Ausschreibungssuche

Projekt 392: Manipulation von Medizinprodukten (ManiMed)

P 392

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (72000000)

Dienstleistungen

Ziel des Projekts ist es. eine Einschätzung zum sicheren Betrieb von mindestens fünf verschiedenen vernetzten Medizinprodukten (IT- und Patientensicherheit) zu geben und eine aktuelle Übersicht der deutschen Marktlage solcher Geräte und Produkte, die in den letzten fünf Jahren in Deutschland in Verkehr gebracht wurden, zu veröffentlichen. Im Rahmen von ManiMed ist innerhalb von 18 Monaten zu erforschen, welche Anwendungsbreite an Produkten im Bereich eHealth bereits zur Verfügung steht, wie sich die aktuelle IT-Sicherheitslage dieser Produkte darstellt und welche weiteren Ziele und Trends (durch Kommunikation mit Herstellern und Betreibern) in der digitalisierten medizinischen Versorgung langfristig angestrebt werden.

Dienstleistungen im juristischen Bereich (79100000)

Bonn, Kreisfreie Stadt (DEA22)

Beim Auftragnehmer

Bei der Analyse der Risiken sind insbesondere die eingesetzten Systemarchitekturen (Betriebssysteme, Hardware, Verwaltung kryptografischer Schlüssel, Authentisierungs-, Kommunikations- und Update-Mechanismen) zu untersuchen. Hierbei ist zu betrachten, über welches Schutzniveau das Produkt verfügt, um sich beispielsweise vor unberechtigtem Zugriff, Malware, Spoofing, Fake-Apps, Man-in-the-Middle- oder DDoS-Angriffen zu schützen.

Zunächst soll eine Marktübersicht, in schriftlicher Form, von vernetzten Medizinprodukten (mindestens eine Kommunikationsschnittstelle muss vorhanden sein), die in den letzten fünf Jahren auf den Markt gebracht wurden, erstellt und vorgestellt werden. Hierbei ist zusätzlich zu berücksichtigen, dass auch mindestens ein Gerät der folgenden Geräteklassen, neben anderen Medizinprodukten, in der Marktsichtung erfasst werden:

implantierbarer Herzschrittmacher, Insulinpumpe, Beatmungsgerät, Patientenmonitor und Schmerzmittelpumpe.

Im Anschluss an die Marktübersicht werden durch die für ManiMed zuständige Projektleitung im BSI die zu untersuchenden Medizinprodukte ausgewählt, bei denen der Auftragnehmer IT-Schwachstellen anschließend technisch analysieren, benennen und beschreiben soll, um mögliche Risiken für Nutzer, in Form einer Cyber-Sicherheitsbetrachtung (mindestens dem Format von BSI-CS 132 „Anforderungen an netzwerkfähige Medizinprodukte“ entsprechend), ableiten zu können.

Auf Softwareebene soll in diesem Projekt betrachtet werden, ob Cyber-Sicherheitsanalysen zu Bedrohungen und Risiken während des gesamten Produktzyklus (Kommunikation mit dem entsprechenden Hersteller erwünscht) stattfinden und technische Sicherheitsanalysen (Penetrationstests), eine Bereinigung der Produkte vor Auslieferung, die Bereitstellung von getesteten Updates und Patches, Antivirenlösungen, die Erhebung und Verarbeitung von Logdaten, sichere kryptografische Verfahren, robuste Kommunikationsprotokolle und Integritäts-Checks verwendet werden. Bei den kryptografischen Lösungen soll zusätzlich beleuchtet werden, ob es sich um Standardimplementierungen oder Eigenentwicklungen handelt. Es soll herausgearbeitet werden, wie sich die unterschiedlichen Nutzer bei den zu untersuchenden Medizingeräten authentisieren, ob Passwörter beispielsweise im Klartext übermittelt werden und ob es ein abgesichertes Sessionmanagement gibt. Es muss geprüft werden, ob sich Passwörter oder Zertifikate leicht ersetzen lassen und ob das Gerät so konfiguriert ist, dass es gegen nicht autorisierte Manipulation geschützt ist, beispielsweise durch einen gesicherten TLS-Betrieb. Des Weiteren soll auf Hardwareebene untersucht werden, ob das System gehärtet ist, ob es physisch vor Zugriffen geschützt ist, welche Daten in welche Richtung fließen und ob dies kabellos geschieht, welche Schnittstellen vorhanden sind, wie die Fernwartung, falls implementiert, abläuft und ob es Backup- und Wiederherstellungssystemlösungen gibt. Anhand dieser Untersuchungen ist der mögliche maximale Schaden, der aus einer Manipulation des Geräts für den Patienten resultieren kann, zu bestimmen und zu beschreiben.

Es muss zum Projektende eine Ausarbeitung einer IT-Sicherheitsbetrachtung, in deutscher und englischer Sprache, für vernetzte Medizinprodukte erstellt worden sein, die auf der Webseite des BSI veröffentlicht wird. Die Übersetzung muss eigenständig durch den Auftragnehmer erfolgen. Zudem soll eine Abschlusspräsentation im BSI vor Fachpublikum (BSI-Mitarbeiter) und je nach Projektergebnissen, sogar im größeren Rahmen, stattfinden. Die Ergebnisse dieses Projektes können die Basis für nachfolgende Projekte sein, abhängig davon, ob und welche IT-Sicherheitslücken identifizierbar sind und wie kritisch diese für das Patientenwohl sein können.

Laufzeit in Monaten:
18

nein

nein

-- Firmenprofil --

Erstellen Sie vom Generalunternehmer bzw. vom jedem Mitglied der Bietergemeinschaft ein aussagekräftiges Firmenprofil. Die Darstellung muss in tabellarischer Form erfolgen und folgende Punkte umfassen:

- Offizielle Bezeichnung

- Rechtsform

- Firmensitz und Standorte

- Struktur und Organisation z.B. Abbildung des Organigramms

- Geschäftsfelder (Auflistung der einzelnen Geschäftsfelder; Benennung der Geschäftsfelder, die für den hier zu vergebenden Auftrag relevant sind (auftragsbezogene Geschäftsfelder); ggf. nähere Ausführungen / Erläuterungen zu den auftragsbezogenen Geschäftsfeldern)

- Anzahl der Mitarbeiter in den auftragsbezogenen Geschäftsfeldern

- Gesamtumsatz in den letzten drei Geschäftsjahren (Angabe pro Jahr). Die Angabe kann bei nicht-gewinnorientierten Institutionen, z.B. öffentlichen Hochschulen, entfallen.

- Umsatz in den auftragsbezogenen Geschäftsfeldern in den letzten drei Geschäftsjahren (Angabe pro Jahr). Angabe pro Jahr für die letzten drei Geschäftsjahre). Die Angabe kann bei nicht-gewinnorientierten Institutionen, z.B. öffentlichen Hochschulen, entfallen.

Gehen Sie im Falle einer Bietergemeinschaft auf die Aufteilung der zu erbringenden Leistung auf die einzelnen Mitglieder der Bietergemeinschaft ein.

Weder beim Generalunternehmer noch bei den Mitgliedern einer Bietergemeinschaft darf es sich um Hersteller von vernetzten Medizinprodukten handeln (siehe Kapitel 4.9 der Leistungsbeschreibung).

-- Qualitätsmanagement --

Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.

Mindestvoraussetzung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.

-- Ausschluss eines Interessenskonflikts --

Ziel ist ein unvoreingenommenes Untersuchungsergebnis, bei dem Neutralität des Untersuchenden nachgewiesen werden kann.

Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und sie nachteilig beeinflussen könnten? Eingeschlossen von dieser Bestätigung sind die bei dem Projekt eingesetzten Mitarbeiter.

Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines untersuchten Produkts oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor.

Bitte mit „JA“ oder „NEIN“ beantworten.

Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.

Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.

-- Referenzen: Technische Sicherheitsanalyse --

Weisen Sie mindestens ein Projekt mit Schwerpunkt „technische Analyse von Sicherheitskriterien“ nach, das von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft oder den Unterauftragnehmern innerhalb der letzten drei Jahre erfolgreich durchgeführt wurde, und welches mit der hier zu vergebenden Leistung vergleichbar ist (Dauer, Umfang, Inhalt) oder darüber hinaus geht.

Gehen Sie dabei auf folgende Punkte ein:

- Auftraggeber inkl. Ansprechpartner

- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit

- Umfang

- Dauer

- Auftragsvolumen

Aus Ihren Ausführungen muss ersichtlich werden, warum das beschriebene Projekt aus Ihrer Sicht die oben genannten Anforderungen erfüllt und somit als Referenz geeignet ist. Die Darstellung sollte eine DIN A4-Seite pro Referenzprojekt nicht überschreiten.

Mindestvoraussetzung: Benennung und Beschreibung von mindestens einer Referenz.

-- Referenzen: Projekttätigkeit --

Benennen Sie die Beratungs- bzw. Untersuchungsprojekte im Bereich Medizinprodukte/Medizintechnik die in den letzten drei Jahren von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft und den Unterauftragnehmern durchgeführt wurden als Nachweis, dass Medizinprodukte ein wesentliches Arbeitsfeld der beteiligten Unternehmen ist.

Gehen Sie dabei auf folgende Punkte ein:

- Auftraggeber inkl. Ansprechpartner

- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit

- Umfang

- Dauer

- Auftragsvolumen

Aus Ihren Ausführungen muss ersichtlich werden, warum die beschriebenen Projekte aus Ihrer Sicht die oben genannten Anforderungen erfüllen und somit als Referenz geeignet sind. Die Darstellung sollte eine DIN A4-Seite pro Referenzprojekt nicht überschreiten.

Mindestvoraussetzung: Benennung und Beschreibung von mindestens drei Referenzen.

-- Technische Ausrüstung --

Geben Sie einen kurzen Überblick über das technische Equipment, welches Ihnen zur Verfügung steht und von Ihnen zur Erbringung der AP 3 und 4 eingesetzt wird. Als Mindestvoraussetzung wird erwartet:

- Testumgebungen (z.B. Krankenhaus, Praxis, Patient) bereitstellen

- Erfahrung in mindestens 3 Bereichen aus: reverse engineering; Replay-Attacken; Sniffing- und Spoofing-Tools; SQL-injection; Cross-Site-Scripting; Eavesdropping

- Erfahrung in mindestens 4 Bereichen aus: Penetrationstests; Schwachstellenanalyse; Fuzzing-Tests; Jamming; Schadcode-Analyse; Netzwerk-Scan; Quellcode-Analyse; Nutzung von Analyse-Programmen wie z.B. Wireshark, tcpdump

Ausführungsbedingungen gemäß Auftragsunterlagen

Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind

Offenes Verfahren

nein

10.12.2018

14:00

• Deutsch (DE)

10.02.2019

10.12.2018

14:00

Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den

Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.

Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.