P603 Sicherheit in LibreOffice 2 (SiLO2) Referenznummer der Bekanntmachung: P603
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Bonn
NUTS-Code: DEA22 Bonn, Kreisfreie Stadt
Postleitzahl: 53133
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: http://www.bsi.bund.de
Abschnitt II: Gegenstand
P603 Sicherheit in LibreOffice 2 (SiLO2)
LibreOffice ist eine weit verbreitete OpenSource Office-Lösung mit geschätzt 200 Millionen Anwendern weltweit und wird u.a. in der Bundesverwaltung eingesetzt. Dementsprechend hat die Stärkung von LibreOffice durch sicherheitsrelevante Anpassungen sowie die Auditierung eine entsprechend große Tragweite. In einem ersten Meilenstein werden sicherheitsrelevante Anpassungen besprochen und implementiert. Nach Abschluss der Entwicklungen werden in einem zweiten Meilenstein diese (sowie weitere Grundfunktionen) durch einen unabhängigen und nicht mit dem ersten Meilenstein in Verbindung stehenden Auftragnehmer auditiert. Damit soll die Korrektheit der Funktionsbeschreibung überprüft werden, um das Vertrauen in die Sicherheitseigenschaften des Produkts zu stärken. Falls kritische Schwachstellen durch den IT-Sicherheitsaudit gefunden werden, wird ein optionales Arbeitspaket Anwendung finden und die Schwachstellen damit direkt geschlossen.
Entwicklungsvorhaben zur Verbesserung der Sicherheit von LibreOffice
Vom AN sind verschiedenste sicherheitsrelevante Anpassungen zu implementieren und zu testen. Die sicherheitsrelevanten Änderungen sollen in den Hauptentwicklungszweig von LibreOffice einfließen, um die langfristige Pflege sicherzustellen. Falls im Rahmen von Los 2 kritische Schwachstellen durch den IT-Sicherheitsaudit gefunden werden, soll ein optionales Arbeitspaket genutzt werden, um die Schwachstellen direkt zu schließen.
Bei AP 9 und AP 10 handelt es sich jeweils um eine optionale Leistung. Diese muss vom Bieter angeboten werden, der Auftraggeber verzichtet jedoch ggf. generell auf deren Beauftragung. Die Beauftragung des AP 9 bzw. AP 10 ist abhängig vom Ergebnis von AP 8.
IT-Sicherheitsaudit von LibreOffice
Um das Vertrauen in die Sicherheitseigenschaften des Produkts zu stärken und etwaige Zweifel an der Korrektheit der Funktionsbeschreibung auszuräumen, ist im Rahmen von Los 2 von einem unabhängigen und weder mit dem Auftragnehmer des ersten Loses noch den Erstellern der LibreOffice-Anwendung in Verbindung stehenden Auditors ein vollständiger IT-Sicherheitsaudit der modifizierten LibreOffice-Anwendung (Los 1) durchzuführen. Ferner soll ein optionales Arbeitspaket Anwendung finden, insofern aufgrund des IT-Sicherheitsaudit Schwachstellen behoben werden müssen. Dies soll sicherstellen, dass bei der Behebung von Schwachstellen keine neuen Schwachstellen entstanden sind.
Bei AP 9 und AP 10 handelt es sich jeweils um eine optionale Leistung. Diese muss vom Bieter angeboten werden, der Auftraggeber verzichtet jedoch ggf. generell auf deren Beauftragung. Die Beauftragung des AP 9 bzw. AP 10 ist abhängig vom Ergebnis von AP 8.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
1) Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014 Los 1 & Los 2
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/576 des Rates vom 08.04.2022 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungs-bereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter die Artikel 7 und 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU und unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige oder in Russland niedergelassene natürliche oder juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
auch solche, auf die mehr als 10 % des Auftragswerts entfällt, Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ (Bestätigung) oder „NEIN“ (keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
2) Ausschluss eines Interessenskonflikts Los 1 & Los 2
Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.
Bitte mit „JA“ oder „NEIN“ beantworten.
Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines untersuchten Produkts oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor.
Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
3) Referenzen: Softwareprogrammierung Los 1
Weisen Sie mindestens ein Projekt mit Schwerpunkt „Softwareentwicklung“ nach, das von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft oder den Unterauftragnehmern innerhalb der letzten drei Jahre erfolgreich durchgeführt wurde, und welches mit der hier zu vergebenden Leistung vergleichbar ist (Dauer, Umfang, Inhalt) oder darüber hinaus geht.
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang
- Dauer
- Auftragsvolumen
Aus den Ausführungen müssen sich Rückschlüsse auf die Leistungsfähigkeit des Bieters / der Bietergemeinschaft (ggf. unter Einbeziehung eines Unterauftragnehmers (Eignungsleihe)) bei Projekten mit oben genanntem Schwerpunkt ziehen lassen. Die Darstellung sollte eine DIN A4-Seite pro Referenzprojekt nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Benennung und Beschreibung von mindestens einer geeigneten Referenz.
Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
4) Qualitätsmanagement Los 1 & Los 2
Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.
Mindestanforderung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.
3 ) Referenzen: IT-Sicherheitsaudit Los 2
Benennen Sie die Beratungs- bzw. Untersuchungsprojekte im Bereich der automatisierten und manuellen Findung von Schwachstellen in Software, die in den letzten drei Jahren von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft und den Unterauftragnehmern durchgeführt wurden als Nachweis, dass Auditierung ein wesentliches Arbeitsfeld der beteiligten Unternehmen ist.
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang
- Dauer
- Auftragsvolumen
Aus den Ausführungen müssen sich Rückschlüsse auf die Leistungsfähigkeit des Bieters / der Bietergemeinschaft (ggf. unter Einbeziehung eines Unterauftragnehmers (Eignungsleihe)) im oben genannten Bereich ziehen lassen. Die Darstellung sollte eine DIN A4-Seite pro Referenz nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Benennung und Beschreibung von mindestens drei geeigneten Referenzen.
Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
Ausführungsbedingungen gemäß Auftragsunterlagen
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: http://www.bundeskartellamt.de
Rechtsbehelfsbelehrung
Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.