Bekanntgabe: Entwicklung, Pflege und Weiterentwicklung einer mobilen Vokabeltrainer-App mit Backend-Anwendung Referenznummer der Bekanntmachung: 40/202309
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift: Oskar-von-Miller-Ring 18
Ort: München
NUTS-Code: DE212 München, Kreisfreie Stadt
Postleitzahl: 80333
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.goethe.de
Abschnitt II: Gegenstand
Bekanntgabe: Entwicklung, Pflege und Weiterentwicklung einer mobilen Vokabeltrainer-App mit Backend-Anwendung
Der Goethe-Institut e.V. plant die Erstellung einer Vokabeltrainer App für iOS und Android mit der zugehörigen Backendanwendung sowie deren Pflege und Weiterentwicklung. Eine detaillierte Beschreibung der geforderten Leistung ist der Anlage A "Leistungsbeschreibung" zu entnehmen
Goethe-Institut e.V. - Zentrale Oskar-von-Miller-Ring 18 80333 München
Allgemeine Anforderungen an die Entwicklung von Apps
Verschlüsselung von Daten: Alle sensiblen Daten, wie z.B. Passwörter und Kreditkarteninformationen, sind auf dem Gerät verschlüsselt zu speichern, um unbefugtem Zugriff vorzubeugen.
Netzwerkkommunikation: Alle Netzwerkkommunikation haben über eine sichere Verbindung (HTTPS) zu erfolgen, um Datenmissbrauch und Man-in-the-Middle-Angriffe zu verhindern.
Authentifizierung und Autorisierung: Jeder Zugriff auf geschützte Ressourcen ist durch Authentifizierung und Autorisierung zu schützen, um sicherzustellen, dass nur berechtigte Benutzer auf diese Ressourcen zugreifen können.
Schutz vor Reverse Engineering: Es sind, Schutzmaßnahmen zu implementieren, um Reverse Engineering zu verhindern, um sicherzustellen, dass die App-Codes und -Algorithmen nicht kopiert oder manipuliert werden können.
Einhaltung von Compliance und Regulierung: Für iOS-Apps ist sicherzustellen, dass sie alle geltenden Gesetze und Vorschriften einhalten, insbesondere im Hinblick auf Datenschutz und Sicherheit.
Sicherung des Zugriffs auf Geräte-Funktionen und Daten: Der Zugriff auf bestimmte Geräte-Funktionen und Daten, wie z.B. Kamera oder Mikrofon, ist richtig zu steuern und zu überwachen, um sicherzustellen, dass die App diese Funktionen und Daten nur dann verwendet, wenn es angemessen ist.
Sicherung von Updates und Patches: Es sind im Rahmen der Pflege der App Updates und Patches zu veröffentlichen, um bekannte Sicherheitslücken zu schließen und die Sicherheit der App zu gewährleisten.
Sandboxing: Die App ist in einer sicheren Umgebung (Sandbox) auszuführen, um sicherzustellen, dass sie keinen Zugriff auf sensible Daten anderer Apps hat und andere Apps keinen Zugriff auf die Daten der App haben.
Anforderungen zur IT-Sicherheit
Das Goethe-Institut betreibt ein Informations-Sicherheits-Management-System basierend auf der ISO 27001 und den BSI Standards. Der Auftraggeber erwartet vom Auftragnehmer einen entsprechenden aktiven Umgang mit IT- Sicherheit. Auf Grund der Compliance Anforderungen (z.B. Datenschutz) und Image Risiken für den Auftraggeber wird der Schutzbedarf als "hoch" eingestuft (BSI Standard 200-2).
Um dem Auftraggeber eine Einschätzung der IT-Sicherheit beim Auftragnehmer und seinen Partnern zu ermöglichen, stellt der Auftragnehmer zum Zeitpunkt der des Angebotes geeignete Informationen bereit:
1) Z.B. IT-Sicherheits-Richtlinien, Zertifizierungen, Sicherheitskonzept der Lösung/des Services, Prüfberichte von Eigenprüfungen und Audits durch Dritte
2) Dokumentation zur IT-Sicherheit notwendiger Verbindungen mit IT-Systemen des Goethe-Institutes (z.B. Backend-Komponenten für Vokabeltrainer App)
3) IT-Sicherheits- Anforderungen an den Auftraggeber für die Nutzung der Lösung/des Services (z.B. Rollen-/Rechte Modell, Überwachung von kritischen Vorgängen)
4) Maßnahmen zur sicheren Zusammenarbeit z.B. bei Changes oder Vorfällen mit IT-Sicherheits-Relevanz
5) Informationen (z.B. Reports) zur regelmäßigen Prüfung der IT-Sicherheit beim Auftragnehmer durch den Auftraggeber während der Vertragslaufzeit
Die IT-Sicherheitsrichtline Sicherheit in Webanwendungen liegt als Anlage 1a bei.
Im Rahmen der Implementierung wird ein ganzheitliches Sicherheitskonzept auf Basis von dem IT-Grundschutz-Kompendium von Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Der Auftragnehmer unterstützt die Erstellung und Umsetzung aktiv.
Zum Zeitpunkt des Vertragsschlusses sind Standards zur IT-Sicherheit bei Schutzbedarf hoch umzusetzen.
Die Vorgaben zur Auftragsdatenverarbeitung, zum Teleservice u.a. sind entsprechend der in den Unterlagen zur Angebotserstellung definierten Anforderungen umzusetzen.
Für die Sicherheit sind insbesondere folgende Punkte zu berücksichtigen:
Die Kommunikation zwischen den Anwendungen, und dem GUI - Schnittstelle muss über eine sichere Verbindung erfolgen.
Die Kommunikation zwischen Endgerät des/-r Anwenders*in und der Vokabeltrainer-App muss über eine sichere Verbindung erfolgen.
Die Kommunikation zwischen dem Rechner des/-r Anwender*in und einer Lernkarten-Backendanwendung muss über eine sichere Verbindung erfolgen.
Zugriffe auf webbasierte Dienste müssen über https oder, falls technologisch notwendig, über weitere Schutzmaßnahmen verschlüsselt erfolgen.
Das Hinzufügen von Dateien in das GUI muss gegen die Einbringung von Viren oder anderen Schadprogramme geschützt sein.
Backend-Komponenten in der Systemumgebung des Goethe-Instituts
Backendkomponenten der Vokabeltrainer-App sind in der Infrastruktur des Auftragnehmers zu hosten. Das Goethe-Institut setzt Azure RedHat Open-Shift (ARO) gegenwärtig in der Version 4.10 ein. Das Handbuch für Entwickler*innen liegt als Anlage 1b bei.
Setup, Konfiguration und Betrieb liegen in der Zuständigkeit des Entwicklungsdienstleisters. Der Auftragnehmer setzt in der Infrastruktur des Auftraggebers eine Test- und Deploymentpipeline auf. Die technische Lösung erfolgt in Absprache mit dem Auftraggeber. (Momentan vom Auftraggeber vorgeschlagen ist der Einsatz von Tekton). Tests der Anwendung sind zu automatisieren, dies gilt auch für Integrationstests.
Das Code Repository liegt am Goethe-Institut. Gegenwärtig kommt Bitbucket zum Einsatz.
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
Entwicklung, Pflege und Weiterentwicklung einer mobilen Vokabeltrainer-App mit Backend-Anwendung
Ort: Berlin
NUTS-Code: DE600 Hamburg
Land: Deutschland
Abschnitt VI: Weitere Angaben
Bekanntmachungs-ID: CXP4YHX62LL
Postanschrift: Bundeskartellamt Villemombler Str 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail:
Telefon: +49 2289499-562
Fax: +49 2289499-163
Internet-Adresse: www.bundeskartellamt.de
Das Verfahren für Verstöße gegen diese Vergabe richtet sich nach den Vorschriften der §§ 155 ff. des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Zur Wahrung der Fristen wird auf die §§ 160 ff. GWB verwiesen. Ein Nachprüfungsantrag ist insbesondere unzulässig, soweit:
1) der Antragsteller den gerügten Verstoß gegen Vergabevorschriften im Vergabeverfahren erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens zum Ablauf der Frist zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.