Beschreibung der Beschaffung
Im Zuge der Modernisierung und Digitalisierung der Landesverwaltung soll im Bereich des Landesintranets (Mitarbeiterportal "MAP") ein ausbau- und mandantenfähiger Chatbot entwickelt und bereitgestellt werden. Ein Einsatz der Software auch außerhalb des MAP in anderen Umgebungen oder auch extern (im Internet) ist ebenfalls möglich.
Erforderlich ist eine Software, die entweder vollständig on premises oder in der Cloud angeboten wird.
Wird die Lösung on premises angeboten, müssen folgende Rahmenbedingungen adressiert werden:
- Server: Windows Server 2019, Apache 2.4.52, Red Hat Linux 8.6
- Anwendungsserver: IIS 10 und
asp.net, Tomcat 9.0.62 und Java openJDK11.0.2
- DB: Oracle 19.0.0
- Schnittstellen: LDAP, OpenText Web Site Management Server 16.7 und OpenText Web Site Managament Delivery Server 16.7, Drupal
- Portal-Server: Windows Server 2019 und SAP NetWeaver 7.5
Datenschutz
Die Grundsätze des Datenschutzes nach Art. 5 Abs. 1 DSGVO sind vom Auftragnehmer einzuhalten. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erfüllung seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu unterstützen.
Der Auftragnehmer verpflichtet sich, die Auftragsverarbeitung nach Artikel 28 DSGVO durchzuführen (für den Hauptservice und alle darüberhinausgehenden Vorleis-terservices). Hierbei gelten bei der Einbindung etwaiger Unterauftragnehmer Art. 28 Abs. 2 und Art. 28 Abs. 4 DSGVO.
Für den Geltungsbereich der bereitgestellten Cloud-Ressourcen muss ein formales Datenschutzkonzept existieren, welches die gesetzlichen Voraussetzungen (DSGVO) erfüllt. Dieses Datenschutzkonzept muss auf Verlangen dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) vorgelegt und dem Auftraggeber mit der Angebotsabgabe zur Verfügung gestellt werden.
Der Service, Datenspeicherungen und alle damit verbundenen Verarbeitungszwecke, wie z.B. Abrechnung, Support, Administration dürfen nur aus Rechenzentren und von Orten aus erbracht werden, die sich innerhalb des Europäischen Wirtschaftsraums (EWR) bzw. in Drittstaaten befinden, die gemäß einem Angemessenheitsbeschluss der Europäischen Kommission ein Datenschutzniveau entsprechend der DSGVO gewährleisten. Der Sitz des Mutterkonzerns des Auftragnehmers, Unterauftragnehmers usw. muss sich ebenfalls an solchen Orten befinden.
Informationssicherheit
Es wird ein Informationssicherheitskonzept nach dem BSI Standard 200-2 Standard-Absicherung mit integrierter Risikoanalyse nach BSI Standard 200-3 vorausgesetzt. Alternativ kann ein abweichendes Informationssicherheitskonzept nach einem vergleichbaren Standard vorhanden sein. Aus diesem muss eindeutig hervorgehen, welche organisatorischen, technischen und infrastrukturellen Bereiche Gegenstand des Sicherheitskonzeptes - speziell der Cloud-Infrastruktur - sind.
Es müssen regelmäßige Sicherheits- und Datenschutzaudits durch unabhängige Dritte (bspw. TÜV, BSI) stattfinden. Diese Audits müssen anhand eines passenden Testates (Cloud Computing Compliance Criteria Catalogue (C5)) nachgewiesen werden.
Bei allen Leistungsmerkmalen bei denen eine Verschlüsselung gefordert ist, muss die aktuelle technische Richtlinie "BSI TR-02102 Kryptographische Verfahren: Empfeh-lungen und Schlüssellängen" Anwendung finden.
Alle Verbindungen zwischen der Infrastruktur und den Clients beim Auftraggeber müssen verschlüsselt sein. Hierbei sind ausschließlich verschlüsselte Verbindungen (TLS Versionen und Cyphersuites), die dem aktuellen Stand der Technik und den Vorgaben des BSI entsprechen, zu verwenden.
Alle eingesetzten Webservices und Webanwendungen, die von außen erreichbar sind, müssen mit Zertifikaten ausgestattet sein, die mindestens ein A (+) Ranking bei
ssllabs.com vorweisen.
Alle Verbindungen innerhalb der Cloud-Infrastruktur müssen verschlüsselt sein. Hierbei sind ausschließlich verschlüsselte Verbindungen (TLS Versionen und Cyphersuites), die dem aktuellen Stand der Technik und den Vorgaben des BSI entsprechen, zu verwenden.
Alle Personen- und sicherheitstechnischen Metadaten auf der Plattform müssen verschlüsselt nach dem aktuellen Stand der Technik und den Vorgaben des BSI abgelegt sein. Der Zugriff auf diese Daten muss protokolliert werden und diese Protokollierung bei Bedarf dem Auftraggeber zur Verfügung gestellt werden. Ein Zugriff auf diese Daten durch den Auftragnehmer darf erst nach Freigabe des Auftraggebers erfolgen. Ausgenommen sind hier proaktive Zugriffe, um einen Ausfall der Umgebung zu verhindern. In diesem Fall kann die Information auch nachträglich erfolgen.
Sollten KI basierte Analysetools zum Einsatz kommen, die bspw. auf Grundlage bestimmter Text- oder Sprachkommandos Funktionen auslösen können, müssen diese abgeschaltet bzw. durch den Auftraggeber abschaltbar sein.
Alle für den Cloud-Service eingesetzten Betriebssysteme müssen gehärtet sein (wie z.B. Abschaltung nicht zwingend benötigter Dienste, Aktivierung Paketfilter mit Stateful Inspection Firewall).
Es ist eine kryptografisch geschützte Authentifizierung zwischen den Cloud-Ressourcen einzusetzen. Hierzu zählt z.B. eine zertifikatsbasierte Authentifizierung mit Hilfe einer PKI oder Kerberos.
Das Schlüsselmanagement für kryptographische Verfahren muss in einer abgesicherten Umgebung erfolgen (z.B. Hardware Security Modul (HSM) usw.). Dies betrifft nur die internen beim Auftragnehmer eingesetzten Zertifikate.
Es muss ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) betrieben werden. Das Zertifikat selbst und dessen Geltungsbereich muss vorgelegt werden. Ein ISMS ist nach ISO/IEC 27001 auf Basis des IT-Grundschutzes oder nativ zur ISO/IEC 27001 zu betreiben.
Barrierefreiheit
Die angebotene Lösung soll die Anforderungen der Hessischen Verordnung über barrierefreie Informationstechnik (HVBIT) vom 19.7.2019 und der Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz des Bundesjustizministeriums umsetzen.
Bestehende Barrieren sind dem Auftraggeber mitzuteilen und in einer Erklärung zur Barrierefreiheit als Teil der Lösung für alle Benutzer zur Verfügung zu stellen. Ein aktueller (nicht älter als 6 Monate) Barrierefreiheitstest für die Benutzeroberfläche ist dem Auftraggeber mit dem Angebot auszuhändigen.
Beschreibung der Leistung
Der primäre Einsatz der Software ist für das MAP vorgesehen. Dieses Portal steht in der Landesverwaltung Hessen insgesamt ca. 86.000 Usern zur Verfügung.
Zu bepreisende Szenarien
Zur Ermittlung der Systemkosten wurden drei Szenarien definiert, die nach Erwartung des Auftraggebers nacheinander eintreten werden. Nach Abschluss des jeweiligen Szenarios entscheidet der Auftraggeber, ob und wann das nächste Szenario stattfinden soll.
Szenario 1:
Im ersten Szenario sollen mehrere Chatbots (nicht mehr als 4) im MAP implementiert werden. Die Chatbots haben jeweils nicht mehr als 35 concurrent User und das auch nur zu Peak-Zeiten. In der Regel beantworten die Chatbots 50 bis 100 Anfragen am Tag.
• 4 Chatbots
• Jeweils bis zu 100 Intents
• 80.000 aktive User des MAPs greifen potenziell auf Chatbots zu
• Nicht mehr als 35 concurrent User
• Zugriffe insgesamt pro Tag: ca. 1000 Pageviews
• Es werden keine externen Datenquellen angebunden. Nach dem Anlernen der Bots werden alle Inhalte manuell im System gepflegt und verwaltet.
Dieses Szenario beinhaltet auch Schulungen für Administratoren (je 2 Personentage für 4 Administratoren und je 0.5 Personentage für 8 Redakteure).
Das Angebot soll auch Personalleistungen zur Einführungsunterstützung für das komplexe System MAP enthalten. Installation, Konfiguration und Inbetriebnahme der ChatBots sollen von Spezialisten des Auftragnehmers gemeinsam mit Mitarbeitern des Auftraggebers durchgeführt werden.
Szenario 2:
Im zweiten Szenario, das etwa 12 bis 20 Monate nach Vertragsbeginn eintreten wird, sollen mehrere Chatbots (nicht mehr als 10) im MAP implementiert werden. Die Chatbots werden in den Peak-Zeiten häufig genutzt. In der Regel beantworten die Chatbots 100 bis 200 Anfragen am Tag.
• 10 Chatbots
• Jeweils bis zu 175 Intents
• 90.000 aktive User im MAP greifen potenziell auf Chatbots zu
• Nicht mehr als 50 concurrent User
• Zugriffe insgesamt pro Tag: ca. 3000 Pageviews
• Es werden drei externe Datenquellen (2 CMS-Datenbanken, Ticket-System) angebunden, um Inhalte zu aktualisieren.
Szenario 3:
Im dritten Szenario, das etwa 20 bis 30 Monate nach Vertragsbeginn eintreten wird, werden die Chatbots sehr gut von den Mitarbeiterinnen und Mitarbeitern des Landes Hessen angenommen. Die einzelnen Chatbots haben nicht mehr als 75 concurrent User und werden in den Peak-Zeiten häufig genutzt. In der Regel beantworten die Chatbots ca. 400-700 Anfragen am Tag.
• 35 Chatbots
• Jeweils maximal 250 Intents
• 120.000 Mitarbeiter im MAP greifen potenziell auf Chatbots zu
• Nicht mehr als 75 concurrent User
• Zugriffe insgesamt pro Tag: ca. 8000 Pageviews
• Es werden fünf externe Datenquellen (CMS-DB, Ticket-System, DB, DMS, Sharepoint) angebunden, um Inhalte zu aktualisieren.
Funktionsumfang
Der Einsatz der Chatbots ist grob in drei Entwicklungsstufen unterteilt. Zunächst soll im MAP zu Beginn von Szenario 1 ein erster Pilot-Chatbot für eine Geschäftsrolle so gut wie möglich angelernt und dann produktiv gesetzt werden. So sollen zunächst Erfahrungen für den Rollout weiterer Bots gesammelt werden. Nach Abschluss der Pilotphase von drei Monaten sollen dann weitere Chatbots ins Leben gerufen werden. Es werden zu Beginn ausschließlich FAQ-Chatbots eingerichtet, da diese am einfachsten zu handhaben sind und die Technik dafür bereits erprobt und ausgereift ist. Nach der Pilotphase werden bei Bedarf auch in Szenario 1 bereits Voice- und Formular-Chatbots eingerichtet.
Weitere Details sind der Leistungsbeschreibung (Datei "Leistungsbeschreibung") sowie dem Kriterienkatalog (Datei "Kriterienkatalog") zu entnehmen.