Ausschreibungsdetails
Auftragsbekanntmachung
Öffentliche Ausschreibung nach UVgO
Liefer- / Dienstleistungsauftrag
1.
Öffentlicher Auftraggeber (Vergabestelle)
a)
Hauptauftraggeber (zur Angebotsabgabe auffordernde Stelle)
Name:Bundesamt für Sicherheit in der Informationstechnik
Straße, Hausnummer:Postfach 200363
Postleitzahl (PLZ):53133
Ort:Bonn
E-Mail: vergabestelle@bsi.bund.de
Internet-Adresse: https://www.bsi.bund.de
b)
Zuschlag erteilende Stelle
Wie Hauptauftraggeber siehe a)
2.
Angaben zum Verfahren
a)
Verfahrensart
Öffentliche Ausschreibung nach UVgO
b)
Vertragsart
Liefer- / Dienstleistungsauftrag
c)
Geschäftszeichen
P643
3.
Angaben zu Angeboten
a)
Form der Angebote
- elektronisch
- ohne elektronische Signatur (Textform)
b)
Fristen
Ablauf der Angebotsfrist
02.04.2024 - 14:00 Uhr
Ablauf der Bindefrist
01.07.2024
c)
Sprache
deutsch
4.
Angaben zu Vergabeunterlagen
a)
Vertraulichkeit
Die Vergabeunterlagen stehen für einen uneingeschränkten und vollständigen direkten Zugang gebührenfrei zur Verfügung unter
https://www.evergabe-online.de/tenderdetails.html?id=603574
https://www.evergabe-online.de/tenderdetails.html?id=603574
b)
Zugriff auf die Vergabeunterlagen
Vergabeunterlagen werden nur elektronisch zur Verfügung gestellt
c)
Zuständige Stelle
Hauptauftraggeber siehe 1.a)
d)
Anforderungsfrist
02.04.2024 - 14:00 Uhr
5.
Angaben zur Leistung
a)
Art und Umfang der Leistung
Im Rahmen des Projektes solle eine funktionsfähige und realitätsnahe Live-Hacking-Demonstration entwickelt werden. Diese Demonstration wird (unter Anderem) zur Sensibilisierung von Mitarbeitenden der Bundesverwaltung eingesetzt.
Die Demonstration soll die Infektion eines Mobilen Endgeräts (Android oder iOS) mit Malware und anschließende Exfiltration von Daten und Überwachung des Nutzers umfassen. Dabei sollen die Smartphones so konfiguriert werden, dass ein realitätsnahes Angriffsszenario live nachgestellt werden kann, um so die Sensibilisierung der Teilnehmenden gegenüber Manipulationen von Smartphones zu stärken. Darüber hinaus muss das Vortragsmaterial und ein Vortragskonzept entwickelt werden.
Die Umsetzung darf auf Basis bereits existierender OpenSource-Software (und -Malware) erfolgen.
Die Demonstration soll die Infektion eines Mobilen Endgeräts (Android oder iOS) mit Malware und anschließende Exfiltration von Daten und Überwachung des Nutzers umfassen. Dabei sollen die Smartphones so konfiguriert werden, dass ein realitätsnahes Angriffsszenario live nachgestellt werden kann, um so die Sensibilisierung der Teilnehmenden gegenüber Manipulationen von Smartphones zu stärken. Darüber hinaus muss das Vortragsmaterial und ein Vortragskonzept entwickelt werden.
Die Umsetzung darf auf Basis bereits existierender OpenSource-Software (und -Malware) erfolgen.
b)
CPV-Codes
IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (72000000-5)
c)
Ort der Leistungserbringung
Hauptsächlich beim Auftragnehmer
7.
Zulassung von Nebenangeboten
Nein
10.
Wesentliche Zahlungsbedingungen
Abschlags- und Schlusszahlungen im Rahmen der Vergabe- und Vertragsordnung für Leistungen Teil B (VOL/B)
11.
Unterlagen und Anforderungen zur Beurteilung der Eignung des Bieters und des Nichtvorliegens von Ausschlussgründen
Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/1269 des Rates vom 01.10.2023 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungsbereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter Artikel 7 Buchstaben a bis d, Artikel 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU sowie unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige, in Russland ansässige natürliche Personen oder in Russland niedergelassene juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
einschließlich - wenn auf sie mehr als 10 % des Auftragswerts entfällt - Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ (=Bestätigung) oder „NEIN“ (= keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
Ausschluss eines Interessenskonflikts
Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.
Bitte mit „JA“ oder „NEIN“ beantworten.
Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines in der Live-Hacking-Demo angegriffenen Endgeräts oder dessen Software oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor.
Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
Referenzen
Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen in der Neu- und Weiterentwicklung von Projekten im Bereich Penetrationstesting und Mobil Security.
Die genannten Referenzen müssen insbesondere die Fähigkeit der beteiligten Unternehmen auf dem Gebiet der Forschung und Entwicklung sowie die Ausarbeitung und Umsetzung innovativer Lösungen belegen. Im Wege der Referenzen ist daher nachzuweisen, dass die beteiligten Unternehmen bereits Erfahrungen in den folgenden Erfahrungsbereichen gesammelt haben:
1. Erfahrung im Bereich Schwachstellenpräsentation und Sensibilisierung von nicht technischem Personal
2. Erfahrungen im Bereich der IT-Sicherheit, insbesondere Schutz vor Angriffen von mobilen Endgeräten
3. Erfahrungen in der Entwicklung von Software im Bereich Sicherheitsinformationstechnik und Mobil Security
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang / Betroffener Erfahrungsbereich
- Dauer
- Auftragsvolumen
Die Darstellung sollte zwei DIN A4-Seiten pro Referenzprojekt nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Insgesamt sind mindestens drei geeignete Referenzen vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf.
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/1269 des Rates vom 01.10.2023 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungsbereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter Artikel 7 Buchstaben a bis d, Artikel 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU sowie unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige, in Russland ansässige natürliche Personen oder in Russland niedergelassene juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
einschließlich - wenn auf sie mehr als 10 % des Auftragswerts entfällt - Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ (=Bestätigung) oder „NEIN“ (= keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
Ausschluss eines Interessenskonflikts
Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.
Bitte mit „JA“ oder „NEIN“ beantworten.
Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines in der Live-Hacking-Demo angegriffenen Endgeräts oder dessen Software oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor.
Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
Referenzen
Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen in der Neu- und Weiterentwicklung von Projekten im Bereich Penetrationstesting und Mobil Security.
Die genannten Referenzen müssen insbesondere die Fähigkeit der beteiligten Unternehmen auf dem Gebiet der Forschung und Entwicklung sowie die Ausarbeitung und Umsetzung innovativer Lösungen belegen. Im Wege der Referenzen ist daher nachzuweisen, dass die beteiligten Unternehmen bereits Erfahrungen in den folgenden Erfahrungsbereichen gesammelt haben:
1. Erfahrung im Bereich Schwachstellenpräsentation und Sensibilisierung von nicht technischem Personal
2. Erfahrungen im Bereich der IT-Sicherheit, insbesondere Schutz vor Angriffen von mobilen Endgeräten
3. Erfahrungen in der Entwicklung von Software im Bereich Sicherheitsinformationstechnik und Mobil Security
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang / Betroffener Erfahrungsbereich
- Dauer
- Auftragsvolumen
Die Darstellung sollte zwei DIN A4-Seiten pro Referenzprojekt nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Insgesamt sind mindestens drei geeignete Referenzen vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf.
12.
Zuschlagskriterien
siehe Leistungsbeschreibung
efff1d01-17fd-4488-ab06-265aaac9bdf4