Rahmenvereinbarung Dienstleistung Sicherheitsprüfungen (Penetrationstests / Red Teaming / Threat Intelligence)

Kurze Beschreibung

Die Rentenbank ist verpflichtet jährlich Sicherheitsprüfungen durchzuführen. Die Leistungen werden in die folgenden drei Leistungsbereiche aufgeteilt:
- Penetrationstests
- Red Teaming
- Threat Intelligence

Hauptstandort oder Erfüllungsort

Landwirtschaftliche Rentenbank Theodor-Heuss-Allee 80 60486 Frankfurt am Main Angenommen und als Berechnungsgrundlage genutzt, wird eine Verteilung von 5% vor-Ort und 95 % Remote.

Beschreibung der Beschaffung

Gegenstand dieses Vergabeverfahrens ist der Abschluss einer Rahmenvereinbarung mit mehreren Wirtschaftsteilnehmern. Die geplante Höchstzahl von Wirtschaftsteilnehmern an der Rahmenvereinbarung beträgt 10. Während der Laufzeit der Rahmenvereinbarung erfolgt eine gezielte Bedarfsdeckung über die benötigten Ressourcen in Form eines sogenannten Mini-Wettbewerbs nach § 21 Abs. 5 VgV zwischen den Unternehmen, mit denen eine Rahmenvereinbarung abgeschlossen wurde.
Die Rentenbank ist verpflichtet jährlich Sicherheitsprüfungen durchzuführen. Hierzu werden unter anderem Penetrationstests regelmäßig sowie anlassbezogen durchgeführt. Bei Änderungen an der IT-Infrastruktur können projektspezifische Penetrationstests beauftragt werden. Neben den projektspezifischen Penetrationstests werden risikobasiert ausgewählte sowie immer wiederkehrende relevante Assets jährlich getestet. Diese können u.a. folgende Themen umfassen:
Anwendungen - mit dem Ziel, Schwachstellen auf der Anwendungsebene zu identifizieren, darunter z.B. Schwachstellen bei websiteübergreifender Anforderungsfälschung, Injektionsschwachstellen, anfälliges Session-Management usw.
Netzwerk - mit dem Ziel, die Schwachstellen auf Netzwerk- und Systemebene zu identifizieren, darunter z.B. Fehlkonfigurationen, Schwachstellen in drahtlosen Netzwerken, Rogue-Dienste und mehr.
Physische Infrastruktur - mit dem Ziel, Verständnis der Sicherheit und Effektivität von physischen Sicherheitskontrollen durch einen realen Angriff.
Social Engineering - mit dem Ziel, persönliche und allgemein menschliche Schwächen auszunutzen und die menschliche Anfälligkeit für Betrug und Manipulation zu testen, etwa für E-Mail-Phishing, für Telefon- und SMS-Nachrichten sowie für physische und lokale Tarnung.
Die Ergebnisse dieser Prüfungen müssen ausführlich berichtet werden.
Die Anforderungen je Rolle sind in den einzelnen Leistungsbereichen beschrieben.
Die Leistungen werden in die folgenden drei Leistungsbereiche aufgeteilt:
- Penetrationstests
- Red Teaming
- Threat Intelligence
Die aufgezeigten Aufwände stellen eine unverbindliche Schätzung dar. Die geschätzte Abrufmenge in Personentagen (PT) beträgt je Leistungsbereich:
- Penetrationstests:
Rolle "Senior Penetrationtester" ca. 150 PT pro Jahr.
- Red Teaming:
Rolle "Red Team Test Manager" ca. 30 PT pro Jahr
Rolle "Senior Red Team Penetrationtester" ca. 90 PT pro Jahr
- Threat Intelligence:
Rolle "Senior Threat Intelligence Analyst" ca. 30 PT pro Jahr

Beschreibung der Verlängerungen

Die Vertragslaufzeit beginnt mit Zuschlagserteilung und beträgt, sofern vorher keine Kündigung erfolgt, zunächst zwei Jahre (Mindestvertragslaufzeit).
Die Auftraggeberin behält sich vor, den Vertrag zwei Mal um jeweils ein Jahr zu verlängern (optionale Vertragszeiträume).
Die Auftraggeberin teilt dem Auftragnehmer 3 Monate vor Ablauf der regulären Vertragslaufzeit mit, ob die Option gezogen wird und sich der Vertrag somit für ein weiteres Jahr verlängert. Für die weiteren optionalen Verlängerungen gilt selbiges.

Liste und kurze Beschreibung der Bedingungen

1. Eigenerklärung zur Eintragung in das Berufsregister ihres Sitzes oder Wohnsitzes oder vergleichbar
2. Eigenerklärung über das Nichtvorliegen von Ausschlussgründen gemäß §§ 123, 124 GWB (gem. Anlage 5 der Vergabeunterlagen)
3. Eigenerklärung zur Umsetzung von Artikel 5k Absatz 3 der Verordnung (EU) 2022/576 des Rates vom 8. April 2022

Liste und kurze Beschreibung der Auswahlkriterien

1. Berufs- oder Betriebshaftpflichtversicherung
2. Das Unternehmen bestätigt per Eigenerklärung, dass der Versicherungsschutz über die gesamte Vertragslaufzeit bestehen bleibt.

Zu 1. Eigenerklärung oder Nachweis:
Haftpflichtversicherung über die Vertragslaufzeit mit einer Mindestdeckung i.d.H. 3.000.000,00 EUR für Personen- und Sachschäden sowie 250.000 EUR für Vermögensschäden bei zweifacher Maximierung der Versicherungssumme.
Nachweis durch Eigenerklärung über das Vorhandensein einer entsprechenden Versicherung
ODER
Beifügen einer Kopie des Versicherungsscheins als Anlage
ODER
Beifügen einer Eigenerklärung im Zuschlagsfall eine Versicherung in der geforderten Höhe abzuschließen als Anlage.

Liste und kurze Beschreibung der Auswahlkriterien

1. Das Unternehmen hat mindestens eine Zertifizierung nachzuweisen, welches zum Zeitpunkt der Angebotsfrist gültig sein muss.
2. Das Unternehmen verpflichtet sich zur Beachtung der Reputation und ethische nachstehenden Grundsätze:
- Akkreditierung
- Verhaltenskodex
- Branchenveranstaltungen
- Kenntnisse
- Datenleaks
3. Referenzaufträge "Penetrationstests"
In der Eigenerklärung über die technische und berufliche Leistungsfähigkeit sind Angaben zu Referenzaufträgen zu machen, die das Unternehmen in den letzten drei Jahren vor Ablauf der Angebotsfrist ausgeführt hat. Es sind drei Referenzaufträge zu benennen. Es dürfen nur abgeschlossene Referenzaufträge benannt werden. Zu jedem Referenzauftrag sind folgende Angaben zu machen:
- Wesentliche Leistungsbeschreibung, max. 1 DINA 4 Seiten, als separate formfreie Anlage
- Angabe des geleisteten Werts, Auftragswert in EUR netto und Anzahl Personentage (PT)
- Zeitraum der Leistungserbringung. Die Referenz darf nicht älter als 3 Jahre sein, gerechnet ab Ende der Leistungserbringung bis zum Termin der Angebotsfrist. Beginn/Ende, Angabe in Monat/Jahr
- Name des Auftraggebers: Eindeutige Bezeichnung, keine allgemeine Branchenangaben
- Kontaktdaten des Ansprechpartners: Die Angabe ist zwingend notwendig zur Überprüfung der Referenzangaben.
- Referenzprojekt im Finanzsektor: Angabe: Förderbank, Bank, Finanzdienstleister, Versicherung, sonstiges
4. Personaleinsatz Penetrationstests
Das Unternehmen bestätigt per Eigenerklärung über die Qualifikation und Erfahrung des für die Auftragsausführung vorgesehenen Schlüsselpersonals.
5. Jedes Teammitglied hat mindestens eine Zertifizierung nachzuweisen, welches zum Zeitpunkt der Angebotsfrist gültig sein muss.
6. Referenzaufträge "Red Teaming"
In der Eigenerklärung über die technische und berufliche Leistungsfähigkeit sind Angaben zu Referenzaufträgen zu machen, die das Unternehmen in den letzten drei Jahren vor Ablauf der Angebotsfrist ausgeführt hat. Es sind drei Referenzaufträge zu benennen. Es dürfen nur abgeschlossene Referenzaufträge benannt werden. Zu jedem Referenzauftrag sind folgende Angaben zu machen:
- Wesentliche Leistungsbeschreibung, max. 1 DINA 4 Seiten, als separate formfreie Anlage
- Angabe des geleisteten Werts, Auftragswert in EUR netto und Anzahl Personentage (PT)
- Zeitraum der Leistungserbringung. Die Referenz darf nicht älter als 3 Jahre sein, gerechnet ab Ende der Leistungserbringung bis zum Termin der Angebotsfrist. Beginn/Ende, Angabe in Monat/Jahr
- Name des Auftraggebers: Eindeutige Bezeichnung, keine allgemeine Branchenangaben
- Kontaktdaten des Ansprechpartners: Die Angabe ist zwingend notwendig zur Überprüfung der Referenzangaben.
- Referenzprojekt im Finanzsektor: Angabe: Förderbank, Bank, Finanzdienstleister, Versicherung, sonstiges
- Anzahl der TIBER-DE konformen Tests: Durchführung gemäß Vorgaben der Bundesbank für Deutschland
- Anzahl der TIBER-EU konformen Tests: Durchführung gemäß Vorgaben der Europäischen Zentralbank für Europa
7. Referenzaufträge "Threat Intelligence"
In der Eigenerklärung über die technische und berufliche Leistungsfähigkeit sind Angaben zu Referenzaufträgen zu machen, die das Unternehmen in den letzten drei Jahren vor Ablauf der Angebotsfrist ausgeführt hat. Es sind drei Referenzaufträge zu benennen. Es dürfen nur abgeschlossene Referenzaufträge benannt werden. Zu jedem Referenzauftrag sind folgende Angaben zu machen:
- Wesentliche Leistungsbeschreibung, max. 1 DINA 4 Seiten, als separate formfreie Anlage
- Angabe des geleisteten Werts, Auftragswert in EUR netto und Anzahl Personentage (PT)
- Zeitraum der Leistungserbringung. Die Referenz darf nicht älter als 3 Jahre sein, gerechnet ab Ende der Leistungserbringung bis zum Termin der Angebotsfrist. Beginn/Ende, Angabe in Monat/Jahr
- Name des Auftraggebers: Eindeutige Bezeichnung, keine allgemeine Branchenangaben
- Kontaktdaten des Ansprechpartners: Die Angabe ist zwingend notwendig zur Überprüfung der Referenzangaben.
- Referenzprojekt im Finanzsektor: Angabe: Förderbank, Bank, Finanzdienstleister, Versicherung, sonstiges
- Anzahl der vorbereiteten TIBER-DE konformen Tests: Vorbereitung gemäß Vorgaben der Bundesbank für Deutschland
- Anzahl der vorbereiteten TIBER-EU konformen Tests: Vorbereitung gemäß Vorgaben der Europäischen Zentralbank für Europa
8. Der Bieter bestätigt per Eigenerklärung, dass ein qualifizierter Red Team Test-Manager für die Auftragsausführung vorgesehen ist.
Als qualifiziert gelten mindestens drei der nachstehend aufgeführten Zertifikate.
9. Das Unternehmen bestätigt per Eigenerklärung Anzahl an qualifiziertem Schlüsselpersonal (Red Team ohne Red Team Test-Manager) welches für die Auftragsausführung vorgesehen ist.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

zu 1: mindestens eine Zertifizierung nach
- ISO/IEC 27001
- NIST 800-115 for Information Security
- FedRAMP-Compliant data centres
- FIPS 140-2-Compliant encryption for data protection
zu 3:
Mindestens zwei vergleichbare Referenzen "Penetrationstests" aus dem Finanzsektor (Förderbank, Bank, Finanzdienstleister, Versicherung)
zu 4:
Die Dauer der Berufserfahrung jedes Teammitglieds im Bereich "Penetrationstest" beträgt mindestens 3 Jahre.
Mindestens 3 Personen.
zu 5:
mindestens eine Zertifizierung nach:
- CREST Certified Simulated Attack Specialist (CCSAS)
- CSX Penetration & Vulnerability Tester Pathway
- CSX-P - Cybersecurity Practitioner Certification
- Certified Information Systems Security Professional (CISSP)
- Systems Security Certified Practitioner (SSCP)
- GIAC Penetration Tester (GPEN)
- GIAC Web Application Penetration Tester (GWAPT)
- GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
- GIAC Mobile Device Security Analyst (GMOB)
- GIAC Assessing and Auditing Wireless Networks (GAWN)
- Offensive Security Certified Professional (OSCP)
- Offensive Security Wireless Professional (OSWP)
- Offensive Security Exploitation Expert (OSEE)
- Offensive Security Web Expert (OSWE)
- eCPPT e-learn Security Certified Professional Penetration Tester (eCPPT)
- eLearnSecurity Web Application Penetration Tester (eWPT)
- eLearnSecurity Web Application Penetration Tester eXtreme (eWPTX)
- eLearnSecurity Mobile Application Penetration Tester (eMAPT)
- eLearnSecurity Certified eXploit Developer (eCXD)
- EC-Council Certified Security Analyst (ECSA)
- Licensed Penetration Tester (LPT)
- Certified Ethical Hacker (CEH)
zu 6:
Mindestens zwei vergleichbare Referenzen mit einem Auftragswert von jeweils mindestens 75.000 EUR netto.
Mindestens eine vergleichbare Referenz aus dem Finanzsektor (Förderbank, Bank, Finanzdienstleister, Versicherung)
zu 7:
Mindestens zwei vergleichbare Referenzen mit einem Auftragswert von jeweils mindestens 20.000 EUR netto.
Mindestens eine vergleichbare Referenz aus dem Finanzsektor (Förderbank, Bank, Finanzdienstleister, Versicherung)
zu 8:
mindestens ein Red Team Test-Manager mit mindestens 3 Jahren Berufserfahrung im Bereich "Red Team Tests" und mindestens 1 Jahr Berufserfahrung im Bereich "Red-Team Tests" für die Steuerung bedrohungsrelevanter Red-Team Tests im Finanzsektor
Mindestens drei der folgenden Qualifikationsnachweise und Zertifikate sind für den Red Team-Test -Manager nachzuweisen:
- CREST Certified Threat Intelligence Manager (CCTIM)
- CREST Certified Simulated Attack Manager (CCSAM)
- Offensive Security Certified Expert (OSCE)
- eLearnSecurity Certified Penetration Tester eXtreme (eCPTX)
zu 9:
mindestens 3 Personen mit Berufserfahrung im Bereich "Red Team"
Für jeden Red Teaming Teammitglied sind mindestens zwei der folgenden Qualifikationsnachweise und Zertifikate nachzuweisen:
- CREST Certified Simulated Attack Specialist (CCSAS)
- CSX Penetration & Vulnerability Tester Pathway
- CSX-P - Cybersecurity Practitioner Certification
- Certified Information Systems Security Professional (CISSP)
- Systems Security Certified Practitioner (SSCP)
- GIAC Penetration Tester (GPEN)
- GIAC Web Application Penetration Tester (GWAPT)
- GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
- GIAC Mobile Device Security Analyst (GMOB)
- GIAC Assessing and Auditing Wireless Networks (GAWN)
- Offensive Security Certified Professional (OSCP)
- Offensive Security Wireless Professional (OSWP)
- Offensive Security Exploitation Expert (OSEE)
- Offensive Security Web Expert (OSWE)
- eCPPT e-learn Security Certified Professional Penetration Tester (eCPPT)
- eLearnSecurity Web Application Penetration Tester (eWPT)
- eLearnSecurity Web Application Penetration Tester eXtreme (eWPTX)
- eLearnSecurity Mobile Application Penetration Tester (eMAPT)
- eLearnSecurity Certified eXploit Developer (eCXD)
- EC-Council Certified Security Analyst (ECSA)
- Licensed Penetration Tester (LPT)
- Certified Ethical Hacker (CEH)

1. Die Vergabeunterlagen stehen auf der Vergabeplattform https://www.dtvp.de/ zum Download zur Verfügung; die Bieter werden gebeten, die Vergabeunterlagen unverzüglich auf Vollständigkeit zu prüfen.
2. Die Beantwortung von Fragen zum Verfahren sowie sämtliche Kommunikation zwischen den Beteiligten und der Vergabestelle erfolgt ausschließlich über das Deutsche Vergabeportal unter https://www.dtvp.de. Die Interessenten sind daher verpflichtet, regelmäßig im Postfach auf der Vergabeplattform nachzusehen, ob Nachrichten eingegangen sind. Der Auftraggeber kann von der Beantwortung von Bewerber-/Bieterfragen absehen, welche nicht über das Vergabeportal eingereicht werden.
3. Etwaige Fragen von interessierten Unternehmen müssen bis spätestens 21.07.2023 um 23:59 Uhr über das o. g. Vergabeportal übersendet werden. Der Auftraggeber behält sich vor, danach eingehende Anfragen nicht mehr zu beantworten. Fragen zu dem Vergabeverfahren werden wegen der Gleichbehandlung der Bieter nur in Textform und anonymisiert beantwortet.
4. Für die Angebote sind die hierfür zur Verfügung gestellten Vordrucke zu verwenden, die über das Vergabeportal abgerufen werden können.
5. Angebote sind über die Vergabeplattform im entsprechenden Projektraum über das Bietertool im Reiter "Angebote" einzureichen. Auf andere Art übermittelte Angebote, insbesondere schriftliche Angebote oder Angebote per E-Mail sind nicht zulässig. Angebote dürfen nicht über die Nachrichtenfunktion des Bietertools eingereicht werden.
6. Der Bieter hat sich rechtzeitig mit der Funktion der Vergabeplattform zur Abgabe von Angeboten vertraut zu machen und sich über etwaige Wartungsarbeiten der Vergabeplattform (Downtimes) zu informieren. Es wird darauf hingewiesen, dass ggf. Dateianhänge nur bis zu einer bestimmten Größe hochgeladen werden können. Im Falle von Störungen der Vergabeplattform hat sich der Bieter an den Support des Plattformbetreibers zu wenden und parallel dazu den Auftraggeber zu informieren.
7. Soweit vom Bieter auszufüllende Bestandteile der Vergabeunterlagen mit Unterschrift und Firmenstempel zu versehen sind, gilt bei elektronischer Angebotsabgabe in Textform das Folgende: Anstelle von Originalunterschrift und Firmenstempel ist nur der Name der natürlichen Person, die die Erklärung abgibt, anzugeben. Dies kann auch durch eine eingescannte Unterschrift erfolgen.
8. Die Verfahrenssprache ist deutsch. Es werden daher nur Angaben und Nachweise in deutscher Sprache akzeptiert (ggf. in deutscher Übersetzung).
9. Maßgeblich ist allein der Text der europaweiten Bekanntmachung im Amtsblatt der EU.
10. Der Auftraggeber behält sich vor, von seinem Nachforderungsrecht Gebrauch zu machen.
Bekanntmachungs-ID: CXP4YQN63M4

Genaue Informationen über Fristen für Überprüfungsverfahren

Für die Einleitung eines Nachprüfungsverfahrens vor der Vergabekammer gelten u. a. die §§ 160 f. GWB. Diese haben folgenden Wortlaut:
§ 160 Einleitung, Antrag
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.
§ 161 Form, Inhalt
(1) Der Antrag ist schriftlich bei der Vergabekammer einzureichen und unverzüglich zu begründen. Er soll ein bestimmtes Begehren enthalten. Ein Antragsteller ohne Wohnsitz oder gewöhnlichen Aufenthalt, Sitz oder Geschäftsleitung im Geltungsbereich dieses Gesetzes hat einen Empfangsbevollmächtigten im Geltungsbereich dieses Gesetzes zu benennen.
(2) Die Begründung muss die Bezeichnung des Antragsgegners, eine Beschreibung der behaupteten Rechtsverletzung mit Sachverhaltsdarstellung und die Bezeichnung der verfügbaren Beweismittel enthalten sowie darlegen, dass die Rüge gegenüber dem Auftraggeber erfolgt ist; sie soll, soweit bekannt, die sonstigen Beteiligten benennen.