Ausschreibungssuche

Bezeichnung des Auftrags:

Projekt 351: Sicherheitsanalyse VeraCrypt

Referenznummer der Bekanntmachung:

P 351

Hauptteil:

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (72000000)

Dienstleistungen

Der Gegenstand des Auftrags ist es, die Verschlüsselungssoftware VeraCrypt auf ihre Sicherheitseigenschaften zu untersuchen. Es ist festzustellen, ob VeraCrypt Schwachstellen besitzt (z. B. Implementierungsschwächen, Anfälligkeiten für Seitenkanalangriffe etc.) und ob VeraCrypt aktuellen kryptographischen Anforderungen genügt, um eine sichere Datenverschlüsselung zu ermöglichen.

keine Aufteilung des Auftrags in Lose

Hauptteil:

Dienstleistungen im juristischen Bereich (79100000)

NUTS-Code:

Bonn, Kreisfreie Stadt (DEA22)

Hauptort der Ausführung:

Beim Auftragnehmer

TrueCrypt ist eine sehr verbreitete Verschlüsselungssoftware für die Betriebssysteme Windows, Linux und Mac OS X. Es erlaubt die Verschlüsselung einer ganzen Festplatte oder die Erstellung von verschlüsselten Containern, in denen Dateien sicher gespeichert werden können. Das BSI empfiehlt TrueCrypt auf seiner Webseite. Im Mai 2014 wurde unerwartet die Entwicklung von TrueCrypt eingestellt. Damit wurde diese Software quasi abgekündigt.

VeraCrypt ist eine Weiterentwicklung von TrueCrypt und basiert in sehr großen Teilen auf TrueCrypt. Sie teilen sich die Code-Basis. Laut der Webseite von VeraCrypt beinhaltet diese Software viele Verbesserungen und Fehlerbehebungen und könnte damit ein geeigneter Nachfolger von TrueCrypt sein. TrueCrypt wurde bereits im Jahr 2015 untersucht. Im vorliegen­den Projekt wird eine ähnlich angelegte Sicherheitsuntersuchung von VeraCrypt durchgeführt werden.

Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind nur in den Beschaffungsunterlagen aufgeführt.

Laufzeit in Monaten:
12

Varianten/Alternativangebote sind nicht zulässig.

Optionen:

nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird:

nein

Auflistung und kurze Beschreibung der Bedingungen

Firmenprofil:

Offizielle Bezeichnung

Rechtsform

Firmensitz und Standorte

Struktur und Organisation

z. B. Abbildung des Organigramms

Geschäftsfelder

Auflistung der einzelnen Geschäftsfelder

Benennung der Geschäftsfelder, die für den hier zu vergebenden Auftrag relevant sind (auftragsbezogene Geschäftsfelder)

ggf. nähere Ausführungen / Erläuterungen zu den auftragsbezogenen Geschäftsfeldern

Anzahl der Mitarbeiter in den auftragsbezogenen Geschäftsfeldern

Gesamtumsatz in den letzten drei Geschäftsjahren (Angabe pro Jahr)

Umsatz in den auftragsbezogenen Geschäftsfeldern in den letzten drei Geschäftsjahren (Angabe pro Jahr für die letzten drei Geschäftsjahre). Die Angabe kann bei einer nicht-gewinnorientierten Institutionen, z. B. öffentlichen Hochschulen, entfallen.

Gehen Sie im Falle einer Bietergemeinschaft auf die Aufteilung der zu erbringenden Leistung auf die einzelnen Mitglieder der Bietergemeinschaft ein.

Unterauftragnehmer:

Offizielle Bezeichnung

Rechtsform

Firmensitz und Standorte

auftragsbezogene Geschäftsfelder

Anzahl der Mitarbeiter in den auftragsbezogenen Geschäftsfeldern

Wird die Leistung ohne Mitwirkung von einem oder mehreren Unterauftragnehmern erbracht, so beantworten Sie dieses Eignungskriterium bitte mit „Kein Unterauftragnehmer“.

Die Weitergabe von wesentlichen Projektteilen an nicht genannte Unterauftragnehmer ist nicht erlaubt.

Referenzen: Software-Sicherheitsanalyse

Weisen Sie mindestens zwei Projekte mit Schwerpunkt „Software-Sicherheitsanalyse“ nach, das von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft oder den Unterauftragnehmern innerhalb der letzten 5 Jahre erfolgreich durchgeführt wurde, und welches mit der hier zu vergebenden Leistung vergleichbar ist (Dauer, Umfang, Inhalt) oder darüber hinaus geht.

Gehen Sie dabei auf folgende Punkte ein:

Auftraggeber inkl. Ansprechpartner

(detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit

Umfang

Dauer

Auftragsvolumen

Aus Ihren Ausführungen muss ersichtlich werden, warum das beschriebene Projekt aus Ihrer Sicht die oben genannten Anforderungen erfüllt und somit als Referenz geeignet ist. Die Darstellung sollte eine DIN-A4-Seite pro Referenzprojekt nicht überschreiten.

Mindestvoraussetzung: Benennung und Beschreibung von mindestens zwei Referenzen.

Referenzen: Kryptographie

Benennen Sie die Beratungs- bzw. Untersuchungsprojekte im Bereich Kryptographie, die in den letzten drei Jahren von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft und den Unterauftragnehmern durchgeführt wurden als Nachweis, dass Kryptographie ein wesentliches Arbeitsfeld der beteiligten Unternehmen ist.

Gehen Sie dabei auf folgende Punkte ein:

Auftraggeber inkl. Ansprechpartner

(detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit

Umfang

Dauer

Auftragsvolumen

Aus Ihren Ausführungen muss ersichtlich werden, warum die beschriebenen Projekte aus Ihrer Sicht die oben genannten Anforderungen erfüllen und somit als Referenz geeignet sind. Die Darstellung sollte eine DIN-A4-Seite pro Referenzprojekt nicht überschreiten.

Mindestvoraussetzung: Benennung und Beschreibung von mindestens drei Referenzen.

Technische Arbeitsmittel, Hardware, Software, Testumgebung und Tools

Geben Sie einen Überblick über die technischen Arbeitsmittel, welche Ihnen zur Verfügung stehen und von Ihnen zur Erbringung der hier ausgeschriebenen Leistung eingesetzt werden. Zu den Arbeitsmitteln gehören die verwendete Hardware (Rechner, Geräte, Messeinrichtungen etc.) und Software (Betriebssysteme, Tools, Testumgebungen, Entwicklungsumgebungen usw.).

Mindestvoraussetzung: Der Auftragnehmer stellt seine technischen Arbeitsmittel vollständig und übersichtlich dar.

Eignungskriterien gemäß Auftragsunterlagen

Ausführungsbedingungen gemäß Auftragsunterlagen

Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind

Offenes Verfahren

Der Auftrag fällt unter das Beschaffungsübereinkommen:

nein

Tag:

21.01.2019

Ortszeit:

14:00

• Deutsch (DE)

Das Angebot muss gültig bleiben bis:

21.03.2019

Tag:

21.01.2019

Ortszeit:

14:00

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen

Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den

Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.

Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.