1. Beschaffer
1.1.
Beschaffer
Offizielle Bezeichnung: DB InfraGO AG – Geschäftsbereich Fahrweg (Bukr 16)
Tätigkeit des Auftraggebers: Eisenbahndienste
2. Verfahren
2.1.
Verfahren
Titel: Strategischer Threat Intelligence Service
Beschreibung: Um den Betrieb der Schieneninfrastruktur der DB InfraGo AG vor Cyberattacken proaktiv zu schützen ist ein gesamthafter Überblick über die aktuellen Cybersecurity-Bedrohungen und Sicherheitslücken inkl. möglicher Lösungsansätze und Patches nötig, die relevant für die DB InfraGo AG sind. Um eine resiliente, strategische Ausrichtung des Informationssicherheitsmanagements zu gewährleisten ist es wichtig, über aktuelle oder potentielle Bedrohungsszenarien frühzeitig informiert zu werden und mögliche Lösungsansätze aufgezeigt zu bekommen.
Kennung des Verfahrens: a878fb0a-4096-4dc3-a4dc-11ad5166191e
Interne Kennung: 23FEA69119
Verfahrensart: Verhandlungsverfahren mit vorheriger Veröffentlichung eines Aufrufs zum Wettbewerb/Verhandlungsverfahren
Das Verfahren wird beschleunigt: nein
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2.1.2.
Erfüllungsort
Stadt: Frankfurt am Main
Postleitzahl: 60326
Land, Gliederung (NUTS): Frankfurt am Main, Kreisfreie Stadt (DE712)
Land: Deutschland
2.1.4.
Allgemeine Informationen
Rechtsgrundlage:
Richtlinie 2014/25/EU
sektvo -
2.1.6.
Ausschlussgründe:
Rein innerstaatliche Ausschlussgründe: Gemäß § 123, 124 GWB
5. Los
5.1.
Los: LOT-0001
Titel: Strategischer Threat Intelligence Service
Beschreibung: Um den Betrieb der Schieneninfrastruktur der DB InfraGo AG vor Cyberattacken proaktiv zu schützen ist ein gesamthafter Überblick über die aktuellen Cybersecurity-Bedrohungen und Sicherheitslücken inkl. möglicher Lösungsansätze und Patches nötig, die relevant für die DB InfraGo AG sind. Um eine resiliente, strategische Ausrichtung des Informationssicherheitsmanagements zu gewährleisten ist es wichtig, über aktuelle oder potentielle Bedrohungsszenarien frühzeitig informiert zu werden und mögliche Lösungsansätze aufgezeigt zu bekommen.
Interne Kennung: baf50839-2171-4d28-aede-a1d387ba6a47
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
5.1.3.
Geschätzte Dauer
Datum des Beginns: 01/08/2024
Enddatum der Laufzeit: 31/07/2030
5.1.4.
Verlängerung
Maximale Verlängerungen: 0
Der Erwerber behält sich das Recht vor, zusätzliche Käufe vom Auftragnehmer zu tätigen, wie hier beschrieben: Die Zahl der registrierten, kriminellen Hackerangriffe stieg in Deutschland im Jahr 2020 um et-was über acht Prozent. Wie internationale Fälle zeigen, sind auch kritische Infrastrukturen, also Organisationen und Einrichtungen, deren Schädigung schwerwiegende Folgen des Wirtschafts-systems, der öffentlichen Ordnung und der Umwelt zu Folgen haben, Zielschreibe solcher An-griffe. Im Juli 2021 sorgte ein Hackerangriff auf das staatlichen, iranische Eisenbahnsystem bzw. das iranische Transport- und Verkehrsministerium für Zugausfälle. Die Webseite der iranischen Ge-sellschaft war über Stunden hinweg nicht zugänglich, in den Bahnhöfen wurden falsche Infor-mationen über Verspätungen und Streichungen von Zügen angezeigt. Ein Angriff auf eine wichtige nationale Infrastruktur der USA fand im Anfang Mai 2021 statt. Das Unternehmen Colonial Pipeline musste den Betrieb ihrer Pipeline, durch die etwa 45 % aller an der US-Ostküste verbrauchten Kraftstoffe laufen, zeitweise komplett einstellen. Dies führte in Teilen des Landes zu Benzinengpässen. Erst nach einer Lösegeldzahlung von 4,4 Millionen Dollar wurde der Betrieb wieder aufgenommen. Um solche Vorkommnisse zu verhindern, ist deswegen präventiv zu handeln und Angreifern bzw. Sicherheitslücken proaktiv entgegenzuwirken. Die DB InfraGo AG betreibt als Eisenbahninfrastrukturunternehmen über 85% des deutschen Schienennetzes. 2020 wurden auf diesem trotz Corona-Pandemie 1.499 Mio. Reisende und 213 Mio. Tonnen Güter transportiert. Als Bestandteil der kritischen Infrastruktur in Deutschland ist die DB InfraGo AG eine Organisation mit wichtiger Bedeutung für das staatlichen Gemeinwe-sen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe und erhebliche Störungen der öffentlichen Sicherheit eintreten können. Um den Betrieb der Schieneninfrastruktur der DB InfraGo AG vor Cyberattacken proaktiv zu schützen ist ein gesamthafter Überblick über die aktuellen Cybersecurity-Bedrohungen und Si-cherheitslücken inkl. möglicher Lösungsansätze und Patches nötig, die relevant für die DB In-fraGo AG sind. Um eine resiliente, strategische Ausrichtung des Informationssicherheitsmanagements zu gewährleisten ist es wichtig, über aktuelle oder potentielle Bedrohungsszenarien frühzeitig infor-miert zu werden und mögliche Lösungsansätze aufgezeigt zu bekommen. Dies gestaltet sich bei einem Unternehmen wie der DB InfraGo AG mit einer vielfältigen IT/OT-Landschaft als besonders schwierig, da es neben den unterschiedlichsten Herstellern und ver-schiedenen Softwareversionen auch besonders alte IT/OT-Systemen gibt. Gleichzeitig ist die DB InfraGo AG mit rund 61.000 Mitarbeitern ein großer Arbeitsgeber in Deutschland. Gezielte Social-Engineering-Angriffe oder Phishing-Mails haben so eine größere Angriffsfläche. Um Angriffe zu verhindern, die Angriffserkennung zu optimieren und zu beschleunigen, um fun-dierte Entscheidungen hinsichtlich der Bedrohungen bei Cyberattacken und sonstigen mögli-chen Cybersicherheitsvorfällen treffen und angemessen reagieren zu können, benötigen wir eine Dienstleistung, welche entsprechende Information ermittelt und strukturiert zur Verfügung stellt. Sogenannte Threat Intelligence, also Kontext, Mechanismen, Indikatoren, Implikationen und Handlungsempfehlungen, zu einer bestehenden oder aufkommenden Bedrohung für Vermö-genswerte des Unternehmens, soll herangezogen werden, um fundierte Entscheidungen be-züglich der Reaktion auf diese Bedrohung oder Gefährdung zu treffen. Ziel der Ausschreibung ist es mit Hilfe eines strategischen Threat Intelligence Content-Providers aus verschiedenen Quellen in Echtzeit zu aggregieren, zueinander in Beziehung setzen und zu analysieren, um entsprechende Abwehrmaßnahmen formulieren und umsetzten zu können. Dabei sollen Risiken identifiziert werden, die für die DB InfraGo AG von Bedeutung sind. Der Threat Intelligence Content wird der DB InfraGo AG von einem Dienstleister zur Verfügung gestellt. Threat Intelligence Dienstleister unterhalten in der Regel neben den technischen Syste-men auch spezielle Analysten mit Kenntnis von und Zugang zu verdeckt gehandelten Informati-onen, beispielsweise im Darknet, oder auch im chinesisch-/russischsprachigen Deepnet, etc.. Von Kundenseite aus können Informationen hinterlegt werden, die als Basis für die entspre-chenden Recherchen dienen. Dies können beispielsweise Listen eingesetzter Software sein (mit besonderem Interesse an aktuellen Schwachstellen), dies können Aufstellungen von 3rd Party Anbietern / Lieferanten sein (ebenfalls spezifische Schwachstellen-Identifizierung sowie sicherheitsrelevante Vorfälle, Leaks, Hacks, etc.), ebenso beispielsweise Adressbereiche (IP-Adressen, DNS-Einträge, Autonome Systeme, usw.) der DB InfraGo AG. Im Falle von Treffern liefert der Service Bewertungen und Details von möglichen Bedrohungen, Vorfällen, Risiken, Lösungs- und Priorisierungsvorschlägen. Schätz- und Höchstmengen: Wir gehen von initial fünf und maximal zwanzig Benutzerlizenzen für das gewählte Produkt aus. Die Leistungen müssen entweder in deutscher oder englischer Sprache erbracht werden. Näheres siehe Anhang Leistungsbeschreibung
5.1.6.
Allgemeine Informationen
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Kriterium:
Art: Eignung zur Berufsausübung
Beschreibung: siehe Anhang B1_Eignungsmatrix
Anwendung dieses Kriteriums: Verwendet
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Kriterium:
Art: Wirtschaftliche und finanzielle Leistungsfähigkeit
Beschreibung: Anhang B1_Eignungsmatrix
Anwendung dieses Kriteriums: Verwendet
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Beschreibung: Anhang B1_Eignungsmatrix
Anwendung dieses Kriteriums: Verwendet
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Informationen über die zweite Phase eines zweiphasigen Verfahrens:
Das Verfahren wird in mehreren aufeinanderfolgenden Phasen durchgeführt. In jeder Phase können einige Teilnehmer ausgeschlossen werden
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Preis (siehe Anhang C3_Bewertungsmatrix)
Beschreibung: Preis
Gewichtung (Prozentanteil, genau): 40
Kriterium:
Art: Qualität
Bezeichnung: Leistungsbewertung gemäß Kriterienkatalog (Anhang C3_Bewertungsmatrix)
Beschreibung: Fachliche Kriterien (siehe Anhang C3_Bewertungsmatrix)
Gewichtung (Prozentanteil, genau): 60
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind:
Frist für die Anforderung zusätzlicher Informationen: 15/04/2024 12:00:00 (UTC+2)
5.1.12.
Bedingungen für die Auftragsvergabe
Verfahrensbedingungen:
Voraussichtliches Datum der Absendung der Aufforderungen zur Angebotseinreichung: 07/05/2024
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 25/04/2024 12:00:00 (UTC+2)
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Gemäß § 51 SektVO, Mögliche Hinweise des Auftraggebers in den Vergabeunterlagen sind zu beachten.
Auftragsbedingungen:
Bedingungen für die Ausführung des Auftrags: siehe Vergabe- und Vertragsunterlagen der DB AG
Elektronische Rechnungsstellung: Erforderlich
Finanzielle Vereinbarung: gemäß Vergabeunterlagen der DB AG
5.1.15.
Techniken
Rahmenvereinbarung: Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Bundes
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: DB InfraGO AG – Geschäftsbereich Fahrweg (Bukr 16)
8. Organisationen
8.1.
ORG-0001
Offizielle Bezeichnung: DB InfraGO AG – Geschäftsbereich Fahrweg (Bukr 16)
Registrierungsnummer: fb197f94-7578-4673-8a57-4642ae120532
Postanschrift: Adam-Riese-Straße 11-13
Stadt: Frankfurt Main
Postleitzahl: 60327
Land, Gliederung (NUTS): Frankfurt am Main, Kreisfreie Stadt (DE712)
Land: Deutschland
Kontaktperson: FEA3
Telefon: +49 3029756738
Fax: +49 6926520154
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
8.1.
ORG-0002
Offizielle Bezeichnung: Vergabekammer des Bundes
Registrierungsnummer: 0a9ea480-08e4-4ab6-bf12-d722d0ad54b6
Postanschrift: Villemomblerstr. 76
Stadt: Bonn
Postleitzahl: 53123
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49 22894990
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0003
Offizielle Bezeichnung: Beschaffungsamt des BMI
Registrierungsnummer: 994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
11. Informationen zur Bekanntmachung
11.1.
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: 2f84f1eb-0a18-44cc-8a4c-972f12ed8173 - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Datum der Übermittlung der Bekanntmachung: 21/03/2024 15:21:49 (UTC+1)
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
11.2.
Informationen zur Veröffentlichung
Veröffentlichungsnummer der Bekanntmachung: 178681-2024
ABl. S – Nummer der Ausgabe: 60/2024
Datum der Veröffentlichung: 25/03/2024