Fast OpenStack Security Analysis (FOSSA)

Kurze Beschreibung

In diesem Projekt soll eine Methode zur Bewertung der Sicherheit einer auf OpenStack basierenden Cloud entwickelt werden. Innerhalb des Projekts wird eine kleine Cloud aufgebaut, um daran die Methode zu testen. Gegenstand der Methode sind sowohl die Untersuchung der Komponenten selbst (Nova, Cinder, etc.) also auch ihre korrekte Verwendung (hat der Cloud-Betreiber die Komponenten korrekt und sicher konfiguriert, sind die Rollen so definiert, dass sie möglichst restriktiv sind? etc.).
Die Methode muss also sowohl die Korrektheit der Software als auch der Konfiguration überprüfen. Dabei ist zu beachten, dass einige Komponenten ggf. in hohem Tempo weiterentwickelt werden. Daher und um möglichst reproduzierbare Ergebnisse zu erreichen, präferieren wir einen hohen Grad an Automatisierung an Stellen, wo dies nachvollziehbare Vorteile bringt. Das Projekt soll agil entwickelt werden.

Beschreibung der Beschaffung

In diesem Projekt soll eine Methode zur Bewertung der Sicherheit einer auf OpenStack basierenden Cloud entwickelt werden. Innerhalb des Projekts wird eine kleine Cloud aufgebaut, um daran die Methode zu testen. Gegenstand der Methode sind sowohl die Untersuchung der Komponenten selbst (Nova, Cinder, etc.) also auch ihre korrekte Verwendung (hat der Cloud-Betreiber die Komponenten korrekt und sicher konfiguriert, sind die Rollen so definiert, dass sie möglichst restriktiv sind? etc.).
Die Methode muss also sowohl die Korrektheit der Software als auch der Konfiguration überprüfen. Dabei ist zu beachten, dass einige Komponenten ggf. in hohem Tempo weiterentwickelt werden. Daher und um möglichst reproduzierbare Ergebnisse zu erreichen, präferieren wir einen hohen Grad an Automatisierung an Stellen, wo dies nachvollziehbare Vorteile bringt. Das Projekt soll agil entwickelt werden.

Beschreibung der Optionen

Die mit dem Präfix [OPT] markierten APs sind optionale Leistungen. Diese müssen vom Bieter angeboten werden, der Auftraggeber verzichtet jedoch ggf. auf deren Beauftragung. Ob die Option gezogen wird hängt vom Projektverlauf ab. Generell hängt die Beauftragung davon ab, ob im vorherigen Projektverlauf Ergebnisse erarbeitet wurden, für die ein öffentliches Interesse besteht.

Liste und kurze Beschreibung der Auswahlkriterien

Siehe Beschreibung: 1) Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/576 des Rates vom 08.04.2022 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungs-bereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter die Artikel 7 und 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU und unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige oder in Russland niedergelassene natürliche oder juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
auch solche, auf die mehr als 10 % des Auftragswerts entfällt, Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ ( Bestätigung) oder „NEIN“ ( keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
2) Ausschluss eines Interessenskonflikts
Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.
Bitte mit „JA“ oder „NEIN“ beantworten.
Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines untersuchten Produkts oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor. Weiterhin liegt ein Interessenskonflikt vor, wenn die zu untersuchende Software durch den Auftragnehmer oder Unterauftragnehmer in Produkten oder im Rahmen von Beratungsleistungen verwendet wird. Außerdem auch Unternehmen, deren Geschäftsmodell davon abhängt, dass OpenStack als sicher (bzw. unsicher) wahrgenommen wird (Betreiber/Dienstleister/Berater für Cloud basierend auf OpenStack bzw. Hersteller von Konkurrenzsoftware), z.B. Berater, die exklusiv Erweiterungen für OpenStack oder Konkurrenzprodukte verkaufen, oder die OpenStack Entwicklerteams selbst.
Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
3) Referenzen
Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang / Betroffener Erfahrungsbereich
- Dauer
- Auftrags- bzw. Projektvolumen
Aus den Ausführungen müssen sich Rückschlüsse auf die Leistungsfähigkeit des Bieters / der Bietergemeinschaft (ggf. unter Einbeziehung eines Unterauftragnehmers (Eignungsleihe)) bei Projekten mit oben genanntem Schwerpunkt ziehen lassen. Die Darstellung sollte eine DIN A4-Seiten pro Referenzprojekt nicht überschreiten. Unter einem Projekt kann auch eine wissenschaftliche Veröffentlichung verstanden werden.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Insgesamt sind mindestens zwei geeignete Referenzen vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf.