Projekt 613: Penetrationstest an einem Fahrzeug mit zentralisierter E/E Architektur (PenZEA) Referenznummer der Bekanntmachung: P 613 (PenZEA)
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift: Postfach 200363
Ort: Bonn
NUTS-Code: DEA22 Bonn, Kreisfreie Stadt
Postleitzahl: 53133
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: https://www.bsi.bund.de
Abschnitt II: Gegenstand
Projekt 613: Penetrationstest an einem Fahrzeug mit zentralisierter E/E Architektur (PenZEA)
Die Digitalisierung des Privatverkehrs ist im vollen Gange. Dass auch Cybersicherheit bei den immer komplexeren Systemen mitgedacht werden muss, ist auch der Automobilindustrie und dem Gesetzgeber bewusstgeworden. Der Ende 2021 verabschiedete Industrie Standard ISO/SAE 21434 sowie die kürzlich in Kraft getretene UN Regulierung R155, die in das EU-Typgenehmigungsrecht umgesetzt wurde, stellen Anforderung an die Cybersicherheit-Managementsysteme und Produkte der Automobilindustrie. In diesem Rahmen wird auch das Thema Penetrationstests an Fahrzeugen immer relevanter.
In diesem Projekt soll ein modernes Fahrzeug mit zentralisierter E/E Architektur und dessen Fahrzeugsysteme systematisch hinsichtlich ihrer Cybersicherheit untersucht werden. Dabei soll ein strukturiertes Vorgehen verwendet werden, das insbesondere auf drei Technologien eingeht: Den zentralen Fahrzeugcomputer, die C-ITS Kommunikation und das Schließsystem. Die Untersuchungen erfolgen aus Angreiferperspektive. Bei der Untersuchung des Fahrzeugs soll insbesondere geprüft werden, welche Auswirkungen der Einsatz der genannten Technologien auf die Sicherheit des Gesamtsystems hat. Neben den Untersuchungen selbst, ist das Vorgehen an sich Gegenstand des Projekts.
Beim Auftragnehmer
Siehe Punkt II.1.4.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
1. Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/1269 des Rates vom 27.04.2023 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungsbereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter Artikel 7 Buchstaben a bis d, Artikel 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU und unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG sowie unter Titel VII der Verordnung (EU, Euratom) 2018/1046 fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige, in Russland ansässige natürliche Personen oder in Russland niedergelassene juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
einschließlich - wenn auf sie mehr als 10 % des Auftragswerts entfällt - Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ (-> Bestätigung) oder „NEIN“ (-> keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
2.Ausschluss eines Interessenskonflikts
Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.
Bitte mit „JA“ oder „NEIN“ beantworten.
Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines untersuchten Produkts oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor.
Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
3. Referenzen: Penetrationstests
Benennen Sie die Beratungs- bzw. Untersuchungsprojekte im Bereich Penetrationstest, die in den letzten drei Jahren von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft und den Unterauftragnehmern durchgeführt wurden als Nachweis, dass Penetrationstests ein wesentliches Arbeitsfeld der beteiligten Unternehmen ist.
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Ansprechpartner
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang
- Dauer
- Auftragsvolumen
Aus Ihren Ausführungen muss ersichtlich werden, warum die beschriebenen Projekte aus Ihrer Sicht die oben genannten Anforderungen erfüllen und somit als Referenz geeignet sind. Die Darstellung sollte eine DIN A4-Seite pro Referenzprojekt nicht überschreiten.
Mindestanforderung: Benennung und Beschreibung von mindestens zwei Referenzen. Alle Beratungs- und Untersuchungsprojekte müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
4. Referenzen: Fahrzeug-IT
Benennen Sie die Beratungs- bzw. Untersuchungsprojekte, Entwicklungsprojekte im Bereich der Fahrzeug-IT die in den letzten drei Jahren von Ihrem Unternehmen, den Mitgliedern der Bietergemeinschaft und den Unterauftragnehmern durchgeführt wurden als Nachweis, dass Fahrzeug-IT ein wesentliches Arbeitsfeld der beteiligten Unternehmen ist.
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Ansprechpartner
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang
- Dauer
- Auftragsvolumen
Aus Ihren Ausführungen muss ersichtlich werden, warum die beschriebenen Projekte aus Ihrer Sicht die oben genannten Anforderungen erfüllen und somit als Referenz geeignet sind. Die Darstellung sollte eine DIN A4-Seite pro Referenzprojekt nicht überschreiten.
Mindestanforderung: Benennung und Beschreibung von mindestens zwei Referenzen. Alle Beratungs- und Untersuchungsprojekte müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
5. Technische und räumliche Ausstattung
Geben Sie einen kurzen Überblick über die räumliche Ausstattung und das technische Equipment, welches Ihnen zur Verfügung steht und von Ihnen zur Erbringung der hier ausgeschriebenen Leistung / des AP 3 eingesetzt wird.
Mindestanforderung: Der Auftragnehmer verfügt für die Leistungserbringung mindestens über die folgende räumliche und technische Ausrüstung:
- Geeigneter Raum mit entsprechend dimensionierten Eingang, um ein Mittelklassefahrzeug aufzunehmen und zu untersuchen.
- Werkzeuge (Hard- und Software) zum Empfangen, Aufzeichnen und Senden von Nachrichten auf
* allen gängigen Fahrzeugbussystemen wie CAN, MOST, LIN, FlexRay und Automotive-Ethernet
* gängigen, gerade im Infotainmentbereich verwendeten Funkstandards wie WLAN, Bluetooth, BLE
* weitere Funktechnologien aus der Anwendung für Fahrzeugschlüssel
* Schnittstellen wie OBD-2 und USB
- Rechner wie auch die nötige Software, um Penetrationstests durchführen und auswerten zu können
- Werkzeuge um Einzelkomponenten physisch aus dem Fahrzeug zu entfernen und sich Zugang zu deren Schnittstellen zu verschaffen
Der AN dokumentiert die Ausrüstung, etwa in Form einer Liste, und gibt hierbei zumindest Modellbezeichnung und Hersteller an.
6.Qualitätsmanagement
Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.
Mindestanforderung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.
Ausführungsbedingungen gemäß Auftragsunterlagen
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Postanschrift: Villemombler Str. 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail:
Telefon: +49 228-94990
Fax: +49 228-9499400
Internet-Adresse: http://www.bundeskartellamt.de
Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den
Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.
Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.