Sicherheitsanalyse Social Engineering Referenznummer der Bekanntmachung: 2023-0026

Bekanntmachung vergebener Aufträge

Ergebnisse des Vergabeverfahrens

Dienstleistungen

Rechtsgrundlage:
Richtlinie 2014/24/EU

Abschnitt I: Öffentlicher Auftraggeber

I.1)Name und Adressen
Offizielle Bezeichnung: gematik GmbH
Postanschrift: Friedrichstr. 136
Ort: Berlin
NUTS-Code: DE300 Berlin
Postleitzahl: 10117
Land: Deutschland
Kontaktstelle(n): Rechtsabteilung / Vergabestelle
E-Mail:
Internet-Adresse(n):
Hauptadresse: https://www.gematik.de/
I.4)Art des öffentlichen Auftraggebers
Andere: Juristische Person des Privatrechts unter mehrheitlicher Kontrolle einer Bundesbehörde
I.5)Haupttätigkeit(en)
Gesundheit

Abschnitt II: Gegenstand

II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:

Sicherheitsanalyse Social Engineering

Referenznummer der Bekanntmachung: 2023-0026
II.1.2)CPV-Code Hauptteil
79417000 Sicherheitsberatung
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:

Die gematik plant, Social-Engineering-Analysen des Verzeichnisdienstes und des Apothekenverzeichnisdienstes inkl. der Betrachtung der Trust Service Provider (TSP) und der Kartenherausgabeprozesse durchführen zu lassen, um die Widerstandsfähigkeit dieser Telematikinfrastruktur-Komponenten und -Prozesse gegen soziale Manipulation festzustellen.

II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: nein
II.1.7)Gesamtwert der Beschaffung (ohne MwSt.)
Wert ohne MwSt.: [Betrag gelöscht] EUR
II.2)Beschreibung
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
72222100 Strategische Prüfung von Informationssystemen oder -technologie
II.2.3)Erfüllungsort
NUTS-Code: DE300 Berlin
Hauptort der Ausführung:

gematik GmbH Friedrichstr. 136 10117 Berlin Die Leistungen des Auftragnehmers können neben dem Haupterfüllungsort auch am Sitz des Auftragnehmers erbracht werden.

II.2.4)Beschreibung der Beschaffung:

In der anstehenden Sicherheitsanalyse ist geplant, die realen Identifizierungsprozesse im Rahmen des Verzeichnis- und Apothekenverzeichnisdienstes inkl. der HBA- und SMC-B-Kartenherausgabe in der Produktivumgebung zu durchlaufen. Ziel ist es, mittels Social-Engineering-Methoden zu prüfen, wo die Prozesse wie funktionieren, um strukturelle Schwachstellen aufzudecken.

Grundsätzlich soll durch sinnvolle und geeignete Analysen überprüft werden:

- welche Schnittstellen in den Diensten und Prozessen für etwaige Angriffe geeignet sind,

- ob und durch welche Rollen digitale Identitäten erstellt oder manipuliert werden können,

- ob gültige Zertifikate ausgetauscht werden können,

- ob Informationen, wie z. B. Anmeldehäufigkeit und Zugangskonten, gesammelt werden können,

- inwieweit es gematik-Mitarbeitern und Mitarbeiterinnen möglich ist, Einträge im Rahmen von Datenanalyse-Tätigkeiten im Verzeichnisdienst zu ändern.

II.2.5)Zuschlagskriterien
Qualitätskriterium - Name: Kriterium / Gewichtung: 70
Preis - Gewichtung: 30.00
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben

Abschnitt IV: Verfahren

IV.1)Beschreibung
IV.1.1)Verfahrensart
Offenes Verfahren
IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen Beschaffungssystem
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: ja
IV.2)Verwaltungsangaben
IV.2.1)Frühere Bekanntmachung zu diesem Verfahren
Bekanntmachungsnummer im ABl.: 2023/S 092-284855
IV.2.8)Angaben zur Beendigung des dynamischen Beschaffungssystems
IV.2.9)Angaben zur Beendigung des Aufrufs zum Wettbewerb in Form einer Vorinformation

Abschnitt V: Auftragsvergabe

Bezeichnung des Auftrags:

Auftragsvergabe AWARE7 GmbH

Ein Auftrag/Los wurde vergeben: ja
V.2)Auftragsvergabe
V.2.1)Tag des Vertragsabschlusses:
21/07/2023
V.2.2)Angaben zu den Angeboten
Anzahl der eingegangenen Angebote: 6
Anzahl der eingegangenen Angebote von KMU: 3
Anzahl der eingegangenen Angebote von Bietern aus anderen EU-Mitgliedstaaten: 0
Anzahl der eingegangenen Angebote von Bietern aus Nicht-EU-Mitgliedstaaten: 0
Anzahl der elektronisch eingegangenen Angebote: 6
Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein
V.2.3)Name und Anschrift des Wirtschaftsteilnehmers, zu dessen Gunsten der Zuschlag erteilt wurde
Offizielle Bezeichnung: AWARE7 GmbH
Postanschrift: Munscheidstr. 14
Ort: Gelsenkirchen
NUTS-Code: DE300 Berlin
Postleitzahl: 45886
Land: Deutschland
Internet-Adresse: https://aware7.de
Der Auftragnehmer ist ein KMU: ja
V.2.4)Angaben zum Wert des Auftrags/Loses (ohne MwSt.)
Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR
V.2.5)Angaben zur Vergabe von Unteraufträgen

Abschnitt VI: Weitere Angaben

VI.3)Zusätzliche Angaben:

Bekanntmachungs-ID: CXS0Y53Y1MCH3KN3

VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Offizielle Bezeichnung: Bundeskartellamt Vergabekammern des Bundes
Postanschrift: Villemombler Str. 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail:
Telefon: +49 22894990
Fax: +49 2289499163
Internet-Adresse: http://www.bundeskartellamt.de
VI.4.2)Zuständige Stelle für Schlichtungsverfahren
Offizielle Bezeichnung: Bundeskartellamt Vergabekammern des Bundes
Postanschrift: Villemombler Str. 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail:
Telefon: +49 22894990
Fax: +49 2289499163
Internet-Adresse: http://www.bundeskartellamt.de
VI.4.3)Einlegung von Rechtsbehelfen
Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Das Nachprüfungsverfahren ist in Kapitel 2 des 4. Teils des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) geregelt.

Ein Nachprüfungsverfahren wird nach § 160 GWB nur auf Antrag bei der Vergabekammer eingeleitet. Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschrift ein Schaden entstanden ist oder zu entstehen droht.

Dieser Antrag ist unzulässig, soweit:

1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrages erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt;

2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;

3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;

4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Dies gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Absatz 1 Nummer 2 GWB. § 134 Absatz 1 Satz 1 Satz 2 GWB bleibt unberührt.

Nach § 134 GWB (Informations- und Wartepflicht) wird der Auftraggeber Bieter bzw. Bewerber über den vorgesehenen Zuschlag informieren. Der Vertrag wird erst 15 Kalendertage (bei elektronischer Übermittlung oder per Fax: 10 Kalendertage) nach Absendung dieser Information geschlossen.

VI.5)Tag der Absendung dieser Bekanntmachung:
07/08/2023