Offizielle Bezeichnung: Goethe-Institut e.V. - Zentrale
Postanschrift: Oskar-von-Miller-Ring 18
Ort: München
NUTS-Code: DE212 München, Kreisfreie Stadt
Postleitzahl: 80333
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.goethe.de

Die Auftragsunterlagen stehen für einen uneingeschränkten und vollständigen direkten Zugang gebührenfrei zur Verfügung unter: https://www.dtvp.de/Satellite/notice/CXP4YHX68K3/documents

Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen

Angebote oder Teilnahmeanträge sind einzureichen elektronisch via: https://www.dtvp.de/Satellite/notice/CXP4YHX68K3

Andere: Auftraggeber gem. § 99 Nr.2 GWB

Andere Tätigkeit: Bildung und Kultur

Firewall Betrieb Service und Weiterentwicklung

Referenznummer der Bekanntmachung: 71/202308

Dienstleistungen

Das Goethe-Institut sucht einen Auftragnehmer, der für die weltweite Firewall Umgebung, den Betrieb, Service und die Weiterentwicklung übernimmt und fortführt.

Eine detaillierte Beschreibung der geforderten Leistung ist der Anlage T01 Teilnahmebedingungen für den öffentlichen Teilnahmewettbewerb zu entnehmen.

Aufteilung des Auftrags in Lose: nein

NUTS-Code: DE212 München, Kreisfreie Stadt

Hauptort der Ausführung:

Goethe-Institut e.V. - Zentrale Oskar-von-Miller-Ring 18 80333 München

Die Aufgaben der ausgeschriebenen Leistung umfassen im Wesentlichen:

- Betrieb von zwei Firewall Clustern mit dazwischenliegender DMZ (demilitarisierte Zone) bestehend aus je zwei Barracuda F800 in einem Rechenzentrum in München

- Betrieb von einem Firewall Cluster am Standort der Hauptverwaltung in München bestehend aus zwei Barracuda F600

- Optional: Anbindung eines Azure Standortes voraussichtlich mit einer Barracuda Level x Firewall sowie dem Betrieb dieser Firewall (geplant)

- Optional: Mögliche Anbindung eines weiteren Rechenzentrumsstandortes über ein virtuelles Barracuda Firewall Cluster oder eine reservierte Glasfaser (Dark Fiber)

- Betrieb von derzeit 155 Außenstandorten mit Barracuda F280 und Barracuda F380 Firewalls aufgeteilt in 13 Regionen sowie 2-3 Teststandorten

- Betrieb von zwei genuscreen XS an zwei Standorten, an denen aus Gründen der Exportbeschränkungen keine Barracuda Firewall eingesetzt werden kann

- Aktualisierung der Ersatzfirewall (Cold Standby) des gleichen Typs wie die Hauptfirewall in direkter Abstimmung mit den Standorten

- Regelmäßige Sicherung der Konfiguration der Firewalls (insbesondere nach Änderungen)

- Proaktive Überwachung der Firewall mit einem Monitoring Tool

- Rollout von Hauptversionsupgrades (üblicherweise alle 1-2 Jahre; incl. Update Ersatzfirewalls)

- Rollout von Upgrades (ca. 1-2-mal im Jahr; incl. fallabhängig Update Ersatzfirewalls)

- Rollout von Hotfixes (2-4-mal im Jahr; in der Regel ohne Update der Ersatzfirewalls)

- Fehleranalyse und -behebung innerhalb der weltweiten Firewall Infrastruktur

- Beratung zu neuen Entwicklungen und Features insbesondere bei Hauptversionsupdates (z.B. SD-WAN) und ggf. Umsetzung dieser in den laufenden Betrieb

- Unterstützung bei Pilotimplementierungen (z.B. SD-WAN)

Unter Betrieb der Firewalls in der Zentrale und dem/den direkt angekoppelten Rechenzentrum/-zentren sowie (optional) in der Azure Cloud fällt insbesondere auch:

- Pflege der Regeln auf den drei Firewall Clustern (Neuanlage, Löschen, Änderung)

- Stetige Anpassung, Weiterentwicklung und Optimierung des Regelwerkes insbesondere an geänderte Netzwerkverkehre (z.B. Umstellung auf Microsoft 365, Umstellung des Backupprogramms und -methode, Nutzung von Exchange Online und Teams ...)

- Durchführung von Vereinfachungen und Konsolidierungen (fortlaufend und explizit ca. 1-mal im Jahr)

- Konfiguration von Layer 3 Routing einiger Netzwerke sowie dem dynamischen Routing Protokoll für mehrstufiges Routing in der Zentrale

- Konfiguration der VPN-Tunnels zu den Standorten (TINA, IPSec) und zu ausgewählten Dienstleistern (IPSec).

- Regelmäßig Überprüfung des Regelwerks im Rahmen von Security Anforderungen und Audits

- Austausch der Firewalls im Rahmen des Barracuda "Instant Replacements" (alle 4 Jahre) und bei Hardwareausfällen. In der Regel nicht notwendig bei den Cloud Firewalls und den virtuellen Firewalls

Zum Betrieb der Firewalls an den entfernten Standorten gehört insbesondere auch:

- Pflege des Konfigurationstemplates und Ausbringung auf alle oder Gruppen von Firewalls

- Berücksichtigung von geänderten Anforderungen an QoS, und Verschlüsselung sowie Durchführung entsprechender Änderungen am allgemeinen Regelwerk

- Bei Bedarf Erstellung (weniger) weiterer Templates (z.B. anwendungsbasierter Firewall Regeln, geänderten QoS Anforderungen)

- Schrittweise Einführung dieser Templates in den Regelbetrieb unter Einbeziehung eines geeigneten Klassifikationssystems für die Standorte (z.B. Standorte mit geringer, normaler oder sehr guter Anbindung; Nutzung von SD-WAN Funktionen)

- Anpassung der Konfiguration der/des Templates bei Änderungen der hochgradig standardisierten Netzwerkkonfiguration der entfernten Standorte (z.B. Einführung von neuen VLANs oder neuen WLAN SSIDs).

- Pflege der individuellen Firewall Regeln an den entfernten Standorten

- Anpassung der MPLS-/Internetanbindung (derzeit in der Regel 2 in Ausnahmefällen 3 "Leitungen") - soweit möglich Aufbau eines Backup Tunnels durch das Internet

- Anpassung der Verschlüsselung der Datenverkehre zur Zentrale sowie Einrichtung von Ausnahmen bei bereits verschlüsselten Protokollen

- Konfiguration des Layer 3 Routings ausgewählter Netze auf der Firewall der Standorte

- Konfiguration von VPN-Tunnel zur Zentrale und in Ausnahmefällen zu anderen Standorten z.B. bei mehreren Standorten in der gleichen Stadt

- Durchführung/Unterstützung von Tests zur Überwachung der Leitungsqualität und Bandbreite der Standorte

- Durchführung von Tests für die Optimierung der Nutzung der verfügbaren Bandbreite an Teststandorten und ausgewählten produktiven Standorten

3. Beschreibung des zu betreuenden IT-Systems zum Zeitpunkt der Ausschreibung

Das Goethe-Institut verwendet in seiner Zentrale, dem zentralen Rechenzentrum und an seinen 157 Standorten mit zwei Ausnahmen Barracuda Firewalls. Die Remotestandorte sind per Radnaben-/Speichenmodell (Hub-and-Spoke) an das Rechenzentrum in München angebunden. In wenigen Fällen wurden auch direkte Verbindungen zwischen einzelnen Standorten hergestellt. Meist handelt es sich dabei um eine Verbindung zwischen dem jeweiligen Standort und einer Außenstelle in einer Stadt. Darüber hinaus gibt es an den Standorten einen lokalen Internet Breakout, der ebenfalls über das Barracuda Firewallsystem angebunden ist.

Diese Infrastruktur verbindet die zentralen Server und neuerdings auch einige Server in der Azure Cloud mit den Standorten, die in den meisten Fällen auch über eigenen Ressourcen (z.B. Fileserver, Drucker, Telefoniegateways) verfügen.

An den Standorten gibt es eine weitestgehend standardisierte Netzwerkinfrastruktur mit ca. 10 VLANs. Dabei werden fast überall Switche und Access Points der Firma Meraki eingesetzt. In der Regel werden von dort je 3 Netze/VLANs aus dem privaten Adressbereich über VPN mit der Zentrale verbunden (lokales Server Netzwerk, Client Netzwerk, Telefonie Netzwerk).

Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind nur in den Beschaffungsunterlagen aufgeführt

Laufzeit in Monaten: 24

Dieser Auftrag kann verlängert werden: ja

Beschreibung der Verlängerungen:

Der Vertrag wird mit einer festen Laufzeit von 24 Monaten mit zwei optionalen Verlängerungsmöglichkeiten mit jeweils 12 Monaten auf der Grundlage eines EVB-IT-Servicevertrages abgeschlossen.

Geplante Anzahl der Bewerber: 5

Varianten/Alternativangebote sind zulässig: nein

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Auflistung und kurze Beschreibung der Bedingungen:

1) Unternehmensdarstellung (max. 3 Seiten), Standort(e), Unternehmensstruktur, Ansprechpartner*innen, Darstellung der Kernkompetenzen/Geschäftsfelder, des Leistungsportfolios, sowie der Anzahl der festangestellten Mitarbeiter*innen

2) Basisinformation zum Unternehmen des Bewerber (Name, Sitz, Rechtsform, Gründungsjahr, Kontaktdaten) bzw. zu den an der Bietergemeinschaft beteiligten Unternehmen (Name, Sitz, Rechtsform, Gründungsjahr, Kontaktdaten, Leistungsanteil) (soweit zutreffend) (Anlage T02)

3) Eigenerklärung (soweit erforderlich) der Bewerbergemeinschaftsmitglieder zur gesamtschuldnerischen Haftung und Benennung desjenigen, der die Bewerbergemeinschaft vertritt einschließlich Nachweis der Vertretungsmacht (Anlage T03).

4) Im Fall einer Eignungsleihe (soweit zutreffend): Eigenerklärung zur Eignungsleihe, einschließlich Verpflichtungserklärung des Unterauftragnehmers/sonstigen Dritten. Im Falle der Eignungsleihe (= Inanspruchnahme der Fachkunde oder Leistungsfähigkeit eines Unterauftragnehmers oder sonstigen Dritten) hat der Bieter eine verbindliche Verpflichtungserklärung des jeweiligen Unternehmens vorzulegen, dass ihm die Mittel zur Verfügung stehen werden bzw. dass der Dritte die Leistung ausführen wird (§ 47 Abs. 1 VgV) sowie eine Erklärung der gemeinsamen Haftung des Bewerber und des anderen Unternehmens für die Auftragsausführung entsprechend dem Umfang der Eignungsleihe (Anlage T04).

Jedes Unternehmen, dessen Kapazitäten der Bewerber für die Erfüllung eines oder mehrerer Eignungskriterien in Anspruch nehmen will, muss folgende Erklärungen vorlegen:

a) Erklärungen, dass die in §§ 123, 124 GWB bzw. die in § 21 AEntG, § 98c AEntG, § 98c AufenthG, § 19

MiLoG, § 21 SchwarzArbG und § 22 LkSG genannten Ausschlussgründe nicht vorliegen bzw. Eigenerklärung für ausländische Bieter, dass keine Ausschlussgründe vorliegen, die nach den Rechtsvorschriften des jeweiligen Landes mit §§ 123, 124 GWB bzw. § 21 AEntG, § 98c AufenthG, § 19 MiLoG, § 21 SchwarzArbG und § 22 LkSG vergleichbar sind (Anlage T05);

b) Nachweis der Eignung des Unternehmens, dessen Kapazitäten der Bewerber für die Erfüllung eines oder mehrerer Eignungskriterien in Anspruch nehmen will, in Bezug auf die Eignungskriterien entsprechend dem Umfang der Eignungsleihe. (Verwendung des entsprechenden Formblatts (soweit vorhanden) je nachdem, welche Eignung in Anspruch genommen werden soll). Auf § 47 Abs. 1 Satz 3 VgV wird ausdrücklich hingewiesen. Erfüllt ein Unternehmen diejenigen Eignungskriterien nicht, dessen Kapazitäten der Bewerber für die Erfüllung eines oder mehrerer Eignungskriterien in Anspruch nehmen will, kann der Auftraggeber vorschreiben, dass der Bewerber das entsprechende Unternehmen ersetzen muss (§ 47 Abs. 2 VgV). Nimmt der Bewerber die Kapazitäten eines anderen Unternehmens im Hinblick auf die wirtschaftliche oder finanzielle Leistungsfähigkeit in Anspruch, kann der Auftraggeber eine gemeinsame Haftung des Bewerber und des (jeweils) anderen Unternehmens entsprechend dem Umfang der Eignungsleihe verlangen (§ 47 Abs. 3 VgV).

5) Eigenerklärung des Bewerber, dass die in §§ 123, 124 GWB bzw. die in § 21 AEntG, § 98c AEntG, § 98c AufenthG, § 19 MiLoG, § 21 SchwarzArbG und § 22 LkSG genannten Ausschlussgründe nicht vorliegen bzw. Eigenerklärung für ausländische Bieter, dass keine Ausschlussgründe vorliegen, die nach den 5 / 7 Rechtsvorschriften des jeweiligen Landes mit §§ 123, 124 GWB bzw. § 21 AEntG, § 98c AufenthG, § 19 MiLoG, § 21 SchwarzArbG und § 22 LkSG vergleichbar sind (Anlage T05)

6) Nachweis der Eintragung im Berufs- und Handelsregister

Auflistung und kurze Beschreibung der Eignungskriterien:

7) Von dem Bewerber bzw. der Bewerbergemeinschaft (ggf. einschl. der Unterauftragnehmer) ist der durch das/die Unternehmen erzielte Umsatz mit vergleichbaren Dienstleistungen (netto), jeweils für die letzten drei abgeschlossenen Geschäftsjahre anzugeben (Anlage T06)

8) Aktuelle positive Bankerklärung bzgl. der Bonität

9) Nachweis der geforderten Betriebshaftpflichtversicherung

Auflistung und kurze Beschreibung der Eignungskriterien:

Anforderungen an den Betrieb in Azure

10) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit einer virtuellen Barracuda Cloudgen Firewall in Azure: 1-2

11) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit einer virtuellen Barracuda Cloudgen Firewall in Azure: 3-5

12) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit einer virtuellen Barracuda Cloudgen Firewall in Azure: mehr als 5

13)Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit Anbindungen an Azure: 1-5

14) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit Anbindung an Azure: 6-10

15) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit Anbindung an Azure: mehr als 10

16) Der Bewerber ist Microsoft Solutions Partner for Infrastructure (Azure)

Anforderungen an den Betrieb von Barracuda Firewall Infrastrukturen

17) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit mindestens 40 Standorten: 1-5

18) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit mindesten 40 Standorten: 6-10

19) Anzahl der aktiven Barracuda Cloudgen Firewall Installationen mit mindesten 40 Standorten: mehr als 10

20) Der Bewerber verfügt über einen Barracuda Partner Status im Level "Preferred" oder "Premier"

21) Der Bewerber verfügt über Erfahrung in einem Barracuda Cloudgen Firewall Projekt mit mindestens 80 Standorten

22) Der Bewerber verfügt über Erfahrung in einem Barracuda Cloudgen Firewall Projekt mit weltweiten Standorten auf mindestens 4 von 5 der Kontinente Europa, Nordamerika, Afrika, Asien und Südamerika

Organisation Allgemein

23) Der Bewerber verfügt über eine ISO 14001:2015 - Umweltmanagement Zertifizierung

24) Der Bewerber beschäftigt eine*n Service Delivery Manager*in der über eine ITIL Foundation Zertifizierung verfügt

25) Der Bewerber beschäftigt eine*n Lead Consultant*in der/die über eine "Barracuda Certified Engineer" Zertifizierung verfügt.

26) Der Bewerber beschäftigt eine*n Lead Consultant*in der/die über eine "Microsoft Certified: Azure Fundamentals" Zertifizierung verfügt.

27) Gültiges Zertifikat Barracuda Partner Status im Level "Authorized,", "Preferred" oder "Premier"

28) ggf. gültiges Zertifikat Microsoft Solution Partner "Infrastructure (Azure)"

29) ggf. gültiges Zertifikat ITIL Foundation

30) ggf. gültiges Zertifikat Barracuda Certified Engineer

31) ggf. gültiges Zertifikat "Microsoft Certified: Azure Fundamentals"

Möglicherweise geforderte Mindeststandards:

32) Es sind mindestens 3 (drei) Referenzen vorzulegen, die deutlich erkennen lassen, dass der Bewerber Erfahrung mit einem vergleichbaren Betriebsszenario hat. Insbesondere war der Bewerber im genannten Referenzprojekt für den umfassenden Betrieb von Open Shift verantwortlich und hat die Anwendungsentwicklung unterstützt

Anforderungen an den Betrieb in Azure

33) Der Bewerber hat nachweislich (d.h. in mindestens einer der Referenzen erkennbar) Erfahrung mit einer Barracuda Cloudgen Firewall in Azure

Anforderungen an den Betrieb von Barracuda Firewall Infrastrukturen

34) Der Bewerber hat nachweislich (d.h. mindestens in einer der Referenzen erkennbar) Erfahrung mit einem vergleichbaren Betriebsszenario mit mindestens 40 Standorten

35) Der Bewerber verfügt über einen Barracuda Partner Status im Level "Authorized"

36) Der Bewerber verfügt über einen Jahresumsatz von mindestens [Betrag gelöscht] Euro mit Barracuda Produkten

Organisation Allgemein

37) Der Bewerber verfügt über eine ISO 9001 oder ISO/IEC 20000 Zertifizierung

38) Der Bewerber verfügt über eine ISO 27001 Zertifizierung

39) Der Bewerber verfügt über Personal, welches die Rolle eines deutschsprachigen Service Ansprechpartners (Service Delivery Manager*in) übernehmen kann

40) Der Bewerber verfügt über eine*n Service Delivery Manager*in der nachweislich, d.h. in persönlichem Profil mit Referenzen erkennbar, mindestens 3 Jahre Erfahrung im Servicemanagement vergleichbarer Szenarien hat

41) Der Bewerber verfügt über Personal, welches die Rolle eines deutschsprachigen Lead Consultant*in übernehmen kann

42) Der Bewerber beschäftigt eine*n Lead Consultant*in der nachweislich, d.h. in persönlichem Profil mit Referenzen erkennbar, mindestens 3 Jahre Erfahrung in fachlicher Beratung in vergleichbaren Szenarien hat

Öffentliche Aufträge und Konzessionen dürfen nach dem 9. April 2022 nicht an Personen oder Unternehmen vergeben werden, die einen Bezug zu Russland im Sinne von Artikel 5k der Verordnung (EU) Nr. 833/2014 aufweisen. Jeder Bewerber muss daher die Erklärung zum Nichtvorliegen eines entsprechenden Russlandbezugs abgeben (Anlage T08).Sollte es sich bei dem Bewerber um eine Bewerbergemeinschaft handeln, so muss die Erklärung für jedes Mitglied der Bewerbergemeinschaft gesondert abgegeben werden.

Verhandlungsverfahren

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

Tag: 04/09/2023

Ortszeit: 12:00

Deutsch

Dies ist ein wiederkehrender Auftrag: nein

Bekanntmachungs-ID: CXP4YHX68K3

Offizielle Bezeichnung: Vergabekammer des Bundes beim Bundeskartellamt
Postanschrift: BundeskartellamtVillemombler Str 76
Ort: Bonn
Postleitzahl: 53133
Land: Deutschland

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Das Verfahren für Verstöße gegen diese Vergabe richtet sich nach den Vorschriften der §§ 155 ff. des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Zur Wahrung der Fristen wird auf die §§ 160 ff. GWB verwiesen. Ein Nachprüfungsantrag ist insbesondere unzulässig, soweit:

1) der Antragsteller den gerügten Verstoß gegen Vergabevorschriften im Vergabeverfahren erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat,

2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens zum Ablauf der Frist zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.

02/08/2023