UDP
•SNMP
•RADIUS
•LDAP
Konzepte Netzwerksicherheit
•Management in DMZ
•Security Policies / Umgang mit Firewalls
•VLAN
•Security Standards IEEE802.1X
Aktive Netzwerkkomponenten der Firmen Cisco und Alcatel
•Managementfunktionen der Komponenten
•Cisco IOS, Alcatel AOS
•SNMP Private MIB Cisco / Alcatel
•Securitykonzepte Cisco / Alcatel
•Netztechnische Funktionen: Routing, Switching, VLAN-Steuerung, Portsecurity, 802.1X
•Konfigurationskonzepte Cisco/Alcatel: Umgang mit Systemkonfigurationen, Sicherungskonzepte, Versionierung
Systeminfrastruktur
•Planung und Realisierung Radius/LDAP Infrastruktur
•Linux im HA-Umfeld
Skills im Bereich Softwareentwicklung
Folgende Skills im Bereich Softwareentwicklung sind Voraussetzung zur Produkt(weiter-)entwicklung von Port-/VLAN-Security. Insbesondere werden tiefgehende Kenntnisse (mindestens 5 Jahre) in folgenden Bereichen benötigt:
Anwendung Port-/VLAN Security
•C++
•C++ Berkeley DB Schnittstelle
•C++ NetSNMP Bibliothek
•Alcatel SNMP MIB zur Switch Steuerung
•Apache WEB Server zur Kommunikation mit dem INSM Server
•Curl Bibliothek
Erweiterung IEEE802.1X
•C++ (Windows / Unix)
•ZeroC ICE Middlware Schnittstellen (Cross-Plattform Dev.)
•C++ LDAP Schnittstelle
•Python/Perl LDAP Schnittstelle
•OpenLDAP
•FreeRADIUS
Modul Konfig-/Accessmanagement
Folgende fachliche Skills sind Voraussetzung zur Produkt (Weiter-)entwicklung von Konfigurationsverwaltung Netze. Insbesondere werden tiefgehende Kenntnisse (mindestens 5 Jahre) in folgenden Bereichen benötigt:
Netzwerke und Netzwerkprotokolle
•Standardprotokolle TCP/IP, UDP
•SNMP
Konzepte Netzwerksicherheit
•Management in DMZ
•HZD Security Policies / Umgang mit Firewalls
Grundlegende Architekturkenntnisse von Cisco SD-WAN
Aktive Netzwerkkomponenten der Firmen Cisco und Alcatel:
•Managementfunktionen der Komponenten
•Cisco IOS, Alcatel AOS
•SNMP Private MIB Cisco / Alcatel
•Securitykonzepte Cisco / Alcatel
•Netztechnische Funktionen: Routing, Switching, VLANs etc.
•Konfigurationskonzepte Cisco/Alcatel: Umgang mit Systemkonfigurationen, Sicherungskonzepte, Versionierung
•Konfiguration von Cisco SD-WAN Controllern über REST-API
Systeminfrastruktur
•Planung und Realisierung mit Hilfe von OpenSource Werkzeugen (GNU) unter LINUX sowie Automatisierung (Installation und Konfiguration) in Radius/LDAP Infrastrukturen.
•LINUX im HA-Umfeld
Skills Softwareentwicklung
Folgende Skills im Bereich Softwareentwicklung sind Voraussetzung zur Produkt (Weiter-) entwicklung von Konfig-/Accessmanagement. Es werden tiefgehende Kenntnisse (mindestens 5 Jahre Erfahrung) in folgenden Bereichen benötigt:
Anwendung Konfig-/Accessmanagement
•Perl
•Perl SNMP Module
•Berkeley DB Schnittstellen
•Python
•Python Module
•Python Schnittstellen LDAP, LINUX System
•Alcatel SNMP MIBs (z.B. zur Versionsabfrage)
•Apache Web Server zur Kommunikation mit dem INSM Server
•Curl Bibliothek
•Cisco SD-WAN API

Beschreibung der Verlängerungen

Der EVB-IT Vertrag hat eine Mindestlaufzeit von 24 Monaten. Nach Ablauf dieser
Mindestlaufzeit verlängert sich der EVB-IT Vertrag automatisch um jeweils ein weiteres Jahr, wenn nicht der Auftraggeber spätestens drei Monate vor Ablauf der jeweiligen Vertragslaufzeit kündigt. Der Vertrag endet spätestens nach Ablauf von 48 Monaten.

Liste und kurze Beschreibung der Auswahlkriterien

Referenzen
Darstellung von mindestens 1 geeigneter Referenz aus den letzten drei Jahren (Stichtag "Ablauf der Angebotsfrist"), die nach Art und Umfang der aufgeführten Anforderungen entspricht (Datei:"Referenz").
Wird eine Angabe, die die Art oder den Umfang der angegebenen Referenz betrifft, verneint, so erfüllt die angegebene Referenz nicht die notwendigen Vorgaben und wird bei der Prüfung der technischen und beruflichen Leistungsfähigkeit des Bieters nicht berücksichtigt. Abgefragt wird:
Art der Referenz:
Übernahme von Weiterentwicklung und Pflege einer Software , deren Code-Eigentum nicht bei dem Auftragnehmer selbst liegt im Bereich Netzwerkverwaltung/ Netzwerksicherheit
Umfang der Referenz
Einsatz der Software in einem der Hessischen Landesverwaltung vergleichbarem Produktionsumfeld:
Größenordnung 5.000 - 6.000 Netzwerkkomponenten
Größenordnung 100.000 bis 200.000 überwachte und abgesicherte Netzwerkanschlüsse
100 bis 300 verteilte Netzwerkstandorte (Kunden-LAN)
Hochverfügbarkeitsumfeld
Hohe Sicherheitsanforderungen (hoher Schutz-bedarf nach BSI)
Umfangreiche Segmentierung (Firewall und VLAN getrennte Netzwerke in einem gemischten Kundenumfeld)
Einsatz von mindestens zwei verschiedenen Netzwerk-Herstellern
Einsatz von mindestens 30 verschiedenen Netzwerk-Komponententypen
Einsatz von Daten- und Echtzeit-Übertragungstechnologien (Telefonie, Video)
Einsatz von Weitverkehrstechnologie, insbesondere Software Defined Networks (z.B. Cisco SD-WAN)
mind. 500 Administrations-Nutzer (Systembetreuer)
Bereitstellung von Customer Self Administration (CSA) Funktionalität.
(Hierdurch wird dem Endkunden eine eigene Kontrolle über die Steuerung von Sicherheitsfunktionen in seinem Netz übertragen, ohne dass die Konfigurationshoheit des Netzwerkproviders (hier HZD) tangiert ist. Dadurch wird der Endkunde allerdings direkter Nutzer der Software (s. Administrations-Nutzer).
Einsatz von RADIUS, LDAP und SNMP Technologie
Verwendung von Sicherheitstechnologie auf Ba-sis des Standards IEEE802.1X
Softwareentwicklung mit C++, Python und Perl im Crossplattform-Umfeld (Windows/Unix)
Einsatz von WEB-Technologie (Apache, Curl) und "embedded Datenbank-Technologie (Berkley DB)
Programmsteuerung einer SD-WAN Management API (beispielsweise Cisco SD-WAN REST Schnittstelle)
In der Referenzvorlage ist abschließend die Person des Erklärenden namentlich anzugeben.
Mitarbeiterprofil
Zum Nachweis der technischen und beruflichen Leistungsfähigkeit wird zudem ein Mitarbeiterprofil (Datei "Mitarbeiterprofil") der zum Einsatz verbindlich vorgesehenen Personen (maximal 2) verlangt.
Hierzu ist anzugeben: Skillprofil gemäß Ziffer 5.3 und 5.4 der Leistungsbeschreibung
Tiefgehende Kenntnisse (mindestens 5 Jahre Erfahrungen) gemäß Ziffer 5.4.1 Modul Netzzugangssicherheit
Fachliche Skills gemäß Ziffer 5.4.1.1
Netzwerke und Netzwerkprotokolle
Konzepte Netzwerksicherheit
Aktive Netzwerkkomponenten der Firmen Cisco und Alcate
Systeminfrastruktur
Skills im Bereich Softwareentwicklung gemäß Ziffer 5.4.1.2
Anwendung Port-/VLAN Security
Erweiterung IEEE802.1X
Tiefgehende Kenntnisse (mindestens 5 Jahre Erfahrungen) gemäß Ziffer 5.4.2 Modul Konfig-/Accessmanagement
Fachliche Skills gemäß Ziffer 5.4.2.1
Netzwerke und Netzwerkprotokolle
Konzepte Netzwerksicherheit
Grundlegende Architekturkenntnis-se von Cisco SD-WAN
Aktive Netzwerkkomponenten der Firmen Cisco und Alcatel:
Systeminfrastruktur
Skills im Bereich Softwareentwicklung gemäß Ziffer 5.4.2.2
Anwendung Konfig-/Accessmanagement
Tiefgehende Kenntnisse (mindestens 5 Jahre Erfahrung) gemäß Ziffer 5.3 Coaching interner Mitarbeiter*innen
Vermittlung von Methoden objektorientierter Softwareentwicklung
Coaching von Mitarbeiter*innen in der Systementwicklung
Die Detailantworten zu den Erfahrungsprojekten sind im Dokument "Detailantworten_Mitarbeiterqualifikation" einzutragen.

Bedingungen für die Vertragserfüllung

Es wird darauf hingewiesen, dass die Bieter sowie deren Nachunternehmen und Verleihunternehmen, soweit diese bereits bei Angebotsabgabe bekannt sind, die erforderlichen Verpflichtungserklärungen (Datei "Verpflichtungserklaerung_oeff_AG") zur Tariftreue und zum Mindestentgelt nach dem Hessischen Vergabe und Tariftreuegesetz (HVTG) vom 12.07.2021, (GVBl. S. 338) mit dem Angebot abzugeben haben. Die Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei einem Bieter, Nachunternehmer und Verleihunternehmen im EU-Ausland beschäftigt sind und die Leistung im EU-Ausland erbringen.

Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.
Die Vergabestelle weist an dieser Stelle bereits darauf hin, dass für den für den Zuschlag in Aussicht genommenen Bieter, Mitglieder einer Bietergemeinschaft sowie die von ihm im Vergabeverfahren gemeldeten Unterauftragnehmer eine Abfrage bei Korruptions- und Vergaberegistern, insbesondere bei der Informationsstelle nach § 17 Abs. 4 HVTG bei der Oberfinanzdirektion Frankfurt am Main, vorgenommen wird. Ebenso wird von dem für den Zuschlag in Aussicht genommenen Bieter gemäß § 19 Abs. 4 MiLoG vor Zuschlagserteilung eine Auskunft aus dem Wettbewerbsregister angefordert.
Eigenerklärung zu zwingenden Ausschlussgründen nach § 123 GWB
Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen nach § 123 GWB ausgefüllt mit seinem Angebot vorzulegen.
(Datei "Eigenerklaerung_Ausschlussgruende_Par_123_GWB")
Eigenerklärung zu fakultativen Ausschlussgründen nach § 124 GWB
Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen nach § 124 GWB ausgefüllt mit seinem Angebot einzureichen.
(Datei "Eigenerklaerung_Ausschlussgruende_Par_124_GWB")
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die jeweilige Erklärung in der entsprechenden Form einzureichen. Bei Einsatz von Unterauftragnehmern hat jeder Unterauftragnehmer die jeweilige Erklärung in der entsprechenden Form einzureichen.
Eigenerklärung Artikel 5k EU-Verordnung 833/2014
Der Bieter hat zusätzlich die Eigenerklärung zum Artikel 5k der EU-Verordnung 833/2014 ausgefüllt mit seinem Angebot einzureichen.
(Datei "Eigenerklaerung Artikel 5k EU-Verordnung 833-2014")
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Erklärung in der entsprechenden Form einzureichen.
Den Zuschlag erhält der Bieter mit dem wirtschaftlichsten Angebot in Bezug auf den
Preis (= Zuschlagskriterium zu 100%). Entscheidend ist hier die Gesamtangebots- summe (brutto), die sich aus der Registerkarte "Gesamtkosten" im Preisblatt
(Datei "Preisblatt") ergibt.
Werden mehrere Angebote mit dem gleichen Preis abgegeben, entscheidet das Los
über den Zuschlag.

Genaue Informationen über Fristen für Überprüfungsverfahren

§ 160 Einleitung, Antrag
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei
ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1.der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2.Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3.Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4.mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2.
§ 134 Absatz 1 Satz 2 bleibt unberührt.