Threat-Intelligence Dienstleistungen

Beschreibung der Optionen

Option 1: Regelmäßige Bereitstellung von ICS Berichten gem. Leistungsbeschreibung, mindestens 4x jährlich für ein Jahr. Die Option kann seitens BSI 3 mal verlängert werden. Maximale Gesamtlaufzeit 4 Jahre. Der Abruf der Option 1 durch BSI ist freiwillig ohne Abrufverpflichtung. Es besteht kein Anspruch des AN auf den Abruf der Option.
Option 2: Optionale 3-malige Vertragsverlängerung um jeweils 12 Monate. Maximale Gesamtvertragslaufzeit: 48 Monate. Der Abruf der Option 2 durch BSI ist freiwillig ohne Abrufverpflichtung. Es besteht kein Anspruch des AN auf den Abruf der Option.

Zusätzliche Informationen

Zuschlagslimitierung:
Jeder Bieter sollte auf jedes der 3 identischen Lose jeweils ein identisches Angebot abgeben.
Jeder Bieter kann den Zuschlag nur für maximal ein Los bekommen.
Der Zuschlag wird für jedes Los separat erteilt.
Die oben genannte Zuschlagslimitierung bezieht sich ebenfalls auf Nachunternehmerkonstellationen, Eignungsleihe bzw. Bietergemeinschaften oder sonstige Konsortien. Das bedeutet, dass Angebote, die in unterschiedlichen Konstellationen mehrfach dieselben Unternehmen benennen - sei es als Generalunternehmen und/oder Nachunternehmen - ausgeschlossen werden müssen.
Beispiel:
1. Ein Unternehmen bietet als Generalunternehmer auf Los 1 und wird als Nachunternehmer eines anderen Generalunternehmers in Los 2 oder/und Los 3 benannt. Die Angebote kämen in diesem Fall für einen Zuschlag nicht mehr in Betracht und würden ausgeschlossen.
2. Ein Generalunternehmer benennt in Los 1 Nachunternehmer A und in Los 2 oder/und Los 3 Nachunternehmer B/C: Die Angebote kommen für einen Zuschlag nicht mehr in Betracht und würden ausgeschlossen.
Angebote eines Bieters auf alle 3 Lose, die sich insbesondere durch unterschiedliche Nachunternehmerkonstellationen unterscheiden, müssen ausgeschlossen werden. Dies begründet sich durch den Bedarf des BSI einer unabhängigen Erbringung der Dienstleistung aus unterschiedlicher Firmensicht sowie dem Geheimwettbewerb innerhalb des Vergabeverfahrens.

Liste und kurze Beschreibung der Auswahlkriterien

Bestätigen Sie, dass Sie die Fähigkeit besitzen die Entwicklung von Tätergruppen und Schadprogramm-Familien über einen längeren Zeitraum zu verfolgen und dabei öffentliche wie kommerzielle Daten-Quellen wie Malware-Analyse-Plattformen, DNS-Datenbanken etc. auszuwerten. (Ja/Nein)
Bestätigen Sie, dass Sie im Jahr 2021 mindestens 30 Tätergruppen aus dem Bereich der gezielten Angriffe systematisch analysiert haben. (Ja/Nein)
Bestätigen Sie, dass Sie im Jahr 2021 Berichte zu Aktivitäten von mindestens 20 Tätergruppen aus dem Bereich der gezielten Angriffe für Ihre Kunden zur Verfügung gestellt haben. (Ja/Nein)
Bestätigen Sie, dass Sie im Jahr 2021 mindestens 5 Berichte pro Monat zu Tätergruppen oder Kampagnen aus dem Bereich der gezielten Angriffe für Ihre Kunden zur Verfügung gestellt haben. (Ja/Nein)
Bestätigen Sie, dass Sie ein Team von mindestens 10 Analysten besitzen, deren Hauptaufgabe das Reverse Engineering von Schadsoftware ist, um Funktionalität und Command-and-Control-Kanäle zu identifizieren. (Ja/Nein)
"Bestätigen Sie, dass Sie entweder
a) Kundeninstallationen wie IDS/IPS, Firewall, Endpoint-Anti-Viren-Lösungen, Security Operation Center (SOC) oder Mail-Security-Lösungen und deren datenschutzkonforme Auswertung der dort anfallenden Sensordaten betreiben, oder alternativ Zugriff auf solche Daten über einen Partner besitzen,
und/oder
b) Incident-Response-Teams besitzen, die Vorfälle im Auftrag von Kunden ggf. vor Ort, Systeme, Festplatten, Netzwerke und Logdateien forensisch auswerten und die dadurch gewonnenen Erkenntnisse,
für die Erstellung Ihrer Berichte verwenden und diese nicht-öffentlichen Informationen auch zum Teil als Indicators of Compromise zur Verfügung stellen. (Ja/Nein)"
"Bestätigen Sie, dass die systematische Analyse von Tätergruppen die folgenden Bereiche abdeckt:
• Angriffsvektors E-Mail (Spear-Phishing)
• Angriffsvektors Drive-by-Exploits und Wate-ring-Hole-Angriffe
• Detektion und Analyse von Schadprogramme aus gezielten Angriffen
• Analyse mehrstufiger Infektionsketten und nachgeladener Schadprogramme
• Angreifer-Infrastruktur
• Auswertung von Schadprogrammen aus öffentlichen/kommerziellen Malware-Analyse-Plattformen (Ja/Nein)"
Bestätigen Sie, dass Sie die Infrastruktur besitzen, um Schadprogramme automatisiert zu analysieren. (Ja/Nein)
Bestätigen Sie, dass Sie Infrastruktur-Tracking betreiben, das heißt, nach neuen Kontrollservern anhand von Banner-Eigenschaften oder Zertifikatseigenschaften suchen, und diese Suchkriterien nachweislich in mindestens einem Bericht in 2021 enthalten waren? (Ja/Nein)
Bestätigen Sie, dass Sie ein Portal zur Verfügung stellen, über das ihren Kunden Berichte abrufen können. (Ja/Nein)
Bestätigen Sie, dass Sie eine API oder eine andere Methode zur Verfügung stellen, um maschinenlesbar auf Berichte, Metadaten und IoCs (z.B. Hashwerte von Exploits und Spionageprogrammen, C&C-Adressen, Registry-Keys, User-Agents, ggf. Snort- und YARA- sowie weitere Detektionsregeln) zugreifen zu können. (Ja/Nein)
"Bestätigen Sie, dass Sie Tätergruppen und Schadprogramm-Familien hinsichtlich ihrer Ähnlichkeiten gruppieren und Kontextinformationen wie
• Detektionsregionen
• betroffene Branchen
• zugehörige Angriffs-Kampagnen
• Exploits und Angriffsvektoren
• Struktur und Herkunft der Tätergruppe
soweit vorhanden,benennen."
Bestätigen Sie, dass Sie geopolitische und -strategischen Aspekte bei der Analyse von Tätergruppen hinter gezielten Angriffen brücksichtigen und benennen.
Sind Sie im Falle einer Beauftragung bereit, die E-Mail-Kommunikation verschlüsselt und signiert nach dem OpenPGP- oder S/MIME-Standard zu senden und zu empfangen? (Ja/Nein)

Genaue Informationen über Fristen für Überprüfungsverfahren

Unternehmen haben einen Anspruch auf Einhaltung der bieter- und bewerberschützenden Bestimmungen über das Vergabeverfahren gegenüber dem öffentlichen Auftraggeber, Bundesrepublik Deutschland, vertreten durch das Beschaffungsamt des BMI (BeschA).
Sieht sich ein am Auftrag interessiertes Unternehmen durch Nichtbeachtung von Vergabevorschriften in seinen Rechten verletzt, ist der Verstoß innerhalb einer Frist von zehn Kalendertagen gegenüber dem BeschA zu rügen (§ 160 Abs. 3 S. 1 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB)). Verstöße, die aufgrund der Bekanntmachung oder der Vergabeunterlagen erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem BeschA gerügt werden (§ 160 Abs. 3 S. 1 Nr. 2 und 3 GWB).
Teilt das BeschA dem Unternehmen mit, seiner Rüge nicht abhelfen zu wollen, so besteht die Möglichkeit, innerhalb von 15 Tagen nach Eingang der Mitteilung einen Antrag auf Nachprüfung bei der Vergabekammer zu stellen (§ 160 Abs. 3 S. 1 Nr. 4 GWB).
Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 Abs. 1 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage nach Absendung dieser Information durch das BeschA geschlossen werden; bei Übermittlung per Fax oder auf elektronischem Wege beträgt diese Frist zehn Kalendertage. Sie beginnt am Tag nach Absendung der Information durch das BeschA.
Ein Antrag auf Nachprüfung ist schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Villemombler Straße 76, 53123 Bonn zu richten.
Hinweis: Das BeschA ist im Falle eines Nachprüfungsantrags verpflichtet, die Vergabeakten, die auch die abgegebenen Angebote enthalten, an die Vergabekammer weiterzuleiten. Die Beteiligten haben ein Recht auf Akteneinsicht. Um Betriebs- und Geschäftsgeheimnisse zu wahren, teilen Sie uns konkret mit Bezug auf die entsprechenden Dokumente des Angebotes mit, welche Informationen als Betriebs- und Geschäftsgeheimnisse zu behandeln sind.