Penetrationstest-Leistungen in 2 Losen

Beschreibung der Beschaffung

Die HZD als zentraler IT-Dienstleister des Landes Hessen betreibt viele unterschiedliche IT-Services für das Land Hessen. Diese Services werden sowohl in internen als auch in öffentlichen Netzen (wie z.B. dem Internet) betrieben. Darüber hinaus bestehen auch Kommunikationsverbindungen zwischen vereinzelten internen und externen Services.
Einzelne Dienststellen betreiben eine eigene Infrastruktur, teilweise unabhängig von den zentralen Systemen, die von der HZD bereitgestellt werden. Diese häufig komplexen Kommunikationsstrukturen sind vielfältigen Bedrohungen ausgesetzt, besonders die Systeme, die über Verbindungen zu öffentlichen Netzen verfügen.
Die HZD hat es sich zur Aufgabe gemacht, die Risiken durch diese Bedrohungen für das Land Hessen zu minimieren, indem es präventive IT-Sicherheits-Tests bzw. Penetrationstests an den oben genannten IT-Services und -Systemen durchführt.

Folgende Leistungen gehören zum Themenfeld Penetrationstests und müssen abgedeckt werden:

•Planung und Durchführung von IS (Informations-Sicherheits) Penetrationstests
•Planung und Durchführung von IS Webchecks
•IS-Kurzrevisionen
•Regressionstests zu vorher stattgefundenen Penetrationstests
•Technische Sicherheitsaudits
•Erstellen von Dokumentationen
•Durchführung von Penetrationstest-Kickoffs und Ergebnispräsentationen
•Planung und Durchführung von gezielten Schulungsmaßnahmen zu Penet-rationstest-Themen und Penetrationstest-Werkzeugen
•Beratungsleistungen zu Penetrationstests
•Konzeptionelle Arbeiten zu Penetrationstests
•Unterstützungsleistungen beim Aufbau HZD-interner Penetrationstest-Services
•Forensische Untersuchungen von Systemen
•Code-Analysen und Code-Reviews

Der Fokus liegt unbenommen der o.g. Liste bei der Durchführung von Penetrationstests.

Operativer Leistungsumfang und Aufgaben bei Penetrationstests
Die Durchführung von Penetrationstests als White-, Grey- und Blackbox-Tests machen den Großteil der zu beauftragenden Leistungen aus. Folgende Tätigkeiten sind hier zu erwarten:
-Testvorbereitung
-Testdurchführung
-Testabschluss

Expertise in folgenden Schlüsseltechnologien
Folgende Technologien und Methodiken können grundsätzlich bei Penetrationstests in der HZD erforderlich sein und müssen durch den Auftragnehmer abgedeckt werden:

1.Administration von Webservices, Webanwendungen
o Applikationsserver wie z.B. Apache tomcat, Glassfish, JBoss, Wildfly, IIS, etc.
o Webserver wie z.B. Apache Webserver, IIS, Squid, SAP Netweaver, NGINX, etc.
o Gängige CMS
2.Web-Programmierung Server
a)CGI (Perl, C, PHP, Ruby, Python, etc.)
b)Java und Java-Frameworks (JSP, JSF, Struts, etc.)
c)ASP.NET
d)ABAP
3.Web-Programmierung Client (Javascript, JSON; AJAX, etc.)
4.Programmier-Frameworks wie Java, .NET, C++
5.Weitere Script-Sprachen (Batch, Shellscript, Python, etc.)
6.Server/Client-Technologien
o Schnittstellen-Protokolle (z.B. RDP, SSH, POP, SMTP, etc.)
o thin/rich Client, fat client, webclient
o Middleware-Technologien
7.Mobile Geräte (Tablet, Notebook, IOS- und Android-Smartphones, etc.)
8.Desktop OS (UNIXoide, Microsoft-OS)
9.Server OS (UNIXoide, Microsoft-OS)
10.Mobile OS (Android, IOS)
11.Cloud-Technologien allgemein (Container-Technologien, wie z.B. Docker und deren Orchestrierungs-Engines wie z.B. Kubernetes, Swarm, Podman, etc.), sowie Cloud Sicherheits-Standards (CSA)
12.Netzwerktechnologie und Netzsicherheit (kompletter ISO/OSI Stack)
o Netzkoppel- und Lastverteil-Systeme (Router, Switches, Hubs, (VPN-)Gateways, Loadbalancer)
o Sicherheitsgateways (Firewalls: Paketfilter, Application Level, Hybrid)
o Intrusion Detection und Intrusion Protection Systeme
o Virenscanner
o Drahtlos-Netz-Technologie (WLAN, Bluetooth, Nearfield, GSM, LTE, etc.)
o Netzwerk-Protokolle (IPv4/IPv6, tcp, udp, etc.)
13.Backend- bzw. Datenbank-Technologien (Oracle DB, MSSQL, MySQL, Mari-aDB, PostGreSQL, DB2, SQLite, NoSQL, etc.)
14.SAP-Technologie
15.Telekommunikations-Anlagen
16.Infrastruktur-Einrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)
17.Methodiken bei der Durchführung von Penetrationstests (z. B. Blackbox- und Whitebox-Szenarien)
18.Kenntnisse und Erfahrungen zum Einsatz von geeigneten Werkzeugen zur Nachbildung von Cyber-Angriffen und Angriffsmustern (z.B. Vulnerabilty-Scanner, Werkzeuge unter Kali LINUX, etc.)
19.Kenntnisse und Erfahrungen mit dem OWASP Testing Guide
20.Kenntnisse und Erfahrungen mit den CIS-Listen der Organisation MITRE
21.Kenntnisse und Erfahrungen in der Nutzung und dem Testen von Large Language Modellen (wie z.B. Chat GPT, Perplexity, etc.) und Bildgenerieren-den KI (wie z.B. Midjourney, Dall-E, etc.) und deren Technologie
22.Kenntnisse und Erfahrungen mit den Service-Modellen IaaS, PaaS, SaaS
23.Kenntnisse und Erfahrungen mit der Nutzung von Private-, Public- und Hybrid Cloud-Lösungen
24.Kenntnisse und Erfahrungen sowohl in der Nutzung als auch in der Fehlersuche und Schwachstellenanalyse bei Container-Technologie wie Docker und den zugehörigen Orchestrierungsmechanismen, wie Swarm/Kubernetes/Podman. Dies wird auch für unterstützende Technologien wie z.B. das RedHat Cloud-Ökosystem und dessen Verwaltung (z.B. über image registrys, Infrastructure as Code, etc.) aber auch anderen Cloud-Ökosystemen, wie OpenStack oder ApacheCloudStack, etc. erwartet.
25.Kenntnisse und Erfahrungen mit Software Composition Analyses (SCA), Static- Dynamic- und Interactive Application Security Testing (SAST, DAST, IAST)
26.Kenntnisse und Erfahrungen mit Active Directory sowie unterstützenden Technologien und Standards wie Kerberos, LAN-Manger, NTLM und LDAP

Um eine Ausfallsicherheit zu garantieren und das Vier-Augen-Prinzip zu wahren, sind immer mindestens zwei Tester pro Testprojekt einzuplanen. Ein Pentester hat hierbei die fachliche Leitung im Team. Die fachliche Leitung hat hierbei die Verantwortung für den jeweiligen Pentest, muss aber selbst nicht zwingend operativ daran beteiligt sein.

Eine ausführliche Beschreibung ist der Leistungsbeschreibung Los 1 zu entnehmen.

Zusätzliche Informationen

Die Leistungen aus der Rahmenvereinbarung können bis zu einem Höchstwert von 3.210.000 Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Beschreibung der Beschaffung

Der SecurityTest Service ist eine Fachgruppe der HZD. Sie bietet den Dienststellen des Landes Hessen Dienstleistungen rund um das Thema IT-Sicherheits-Tests an. Dazu gehört u.a. die Konzeption und Projektierung von Penetrationstests und Schwachstellenscans, das Projektmanagement von Penetrationstests (nachfolgend kurz Pentest) und Scan-Projekten sowie der Durchführung von Schwachstellen-Scans, Penetrationstests, Audits, Code-Reviews, usw.
Der Auftragnehmer stellt einen oder mehrere ständige stationäre Projektleiter für die Konzeption und das Management von Pentest-Projekten in der HZD. Die Durchführung der eigentlichen Penetrationstests selbst ist nicht Bestandteil der Tätigkeiten im Rahmen des Los 2.

Das vom Auftragnehmer im SecurityTest Service der HZD eingesetzte Fachpersonal ist für die Konzeption, Planung und das Management von Pentest-Projekten vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD, der nachfolgend erläutert wird:
Das zentrale Dokument eines Penetrationstest-Projektes in der HZD ist das Penetratiostest-Konzept. Die Inhalte des Penetratiostest-Konzepts enthalten u.a. wichtige Informationen als Grundlage für die Genehmigung von Pentests in der HZD, für die Erstellung von belastbaren Angeboten durch unseren Pentest-Dienstleister sowie für die Dokumentation von Entscheidungen zur Auswahl von Testobjekten eines IT-Verfahrens. Die Erstellung eines Pentest-Konzepts ist eine der zentralen Aufgaben des Pentest-Projektleiters.
Im Vorfeld der Erstellung eines Penetrationstest-Konzepts wird das betreffende IT-Verfahren durch den Pentest-Projektleiter analysiert bzgl. dessen eingesetzter Verfahrens-Bestandteile (Netzwerk, Architektur/IT-Topologie, Systeme/Technologie, etc.) und dessen zugrundeliegender Betriebs- und Verfahrens-Prozesse. Hierzu führt der Pentest-Projektleiter Interviews mit den IT-Verfahrens-Spezialisten sowie dem Betriebs-Personal des zu testenden IT-Verfahrens und führt Dokumenten- und ggf. Online-Recherchen durch.
Aus den gewonnen Informationen erfolgt eine Bedrohungs-Analyse und Bewertung der einzelnen Verfahrens-Bestandteile bzgl. deren Risiko für eine Kompromittierung bzw. einen Sicherheitsvorfall, woraus wiederum die Auswahl der zu testenden Objekte des IT-Verfahrens folgert.
Verschiedene planerische und organisatorische Details zu dem Pentest-Projekt und dem zugehörigen IT-Verfahren runden das Pentest-Konzept ab.
Im Anschluss an die Erstellung des Pentest-Konzepts muss dies von den Auftraggebern abgenommen und danach in der HZD genehmigt werden.
Das abgenommene Pentest-Konzept ist das Lastenheft für den Pentest-Dienstleister, der die eigentlichen Tests durchführt. Er übersendet ein belastbares Angebot als Pflichtenheft für den Test. Im weiteren Verlauf wird der Test mit Hilfe des ITIL Change Managements organisiert und letztlich umgesetzt.
Pentest-Ergebnisse des erfolgten Tests sind zu prüfen und mit dem Auftraggeber abzustimmen.
Sowohl im Vorfeld als auch im Nachgang der Tests organisiert und moderiert der Pentest-Projektleiter Termine, in denen Details zur Durchführung (Kickoff) und Ergebnisse (Abschluss- bzw. Ergebnis-Workshop) besprochen und präsentiert werden. Für Kickoff und Abschluss- bzw. Ergebnis-Workshop sind jeweils Ergebnisprotokolle anzufertigen.
Der Projektleiter organisiert alle notwendigen Projekt- und Gesprächs-Termine selbstständig und hält diese selbstständig im Blick.

Zusammengefasst besteht die Aufgabe eines Pentest-Proejktleiters aus 2 Arbeitsfeldern:
1.Analyse von beauftragenden IT-Verfahren/-IT-Projekte bzgl. IT-Sicherheits-Aspekten inklusive Bedrohungsabschätzung der Verfahrens-Komponenten sowie Überführen der Informationen in ein Penetrationstest-Konzept (Arbeitsfeld 1)
2.Management des anschließenden Pentest-Projekts gem. HZD Pentest-Prozess incl. Budget- und Zeit-/Ressourcenplanung (Arbeitsfeld 2)

Alle im Rahmenvertrag eingesetzten Projektleiter müssen die Deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen.
Bewerber, die nicht deutsche Muttersprachler sind, oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben haben, müssen die Kenntnis der deutschen Sprache mit einem deutschen C1-Sprachdiplom nachweisen.

Folgende fachlichen Voraussetzungen müssen die vom Auftragnehmer eingesetzten Projektleiter erfüllen:
Verpflichtend ist ein
•Hochschulabschluss in IT und mindestens 4 Jahre Berufserfahrung in der IT-Branche, wobei u.g. Themenfelder bearbeitet wurden
•oder alternativ ein beliebiger Hochschulabschluss und mindestens 5 Jahre Berufserfahrung in der IT (ebenfalls mit Bearbeitung der u.g. Themenfelder)
•Arbeitsfelder:
Um die genannten Arbeitsfelder erfolgreich umsetzen zu können, muss mindestens eines der beiden Arbeitsfelder IT-Sicherheit oder Projektmanagement durch ein erworbenes Zertifikat nachgewiesen werden. Ein Arbeitsfeld, welches nicht durch ein erworbenes Zertifikat nachgewiesen wird, ist durch praktisch erworbene Kenntnisse nachzuweisen:
Das erste Arbeitsfeld kann durch erworbene praktische Kenntnisse (mindestens 3 Jahre Erfahrung bei IT-Sicherheits-Projekten) belegt werden. Diese sind durch eine Projektliste mit Tätigkeits-Beschreibungen nachzuweisen.
Das zweite Arbeitsfeld kann durch erworbene praktische Kenntnisse (mindestens 2 Jahre Erfahrung als IT-Projektleiter mit Erfahrung im Budget- und Zeitmanagement) belegt werden.
Zertifikate zum Thema IT-Sicherheit wären z.B. TISP, CISSP, CompTIA, Security+ oder Pentest-Zertifikate, wie EC-Council (z.B. CEH, etc), OSCP, BSI, oder vergleichbare.
Zertifikate zum Thema Projektmanagement wären z.B. PMP, PRINCE, SCRUM, KANBAN oder gleichwertige.

Eine ausführliche Beschreibung ist der Leistungsbeschreibung Los 2 zu entnehmen.

Zusätzliche Informationen

Die Leistungen aus der Rahmenvereinbarung können bis zu einem Höchstwert von 5.237.760 Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Liste und kurze Beschreibung der Regeln und Kriterien

Los 1 + Los 2
Die Bieter sichern zu, dass die in Ziffer 4.2.2 (Los 1), bzw.4.1 (Los 2) der Leistungsbeschreibung genannten Qualitätssicherungsnormen (Zertifizierungen) eingehalten werden. (Mindestanforderung)

Dazu haben sie die Erklärung zur Einhaltung von Qualitätssicherungsnormen (Datei: "Erklärung Zertifizierung") ausgefüllt mir ihrem Angebot einzureichen.

Der Auftraggeber behält sich vor, als Beleg der Einhaltung der Qualitätssicherungsnormen, die diesbezüglichen Zertifikate zu prüfen bzw. sich diese vom Bieter vorlegen zu lassen.

Liste und kurze Beschreibung der Regeln und Kriterien

Los 1
Darstellung von mindestens zwei geeigneten Referenzen aus den letzten drei Jahren (Stichtag "Ablauf der Angebotsfrist"), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.
Art:
Durchführung von Penetrationstests aus den unter Kapitel 4.2.3 der Leistungsbeschreibung von Los 1 beschriebenen Themenfeldern (mit Ausnahme von Profil A):
- Profil B: SAP
- Profil C: Mobile Endgeräte
- Profil D: Desktop- und Arbeitsplatz-Systeme
- Profil E: Netzwerk-Systeme und IT-Sicherheits Infrastruktur-Systeme
- Profil F: IT-forensische Tests
- Profil G: Gebäude-Infrastruktur und Telekommunikations-Anlagen
- Profil H: Cloud-Technologien
- Profil I: Beratung und Schulung
- Profil J: Technische Audits
- Profil K: KI

Es sind für mindestens zwei der unter Ziffer 4.2.3 der Leistungsbeschreibung Los 1 beschriebenen Profile (mit Ausnahme von Profil A) jeweils eine Referenz einzureichen! (Mindestanforderung)

Umfang pro Referenz: Mindestens 10 Projekt-Tage (1 Tag = 8 Stunden). (Mindestanforderung)

(Datei "Referenzen Los 1" auf der Vergabeplattform).
In der Referenzvorlage ist abschließend die Person des Erklärenden namentlich anzugeben.

Die Vergabestelle behält sich die Überprüfung der Referenzen bei dem Referenzauftraggeber vor. Für einen solchen Fall wird die Vergabestelle von dem Bieter die Benennung eines Ansprechpartners mit Kontaktdaten (Telefonnummer und E-Mail) nachfordern.

Los 2
Darstellung von mindestens drei geeigneten Referenzen aus den letzten drei Jahren (Stichtag "Ablauf der Angebotsfrist"), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.

Art: Projektmanagement von IT-Sicherheits-Projekten mit u.a. konzeptionellen Aufgaben zu IT-Sicherheits-Tests.

Umfang jeder eingereichten Referenz: Mindestens 5 Monate. (Mindestanforderung)

Mindestens eine Referenz muss ein Projekt umfassen, bei dem Penetrationstests selbst organisiert und konzipiert wurden (Mindestanforderung). Diese eigenständige Organisation und Konzeption ist in der Projektbeschreibung darzustellen.

(Datei "Referenzen Los 2" auf der Vergabeplattform).
In der Referenzvorlage ist abschließend die Person des Erklärenden namentlich anzugeben.

Die Vergabestelle behält sich die Überprüfung der Referenzen bei dem Referenzauftraggeber vor. Für einen solchen Fall wird die Vergabestelle von dem Bieter die Benennung eines Ansprechpartners mit Kontaktdaten (Telefonnummer und E-Mail) nachfordern.

Liste und kurze Beschreibung der Regeln und Kriterien

Los 1
Die Bieter erklären, welche Anzahl an qualifizierten Testern (vgl. Ziffer 4.2.3 der Leistungsbeschreibung Los 1) ihrem Unternehmen zur Leistungserbringung zur Verfügung stehen.
Dazu haben sie die Erklärung zur Art und Anzahl der Fachkräfte (Datei: "Erklärung Anzahl der Fachkräfte") ausgefüllt mir ihrem Angebot einzureichen (nur für Los 1).

Der Auftraggeber verlangt zum Nachweis der technischen und beruflichen Leistungsfähigkeit in diesem Zusammenhang eine Mindestanzahl von 40 Testern! (Mindestanforderung)

Wird diese Anzahl nicht erreicht, gilt der Bieter als nicht geeignet und das Angebot ist zwingend auszuschließen.

Zusätzliche Informationen

Ein Bewerber kann den Nachweis seiner Eignung und des Nichtvorliegens von Ausschlussgründen ganz oder teilweise durch die Teilnahme an Präqualifikationssystemen erbringen.

Neben den in Ziffer 5.1.9 dieser EU-Bekanntmachung geforderten Unterlagen zu Beleg der Eignung haben die Bieter zusätzlich die nachfolgenden Erklärungen und Nachweise mit dem Angebot einzureichen:

(1) Eigenerklärungen zu Ausschlussgründen §§ 123, 124 GWB (Dateien "Eigenerklaerung_Par_123_GWB" und "Eigenerklaerung_Par_124_GWB"). Bei Bewerbergemeinschaften hat jedes Mitglied der Bewerbergemeinschaft die Erklärungen in der entsprechenden Form einzureichen. Bei Einsatz von (eignungsrelevanten) Unterauftragnehmern hat jeder Unterauftragnehmer die Erklärungen in der entsprechenden Form einzureichen.

(2) Eigenerklärung Artikel 5k EU-Verordnung 833/2014
Der Bieter hat die Eigenerklärung zum Artikel 5k der EU-Verordnung 833/2014 (Datei "Eigenerklaerung Artikel 5k EU-Verordnung 833-2014") ausgefüllt mit seinem Angebot einzureichen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Erklärung in der entsprechenden Form einzureichen.

(3) Erklärung Unternehmensdaten (Datei "Erklaerung_Unternehmensdaten"). Diese Erklärung dient lediglich statistischen Zwecken. Sie stellt kein Eignungskriterium dar.

(4) Verpflichtungserklärung nach dem Hessischen Vergabe- und Tariftreuegesetz (HVTG): Bieter, jedes Mitglied einer Bietergemeinschaft sowie (eignungsrelevante) Unterauftragnehmer (§ 6 HVTG) haben die erforderliche Verpflichtungserklärung zu Tariftreue und Mindestlohn nach § 4 HVTG abzugeben (Datei "Verpflichtungserklaerung_oeff_AG").

(5) Hinweis der Vergabestelle zu den Kompetenzprofilen:
Mit dem Angebot sind noch keine konkreten Personen zu benennen und für diese die Kompetenzprofile ausgefüllt einzureichen. Die Kompetenzprofile dienen der Überprüfung der in der Leistungsbeschreibung festgelegten Mindestqualifikationen an das einzusetzende Personal. Sie werden nach Abschluss der Rahmenvereinbarung und vor Abschluss eines Einzelabrufs von dem Auftragnehmer zum Nachweis angefordert, dass das angebotenen Personal die Mindestqualifikationen erfüllt.

(6) Der Auftragnehmer wird personenbezogene Daten im Auftrag verarbeiten. Hierzu wird eine Vereinbarung über die Auftragsverarbeitung geschlossen (Dateien "Vereinbarung_Auftragsverarbeitung Los 1 / 2"). Der Bieter füllt die mit den Vergabeunterlagen veröffentlichte Vereinbarung über die Auftragsverarbeitung an den vorgesehenen Stellen aus (gelb markiert); insbesondere fügt der Bieter die erforderlichen technisch-organisatorischen Maßnahmen seinem Angebot bei. Die Vergabestelle weist darauf hin, dass für diesen Auftrag keine besonderen Anforderungen an die technisch-organisatorischen Maßnahmen gestellt werden.

Los 1
Bei der Bewertung zur Ermittlung des wirtschaftlichsten Angebotes wird folgende Gewichtung festgelegt:
Preis 40%
Leistung 60%

Den Zuschlag erhält der Bieter mit der höchsten Kennzahl (Z): Z = P x 0,4 + L x 0,6

Sind die ermittelten Kennzahlen zweier Angebote absolut identisch, erhält das Angebot mit den höheren Leistungspunkten den Zuschlag. Ist auch dieser Wert identisch, so entscheidet das Los.

Preis
Der Preis ergibt sich aus der Gesamtsumme (brutto) aus dem Preisblatt Los 1.
Die Punkteberechnung erfolgt nach der logarithmischen Interpolationsmethode. Dabei erhält der günstigste Angebotspreis die maximale Punktzahl (150).

Leistung
Der Bieter hat zwei Dokumente zu erstellen und mit dem Angebot abzugeben. Die genaue Aufgabenstellung ist den Anlagen: "Aufgabenstellung_Leistungsteil_Pentest-Rahmenvertrag_Los1" und "Technisches Konzept DBP-Hessen 1.0" zu entnehmen".

Los 2
Den Zuschlag erhält der Bieter mit dem wirschaftlichsten Angebot in Bezug auf den Preis. Dieser ergibt sich aus der Gesamtsumme (brutto) aus dem Preisblatt Los 2.

Die detaillien Wertungshinweise sind den Ausschreibungsbestimmungen zu entnehmen.

Genaue Informationen über Fristen für Überprüfungsverfahren

§160 GWB
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.

(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.

(3) Der Antrag ist unzulässig, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. 3§ 134 Absatz 1 Satz 2 bleibt unberührt.