Offizielle Bezeichnung: D-Trust GmbH
Postanschrift: Kommandantenstr. 15
Ort: Berlin
NUTS-Code: DE300 Berlin
Postleitzahl: 10969
Land: Deutschland
Kontaktstelle(n): Office for EU-Contract awarding (FP ECA)
E-Mail:
Fax: +49 302598-6074
Internet-Adresse(n):
Hauptadresse: https://www.d-trust.net/

Andere: GmbH

Andere Tätigkeit: Vertrauensdiensteanbieter

Beschaffung einer 2- Faktor Applikation für sign-me

Dienstleistungen

Gegenstand des Beschaffungsvorhabens ist die Beschaffung einer gegen eIDAS und den Common Criteria Protection Profiles CEN EN 419 241-1 und CEN EN 419 241-2 zertifizierbaren 2-Faktor Applikation zur Absicherung des Fernsignaturservices sign-me, mit welcher die angeforderten Signaturen freigegeben werden können.

Aufteilung des Auftrags in Lose: nein

Wert ohne MwSt.: [Betrag gelöscht] EUR

NUTS-Code: DE300 Berlin

Hauptort der Ausführung:

10969 Berlin

Die sign-me Lösung der D-Trust ist ein Fernsignaturservice, mit welchem die Nutzer, nach einmaliger Registrierung und Identifizierung, Dokumente ohne den Einsatz einer Signaturkarte rechtskräftig signieren können. Die rechtliche Basis dafür ist die eIDAS Verordnung, EU 910/2014 (electronic Identification, Authentication und trust Service). Nach eIDAS und den Common Criteria Protection Profiles CEN EN 419 241-1 und CEN EN 419 241-2 ist eine Absicherung der Signatur durch einen zweiten Faktor zwingend erforderlich. Dazu wird eine 2-Faktor Applikation eingesetzt, die die Nutzer einmalig bei sign-me registrieren und mit der sie dann die angeforderten Signaturen freigeben. Die geforderte Lösung muss gegen eIDAS und die genannten Normen zertifizierbar sein.

Technische Beschreibung:

Die Infrastruktur-Plattform der Lösung wird bei D-Trust (on premise) installiert. Sie ist dafür verantwortlich, durch Ausstellung von Zertifikaten, die Endgeräte mit der App zu vertrauenswürdigen Endgeräten zu machen und einen unabhängigen verschlüsselten sicheren bi-direktionalen Kanal zwischen der 2FA App und sign-me aufzubauen. Bei einer möglichen späteren Erweiterung auf biometrische Absicherung wird auf die Mittel der zugrundliegenden Betriebssysteme zurückgegriffen. Die Integration der Plattform mit sign-me erfolgt über ein REST-API. Die Funktionalität der App kann auch als SDK zur Einbindung in eine App mit erweiterter Funktionalität genutzt werden, ohne dass die Plattform ausgetauscht wird, Nutzer migrieren müssen und eine erneute Zertifizierung durchgeführt werden muss. Die Lösung muss für den Endanwender hochverfügbar sein und geringe Latenz gewährleisten. Die Apps werden für D-Trust sign-me gebranded und von D-Trust in den App Stores bereitgestellt.

In der Vergangenheit wurde zum Zweck der 2FA bei der sign-me-Lösung die App des Anbieters Entersekt verwendet. Diese App wurde in die sign-me-Lösung technisch integriert und funktioniert vollumfänglich. Die 2FA-App des Anbieters Entersekt zeichnet sich durch die Bereitstellung aller notwendigen Funktionalitäten aus, die sich aus der nachfolgenden Übersicht ergeben:

- Mobile (authentication) endpoints support,

- Web (authentication) endpoints support,

- Mobile Device Strong Identity,

- Browser ID,

- mobile app-based authentication,

- White-label mobile app,

-Mobile app and device security,

- Certified FIDO server,

- FIDO-based strong authentication,

- Secure Communication via independent channel,

- Transaction signing,

- Certificate chaining,

- Integration APIs,

- Patent status of authentication techno,

- PSD2 compliance and TÜV IT approval,

- Deployment models.

Im Zuge der Vorbereitung der Beschaffung wurde eine Markterkundung in Bezug auf in Betracht kommende Wettbewerberprodukte durchgeführt und dabei die Funktionalitäten geprüft und verglichen. Die Markterkundung hat ergeben, dass kein Wettbewerberprodukt zur Lösung der Firma Entersekt alle notwendigen Funktionalitäten aufweist und damit einen vergleichbaren Funktionsumfang vorweisen kann. Ein Einsatz im Rahmen der sign-me-Lösung kommt daher nicht in Betracht.

Mangels vergleichbarer existierender Produkte wäre der Beschaffungsbedarf des Auftraggebers neben der aktuell verwendeten Lösung somit allein durch eine Neuentwicklung auf der Basis der Plattform eines alternativen Anbieters zu decken. Die zu erwartenden Kosten einer solchen Neuentwicklung belaufen sich voraussichtlich auf ca. 52.000,- € initial und 320.000,- € für die Lizenzkosten über die Laufzeit von 4 Jahren. Das ergibt 372.000,-€ , also ca. 133% des Auftragswerts.

Preis

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Verhandlungsverfahren ohne vorherige Bekanntmachung

Erläuterung:

Vorliegend besteht der Ausnahmetatbestand des § 14 Abs. 4 Nr. 2 lit. b) VgV, da allein der Hersteller der aktuell verwendeten 2-Faktor-Authentifizierungslösung, die Firma Entersekt Europe Coöperatief U.A., über eine alle benötigten Funktionen aufweisende Lösung verfügt.

Ein anderes Unternehmen ist derzeit nicht zur Lieferung einer vergleichbaren Lösung in der Lage, wie die Markterkundung und der Vergleich der Funktionalitäten durch den Auftraggeber gezeigt hat. Ein Wechsel auf eine andere App eines anderen Herstellers würde neben dem Entwicklungsaufwand zur Absicherung vergleichbarer Funktionalitäten auch aufgrund der erforderlichen Lizenz- und Testmaßnahmen zu einem unverhältnismäßigen Mehraufwand auf Seiten des Auftraggebers führen. Ein solcher Wechsel würde darüber hinaus auch eine (teilweise) Neuentwicklung erfordern, so dass im Ergebnis kein gleichwertiges Produkt im Ergebnis am Markt verfügbar ist. Es besteht insofern aus technischer Hinsicht kein Wettbewerb.

Auch die Voraussetzungen des § 14 Abs. 6 VgV sind erfüllt. Laut Sachverhalts-angaben gibt es keine auf dem Markt verfügbare Alternative oder Ersatzlösung für die 2-Faktor-Authentifizierung. Der mangelnde Wettbewerb ist nicht das Ergebnis einer künstlichen Einschränkung der Auftragsvergabeparameter, da die technischen Anforderungen an den Leistungsgegenstand objektiv erforderlich sind.

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

25/07/2023

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung: Entersekt Europe Coöperatief U.A.
Ort: München
NUTS-Code: DE212 München, Kreisfreie Stadt
Land: Deutschland

Der Auftragnehmer/Konzessionär wird ein KMU sein: ja

Gesamtwert des Auftrags/des Loses/der Konzession: [Betrag gelöscht] EUR

Der Vertragsschluss ist nach Ablauf von 10 Kalendertagen gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung im Amtsblatt der Europäischen Union vorgesehen.

Offizielle Bezeichnung: Vergabekammern des Bundes
Postanschrift: Villemombler Straße 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
Telefon: +49 22894990
Fax: +49 2289499163

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Der Auftraggeber weist ausdrücklich auf § 135 GWB hin.

Dort heißt es:

„(1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber:

1) Gegen § 134 verstoßen hat oder

2) Den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist;

(2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als 6 Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union;

(3) Die Unwirksamkeit nach Absatz 1 Nummer 2 tritt nicht ein, wenn:

1) Der öffentliche Auftraggeber der Ansicht ist, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist;

2) Der öffentliche Auftraggeber eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht hat, mit der er die Absicht bekundet, den Vertrag abzuschließen und

3) Der Vertrag nicht vor Ablauf einer Frist von mindestens 10 Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen wurde.

Die Bekanntmachung nach Satz 1 Nummer 2 muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen.“

25/07/2023