Ausschreibungssuche

Projekt 465: FIDO Authentisierung mit Trusted Platform Modules (FANTOM)

P 465

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (72000000)

Dienstleistungen

Ziel des Projekts ist es, eine Client-Anwendung zu entwickeln, die eine sichere 2FA mittels FIDO2 ermöglicht, indem sie kryptographische Funktionen von TPMs verwendet. Damit der Einsatz des FIDO-Tokens den hohen Sicherheitsanforderungen gerecht wird, muss zunächst auf Basis der Funktionen des TPM ein Cryptographic Service Provider Light nach Schutzprofil BSI-CC-PP-0111-2019 konzipiert und entwickelt werden.

Dazu gehört auch eine Sicherheitsanalyse, in der die verwendete Funktionalität des TPMs und die sichere Anbindung zur Anwendung untersucht wird.

Anschließend erfolgt die Entwicklung des FIDO-Clients, welcher sich ausschließlich der Kryptofunktionen des zuvor entwickelten TPM-CSPLs bedient.

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (72000000)

Bonn, Kreisfreie Stadt (DEA22)

Beim Auftragnehmer

s. II.1.4)

Laufzeit in Monaten:13

ja

Arbeitspaket 3: Implementierung und Pilotierung

Arbeitspaket 4: Vollständige Dokumentation insb. auch zur Zertifizierung nach Common Criteria (CC) und FIDO2

Arbeitspaket 5: Vollständige Dokumentation bei Nichtrealisierbarkeit

nein

1)

Referenzen

Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen in der Konzeption sowie Neu- und Weiterentwicklung von Sicherheitsmodulen.

Die genannten Referenzen müssen insbesondere die Fähigkeit der beteiligten Unternehmen auf dem Gebiet der Forschung und Entwicklung sowie die Ausarbeitung und Umsetzung innovativer Lösungen belegen. Im Wege der Referenzen ist daher nachzuweisen, dass die beteiligten Unternehmen bereits Erfahrungen in den folgenden Erfahrungsbereichen gesammelt haben:

1. Entwicklung von Sicherheitsmodulen und Verschlüsselungssystemen

2. Erstellung von Konzepten im Bereich der IT-Sicherheitskomponenten und -systeme samt der Entwicklung von Nutzungsszenarien

3. Erfahrungen im Bereich der IT-Sicherheit, insbesondere Schutz vor Angriffen von Dritten

4. Erfahrungen in der Entwicklung von Software im Bereich Sicherheitsinformationstechnik, insbesondere auch in virtualisierten Umgebungen

5. Erfahrung in der Umsetzung und Implementierung von Kryptoalgorithmen

6. Kenntnisse über die Common Criteria (CC) und die Durchführung von Evaluierungstätigkeiten an IT-Systemen oder -Produkten anhand von definierten und CC-nahen Evaluierungskriterien

7. Erfahrungen in der Entwicklung von Lösungen basierend auf Trusted Platform Modules (TPM)

8. Erfahrungen in der Entwicklung von Lösungen basierend auf FIDO2

9. Umsetzung/Realisierung eines innovativen Test- oder Pilotbetriebs

Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:

• Auftraggeber inkl. Fachbereich

• (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit

• Umfang / Betroffener Erfahrungsbereich

• Dauer

• Auftragsvolumen

Die Darstellung sollte eine DIN A4-Seiten pro Referenzprojekt nicht überschreiten.

Es werden keine Referenzschreiben früherer Auftraggeber benötigt.

Mindestanforderungen: Alle neun Erfahrungsbereiche müssen jeweils durch mindestens eine geeignete Referenz belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf. Insgesamt sind jedoch mindestens drei geeignete Referenzen vorzulegen.

2)

Technische Ausrüstung

Geben Sie einen kurzen Überblick über das technische Equipment, welches Ihnen zur Verfügung steht und von Ihnen zur Erbringung der in AP 2 und AP 3 geforderten Leistungen eingesetzt wird.

Mindestanforderung: Der Bieter ist aus Sicht des BSI in der Lage, die hier zu vergebende Leistung mit Hilfe der beschriebenen technischen Ausrüstung erfolgreich zu erbringen.

3)

Qualitätsmanagement

Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.

Mindestanforderung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.

Ausführungsbedingungen gemäß Auftragsunterlagen

Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind

Offenes Verfahren

nein

26.11.2020

14:00

• Deutsch (DE)

3 (ab dem Schlusstermin für den Eingang der Angebote)

26.11.2020

14:00

Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den

Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.

Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.