Unterstützung Sicherheitskomponenten

Kurze Beschreibung

Beschaffung von Unterstützungsleistungen zur Sicherung von Netzübergängen im LAN- und WAN-Umfeld durch Sicherheitsgateways zur Verbindung von verschiedenen internen und externen Netzbereichen.

Hauptstandort oder Erfüllungsort

Die Orte der Leistungserbringung sind grundsätzlich alle Dienststellen des Landes Hessen, alle derzeitigen und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld sowie der Standort der FITKO in Frankfurt am Main. Nach Genehmigung des Auftraggebers oder soweit sich dies ausdrücklich aus dem Wortlaut von Einzelabrufen ergibt, können die Leistungen auch am Standort des Auftragnehmers erbracht werden.

Beschreibung der Beschaffung

Ziel ist der Abschluss eines Rahmenvertrages (über eine Gesamtlaufzeit von 4 Jahren) über Unterstützungsleistungen zur Sicherung von Netzübergängen im LAN- und WAN-Umfeld durch Sicherheitsgateways zur Verbindung von verschiedenen internen und externen Netzbereichen (Hessennetz, Fremdnetze und Internet).
Das Gesamtausschreibungsvolumen beläuft sich bei einer Gesamtlaufzeit von vier Jahren auf 9.850.000,00 € (netto).
Die Sicherheitsgateways sind nach den Anforderungen durch die Sicherheitsrichtlinien der jeweiligen Netzübergänge unterschiedlich ausgeprägt. Neben Sicherheitsgateways, die nur aus einem Firewall-Cluster bestehen, sind zur Abtrennung von besonderen Sicherheitszonen zu Fremdnetzen und zum Internet komplexere Sicherheitsgateways in Betrieb. Diese Sicherheitsgateways bestehen u.a. aus komplexen Architekturen mit Firewallsystemen, Netzwerkkomponenten sowie Servern, welche grundlegende Infrastrukturdienste (z.B.: http-Proxy DNS, Mail-Relaying und Systeme mit Antispam und Antivirusprüfung) für die Kommunikation mit internen und externen Netzen zur Verfügung stellen.
Insgesamt bestehen bei den zu vergebenen Leistungen hohe Sicherheitsanforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikation. Ein effizientes und umfassendes Störungsmanagement unterstützt die durchgängige Verfügbarkeit und Sicherheit der verwendeten Komponenten. Zur Erfüllung dieser Aufgaben sucht die HZD einen Servicepartner, der die HZD beim Betrieb der Sicherheitsgateways unterstützt.
Der Betrieb der Komponenten erfolgt durchgängig an 7 Tagen die Woche jeweils 24 Stunden. Der Bestand ist, bedingt durch den Bedarf der Endkunden, ständigen Veränderungen unterworfen. Der Auftragnehmer muss in der Lage sein, im Rahmen der beschriebenen Randbedingungen, den Veränderungsbedarf fristgerecht und zu den angebotenen Bedingungen umzusetzen. Prognosen zum künftigen Bedarf sind Schätzungen und führen zu keinerlei Abnahmeverpflichtung, sondern geben lediglich Hinweise auf die derzeit erwartete Bedarfsentwicklung während der Vertragslaufzeit.
Vorliegende Sicherheitskomponenten:
1. Firewalls
- Checkpoint
- Genuscreen
2. Webgateway
- Broadcom ProxySG (BlueCoat)
- CISCO Web Security Appliance (WSA)
- Squid Proxy auf Basis von Linux Appliances
3. DNS-Server
- Bind DNS auf Basis von Linux Appliances
4. Mailrelayserver mit AntiSpam- und AntiViruskomponenten
- Mailrelaysysteme auf Basis von Linux Appliances
5. Netzwerkomponenten
Aktuelle Servicelösung:
Im Folgenden wird die Servicelösung, die die HZD (im folgenden auch Auftraggeber genannt, Kurzform AG) gegenüber ihren Kunden (Dienststellen des Landes) erbringt, näher dargestellt und erläutert.
Die Service-Leistungen beinhalten die Beratung und Beschaffung, die Einbindung in die bestehende Netzstruktur, die Implementierung von Sicherheits-Policys und Regelwerken sowie den täglichen Betrieb und die Überwachung der Sicherheits- und Infrastruktur-Komponenten. Die Leistungserbringung erfolgt durch die HZD mit Unterstützung des Auftragnehmers an bis zu 24 Stunden an 7 Tagen pro Woche. Verantwortlicher Vertragspartner gegenüber dem Kunden ist die HZD. Der Auftragnehmer nutzt zur aktiven Netzwerküberwachung und Störungseingrenzung ausschließlich die von der HZD zur Verfügung gestellten zentralen Managementwerkzeuge und unterliegt somit vollständig der Kontrolle durch die HZD. Art und Umfang der Störungsdokumentation werden seitens der HZD im Rahmen von standardisierten Serviceprozessen vorgegeben. Die HZD betreibt die Services und deren Komponenten in verschiedenen Service Level, die sich durch die Art der Fernüberwachung durch die HZD bzw. den Auftragnehmer unterscheiden. Der Kunde hat die Möglichkeit zwischen folgenden Services zu wählen. Die Leistungen werden in Form von Leistungs-Paketen mit jeweils unterschiedlichen Service-Levels angeboten.
Serviceklassen:
- "Betriebszeit": Basis Mo-So 00:00-24:00 Uhr; 24*7 Incident Mo-So 00:00-24:00 Uhr; Premium Mo-So 00:00-24:00 Uhr
- "Servicezeit": Basis Mo-Do 08:00-16:00, Fr 08:00-14:30; 24*7 Incident Mo-So
00:00-24:00 Uhr; Premium Mo-So 00:00-24:00 Uhr
- "Call-Annahme": Basis Mo-So 00:00-24:00 Uhr; 24*7 Incident Mo-So 00:00-24:00
Uhr; Premium Mo-So 00:00-24:00 Uhr
- "Wartungsfenster": Basis 4h je Woche, Di 18:00-22:00 Uhr; 24*7 Incident 4h je
Woche, Di 18:00-22:00 Uhr; Premium 4h je Woche, Di 18:00-22:00 Uhr
- "Reaktionszeit": - Basis PRIO A: 4 Std., PRIO B: 4 Std., PRIO C: 8 Std., PRIO D: 12 Std.;
- 24*7 Incident PRIO A: 1 Std., PRIO B: 2 Std., PRIO C: 4 Std., PRIO
D: 12 Std.
- Premium PRIO A: 1 Std., PRIO B: 2 Std., PRIO C: 8 Std., PRIO D: 12
Std.
- "max. Vor-Ort-Zeit (HWTausch)": Basis 24h während der "Servicezeit Basis"; 24*7
Incident 24h während der "Servicezeit Basis"; Premium 4 h während der "Servicezeit
Premium"
Leistungsübersicht:
Der Auftraggeber erwartet die Betriebsunterstützung durch den Auftragnehmer für die Sicherheitskomponenten. Die geforderten Dienstleistungen des Auftragnehmers sind so zu gestalten und zu verzahnen, dass die mit den HZD-Kunden vereinbarten Zusagen jederzeit eingehalten werden können. Der Auftragnehmer wird eigene Serviceprozesse entsprechend den Anforderungen des Auftraggebers anpassen.Der Auftragnehmer verpflichtet sich das jeweils in der HZD genutzte Trouble Ticket System (z.Zt. Remedy) in seine Infrastruktur zu integrieren. Die HZD beabsichtigt, während der Vertragslaufzeit Remedy durch Cherwell zu ersetzen. Der Auftragnehmer verpflichtet sich, für diese Umstellung keine zusätzlichen Kosten zu berechnen. Er verpflichtet sich weiterhin, die organisatorischen Voraussetzungen zur Umsetzung der Melde-/Informationswege in seiner Supportstruktur zu schaffen. Dies ist bei Angebotsabgabe durch eine Einverständniserklärung (Datei: "Einverstaendniserklaerung") zu belegen. Der Einsatz von Kommunikations- bzw. Administrationssystemen des Auftragnehmers zur Erbringung der Leistungen wird ausgeschlossen.
Mit Abgabe seines Angebots verpflichtet sich der Auftragnehmer verbindlich die geforderten Leistungen nach Bereitstellung des technischen Zugriffes und einer Einweisung von maximal 4 Wochen, spätestens in vollem Umfang zum 01.11.2023 zur Verfügung zu stellen. Aufgrund der Dynamik in diesem Umfeld und der langfristigen Bindung von mindestens zwei Jahren ist davon auszugehen, dass es zu Release-/Versionswechseln oder dem Einsatz von Nachfolgeprodukten oder Produkten anderer Hersteller bei den betroffenen Systemen kommen wird. Der Auftragnehmer muss deshalb in der Lage sein, sowohl die jeweils aktuellen Versionsstände der eingesetzten Software bzw. die aktuellen Produkte als auch ggf. alte Versionsstände zu unterstützen. Der Auftragnehmer verpflichtet sich, seine Mitarbeiter beim Einsatz neuer Produkte entsprechend zu schulen, sodass die Leistungserbringung weiterhin möglich ist. Es ist davon auszugehen, dass es während der Laufzeit der Rahmenvereinbarung zu Veränderungen (Erweiterungen als auch Verringerungen) des Leistungsspektrums in den oben dargestellten Varianten durch neue Release-/Versionswechsel oder dem Einsatz von Nachfolgeprodukten oder Produkten anderer Hersteller bei den betroffenen Systemen kommen kann. Beispielhaft steht derzeit der Wechsel des Webgateway Produktes ProxySG des Herstellers Broadcom auf das in der Funktion vergleichbare Produkt Secure Web Appliance des Herstellers CISCO an. Die dazu durch den Bieter zu erbringenden Leistungen sind identisch. Der Auftragnehmer sichert mit der Abgabe seines Angebotes zu, dass er fachlich, personell und zeitlich in der Lage ist, Unterstützungsleis-tungen durch fachlich qualifizierte (zertifizierte) Mitarbeiter zu den Leistungen, wie nach Aufgabe und Umfang in diesem Leistungsverzeichnis beschrieben, zu gewährleisten. Der Auftragnehmer versichert außerdem, dass die in dieser Ausschreibung aufgeführten Systeme mindestens noch fünf Jahre nach Vertragsbeginn von ihm unterstützt werden.
Die HZD bietet ihren Kunden den Betrieb von Sicherheitsgateways an. Diese Dienstleistung beinhaltet u.a. den 1st und 2nd Level Support bei Störungen. Der Auftraggeber orientiert sich bei der Durchführung des Infrastrukturbetriebes an den IT Servicemanagement Prozessen nach ITIL. Maßgeblich für die Erbringung der Serviceleistungen sind dabei im Wesentlichen die IT-Service-Support Prozesse.
Der Auftraggeber erwartet die Unterstützung durch den Auftragnehmer in den folgenden Bereichen:
• 1st und 2nd Level Support für die Sicherheitskomponenten
• Hardwaretausch und Remoteinbetriebnahme
• Ersatzgerätemanagement und Vor-Ort Hardwaretausch
• Herstellerrückversicherung
• Systembetrieb
• Backup
• Change Management
• Problem Management
• Release Management
Die geforderten Dienstleistungen sind so zu gestalten und zu verzahnen, dass sie mit den Servicezeiten vereinbar sind.
Die vom Auftragnehmer zu erbringenden Leistungen liegen hauptsächlich im Bereich Incident Management und im Bereich Operative Tätigkeiten. Bei der Serviceklasse 24x7 Incident an den Kunden werden die Dienstleistungen zwischen HZD und Auftragnehmer aufgeteilt. Die HZD erbringt die Leistungen zur Servicezeit der Serviceklasse Basis. Außerhalb dieser Zeiten wird eine Serviceklasse "IM Night" relevant für den Auftragnehmer definiert. Zu dieser Zeit übernimmt der Auftragnehmer die Dienstleistungen. Unter das Incident Management fallen:
1st Level Support, 2nd Level Support, Hardwaretausch und Vor-Ort Inbetriebnahme
Die Orte der Leistungserbringung sind grundsätzlich alle Dienststellen des Landes Hessen, alle derzeitigen und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld sowie der Standort der FITKO in Frankfurt am Main. Die Leistungen können u.U. auch am Standort de Auftragnehmers erbracht werden.

Zusätzliche Informationen

Die Leistungen aus der Rahmenvereinbarung können bis zu einem Höchstwert von 9.850.000,00 Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet diese Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Liste und kurze Beschreibung der Auswahlkriterien

In technischer und beruflicher Hinsicht wird von den Bietern zum Nachweis ihrer Leistungsfähigkeit Folgendes verlangt:
Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei Jahren (Stichtag "Ablauf der Angebotsfrist"), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.
Art:
1. Betreuung eines 7x24 Stunden Betriebs
2. mit einer systemtechnischen Beobachtung der Systeme
3. durch ein ständig besetztes Operation Center
4. Betrieb der Produkte
a. Checkpoint Firewalls
b. Webgateways (z.B. Broadcom ProxySG (Bluecoat) Proxy, Broadcom ProxySG
(Bluecoat) CAS oder CISCO Secure Web Appliance)
c. DNS-Systeme (z.B. Linux DNS-Server)
d. Mailrelay-Systeme (z.B. Linux Mailrelayserver mit AntiSpam und Antivirus
Software oder Trendmicro IMSVA)
Umfang:
Mindestens ein produktives Leistungsjahr bis zum Stichtag (Stichtag "Ablauf der Angebotsfrist")
(Datei "Referenzen" auf der Vergabeplattform).
In der Referenzvorlage ist abschließend die Person des Erklärenden namentlich anzugeben.
Das unter 4.a. geforderte Produkt "Checkpoint Firewalls" ist von den Bietern zwingend zu erfüllen, da es aufgrund der Menge der installierten Basis und der Bedeutung der Systeme unabdingbar ist, Erfahrungen im Betrieb von Checkpoint-Systemen nachzuweisen. Bei den Produkten 4.b. - d. ist lediglich eine Eignung nach Produktklassen nachzuweisen, d.h. die exemplarisch genannten Systeme müssen nicht zwingend vorliegen und vergleichbare Systeme können als Referenz dienen.

Bedingungen für die Vertragserfüllung

Es wird darauf hingewiesen, dass die Bieter sowie deren Nachunternehmen und Verleihunternehmen, soweit diese bereits bei Angebotsabgabe bekannt sind, die erforderlichen Verpflichtungserklärungen (Datei "Verpflichtungserklaerung_oeff_AG") zur Tariftreue und zum Mindestentgelt nach dem Hessischen Vergabe- und Tariftreuegesetz (HVTG) vom 12.07.2021, (GVBl. S. 338) mit dem Angebot abzugeben haben. Die Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei einem Bieter, Nachunternehmer und Verleihunternehmen im EU-Ausland beschäftigt sind und die Leistung im EU-Ausland erbringen.

Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.
Ein Bieter kann den Nachweis seiner Eignung und des Nichtvorliegens von Ausschlussgründen ganz oder teilweise durch die Teilnahme an Präqualifikationssystemen erbringen. Geforderte Unterlagen, die in Form anerkannter Präqualifikationsnachweise vorliegen, sind im Rahmen ihres Erklärungsumfangs zulässig. In diesem Fall muss vom Bieter der Hinweis aufgenommen werden, dass Unterlagen z.B. im Hessischen Präqualifikationsregister - HPQR - (http://www.absthessen.de/hpqr.html) oder im bundesweiten Präqualifizierungsregister PQ-VOL (www.pq-vol.de) vorliegen. Das gültige Zertifikat inklusive der Anlage muss der Interessensbestätigung beigefügt werden. Weitergehende oder zusätzliche Nachweise/Erklärungen, die gefordert werden und nicht in Präqualifizierungsregistern enthalten sind, müssen der Interessensbestätigung schriftlich beigefügt werden.
Als vorläufigen Beleg der Eignung und des Nichtvorliegens von Ausschlussgründen wird die Vorlage einer Einheitlichen Europäischen Eigenerklärung (EEE) in der Form des Anhangs 2 der Durchführungsverordnung der Kommission (EU) Nr. 7/2016 vom 5. Januar 2016 akzeptiert. Der sog. EEE-Dienst sowie weiterführende Informationen sind abrufbar unter https://webgate.acceptance.ec.europa.eu/espd/filter?lang=de.
Eigenerklärung zu zwingenden Ausschlussgründen nach § 123 GWB
Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen nach § 123 GWB (Datei "Eigenerklaerung_Par_123_GWB") ausgefüllt mit seinem Angebot vorzulegen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Erklärung in der entsprechenden Form einzureichen. Bei Einsatz von (eignungsrelevanten) Unterauftragnehmern hat jeder Unterauftragnehmer die Erklärung in der entsprechenden Form einzureichen.
Eigenerklärung zu fakultativen Ausschlussgründen nach § 124 GWB
Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen nach § 124 GWB (Datei "Eigenerklaerung_Par_124_GWB") ausgefüllt mit seinem Angebot einzureichen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Erklärung in der entsprechenden Form einzureichen. Bei Einsatz von (eignungsrelevanten) Unterauftragnehmern hat jeder Unterauftragnehmer die Erklärung in der entsprechenden Form einzureichen.
Hinweise der Vergabestelle zu den Ausschlussgründen nach §§ 123, 124 GWB: Sollten ein oder mehrere Gründe bejaht werden, wird der Bewerber/das Mitglied der Bietergemeinschaft/Unterauftragnehmer gebeten, diesen Grund bzw. diese Gründe unter präziser Darstellung des relevanten Sachverhalts sowie die unternommenen Selbstreinigungsmaßnahmen (§ 125 GWB) auf einem gesonderten Blatt zu erläutern. Die Vergabestelle wird dann nach pflichtgemäßem Ermessen entscheiden, ob die Teilnahme des Bieters/Mitglieds der Bietergemeinschaft/Unterauftragnehmers am Vergabeverfahren zulässig ist oder der Bieter/das Mitglied der Bietergemeinschaft/Unterauftragnehmer vom Vergabeverfahren ausgeschlossen werden muss.
Eigenerklärung Artikel 5k EU-Verordnung 833/2014
Der Bieter hat die Eigenerklärung zum Artikel 5k der EU-Verordnung 833/2014 (Datei "Eigenerklaerung Artikel 5k EU-Verordnung 833-2014") ausgefüllt mit seinem Angebot einzureichen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Erklärung in der entsprechenden Form einzureichen.
Den Zuschlag erhält der Bieter mit dem wirtschaftlichsten Angebot in Bezug auf den Preis. Entscheidend ist hier die Gesamtangebotssumme (brutto), die sich aus den Summen der entsprechenden Positionen im Preisblatt (Datei "Preisblatt") ergibt.
Werden mehrere Angebote mit dem gleichen Preis abgegeben, entscheidet das Los über den Zuschlag.

Genaue Informationen über Fristen für Überprüfungsverfahren

§ 160 GWB
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1.der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2.Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3.Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4.mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.