Penetrationtesting und Threat-Modeling
DAK-Gesundheit
Rahmenvertrag über Penetrationstests und Threat Modelings bei der DAK-Gesundheit.
DeadlineDeadline 2026-06-01
Wer? Wie? Wo?- • Hamburg › Hamburg
- • Köln › Bonn, Kreisfreie Stadt
Geschichte der Beschaffung
| Datum | Dokument |
|---|---|
| 2026-04-30 | Auftragsbekanntmachung |
Auftragsbekanntmachung (2026-04-30)
Objekt
Umfang der Beschaffung
Titel: Penetrationtesting und Threat-Modeling
Referenznummer:
Kurze Beschreibung:
Produkte/Dienstleistungen: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 📦
Sonstige Beschränkungen am Erfüllungsort: Ort im betreffenden Land
Beschreibung
Interne Kennung:
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet ✅
Beschreibung der Beschaffung:
Zusätzliche Informationen: #Besonders auch geeignet für:other-sme#
Zusätzliche Produkte/Dienstleistungen: Softwaretests 📦
Land: Deutschland 🇩🇪
Dauer: 48 Monate
Titel
Los-Identifikationsnummer:
Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-06-01 12:00:00 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 60 Tage
Informationen über eine Rahmenvereinbarung oder ein dynamisches Beschaffungssystem
Rahmenvereinbarung mit mehreren Betreibern ✅
Höchstzahl der Teilnehmer: 2
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben
Elektronische Rechnungsstellung: Erforderlich
Die elektronische Bestellung wird verwendet ✅
Elektronische Zahlung wird verwendet ✅
Frist für die Anforderung zusätzlicher Informationen: 2026-05-18 23:59:59 📅
Zusätzliche Informationen:
Der Vertrag enthält Bedingungen zur Vertragsausführung ✅
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Eignungskriterium: Berufliche Risikohaftpflichtversicherung
Liste und kurze Beschreibung der Regeln und Kriterien:
Eignungskriterium: Allgemeiner Jahresumsatz
Liste und kurze Beschreibung der Regeln und Kriterien:
Eignungskriterium: Referenzen zu bestimmten Dienstleistungen
Liste und kurze Beschreibung der Regeln und Kriterien:
Bedingungen für den Vertrag
Bedingungen für die Vertragserfüllung:
Bedingungen für die Teilnahme
Ausschlussgrund:
Beschreibung der Ausschlussgründe:
Öffentlicher Auftraggeber
Name und Adressen
Name: DAK-Gesundheit
Nationale Registrierungsnummer:
Postanschrift: Nagelsweg 27-31
Postleitzahl: 20097
Postort: Hamburg
Region: Hamburg 🏙️
Land: Deutschland 🇩🇪
E-Mail: vergabestelle@dak.de 📧
Telefon: +49 000 📞
URL: http://www.dak.de 🌏
Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
Haupttätigkeit
Gesundheit
Kommunikation
Dokumente URL: https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC/documents 🌏
Teilnahme-URL: https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC 🌏
URL des Beschaffungsinstruments: https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC 🌏
Elektronische Einreichung: Erforderlich
Ergänzende Informationen
Zusätzliche Informationen
Körper überprüfen
Name: Vergabekammern des Bundes
Nationale Registrierungsnummer:
Postanschrift: Bundeskanzlerplatz 2
Postleitzahl: 53113
Postort: Bonn
Region: Bonn, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
E-Mail: vk@bundeskartellamt.bund.de 📧
Telefon: +49 22894990 📞
URL: https://www.bundeskartellamt.de 🌏
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
Informationen über elektronische Arbeitsabläufe
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-04-30+02:00 📅
Quelle: OJS 2026/S 085-302378 (2026-04-30)
Objekt
Umfang der Beschaffung
Titel: Penetrationtesting und Threat-Modeling
Referenznummer:
1005156
Kurze Beschreibung:
Rahmenvertrag über Penetrationstests und Threat Modelings bei der DAK-Gesundheit.
Art des Vertrags: Dienstleistungen
Produkte/Dienstleistungen: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 📦
Sonstige Beschränkungen am Erfüllungsort: Ort im betreffenden Land
Beschreibung
Interne Kennung:
1005156
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet ✅
Beschreibung der Beschaffung:
Ausgeschrieben wird ein Rahmenvertrag für die Bereitstellung von Penetrationstests und Threat Modelings. Der Rahmenvertrag hat ein geschätztes Gesamtvolumen von 90 Personentagen (PT) pro Jahr und wird über vier Jahre geschlossen. Zwei Auftragnehmer bekommen den Zuschlag. Das Volumen verteilt sich auf beide Auftragnehmer und kann sowohl für Pentests als auch für Threat-Modelings abgerufen werden.
Einzelheiten sind der Anlage Leistungsbeschreibung zu entnehmen.
Mehr anzeigen
Zusätzliche Produkte/Dienstleistungen: Softwaretests 📦
Land: Deutschland 🇩🇪
Dauer: 48 Monate
Titel
Los-Identifikationsnummer:
LOT-0001
Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-06-01 12:00:00 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 60 Tage
Informationen über eine Rahmenvereinbarung oder ein dynamisches Beschaffungssystem
Rahmenvereinbarung mit mehreren Betreibern ✅
Höchstzahl der Teilnehmer: 2
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben
Elektronische Rechnungsstellung: Erforderlich
Die elektronische Bestellung wird verwendet ✅
Elektronische Zahlung wird verwendet ✅
Frist für die Anforderung zusätzlicher Informationen: 2026-05-18 23:59:59 📅
Zusätzliche Informationen:
Unvollständige Angebote können vom weiteren Verfahren ausgeschlossen werden. Die Auftraggeberin behält sich vor, die Bieter unter Setzung einer Frist und Einhaltung der Grundsätze der Transparenz und der Gleichbehandlung aufzufordern, fehlende, unvollständige oder fehlerhafte unternehmensbezogene Unterlagen, insbesondere Eigenerklärungen, Angaben, Bescheinigungen oder sonstige Nachweise, nachzureichen, zu vervollständigen oder zu korrigieren, oder fehlende oder unvollständige leistungsbezogene Unterlagen nachzureichen oder zu vervollständigen.
Die Nachforderung von leistungsbezogenen Unterlagen, die die Wirtschaftlichkeitsbewertung der Angebote anhand der Zuschlagskriterien betreffen, ist ausgeschlossen. Dies gilt nicht für Preisangaben, wenn es sich um unwesentliche Einzelpositionen handelt, deren Einzelpreise den Gesamtpreis nicht verändern oder die Wertungsreihenfolge und den Wettbewerb nicht beeinträchtigen.
Im Übrigen gilt § 56 Abs. 2 und 3 VgV.
Mehr anzeigen
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Eignungskriterium: Berufliche Risikohaftpflichtversicherung
Liste und kurze Beschreibung der Regeln und Kriterien:
2.1 Nachweis einer Berufs-/Betriebshaftpflichtverischerung - "2.1 Nachweis einer Berufs-/Betriebshaftpflichtversicherung: Abgabe einer Eigenerklärung des Bieters, dass eine Berufs- oder Betriebshaftpflichtversicherung vorhanden ist, bzw. im Auftragsfall abgeschlossen wird und diese während der gesamten Vertragslaufzeit aufrecht erhalten wird
(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 2.1),
Im Fall einer Bietergemeinschaft muss eine entsprechende Versicherung von mindestens einem Mitglied oder alternativ von der Bietergemeinschaft selbst vorhanden sein.
Inhaltliche Mindestanforderung:
Bestehen einer im Rahmen und Umfang marktüblichen Industriehaftpflichtversicherung oder einer vergleichbaren Versicherung aus einem Mitgliedsstaat der EU."
Mehr anzeigen
Liste und kurze Beschreibung der Regeln und Kriterien:
2.2 Eigenerklärung zu den Unternehmensumsätzen - "2.2 Eigenerklärung zu den Unternehmensumsätzen: Abgabe einer Eigenerklärung des Bieters/von jedem Mitglied einer Bietergemeinschaft über seine Gesamt- sowie tätigkeitsbezogenen Umsatzerlöse der letzten drei abgeschlossenen Geschäftsjahre
(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 2.2).
Inhaltliche Mindestanforderung:
"
Mehr anzeigen
Liste und kurze Beschreibung der Regeln und Kriterien:
3.1 Eigenerklärung über geeignete Unternehmensreferenzen - "3.1 Eigenerklärung über geeignete Unternehmensreferenzen: Abgabe einer Eigenerklärung über geeignete Referenzen über früher ausgeführte Aufträge, die mit dem Ausschreibungsgegenstand vergleichbar sind.
Eine Referenz ist vergleichbar, wenn sie die nachfolgenden Bedingungen erfüllt:
- Das Referenzprojekt entspricht im wesentlichen den hier ausgeschriebenen Leistungen.
- Projektbeginn und -ende nicht länger als 3 Kalenderjahre (gerechnet ab Angebotsfristende) zurückliegend
- Das Penetrationstesting oder Threat-Modeling muss erfolgreich abgeschlossen sein.
(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 3.1).
Inhaltliche Mindestanforderung:
Es sind mindestens 6 vergleichbare Referenzprojekte nachzuweisen:
I. Threat-Modeling
Es sind mindestens 3 Referenzprojekte mit dem Inhalt Threat-Modeling einzureichen, die die folgenden Mindestanforderungen kumulativ erfüllen müssen:
- Die Architektur eines verteilten, technischen Systems wurde anhand von Design-Dokumenten untersucht. Dabei wurden Schwachstellen identifiziert und beschrieben.
- Es wurde ein Bedrohungsmodell in Form eines Diagrams erstellt. Hierfür wurden anerkannte Modellierungstechniken eingesetzt, beispielsweise das C4 Model.
- Die Referenzprojekte müssen für einen Kunden außerhalb des eigenen Unternehmens durchgeführt worden sein.
Zwei der mindestens 3 Refrenzprojekte müssen zusätzliche folgender Kriterien erfüllen:
- Es wurde ein Workshop fürs Threat-Modeling mit mindestens 4 Teilnehmern durchgeführt. Im Rahmen des Workshops wurden zusammen Diagramme erstellt oder ergänzt, anhand derer mögliche Schwachstellen identifiziert werden konnten. Die Termine können Remote stattgefunden haben.
II. Penetrationtesting
Es sind mindestens 3 Referenzprojekte mit dem Inhalt Penetrationtesting einzureichen, die die folgenden Mindestanforderungen kumulativ erfüllen müssen:
- Aus den vorlegten Refernzprojekten muss jedes der folgenden Themengebiete mindestens einmal belegt werden können: Smartphone-Apps (z.B. für iOS oder Android), Web-Applications, Cloud-Umgebungen und Netzwerke
- Sie haben einen Umfang von mindestens 5 Personentagen
- Sie müssen für einen Kunden außerhalb des eigenen Unternehmens durchgeführt worden sein.
HINWEIS:
Die Erfüllung sämtlicher Mindestkriterien muss sich aus der inhaltlichen Beschreibung der erbrachten Leistungen in der Eigenerklärung in Anlage A2, Ziffer 3.1 ergeben."
Mehr anzeigen
3.2 Eigenerklärung zur Menge durchgeführter Threat-Modelings - "3.2 Eigenerklärung zur Menge durchgeführter Threat-Modelings: Abgabe einer Eigenerklärung des Bieters / der Bietergemeinschaft, dass im Zeitraum der letzten 3 Jahre mindestens 10 Threat-Modelings durchgeführt wurden.
(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 3.2).
Inhaltliche Mindestanforderung:
Die Threat-Modelings müssen vergleichbar sein mit den Anforderungen dieser Ausschreibung an Threat-Modelings, beschrieben in Kapitel 4.9 der B1_Leistungsbeschreibung."
Mehr anzeigen
Bedingungen für die Vertragserfüllung:
"1.1 Eigenerklärung zur Zuverlässigkeit: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft zur Zuverlässigkeit gemäß §§ 123, 124 GWB
(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.1). || "
"1.2 Eigenerklärung Mindestlohn und Tariftreue: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft zur Einhaltung der Pflicht zur Zahlung des Mindestlohns und zur Tariftreue
(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.2). || "
"1.3 Eigenerklärung zu Russlandsanktionen: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft, von jedem benannten Nachunternehmer, dass die Art. 5k Abs. 1 VO (EU) 833/2014 genannten Sachverhalte zu Russlandsanktionen eingehalten werden
(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.3). || "
Mehr anzeigen
Ausschlussgrund:
Beteiligung an einer kriminellen Vereinigung
Betrug
Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften
+ 19 weitere
Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens
Einstellung der gewerblichen Tätigkeit
Geldwäsche oder Terrorismusfinanzierung
Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren
Kinderarbeit und andere Formen des Menschenhandels
Korruption
Schwerwiegendes berufliches Fehlverhalten
Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten
Täuschung, Zurückhaltung von Informationen, Unfähigkeit zur Vorlage erforderlicher Unterlagen oder Erlangung vertraulicher Informationen zu dem Verfahren
Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs
Verstoß gegen arbeitsrechtliche Verpflichtungen
Verstoß gegen die in den rein innerstaatlichen Ausschlussgründen verankerten Verpflichtungen
Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen
Verstoß gegen die Verpflichtung zur Entrichtung von Steuern
Verstoß gegen sozialrechtliche Verpflichtungen
Verstoß gegen umweltrechtliche Verpflichtungen
Verwaltung der Vermögenswerte durch einen Insolvenzverwalter
Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen
Zahlungsunfähigkeit
Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Öffentlicher Auftraggeber
Name und Adressen
Name: DAK-Gesundheit
Nationale Registrierungsnummer:
DE811462382
Postanschrift: Nagelsweg 27-31
Postleitzahl: 20097
Postort: Hamburg
Region: Hamburg 🏙️
Land: Deutschland 🇩🇪
E-Mail: vergabestelle@dak.de 📧
Telefon: +49 000 📞
URL: http://www.dak.de 🌏
Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
Haupttätigkeit
Gesundheit
Kommunikation
Dokumente URL: https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC/documents 🌏
Teilnahme-URL: https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC 🌏
URL des Beschaffungsinstruments: https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC 🌏
Elektronische Einreichung: Erforderlich
Ergänzende Informationen
Zusätzliche Informationen
#Bekanntmachungs-ID: CXS0YRXYTP3CQZFC#
Unabhängig von dieser Ausschreibung würden wir uns freuen, wenn wir Ihnen und Ihren Beschäftigten unser Leistungs- bzw. Serviceangebot vermitteln dürften. Sofern Sie hieran Interesse haben, senden Sie uns bitte die anliegende Erklärung "Freiwillige Einverständniserklärung Vertrieb" zu.
WICHTIG! Die Entscheidung, ob Sie uns die Möglichkeit der Information hinsichtlich unseres Leistungs- bzw. Serviceangebotes geben möchten, hat keinerlei Auswirkung auf die Ausschreibung, d. h. auch wenn Sie uns die Erklärung "Freiwillige Einverständniserklärung Serviceangebot" nicht übermitteln, wird Ihr Angebot, wie jedes andere Angebot, geprüft und gewertet!
Mehr anzeigen
Name: Vergabekammern des Bundes
Nationale Registrierungsnummer:
000
Postanschrift: Bundeskanzlerplatz 2
Postleitzahl: 53113
Postort: Bonn
Region: Bonn, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
E-Mail: vk@bundeskartellamt.bund.de 📧
Telefon: +49 22894990 📞
URL: https://www.bundeskartellamt.de 🌏
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
§ 160 Einleitung, Antrag
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.
Mehr anzeigen
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-04-30+02:00 📅
Quelle: OJS 2026/S 085-302378 (2026-04-30)
Neue Beschaffungen in verwandten Kategorien 🆕
- IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (>20 neue Beschaffungen)