IT-Sicherheitsprüfungen und Dienstleistungen zur technischen Sicherheit

Name

AOK - Die Gesundheitskasse für Niedersachsen, auch handelnd für die "ARGE Rechenzentrum" der AOK Niedersachsen, der AOK Bremen/Bremerhaven und der AOK Sachsen-Anhalt

Kurze Beschreibung

Zur Sicherstellung der Informationssicherheit sollen durch den Auftragnehmer nach Maßgabe der jeweiligen Beschreibungen der sechs Fachlose etwaig auftretende technische Schwachstellen sowie etwaige prozessuale Verbesserungen und Designschwächen in der IT-Landschaft der Auftraggeberinnen zielgerichtet aufgezeigt werden. Des Weiteren sollen von den Auftraggeberinnen derzeit angewendete Konzepte und Standards nach dem Stand der Technik weiterentwickelt werden. Durch eine fachkundige Analyse von IT-Sicherheitsvorfällen sollen Schäden vermieden und zielgerichtet unterbunden werden.

Die AOKs planen die Gründung einer Arbeitsgemeinschaft i.S.v. § 94 Absatz 1a SGB X - wahrscheinlich in der Rechtsform einer Gesellschaft bürgerlichen Rechts - über die vor allem der Betrieb und die Beschaffung von Anwendungen der elektronischen Patientenakte und möglicherweise auch weitergehende Anwendungen der Telematikinfrastruktur wahrgenommen werden sollen (die "AML-Gesellschaft"). Falls und sobald die AML-Gesellschaft rechtskräftig gegründet wurde und rechtsfähig ist, ist sie berechtigt - aber nicht verpflichtet - durch schriftliche Erklärung gegenüber dem Auftragnehmer dem Vertrag als weitere Auftraggeberin beizutreten. Der Auftragnehmer stimmt diesem Beitritt mit Vertragsabschluss unwiderruflich zu.

Besonderheit bei Los 1: Mehrfachrahmenvereinbarung (abweichend von der Angabe für die Los 2 bis 6 unter Ziffer IV.1.3) dieser Bekanntmachung)
Für das Los 1 werden - eine hinreichende Anzahl an zuschlagsfähigen Angeboten vorausgesetzt - drei Rahmenvertragspartner gesucht. Die Vergabe der Einzelaufträge unter dem Rahmenvertrag Los 1 erfolgt gemäß den Bedingungen des Rahmenvertrags. Wegen der Einzelheiten wird auf Ziff. 3.7 des Rahmenvertrags Los 1 verwiesen. Für die Lose 1 bis 5 wird jeweils ein Rahmenvertragspartner gesucht.

Besonderheiten bei den Losen 5+6: Keine Zuschlagskombination
Gibt ein Bieter im Rahmen dieser Ausschreibung ein Angebot sowohl auf das Los 5 als auch auf das Los 6 ab und ist dieser Bieter für den Zuschlag in beiden Losen vorgesehen, kann diesem Bieter der Zuschlag nur entweder im Los 5 oder im Los 6 erteilt werden. Bieter, die sowohl auf das Los 5 als auch auf das Los 6 ein Angebot abgeben, haben im Angebotsformblatt anzugeben, auf welches Los der Zuschlag vorrangig erteilt werden soll. Dies gilt auch für Bietergemeinschaften. Macht ein Bieter / eine Bietergemeinschaft im Angebotsblatt keine Angaben zur Reihenfolge der Bezuschlagung, wird der Zuschlag vorrangig auf das Los erteilt, für welches kein/e weiteres/n zuschlagsfähiges/n Angebot/e eingegangen ist/sind. Sind sowohl auf das Los 5 als auch auf das Los 6 weitere zuschlagsfähige Angebote eingegangen, richtet sich die Reihenfolge der Zuschlagserteilung nach der Nummerierung der Lose, wobei das Los mit der kleineren Nummerierung Vorrang hat.
Ist ein Einzelbieter im Los 5 oder im Los 6 für den Zuschlag vorgesehen und beteiligt sich dieser Bieter - unter Berücksichtigung des Gebots des Geheimwettbewerbs - zugleich auch als Mitglied einer Bietergemeinschaft, können der Einzelbieter und die Bietergemeinschaft nicht den Zuschlag im Los 5 und im Los 6 erhalten.
Jeder Bieter, der sowohl als Einzelbieter als auch als Mitglied einer Bietergemeinschaft ein Angebot abgibt, hat im Angebotsblatt anzugeben, ob Zuschläge, die er als Einzelbieter erhält, oder Zuschläge, die er als Mitglied einer Bietergemeinschaft erhält, vorrangig sein sollen. Fehlt eine Angabe, wird der Zuschlag vorrangig auf das Los erteilt, für welches kein/e weiteres/n zuschlagsfähiges/n Angebot/e eingegangen ist/sind. Im Übrigen wird das als Einzelbieter abgegebene Angebot vorrangig bezuschlagt.

Beschreibung der Beschaffung

Der IT-Betrieb der Auftraggeberinnen umfasst IT-Systeme, Management-, Netzwerk- und Kommunikationskomponenten sowie Anwendungen, welche zentral, dezentral oder auch bei Dritten betrieben werden. Das Anwendungs-Portfolio wird sowohl durch die AOKs selbst als auch durch externe Partner entwickelt. Es umfasst Fachanwendungen zur internen Nutzung durch die Fachabteilungen, Schnittstellen zur Leistungserbringung, Web-Portale für Versicherte und Interessenten sowie Lösungen zur Automatisierung von Aufgaben. Die Entwicklung erfolgt sowohl nach linearen als auch nach iterativen Entwicklungsmodellen. Zu den Anwendungsarten zählen insbesondere:
- Webanwendungen,
- Webservices,
- Mobile Apps für Android und iOS,
- SAP-basierte GKV-Plattform oscare,
- Erweiterungen und Module für Standardanwendungen (bspw. Microsoft Office, Typo 3, Google Angular), sowie
- Kommandozeilenbasierte Skripte.
Im Kontext der gesetzlichen Krankenversicherung verarbeiten die entwickelten Anwendungen im Regelfall Sozialdaten gem. § 67 Abs. 1 SGB X. Je nach Verfahren werden darüber hinaus weitere, besondere Datenkategorien gem. Art. 9 Ab. 1 Datenschutz-Grundverordnung (DSGVO), verarbeitet. Als jeweils eigenständige Körperschaften des öffentlichen Rechts können bei den AOKs sowie bei deren Arbeitsgemeinschaften (wie z.B. AOK-Bundesverband GbR, ITSCare GbR, gkv informatik, kubusIT GbR, AML-Gesellschaft) auch weitere Anforderungen an die Datenverarbeitung aus bundeslandspezifischen Regelungen und Vorgaben hinzukommen.
Gegenstand der Ausschreibung im Rahmen des Loses 1 sind Technische Prüfungen auf alle im IT-Betrieb relevanten Komponenten. Die Technischen Prüfungen gliedern sich in vier Bereiche:
- Überprüfung von Konfigurationen,
- Scannen von IT-Komponenten und Netzbereichen auf Schwachstellen,
- Durchführung von Penetrationstests, sowie
- Durchführung individueller Prüfungen.
Konfigurationsprüfungen dienen zur Identifizierung von Schwachstellen, die sich aus der aktuellen Konfiguration ergeben. Schwachstellenscans sollen bei der Identifizierung bisher nicht erkannter Schwachstellen unterstützen. Dazu sind sowohl ein interner als auch ein externer Netzbereich oder einzeln benannte IT-Komponenten mit geeigneten Werkzeugen automatisiert zu überprüfen und manuell zu ergänzen. Penetrationstests sind nach einem etablierten und anerkannten Standard für Penetrationstests (OSSTMM oder vergleichbar) durchzuführen und zwar grundsätzlich als Grey-Box Test. Bei kleineren Funktionserweiterungen ohne wesentliche Architekturprüfungen sind ergänzende Penetrationstests durchzuführen. Darüber hinaus sind Passwortaudits zur Identifizierung unsicherer Passwörter zu erbringen.
Abgrenzung:
Ist im Rahmen einer Begutachtung für die gematik GmbH eine technische Prüfung, beispielsweise ein Penetrationstest oder Schwachstellenscan, durchzuführen, ist dies Bestandteil von Los 6 "Auditierung Informationssicherheit und KRITIS" und dort als Leistung zu erbringen.

Beschreibung der Verlängerungen

Die Auftraggeberinnen sind - insgesamt oder einzeln - berechtigt (aber nicht verpflichtet), den Vertrag einmalig um ein (1) weiteres Jahr zu verlängern. Die Ausübung der Verlängerungsoption muss gegenüber dem Auftragnehmer von den Auftraggeberinnen mit einer Frist von 12 Monaten vor dem Ende der 36-monatigen Laufzeit erklärt werden. Der Auftragnehmer hat kein Verlängerungsrecht. Ein Anspruch des Auftragnehmers auf Verlängerung durch die Auftraggeberinnen besteht nicht.

Zusätzliche Informationen

a) Zu II.2.6) Geschätzte Gesamtkosten inklusive aller Optionen.
b) Als Höchstwert wird folgender Betrag festgelegt: 21.489.813 EUR (netto). Dieser Höchstwert gilt einheitlich und übergreifend für alle (bis zu drei) Auftragnehmer, die den Zuschlag im Los 1 erhalten und für alle Auftraggeberinnen. Maßgeblich ist also die Summe des Werts aller unter der Rahmenvereinbarung durch den/die Auftragnehmer erbrachten Leistungen.

Beschreibung der Beschaffung

Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese ihrerseits teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück.

Gegenstand der Ausschreibung im Rahmen des Loses 2 ist die Beratung der Auftraggeberinnen in Fragen der IT-Sicherheit und die Unterstützung mit folgenden Dienstleistungen:
- Erstellung und Pflege von Empfehlungen zur Systemhärtung (Härtungsempfehlungen) und Sicherheitsstandards
- Durchführung von Prozessanalysen
- Bewertung von Konzepten zum sicheren IT-Betrieb
- Unterstützung bei Erstellung und Pflege von Sicherheitskonzepten
- Beratung zur IT-Sicherheit.
- Workshops zu sicherheitsrelevanten Aspekten einer IT-Komponente.
Abgrenzungen:
- Ausgeschlossen sind Beratungsleistungen nach §8a BSIG / (KritisV) und Themen zur Informationssicherheit, die sich aus der ISO/IEC 27001ff ergeben
- Durchgeführten Risiko- und Gefährdungsanalysen sind rein technisch unter Anwendung der spezifischen Risikobewertungsmethodik der Auftraggeberinnen zu betrachten
- Die Beratung, Planung, Konzeptionierung und Durchführung von Awareness-Schulungen und Sensibilisierungsmaßnahmen sind Bestandteil von Los 5.

Zusätzliche Informationen

a) Zu II.2.6) Geschätzte Gesamtkosten inklusive aller Optionen.
b) Als Höchstwert wird folgender Betrag festgelegt: 679.250 EUR (netto). Maßgeblich ist die Summe des Werts aller unter der Rahmenvereinbarung durch den Auftragnehmer erbrachten Leistungen.

Beschreibung der Beschaffung

Die Auftraggeberinnen verfügen über ein breites Portfolio an Anwendungen. Diese Anwendungen werden sowohl durch die AG selbst, aber auch durch externe Partner entwickelt. Bei den Anwendungen handelt es sich u. a. um Fachanwendungen zur internen Nutzung durch die Fachabteilungen, Schnittstellen zur Leistungserbringung, Web-Portale für Versicherte und Interessenten oder auch Lösungen zur Automatisierung von Aufgaben. Die Entwicklung erfolgt sowohl nach linearen als auch nach iterativen Entwicklungsmodellen. Zu den Anwendungsarten zählen insbesondere:
- Webanwendungen
- Webservices
- Mobile Apps für Android und iOS
- SAP-basierte GKV-Plattform oscare
- Erweiterungen und Module für Standardanwendungen (bspw. Microsoft Office, Typo 3, Google Angular),
- Kommandozeilenbasierte Skripte.

Im Kontext der gesetzlichen Krankenversicherung verarbeiten die entwickelten Anwendungen im Regelfall Sozialdaten gem. § 67 Abs. 1 SGB X. Je nach Verfahren werden darüber hinaus weitere, besondere Datenkategorien gem. Art. 9 Ab. 1 Datenschutz-Grundverordnung (DSGVO), verarbeitet. Als jeweils eigenständige Körperschaften des öffentlichen Rechts können bei den AOKs sowie bei deren Arbeitsgemeinschaften (wie z.B. AOK-Bundesverband GbR, ITSCare GbR, gkv informatik, kubusIT GbR, AML-Gesellschaft) auch weitere Anforderungen an die Datenverarbeitung aus bundeslandspezifischen Regelungen und Vorgaben hinzukommen.

Gegenstand der Ausschreibung im Rahmen des Loses 3 ist die Beratung zur Sicheren Anwendungsentwicklung. Diese gliedert sich in sechs Bereiche:
- Durchführung von Quelltext-Audits
- Überprüfung von Entwicklungsprozessen
- Beratung zur sicheren Anwendungsentwicklung
- Erstellung und Überprüfung von Bedrohungsanalysen
- Erstellung und Überprüfung von Coding Guidelines
- Schulungen mit Schwerpunkt sichere Anwendungsentwicklung.

Bei Quelltext-Audits sollen automatisierte als auch manuelle Analysen durchgeführt werden. Neben statischen, dynamischen und interaktiven Analysen sind auch die Verwendung eingesetzter Softwarekomponenten und deren weitere Abhängigkeiten, z.B. auf bekannte Sicherheitslücken und Lizenzierungen, zu analysieren. Die Anwendungsentwicklungs-Prozesse für Software oder Teile davon sind zu analysieren, um u.a. den Reifegradbewertung des/der Prozesse/s zu ermitteln, eine Risikobewertung vorzunehmen und Verbesserungspotentiale aufzuzeigen. In der Beratung zur sicheren Anwendungsentwicklung sind aktuelle Themen und Trends sowie neue für die Auftraggeberinnen relevante Technologien zu betrachten. Zur Erstellung oder Überprüfung von Bedrohungsanalysen sind zu einer individuellen Anwendung gemäß einem zu vereinbarenden Standard (bspw. Microsoft STRIDE) alle relevanten Informationen zu erheben und zielgerichtet zu ergänzen. Darüber hinaus sind die Auftraggeberinnen bei der risikobasierten Beurteilung identifizierter Bedrohungen zu unterstützen. Coding Guidelines sind zu erstellen, zu überprüfen und ggf. zu aktualisieren unter Berücksichtigung branchenüblicher Frameworks (bspw. Python Django, PHP Laminas) oder Bibliotheken (bspw. Java JAXB, C# RestSharp). Zielgruppengerechte Schulungen mit dem Schwerpunkt sichere Anwendungsentwicklung sind zur Aufrechterhaltung und Verbesserung von Qualifikationen und zur Sensibilisierung durchzuführen.

Zusätzliche Informationen

a) Zu II.2.6) Geschätzte Gesamtkosten inklusive aller Optionen.
b) Als Höchstsumme wird folgender Betrag festgelegt: 2.500.000 EUR (netto). Maßgeblich ist die Summe des Werts aller unter der Rahmenvereinbarung durch den Auftragnehmer erbrachten Leistungen.

Beschreibung der Beschaffung

Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese ihrerseits teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück.

Gegenstand der Ausschreibung im Rahmen des Loses 4 ist strategische Vorbereitung der Auftraggeberinnen und die Durchführung forensischer Analysen zur Identifizierung und Sicherung relevanter Daten sowie zur Erstellung gerichtsverwertbarer Beweise.
Im Rahmen der strategischen Vorbereitung sind folgende Leistungen zu erbringen:
- Überprüfung der bestehenden Infrastruktur
- Konfiguration Forensische Workstation
- Leitfaden für Erstmaßnahmen bei einem IT-Sicherheitsvorfall
- Bereitstellung eines Leitfadens für Beweissicherung bei IT-Sicherheitsvorfällen
- Dokumentation der Auswahl von forensischen Werkzeugen
- Überprüfung des Incident Management-Prozesses
Im Rahmen der Vorfallsuntersuchung und -aufklärung sind folgende Leistungen zu erbringen:
- Operationale Vorbereitung
- Datensammlung
- Datenuntersuchung
- Datenanalyse
- Dokumentation des Vorfalles
- Empfehlung zum sofortigen Abschalten oder Weiterbetrieb der IT-Anlage
- Aufbewahrung von Beweismitteln
- Unterstützung der Juristen der AG in technischen Fragestellungen
- Fachliche Unterstützung der AG bei internen Eskalationsmeetings
- Dokumentation von Verbesserungspotenzial bei den AG in der Beweissicherungskette für die AG.

Abgrenzung:
Datenrettung und Reparatur bei Defekten an Speichermedien sind nicht Bestandteil der Leistung.

Beschreibung der Verlängerungen

Die Auftraggeberinnen sind - insgesamt oder einzeln - berechtigt (aber nicht verpflichtet), den Vertrag einmalig um ein (1) weiteres Jahr zu verlängern. Die Ausübung der Verlängerungsoption muss gegenüber dem Auftragnehmer von den Auftraggeberinnen mit einer Frist von 12 Monaten vor dem Ende 36-monatigen Laufzeit erklärt werden. Der Auftragnehmer hat kein Verlängerungsrecht. Ein Anspruch des Auftragnehmers auf Verlängerung durch die Auftraggeberinnen besteht nicht.

Zusätzliche Informationen

a) Zu II.2.6) Geschätzte Gesamtkosten inklusive aller Optionen.
b) Als Höchstsumme wird folgender Betrag festgelegt: 1.361.250 EUR (netto). Maßgeblich ist die Summe des Werts aller unter der Rahmenvereinbarung durch den Auftragnehmer erbrachten Leistungen.

Beschreibung der Beschaffung

Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese IT-Dienstleister teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück.
Die Auftraggeberinnen sind oder werden teilweise "Betreiber einer kritischen Infrastruktur" nach der Kritis-Verordnung (KritisV) und unterliegen somit zum Teil bereits jetzt oder in Zukunft den Anforderungen aus dem BSIG und der Kritis-Verordnung (KritisV).
Die Auftraggeberinnen orientieren sich überwiegend an der ISO/IEC 27000ff oder ISO/IEC 27001 auf Basis IT-Grundschutz.

Gegenstand der Ausschreibung im Rahmen des Loses 5 ist die Beratung zu Informationssicherheit und KRITIS in Fragen der Informationssicherheit und der Nachweisführung nach § 8a Abs. 3 BSIG im regulatorischen Umfeld. Dabei sind folgende Leistungen zu erbringen:
- Beratung und Unterstützung zu Konzeption, Einführung, Betrieb und Weiterentwicklung eines ISMS nach ISO/IEC 27001
- Durchführung von Schulungen inkl. optionaler Zertifizierungsmöglichkeit für die Teilnehmenden
- Konzeption, Beratung, Erstellung, Weiterentwicklung und Etablierung eines B3S nach §8a BSIG (KritisV), sowie Begleitung und Unterstützung des Antragsstellungsverfahrens des B3S beim BSI
- Beratung und Unterstützung zu allen Themen der Informationssicherheit, die sich aus der Normenreihe ISO/IEC 27000ff ergeben,
- Vorbereitung und Begleitung von Audits, die sich aus der Normenreihe ISO 27000ff und/oder der Nachweisführung nach §8a BSIG ergeben
- Beratung und Unterstützung zur Informationssicherheit in Geschäftsprozessen.
Zur Schärfung und Vertiefung des Mitarbeiterbewusstseins zu Themen der IT- und Informationssicherheit sind individuelle, gezielte Awareness- und Präventions-Kampagnen online oder an den jeweiligen Standorten der Auftraggeberinnen zu planen, zu erstellen und durchzuführen.

Abgrenzung:
Folgende Leistungen sind nicht Bestandteil der Leistung, sondern werden von Los 6 abgedeckt:
- Auditierung der Managementsysteme nach ISO 27000f
- Nachweisführung nach § 8a Abs. 3 BSIG
- Zertifizierungs-, Überwachungs-, Rezertifizierungs-Audits sowie Voraudits zur Überprüfung der Zertifizierungsfähigkeit
- Nachweisführung nach § 8a Abs. 3 BSIG und jeweiliger Audit des Managementsystems als Kombinations-Audit
- Zulassungsprüfungen und Erstellung von Sicherheitsgutachten nach Vorgaben der gematik GmbH.

Zusätzliche Informationen

a) Zu II.2.6) Geschätzte Gesamtkosten inklusive aller Optionen.
b) Als Höchstsumme wird folgender Betrag festgelegt: 3.793.875 EUR (netto). Maßgeblich ist die Summe des Werts aller unter der Rahmenvereinbarung durch den Auftragnehmer erbrachten Leistungen.
c) Gibt ein Bieter im Rahmen dieser Ausschreibung ein Angebot sowohl auf das Los 5 als auch auf das Los 6 ab und ist dieser Bieter für den Zuschlag in beiden Losen vorgesehen, kann diesem Bieter der Zuschlag nur entweder im Los 5 oder im Los 6 erteilt werden. Bieter, die sowohl auf das Los 5 als auch auf das Los 6 ein Angebot abgeben, haben im Angebotsformblatt anzugeben, auf welches Los der Zuschlag vorrangig erteilt werden soll (hierzu näher unter Ziff. II.1.4 dieser Auftragsbekanntmachung sowie Ziff. 17.5 der Bewerbungsbedingungen).

Beschreibung der Beschaffung

Die AG nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechen-zentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese IT-Dienstleister teilweise auf externe, nicht zur AOK Gemeinschaft gehörende, Service Provider zurück.
Die AG sind oder werden teilweise "Betreiber einer kritischen Infrastruktur" nach der Kritis-Verordnung (KritisV) und unterliegen somit zum Teil bereits jetzt oder in Zukunft den Anforderungen aus dem BSIG und in der Folge der KritisV.
Die AG orientieren sich überwiegend an der Normenreihe ISO/IEC 27000ff und ISO/IEC 27001 auf Basis IT-Grundschutz.

Gegenstand der Ausschreibung im Rahmen des Loses 6 ist die Auditierung der Informationssicherheit und der Nachweisführung nach § 8a Abs. 3 BSIG im regulatorischen Umfeld. Folgende Leistungen sind zu erbringen:
- Auditierung der Managementsysteme nach ISO 27000f
- Nachweisführung nach § 8a Abs. 3 BSIG
- Zertifizierungs-, Überwachungs-, Rezertifizierungs-Audits sowie Voraudits zur Überprüfung der Zertifizierungsfähigkeit
- Nachweisführung nach § 8a Abs. 3 BSIG und jeweiliger Audit des Managementsystems als Kombinations-Audit
- Zulassungsprüfungen und Erstellung von Sicherheitsgutachten nach Vorgaben der gematik GmbH.

Abgrenzung:
Folgende Leistungen sind nicht Bestandteil der Leistung, sondern werden von Los 5 abgedeckt:
- Beratung und Unterstützung zu Konzeption, Einführung, Betrieb und Weiterentwicklung eines ISMS nach ISO/IEC 27001
- Durchführung von Schulungen inkl. optionaler Zertifizierungsmöglichkeit für die Teilnehmenden
- Konzeption, Beratung, Erstellung, Weiterentwicklung und Etablierung eines B3S nach §8a BSIG (KritisV), sowie Begleitung und Unterstützung des Antragsstellungsverfahrens des B3S beim BSI
- Beratung und Unterstützung zu allen Themen der Informationssicherheit, die sich aus der Normenreihe ISO/IEC 27000ff ergeben
- Vorbereitung und Begleitung von Audits, die sich aus der Normenreihe ISO 27000ff und/oder der Nachweisführung nach §8a BSIG ergeben, sowie
- Beratung und Unterstützung zur Informationssicherheit in Geschäftsprozessen
- Planung und Durchführung von Awareness- und Präventions-Kampagnen.

Zusätzliche Informationen

a) Zu II.2.6) Geschätzte Gesamtkosten inklusive aller Optionen.
b) Als Höchstsumme wird folgender Betrag festgelegt: 2.198.625 EUR (netto). Maßgeblich ist die Summe des Werts aller unter der Rahmenvereinbarung durch den Auftragnehmer erbrachten Leistungen.
c) Gibt ein Bieter im Rahmen dieser Ausschreibung ein Angebot sowohl auf das Los 5 als auch auf das Los 6 ab und ist dieser Bieter für den Zuschlag in beiden Losen vorgesehen, kann diesem Bieter der Zuschlag nur entweder im Los 5 oder im Los 6 erteilt werden. Bieter, die sowohl auf das Los 5 als auch auf das Los 6 ein Angebot abgeben, haben im Angebotsformblatt anzugeben, auf welches Los der Zuschlag vorrangig erteilt werden soll (hierzu näher unter Ziff. II.1.4) dieser Auftragsbekanntmachung sowie Ziff. 17.5 der Bewerbungsbedingungen).

Liste und kurze Beschreibung der Bedingungen

(1) Sofern vorhanden oder zur Eintragung verpflichtet:
Aktueller Nachweis zur Eintragung in das einschlägige Berufs- oder Handelsregister des Niederlassungsstaats des Bieters/des Mitglieds der Bietergemeinschaft (nicht älter als 6 Monate vom Tag der Angebotsfrist gerechnet). Bieter mit Firmensitz außerhalb Deutschlands haben den Nachweis der Eintragung in ein vergleichbares Register von Stellen des Herkunftslandes in deutscher beglaubigter Übersetzung einzureichen;
(2) Eigenerklärung, dass keiner der Ausschlussgründe der §§ 123, 124 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) vorliegt.
(3) Eigenerklärung zum Nichtvorliegen von "Russlandsanktionen"
Der Bieter erklärt, dass er nicht:
a) russische(r) Staatsangehörige(r), in Russland ansässige natürliche Person oder in Russland niedergelassene juristische Person, Organisation oder Einrichtung ist,
b) eine juristische Person, Organisation oder Einrichtung ist, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) eine natürliche oder juristische Person, Organisation oder Einrichtung ist, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handelt,
d) Kapazitäten von Unterauftragnehmern, Lieferanten oder Unternehmen in Anspruch nimmt, auf die mehr als 10 % des Auftragswerts entfällt, soweit diese Unterauftragnehmer, Lieferanten oder Unternehmen ihrerseits unter Buchstabe a bis c fallen.
Es wird bestätigt und sichergestellt,
dass auch während der Vertragslaufzeit keine als Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Zusammenhang mit der Erbringung des Eignungsnachweises in Anspruch genommen werden, beteiligten Unternehmen eingesetzt werden, auf die mehr als 10 % des Auftragswerts entfällt, soweit diese Unterauftragnehmer, Lieferanten oder Unternehmen ihrerseits unter Buchstabe a bis c fallen.
Weiter erklärt der Bieter, dass er den jeweiligen Auftraggeberinnen unverzüglich Mitteilung machen wird,
(1) sobald und soweit einer der vorstehend unter Buchstaben a) bis d) genannten Tatbestände aufgrund einer Änderung der Umstände nach Abgabe dieser Eigenerklärung auf ihn zutrifft und/oder,
(2) sobald und soweit er zukünftig von "Russlandsanktionen", insbesondere solchen nach der VO (EU) Nr. 833/2014 (auch in zukünftigen Fassungen), betroffen sein sollte.
(a) Hinweis Bietergemeinschaften:
Im Fall der Bildung einer Bietergemeinschaft sind die zuvor genannten Unterlagen von jedem Mitglied der Bietergemeinschaft einzureichen. Zusätzlich ist die Erklärung einer Bietergemeinschaft einzureichen.
(b) Hinweis Eignungsleihe:
Im Fall der Eignungsleihe ist mit dem Angebot einzureichen:
- "Eigenerklärung, dass keiner der Ausschlussgründe der §§ 123, 124 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) vorliegt" für jedes Drittunternehmen,
- Verzeichnis der einzusetzenden Drittunternehmen und Unterauftragnehmer,
- Verpflichtungserklärung des benannten Drittunternehmens gegenüber dem Bieter
(c) Hinweis zu Unterauftragnehmern (die nicht zugleich Eignungsleihgeber sind):
Im Fall des Einsatzes von Unterauftragnehmern ist ebenfalls mit dem Angebot einzureichen
- die "Eigenerklärung, dass keiner der Ausschlussgründe der §§ 123, 124 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) vorliegt" für jeden Unterauftragnehmer,
- Verzeichnis der einzusetzenden Drittunternehmen und Unterauftragnehmer,
- Verpflichtungserklärung des benannten Unterauftragnehmers gegenüber dem Bieter

Liste und kurze Beschreibung der Auswahlkriterien

(1) Berufs- und/oder Betriebshaftpflichtversicherung:
Der Bieter verpflichtet sich mit Einreichung seines Angebotes im Angebotsblatt spätestens 8 (acht) Wochen nach Zuschlag den Auftraggeberinnen nachzuweisen, dass er über eine Betriebshaftpflichtversicherung oder eine vergleichbare Versicherung aus einem Mitgliedsstaat der EU oder des Europäischen Wirtschaftsraums (EWR) verfügt, welche Personen- und Sachschäden in Höhe von mindestens EUR 3.000.000 (drei Millionen Euro) und Vermögensschäden in Höhe von mindestens EUR 1.000.000 (eine Million Euro) pro Kalenderjahr abdeckt.
(a) Hinweis Bietergemeinschaften:
Im Fall der Bildung einer Bietergemeinschaft ist die Betriebshaftpflichtversicherung nach Zuschlagserteilung von jedem Mitglied der Bietergemeinschaft nachzuweisen. Die unter (1) genannte Verpflichtungserklärung im Angebotsblatt wird durch das bevollmächtigte Bietergemeinschaftsmitglied namens und im Auftrag der Bietergemeinschaftsmitglieder abgegeben.

Liste und kurze Beschreibung der Auswahlkriterien

Los 1:
a) Erfahrung mit Penetrationstests für Web Anwendungen: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Penetrationstests nach OSSTMM V3 oder vergleichb. Standards durchgeführt hat. Die getesteten Prüfgegenstände müssen umfassen: Web Anwendungen und Web Services (APIs). Die Prüfdauer darf 4 Tage nicht unterschreiten. Die verwendeten Standards und die Prüfgegenstände sind anzugeben.
b) Erfahrung mit Penetrationstests für Infrastruktur: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Penetrationstests für Infrastruktur nach OSSTMM V3 oder vergleichb. Standards durchgeführt hat. Die Prüfdauer darf 4 Tage nicht unterschreiten. Die verwendeten Standards und die getesteten Komponenten sind anzugeben.
c) Erfahrung mit Penetrationstests für Cloud Komponenten: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Penetrationstests für Cloud Komponenten nach OSSTMM V3 oder vergleichb. Standards durchgeführt hat. Die Prüfdauer darf 4 Tage nicht unterschreiten. Die verwendeten Standards und die getesteten Komponenten sind anzugeben.
d) Erfahrung mit Konfigurationsprüfungen: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung in der Durchführung von Konfigurationsprüfungen verfügt. Das Prüfobjekt ist vom Bieter anzugeben.
e) Erfahrung mit Prüfungen von Mobile Apps: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung in der Durchführung von Penetrationstests zu Mobile Apps verfügt. Der angewendete Prüfstandard ist anzugeben.
f) Erfahrung mit Technischer Risikobewertung: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung mit Technischen Risikobewertungen verfügt, die er als Grundlage für die technischen Prüfungen nutzt. Der angewendete Bewertungsstandard ist anzugeben.
g) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen mit technischen Sicherheitsprüfungen im Markt der GKV verfügt.
h) Interaktion: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er Erfahrung im Umgang mit Kunden mit einer größeren Anzahl von Subunternehmern hat.

Los 2:
a) Erfahrung zum Incident Management: Der Bieter weist anhand von 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Projekterfahrung zum Umgang, Bearbeitung und Maßnahmenableitung zu sicherheitsrelevanten Vorfällen verfügt.
b) Erfahrung zur Bewertung von Sicherheitsarchitekturen: Der Bieter weist anhand von 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Projekterfahrung zur Bewertung von Sicherheitsarchitekturen verfügt.
c) Erfahrung mit der Erstellung und Prüfung von Sicherheitskonzepten: Der Bieter weist anhand von 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Projekterfahrung zur Erstellung und Prüfung von Sicherheitskonzepten verfügt.
d) Erfahrung mit Technischer Risikobewertung: Der Bieter weist anhand von mind. 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung mit Technischen Risikobewertungen verfügt, die er als Grundlage für seine Beratungs- und Dienstleistungen zur Informationssicherheit genutzt hat. Der angewendete Bewertungsstandard ist anzugeben.
e) Erfahrung mit der Erstellung von Konzepten zum sicheren Betrieb: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er neben Sicherheitskonzepten auch über Erfahrungen in Projekten zur Erstellung und/oder Pflege von Betriebskonzepten, bspw. Datensicherungs-, Rollen- und Berechtigungs- oder Betriebskonzepten mit Schwerpunkt IT-Sicherheit, verfügt. Die Referenz muss dabei die Erstellung oder Pflege von Rollen- und Berechtigungskonzepten beinhalten.
f) Erfahrungen in Projekten zur Identifizierung sicherheitsrelevanter Anforderungen an neue Produkte und Technologien: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen in Projekten zur Identifizierung sicherheitsrelevanter Anforderungen an neue Produkte und Technologien wie z.B. WebRTC, Container, Kubernetes verfügt.
g) Erfahrungen hinsichtlich der Vorbereitung und Durchführung von Workshops mit administrativem Personal zum sicheren IT-Betrieb: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen hinsichtlich der Vorbereitung und Durchführung von Workshops mit administrativem Personal zum sicheren IT-Betrieb gem. Leistungsschein Kapiteln 4.3, 4.4 und 4.5 verfügt.
h) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen in der Beratung zu einem sicheren IT-Betrieb gem. Leistungsschein Kapitel 4.3, 4.4 und 4.5 im Markt der Gesetzlichen Krankenversicherungen verfügt.

Los 3:
a) Erfahrungen zur Reifegradermittlung: Der Bieter weist durch 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er bereits Reifegradermittlungen zu Softwareentwicklungsprozessen nach CMMI, SPICE oder vergleichbar durchgeführt hat. Das angewendete Reifegradmodell ist anzugeben.
b) Erfahrung in der Durchführung von Quelltextaudits: Der Bieter weist durch 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung bei der Durchführung von Quelletextaudits und Risikomanagement verfügt. Die Referenzen müssen den Umfang der Prüfung (Function Points und/oder Lines of Code) sowie die auditierte Programmiersprache beinhalten.
c) Erfahrungen mit der Erstellung von Coding Guidelines: Der Bieter weist durch 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre bereits Projekte zur Erstellung von Coding Guidelines durchgeführt hat.
d) Erfahrungen mit der Erstellung und Durchführung von Schulungen: Der Bieter weist durch 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre bereits Schulungen zur Softwareentwicklung durchgeführt hat. Bei den als Referenzen angegebenen Schulungen müssen verschiedene Themenfelder aus dem Bereich der Softwareentwicklung, wie z.B. Absicherung der Anwendungen (Broken Access Control, Injection, Security Misconfiguration) oder Security Testing und Continous Integration adressiert worden sein.
e) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen mit sicherer Anwendungsentwicklung im Markt der Gesetzlichen Krankenversicherungen verfügt.

Los 4:
a) Erfahrungen mit der strategischen Vorbereitung von forensischen Analysen: Der Bieter weist anhand von 2 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Projekte zur strategischen Vorbereitung forensischer Analysen erfolgreich umgesetzt hat.
b) Erfahrungen mit forensischen Analysen: Der Bieter bestätigt mit 2 Referenzen des Unternehmens, dass er innerhalb der letzten drei Jahre forensische Analysen bei Kunden mit einer Unternehmensgröße ab 1000 Mitarbeitern durchgeführt hat.

Los 5:
a) Erfahrungen mit Beratung zu normativen Themen der ISO 27001: Der Bieter weist durch 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er umfangreiche Erfahrung (500 Stunden) in der Beratung zu normativen Themen der ISO 27001 hat.
b) Erfahrungen in der Praxis in Konzeption, Aufbau und Betrieb eines ISMS nach ISO/IEC 27000ff: Der Bieter weist durch 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre zu der Konzeption, dem Aufbau und dem Betrieb eines ISMS nach ISO/IEC 27000ff umfassend beraten hat.
c) Erfahrungen mit den gängigen Sicherheitsstandards: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Erfahrungen mit den gängigen Sicherheitsstandards wie ISO/IEC 27002, ISO/IEC 27005 und IT-Grundschutz des BSI hat.
d) Erfahrungen mit Erstellung von Gutachten zur Umsetzung der KritisV sowie dem BSIG: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen mit der Erstellung von Gutachten zur Umsetzung der KritisV sowie dem BSIG verfügt.
e) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen in der Beratung im Bereich der im Rahmen von Informationssicherheit und KRITIS im Markt der Gesetzlichen Krankenversicherungen verfügt.

Los 6:
a) Der Bieter ist eine aktive DAkkS akkreditierte Stelle und weist dies nach durch entsprechende Nachweise/Unterlagen der DAkkS nach.
b) Erfahrungen mit Zertifizierungsaudits und Überwachungsaudits nach ISO 27001:2013: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Zertifizierungsaudits und Überwachungsaudits nach ISO 27001:2013 durchgeführt hat für Unternehmen oder Organisationen mit mehr als 1000 Mitarbeitern.
c) Erfahrungen mit Audits außerhalb der ISO 27001:2013 Zertifizierung: Der Bieter weist anhand von einer Referenz des Unternehmens nach, dass er innerhalb der letzten drei Jahre neben der ISO 27001:2013 Zertifizierung auch Audits zu einem anderen anerkannten Standard durchgeführt hat

Hinweis für alle Lose: Werden Unternehmensreferenzen gefordert, sind diese anhand des Formblatts "Unternehmensreferenzen_IT-Sicherheit" zu erstellen und einzureichen.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Zu Los 1:
Zu c) Die getesteten Prüfgegenstände müssen mindestens eine Cloud-Infrastrukturkomponente und eine Cloud-Anwendung umfassen.
Zu d) Die Referenzen müssen in Summe mindestens eine Prüfung auf Ebene des Betriebssystems sowie eine Prüfung auf Anwendungsebene beinhalten.
Zu e) Als Referenz wird nur anerkannt, wenn der verwendete Prüfstandard dem OWASP Mobile Security Testing Guide oder einem dazu vergleichbaren Standard entspricht.
Zu f) Als Referenz wird nur anerkannt, wenn der verwendete Bewertungsstandard CVSS oder der OWASP Risk Rating Methodology oder einem dazu vergleichbaren Standard wie z.B ISO 27005 entspricht.
Zu h) Erfahrung im Umgang mit Kunden mit einer größeren Anzahl von Subunternehmern (mindestens 15 Dienstleister oder Agenturen), die im Auftrag des jeweiligen Kunden Leistungen erbringen und in direkter Interaktion mit dem Bieter stehen.
Zu Los 2:
Zu d) Als Referenz wird nur anerkannt, wenn der verwendete Bewertungsstandard CVSS, der OWASP Risk Rating Methodology oder einem dazu vergleichbaren Standard wie z.B ISO 27005 entspricht. Mindestens eine der Referenzen muss nach ISO27005 und eine nach CVSS durchgeführt worden sein.
Zu Los 3:
Zu b) Es werden nur Referenzen akzeptiert, die mindestens
- 500 Function Points oder 15.000 Lines of Code umfassen und
- eine relevante Programmiersprache beinhalten (JAVA, ABAP, PHP, JavaScript, Swift, Python, Objective-C oder Kotlin).
Mindestens eine Referenz muss das Risiko nach CVSS und eine weitere muss das Risiko nach ISO 27005 bewertet haben.
Zu c) Mindestens eine, höchstens zwei Referenzen, beziehen sich auf die Erstellung von Coding Guidelines in englischer Sprache, die verbleibenden Referenzen beziehen sich auf die Erstellung in deutscher Sprache.
Zu Los 4:
Zu a) Es werden nur Referenzen bei Referenzauftraggebern mit (zu den Auftraggeberinnen) vergleichbarer Organisationsgröße von mindestens 500 Mitarbeitern und IT-Komplexität, d.h. unterschiedliche Betriebssysteme mit unterschiedlichen Datenbanksystemen berücksichtigt.
Zu Los 5:
Zu a) Die Referenzen müssen die Rollen eines Lead Implementers PECB oder eines Lead Auditors enthalten.

Bedingungen für die Vertragserfüllung

(1) Betriebshaftpflichtversicherung:
Die unter III.1.2) geforderte Betriebshaftpflichtversicherung ist für die gesamte Laufzeit des Vertrages in vollem Umfang aufrecht zu erhalten.
(2) Bürgschaft:
Der Auftragnehmer hat innerhalb von 8 (acht) Wochen nach Zuschlag im Vergabeverfahren eine selbstschuldnerische, unbedingte und unbefristete, schriftliche Bürgschaftserklärung entsprechend dem Muster durch ein Kreditinstitut oder einen Kreditversicherer, das/der zugelassen ist in der EU oder in einem Staat, der Vertragspartei des Abkommens über den Europäischen Wirtschaftsraum oder Mitglied des WTO-Dienstleistungsübereinkommens (GATS) ist, in Höhe von
Los 1: EUR 400.000,00 (vierhundert-tausend Euro)
Los 2: EUR 20.000,00 (zwanzigtausend Euro)
Los 3: EUR 40.000,00 (vierzigtausend Euro)
Los 4: EU 30.000,00 (dreißigtausend Euro)
Los 5: EUR 80.000,00 (achtzigtausend Euro)
Los 6: EUR 50.000,00 (fünfzigtausend Euro)
vorzulegen. Die Bürgschaft hat die Vertragserfüllung und die Befriedigung von Mängelansprüchen, Aufwendungsersatz und / oder Schadensersatzansprüchen aus diesem Rahmenvertrag und den Einzelverträgen hierunter abzudecken. Sofern eine Auftraggeberin im Einzelfall begründete Bedenken gegen die Tauglichkeit des Bürgen hat, hat der Auftragnehmer die Tauglichkeit nachzuweisen. Im Übrigen wird auf Ziff. 22 des Rahmenvertrages verwiesen.
(3) Datenschutzbestimmungen:
Es finden die beigefügten Datenschutzbestimmungen Anwendung.

(I) Das Vergabeverfahren wird im Auftrag der Auftraggeberinnen vom AOK-Bundesverband durchgeführt.
(II) Zur Durchführung des Vergabeverfahrens verwendet die Auftraggeberin die E-Vergabelösung www.dtvp.de.
Die für die Angebotserstellung zwingend zu verwendenden Vergabeunterlagen sind unter dem o.g. Link dort
abzurufen. Für Angaben und Erklärungen sind die Formulare der Vergabeunterlagen zu verwenden, soweit diese entsprechende Vordrucke enthalten.
Bitte beachten Sie, dass die Angebotsabgabe elektronisch über dieses Vergabeportal zu erfolgen hat. Weitere Hinweise zur elektronischen Angebotsabgabe finden Sie in den Vergabeunterlagen (Bewerbungsbedingungen).
(III) Abweichend von Ziff. IV.1.3) handelt es sich bei Los 1 um eine Mehrpartnerrahmenvereinbarung mit (eine hinreichende Anzahl an zuschlagsfähigen Angeboten vorausgesetzt) drei Rahmenvertragspartnern.
(IV) Nach näher Maßgabe der Ziffer II.1.4) dieser Bekanntmachung gilt: Gibt ein Bieter im Rahmen dieser Ausschreibung ein Angebot sowohl auf das Los 5 als auch auf das Los 6 ab und ist dieser Bieter für den Zuschlag in beiden Losen vorgesehen, kann diesem Bieter der Zuschlag nur entweder im Los 5 oder im Los 6 erteilt werden.
Bekanntmachungs-ID: CXP4YDK6CUX

Genaue Informationen über Fristen für Überprüfungsverfahren

§ 134 GWB Informations- und Wartepflicht.
"(1) Öffentliche Auftraggeber haben die Bieter, deren Angebote nicht berücksichtigt werden sollen, über den Namen des Unternehmens, dessen Angebot angenommen werden soll, über die Gründe der vorgesehenen Nichtberücksichtigung ihres Angebots und über den frühesten Zeitpunkt des Vertragsschlusses unverzüglich in Textform zu informieren. Dies gilt auch für Bewerber, denen keine Information über die Ablehnung ihrer Bewerbung zur Verfügung gestellt wurde, bevor die Mitteilung über die Zuschlagsentscheidung an die betroffenen Bieter ergangen ist.
(2) Ein Vertrag darf erst 15 Kalendertage nach Absendung der Information nach Absatz 1 geschlossen werden. Wird die Information auf elektronischem Weg oder per Fax versendet, verkürzt sich die Frist auf zehn Kalendertage. Die Frist beginnt am Tag nach der Absendung der Information durch den Auftraggeber; auf den Tag des Zugangs beim betroffenen Bieter und Bewerber kommt es nicht an.
(3) Die Informationspflicht entfällt in Fällen, in denen das Verhandlungsverfahren ohne Teilnahmewettbewerb wegen besonderer Dringlichkeit gerechtfertigt ist..."
§ 135 GWB Unwirksamkeit.
"(1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber:
1. gegen § 134 verstoßen hat..."
§ 160 GWB Einleitung, Antrag.
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit:
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis
zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt."
§ 168 GWB Entscheidung der Vergabekammer.
"(1) Die Vergabekammer entscheidet, ob der Antragsteller in seinen Rechten verletzt ist und trifft die geeigneten Maßnahmen, um eine Rechtsverletzung zu beseitigen und eine Schädigung der betroffenen Interessen zu verhindern. Sie ist an die Anträge nicht gebunden und kann auch unabhängig davon auf die Rechtmäßigkeit des Vergabeverfahrens einwirken.
(2) Ein wirksam erteilter Zuschlag kann nicht aufgehoben werden...".