1. Beschaffer
1.1.
Beschaffer
Offizielle Bezeichnung: Elisabeth Vinzenz Verbund GmbH
Rechtsform des Erwerbers: Organisation, die einen durch eine zentrale Regierungsbehörde subventionierten Auftrag vergibt
Tätigkeit des öffentlichen Auftraggebers: Gesundheit
2. Verfahren
2.1.
Verfahren
Titel: Erweiterung der vorhandenen zentralen Fudo - (PAM) Lösung um lokale Standorte
Beschreibung: Die Elisabeth Vinzenz Verbund GmbH in 12105 Berlin, Alarichstraße 12-17, beabsichtigt die Erweiterung der seit 2022 vorhandenen zentralen Fudo - Privileged Access Management Lösung (PAM) um die lokalen Standorte.
Kennung des Verfahrens: bd55562a-5bfd-4f64-b54f-99c61bfc0b4a
Interne Kennung: Fudo PAM
Verfahrensart: Verhandlungsverfahren ohne Aufruf zum Wettbewerb
2.1.1.
Zweck
Art des Auftrags: Lieferungen
Haupteinstufung (cpv): 48730000 Sicherheitssoftwarepaket
2.1.2.
Erfüllungsort
Postanschrift: An den Standorten des Elisabeth-Vinzenz-Verbundes
Stadt: Berlin
Postleitzahl: 12105
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
2.1.4.
Allgemeine Informationen
Rechtsgrundlage:
Richtlinie 2014/24/EU
RL 2014/24/EU - GWB, VgV
§ 14 Abs. 4 VgV
Anzuwendende grenzübergreifende Rechtsvorschrift:
Beschreibung: RL 2014/24/EU
5. Los
5.1.
Los: LOT-0001
Titel: Erweiterung der vorhandenen zentralen Fudo - (PAM) Lösung um lokale Standorte
Beschreibung: Die Elisabeth Vinzenz Verbund GmbH in 12105 Berlin, Alarichstraße 12-17 beabsichtigt die Erweiterung der seit 2022 vorhandenen zentralen Fudo - Privileged Access Management Lösung (PAM) um die lokalen Standorte. PAM ist eine Lösung, die den (Fern-)zugriff von administrativen Konten auf Kritische Server, Netzwerkkomponenten usw. regulieren soll. Dabei können administrative Konten interne sowie externe MitarbeiterInnen sein. Nachdem täglich hunderte dieser Zugriffe erfolgen (innerhalb der Kliniken, zwischen den Kliniken, von extern usw.) soll zu Zwecken der Skalierbarkeit, (Ausfall-Sicherheit) und Usability ein einheitliches System eingesetzt werden. Nachdem am Headquarter in Berlin die Fudo PAM bereits eingeführt wurde – um den Zugriff der externen Dienstleister auf sämtliche Kliniksysteme im Verbund abzubilden - wird nun im Verbund eine Erweiterung der lokalen Standorte umgesetzt, um eine DSGVO und NIS2 konforme Zero-trust-Strategie auch für interne Administratoren umzusetzen. Unabhängig davon, dass Fudo PAM den individuellen Gegebenheiten der Kliniken entspricht, muss nun im Verbund exakt diese PAM-Lösung erweitert werden: • Die Standorte müssen im Rahmen eines Multi-Master-Cluster standortübergreifend mit dem Hauptstandort verheiratet werden. • Dabei müssen Appliances trotz räumlich/örtlicher Trennung miteinander kommunizieren • Verschiedene PAM-Hersteller im Cluster-Verbund einzusetzen ist technisch nicht möglich und widerspräche den Zero-Trust-Vorgaben, die umgesetzt werden sollen Es muss eine einheitliche Administrationsoberfläche aus EVV-Perspektive und Anwender/Admin.-Perspektive aufgebaut werden Alle User müssen einen einheitlichen Zugangspunkt erhalten Die Systeme sollen sich gegenseitig schützen und eine Ausfallsicherheit gewährleisten Die aufgezeichneten Sitzungen sollen zwischen den Systemen repliziert werden Die Performance der Systeme (Latenzen, Durchsatz usw.) sollen optimiert werden, indem die gleichzeitigen Verbindungen mit Hilfe eines Load-Balancers auf die Maschinen im Rahmen des Multi-Master-Clusters verteilt werden. • Zukünftige Security Lösungen, beispielsweise SIEM werden die Ereignisse und Logs aus der PAM-Lösung verarbeiten, um weitere sicherheitsrelevante Ereignisse zu unterbinden. Der Einsatz verschiedener PAM-Lösungen würde dazu führen, dass die Logs nicht in einer einheitlichen Sprache verarbeitet werden. Somit entsteht mit dem Einsatz verschiedener PAM-Lösungen eine Pfadabhängigkeit, die zu nicht-abbildbaren Konzepten und/oder Kostenexplosionen führen wird. Die Module sind integraler Bestandteil der bereits vorhandenen Lösung und können somit nur im Rahmen einer Erweiterung realisiert werden. Der Einsatz einer Drittlösung ist, wie beschrieben, aufgrund der tiefen Integration in die bestehende Umgebung nicht möglich. Ein Austausch der bereits vorhandenen Fudo PAM-Lösung ist aus wirtschaftlichen Gründen nicht darstellbar. Die Erweiterung wird an folgenden Standorten des Elisabeths Vinzenz Verbundes eingesetzt: o Elisabeth Krankenhaus, 34117 Kassel, Weingartenstraße 7 o Franziskus-Krankenhaus Berlin, 10787 Berlin, Budapester Str. 15-19 o Krankenhaus St. Martini, 37115 Duderstadt, Göttinger Str. 34 o St. Elisabeth-Krankenhaus Salzgitter, 38259 Salzgitter, Liebenhaller Str. 20 o St. Joseph Krankenhaus Berlin-Tempelhof GmbH, 12101 Berlin, Wüsthoffstraße 15 o Vinzenzkrankenhaus Hannover gGmbH, 30559 Hannover, Lange-Feld-Str. 31 o St.Bernward Krankenhaus, 31134 Hildesheim, Treibestr. 9
Interne Kennung: Fudo-PAM
5.1.1.
Zweck
Art des Auftrags: Lieferungen
Haupteinstufung (cpv): 48730000 Sicherheitssoftwarepaket
5.1.2.
Erfüllungsort
Postanschrift: An den Standorten des Elisabeth-Vinzenz-Verbundes
Stadt: Berlin
Postleitzahl: 12105
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Datum des Beginns: 08/07/2024
Enddatum der Laufzeit: 30/06/2027
5.1.6.
Allgemeine Informationen
Auftragsvergabeprojekt ganz oder teilweise aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Beschreibung: Preis
Gewichtung (Prozentanteil, genau): 100
5.1.12.
Bedingungen für die Auftragsvergabe
Informationen über die Überprüfungsfristen: Nach § 160 GWB gelten nachfolgende Vorgaben und Fristen für Rechtsbehelfe: (1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein. (2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht. (3) Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt, 2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt. Hinsichtlich der Fristen wird insbesondere auf die für ExAnteBekanntmachungen relevante ZehnTagesFrist gemäß § 135 Abs. 3 GWB verwiesen. Eine Rüge gegenüber dem Auftraggeber ist nicht ausreichend.
5.1.15.
Techniken
Rahmenvereinbarung: Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Landes Berlin
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Elisabeth Vinzenz Verbund GmbH
Organisation, die einen Offline-Zugang zu den Vergabeunterlagen bereitstellt: Elisabeth Vinzenz Verbund GmbH
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt: Vergabekammer des Landes Berlin
Organisation, die den Auftrag unterzeichnet: Elisabeth Vinzenz Verbund GmbH
6. Ergebnisse
Direktvergabe:
Begründung der Direktvergabe: Teilweiser Ersatz oder Ausweitung vorhandener Lieferungen oder Anlagen durch den ursprünglichen Lieferanten, deren Beschaffung nach den strengen Vorschriften der Richtlinie erfolgt
Sonstige Begründung: Nachdem am Headquarter in Berlin die Fudo PAM bereits eingeführt wurde – um den Zugriff der externen Dienstleister auf sämtliche Kliniksysteme im Verbund abzubilden - wird nun im Verbund eine Erweiterung der lokalen Standorte umgesetzt, um eine DSGVO und NIS2 konforme Zero-trust-Strategie auch für interne Administratoren umzusetzen. Unabhängig davon, dass Fudo PAM den individuellen Gegebenheiten der Kliniken entspricht, muss nun im Verbund exakt diese PAM-Lösung erweitert werden: • Die Standorte müssen im Rahmen eines Multi-Master-Cluster standortübergreifend mit dem Hauptstandort verheiratet werden. • Dabei müssen Appliances trotz räumlich/örtlicher Trennung miteinander kommunizieren • Verschiedene PAM-Hersteller im Cluster-Verbund einzusetzen ist technisch nicht möglich und widerspräche den Zero-Trust-Vorgaben, die umgesetzt werden sollen Es muss eine einheitliche Administrationsoberfläche aus EVV-Perspektive und Anwender/Admin.-Perspektive aufgebaut werden Alle User müssen einen einheitlichen Zugangspunkt erhalten Die Systeme sollen sich gegenseitig schützen und eine Ausfallsicherheit gewährleisten Die aufgezeichneten Sitzungen sollen zwischen den Systemen repliziert werden Die Performance der Systeme (Latenzen, Durchsatz usw.) sollen optimiert werden, indem die gleichzeitigen Verbindungen mit Hilfe eines Load-Balancers auf die Maschinen im Rahmen des Multi-Master-Clusters verteilt werden. • Zukünftige Security Lösungen, beispielsweise SIEM werden die Ereignisse und Logs aus der PAM-Lösung verarbeiten, um weitere sicherheitsrelevante Ereignisse zu unterbinden. Der Einsatz verschiedener PAM-Lösungen würde dazu führen, dass die Logs nicht in einer einheitlichen Sprache verarbeitet werden. Somit entsteht mit dem Einsatz verschiedener PAM-Lösungen eine Pfadabhängigkeit, die zu nicht-abbildbaren Konzepten und/oder Kostenexplosionen führen wird. Es handelt sich um eines gruppenweite, einheitliche Security Lösung, das bedeutet, dass bei einem dezentralen Angriff sofort und automatisch alle dezentralen und zentralen Komponenten technisch informiert entsprechende Maßnahmen automatisiert eingeleitet werden. Dies erfolgt alleine mittels projektspezifischen Customizings der Firma ikomm. Das zentrale Systemmanagement liegt in der gemeinsamen Verantwortung des Auftraggebers und der Firma ikomm, somit ist ein Zugriff eines „Dritten“ nicht möglich. Die Module sind integraler Bestandteil der bereits vorhandenen Lösung und können somit nur im Rahmen einer Erweiterung realisiert werden. Der Einsatz einer Drittlösung ist, wie beschrieben, aufgrund der tiefen Integration in die bestehende Umgebung nicht möglich. Ein Austausch der bereits vorhandenen Fudo PAM-Lösung ist aus wirtschaftlichen Gründen nicht darstellbar.
6.1.
Ergebnis, Los-– Kennung: LOT-0001
6.1.2.
Informationen über die Gewinner
Wettbewerbsgewinner:
Offizielle Bezeichnung: iKomm GmbH
Angebot:
Kennung des Angebots: iKomm Fudo Pam
Kennung des Loses oder der Gruppe von Losen: LOT-0001
Das Angebot wurde in die Rangfolge eingeordnet
Rang in der Liste der Gewinner: 1
Informationen zum Auftrag:
Kennung des Auftrags: Fudo Pam
Titel: Fudo Pam EVV
Datum der Auswahl des Gewinners: 18/06/2024
Angaben zu Mitteln der Europäischen Union
Bezeichnung des von der EU finanzierten Projekts oder Programms: Aktionsprogramm der Union im Bereich der Gesundheit (Gesundheitsprogramm)
Organisation, die den Auftrag unterzeichnet: Elisabeth Vinzenz Verbund GmbH
8. Organisationen
8.1.
ORG-0001
Offizielle Bezeichnung: Elisabeth Vinzenz Verbund GmbH
Registrierungsnummer: DE 291750490
Postanschrift: Alarichstr.12-17
Stadt: Berlin
Postleitzahl: 12105
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Telefon: +49 2613013350
Fax: +49 2613013359
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die einen Offline-Zugang zu den Vergabeunterlagen bereitstellt
Organisation, die den Auftrag unterzeichnet
8.1.
ORG-0002
Offizielle Bezeichnung: Vergabekammer des Landes Berlin
Registrierungsnummer: t:493090138316
Postanschrift: Martin-Luther-Straße 105
Stadt: Berlin
Postleitzahl: 10825
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Telefon: +493090138316
Fax: +49 03090137613
Rollen dieser Organisation:
Überprüfungsstelle
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt
8.1.
ORG-0003
Offizielle Bezeichnung: iKomm GmbH
Registrierungsnummer: DE 193230978
Postanschrift: Hans-Bornkessel-Straße 45
Stadt: Fürth
Postleitzahl: 90763
Land, Gliederung (NUTS): Fürth, Kreisfreie Stadt (DE253)
Land: Deutschland
Telefon: +49 091130918-0
Fax: +49 091130918-99
Rollen dieser Organisation:
Bieter
Gewinner dieser Lose: LOT-0001
11. Informationen zur Bekanntmachung
11.1.
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: 89765cef-cef4-47d6-ac50-7e54231d12e4 - 01
Formulartyp: Vorankündigung – Direktvergabe
Art der Bekanntmachung: Freiwillige Ex-ante-Transparenzbekanntmachung
Datum der Übermittlung der Bekanntmachung: 18/06/2024 11:41:20 (UTC)
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
11.2.
Informationen zur Veröffentlichung
Veröffentlichungsnummer der Bekanntmachung: 363017-2024
ABl. S – Nummer der Ausgabe: 118/2024
Datum der Veröffentlichung: 19/06/2024