Offizielle Bezeichnung: Bundesamt für Sicherheit in der Informationstechnik
Postanschrift: Postfach 200363
Ort: Bonn
NUTS-Code: DEA22 Bonn, Kreisfreie Stadt
Postleitzahl: 53133
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: https://www.bsi.bund.de

Die Auftragsunterlagen stehen für einen uneingeschränkten und vollständigen direkten Zugang gebührenfrei zur Verfügung unter: https://www.evergabe-online.de/tenderdetails.html?id=536264

Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen

Angebote oder Teilnahmeanträge sind einzureichen elektronisch via: https://www.evergabe-online.de/tenderdetails.html?id=536264

Ministerium oder sonstige zentral- oder bundesstaatliche Behörde einschließlich regionaler oder lokaler Unterabteilungen

Allgemeine öffentliche Verwaltung

Projekt 602: Sicherheitsanalyse differenzierter Bestandteile in Windows 10/11 (Windows seziert)

Referenznummer der Bekanntmachung: P 602

Dienstleistungen

Gegenstand dieses Projektes ist die Durchführung von tiefgehenden Sicherheitsanalysen sicherheitskritischer Komponenten und Funktionen in Windows 10/11 sowie die darauf aufbauende Erstellung von Hinweisen zur Protokollierung und zur Konfiguration des Betriebssystems Windows und der zu Windows mitausgelieferten Softwarekomponenten. Die Untersuchungsgegenstände sind hinsichtlich mangelnder Antworten zu sicherheitskritischen Fragestellungen (z. B. die Zweckbindung der Tasks in der Aufgabenplanung) als auch deren zukünftiger Bedeutsamkeit (z. B. biometrische Identifikation) gewählt. Der Auftragnehmer muss dokumentierte, praktische Erfahrungen im Reverse Engineering sowie Fachkenntnisse und Erfahrungen hinsichtlich der internen Funktionsweise von Softwareprogrammen, Betriebssystemen und x86_64-Rechnersystemen nachweisen. Umfangreiche theoretische sowie praktische Erfahrungen im Bereich der Schwachstellenanalyse und der systemnahen Programmierung (Assembler, C) sind erforderlich.

Aufteilung des Auftrags in Lose: nein

NUTS-Code: DEA22 Bonn, Kreisfreie Stadt

Hauptort der Ausführung:

Beim Auftragnehmer

Gegenstand dieses Projektes ist die Durchführung von tiefgehenden Sicherheitsanalysen sicherheitskritischer Komponenten und Funktionen in Windows 10/11 sowie die darauf aufbauende Erstellung von Hinweisen zur Protokollierung und zur Konfiguration des Betriebssystems Windows und der zu Windows mitausgelieferten Softwarekomponenten. Die Untersuchungsgegenstände sind hinsichtlich mangelnder Antworten zu sicherheitskritischen Fragestellungen (z. B. die Zweckbindung der Tasks in der Aufgabenplanung) als auch deren zukünftiger Bedeutsamkeit (z. B. biometrische Identifikation) gewählt. Der Auftragnehmer muss dokumentierte, praktische Erfahrungen im Reverse Engineering sowie Fachkenntnisse und Erfahrungen hinsichtlich der internen Funktionsweise von Softwareprogrammen, Betriebssystemen und x86_64-Rechnersystemen nachweisen. Umfangreiche theoretische sowie praktische Erfahrungen im Bereich der Schwachstellenanalyse und der systemnahen Programmierung (Assembler, C) sind erforderlich.

Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind nur in den Beschaffungsunterlagen aufgeführt

Laufzeit in Monaten: 21

Dieser Auftrag kann verlängert werden: nein

Varianten/Alternativangebote sind zulässig: nein

Optionen: ja

Beschreibung der Optionen:

AP 3 ist eine optionale Leistung. Diese muss vom Bieter angeboten werden, der Auftraggeber (AG) verzichtet jedoch ggf. generell auf deren Beauftragung. Die Beauftragung des AP 3 ist abhängig vom Ergebnis von AP 2 und AP 10.

Der AG behält sich vor, die Leistungen des AP 3 abhängig von den jeweiligen Zwischenergebnissen bei Bedarf auch nur anteilig (ggf. auch mehrfach in einzelnen „Tranchen“) zu beauftragen. Die vorgegebene maximale Obergrenze (siehe hierzu Kapitel 3.1.2) darf dabei insgesamt nicht überschritten werden.

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Auflistung und kurze Beschreibung der Eignungskriterien:

I. Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014

Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/576 des Rates vom 08.04.2022 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:

Artikel 5k

(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungsbereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter die Artikel 7 und 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU und unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:

a) russische Staatsangehörige oder in Russland niedergelassene natürliche oder juristische Personen, Organisationen oder Einrichtungen,

b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder

c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,

auch solche, auf die mehr als 10 % des Auftragswerts entfällt, Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.

Bestätigen Sie, dass keine der o. g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z. B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o. g. Ausschlussgründe verstoßen?

Bitte die Frage nur mit „JA“ (= Bestätigung) oder „NEIN“ (= keine Bestätigung) beantworten.

Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.

Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.

II.Ausschluss eines Interessenskonflikts

Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.

Bitte mit „JA“ oder „NEIN“ beantworten.

Ein Interessenkonflikt ergibt sich z. B. durch eine wirtschaftliche oder vertragliche Abhängigkeit von Microsoft oder durch ein Wettbewerbsverhältnis zu Microsoft, wodurch Beteiligte bei den Analysen nicht neutral bleiben könnten.

Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.

Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.

III.Referenzen

Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen:

1. im Reverse Engineering,

2. mit der Sicherheit in Windows-10/11-Betriebssystemen und Netzwerken und

3. mit der systemnahen Programmierung unter Windows 10/11.

Die genannten Referenzen müssen insbesondere die Fähigkeit der beteiligten Unternehmen auf den Gebieten der Analyse von Betriebssystem-Komponenten, der systemnahen Programmierung und dem Reverse Engineering unter Windows 10/11 belegen.

Weisen Sie zu diesen Schwerpunkten mindestens ein Projekt nach, das von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft oder den Unterauftragnehmern innerhalb der letzten drei Jahre bereits erfolgreich durchgeführt wurde und welches mit der hier zu vergebenden Leistung vergleichbar ist (Dauer, Umfang, Inhalt) oder darüber hinaus geht.

Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:

Auftraggeber inkl. Fachbereich

(detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit

Umfang / Betroffener Erfahrungsbereich

Dauer

Auftragsvolumen

Es werden keine Referenzschreiben früherer Auftraggeber benötigt.

Mindestanforderung: Es ist mindestens eine geeignete Referenz vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf.

IV. Erfahrungen mit dem Untersuchungsgegenstand

Fügen Sie aussagekräftige Referenzen zu Projekten innerhalb der letzten drei Jahre bei, in denen Sie sich mit sicherheitsrelevantem Code (vgl. Erläuterung „Sicherheitsrelevanter Code“ im Anhang) in Windows 10/11 und Softwareschwachstellen befasst haben.

Mindestanforderung:

Weisen Sie hierfür entweder

mindestens zwei Projekte nach, von denen sich eines mit sicherheitsrelevantem Code in Windows und eines mit Softwareschwachstellen befasst hat

oder

mindestens ein Projekt nach, welches sich mit einer Softwareschwachstelle in Windows befasst hat.

Zudem wurde im Zusammenhang mit mindestens einem der nachgewiesenen Projekte zusätzlich Programmcode erstellt (z. B. Proof of Concept, Exploit, Tool).

V.Zusammenarbeit mit Software-Herstellern

Weisen Sie mindestens einen Austausch mit einem Hersteller zu Softwareschwachstellen und deren Behebung (Responsible Disclosure) innerhalb der letzten fünf Jahre nach.

Mindestanforderung:

Nachweis mindestens eines Austauschs zu Softwareschwachstellen mit einem Hersteller und deren Behebung innerhalb der letzten fünf Jahre.

VI.Erfahrungen im journalistischen Bereich

Beschreiben Sie die Erfahrungen Ihres Unternehmens im journalistischen Bereich und weisen Sie nach, dass Sie innerhalb der letzten fünf Jahre bereits verständliche technische Referenzpublikationen veröffentlicht haben.

Als geeignet für einen Bezug zum Projekt gelten hierbei Referenzpublikationen, welche sich mit Schwachstellenanalyse, Softwareanalyse, Netzwerkanalyse, betriebssystemnaher Programmierung oder der Exploit-Entwicklung befassen.

Mindestanforderung: Benennung und Beschreibung von mindestens zwei Referenzpublikationen.

VII.Technische Ausrüstung

Geben Sie einen kurzen Überblick über das technische Equipment, welches Ihnen zur Verfügung steht und von Ihnen zur Erbringung der hier ausgeschriebenen Leistung eingesetzt wird.

Mindestanforderung: Der Bieter ist aus Sicht des BSI in der Lage, die hier zu vergebende Leistung mit Hilfe der beschriebenen technischen Ausrüstung erfolgreich zu erbringen.

VIII.Qualitätsmanagement

Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.

Mindestvoraussetzung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.

Ausführungsbedingungen gemäß Auftragsunterlagen

Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind

Offenes Verfahren

Der Auftrag fällt unter das Beschaffungsübereinkommen: nein

Tag: 04/12/2023

Ortszeit: 14:00

Deutsch

Laufzeit in Monaten: 3 (ab dem Schlusstermin für den Eingang der Angebote)

Tag: 04/12/2023

Ortszeit: 14:00

Dies ist ein wiederkehrender Auftrag: nein

Aufträge werden elektronisch erteilt

Die elektronische Rechnungsstellung wird akzeptiert

Die Zahlung erfolgt elektronisch

Offizielle Bezeichnung: Vergabekammer des Bundes beim Bundeskartellamt
Postanschrift: Villemombler Str. 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail:
Telefon: +49 228-94990
Fax: +49 228-9499400
Internet-Adresse: http://www.bundeskartellamt.de

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den

Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.

Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.

04/09/2023