Deutschland – Systemprüfung – 360-Grad-Sicherheitsanalyse Authenticator

413823-2025 - Wettbewerb
Deutschland – Systemprüfung – 360-Grad-Sicherheitsanalyse Authenticator
OJ S 120/2025 26/06/2025
Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Dienstleistungen

1. Beschaffer

1.1.
Beschaffer
Offizielle Bezeichnung: gematik GmbH
Rechtsform des Erwerbers: Von einer zentralen Regierungsbehörde kontrolliertes öffentliches Unternehmen
Tätigkeit des öffentlichen Auftraggebers: Gesundheit

2. Verfahren

2.1.
Verfahren
Titel: 360-Grad-Sicherheitsanalyse Authenticator
Beschreibung: Der Gegenstand der Ausschreibung ist die Organisation und Durchführung einer 360-Grad-Sicherheitsanalyse Social Engineering eines Authenticators zur sicheren Authentifizierung für die digitalen Anwendungen im Gesundheitswesen.
Kennung des Verfahrens: 70175dc1-c866-4f85-960e-a167914732b5
Interne Kennung: 2025-0037
Verfahrensart: Offenes Verfahren
Das Verfahren wird beschleunigt: nein
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72254100 Systemprüfung
Zusätzliche Einstufung (cpv): 72260000 Dienstleistungen in Verbindung mit Software
2.1.2.
Erfüllungsort
Ort im Europäischen Wirtschaftsraum
Zusätzliche Informationen: Die Leistungen des Auftragnehmers können neben dem Haupterfüllungsort auch am Sitz des Auftragnehmers erbracht werden.
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: Bekanntmachungs-ID: CXS0Y53YT4774TXC 1) Die gematik führt dieses Vergabeverfahren nach den Vorschriften des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) und der Verordnung über die Vergabe öffentlicher Aufträge (VgV) durch. 2) Eine Losaufteilung erfolgt nicht. 3) Mit dem Angebot sind sämtliche der aufgelisteten Nachweise, Erklärungen und Angaben (Unterlagen) beizubringen. Für die Erstellung und Einreichung des Angebotes sind die von der Vergabestelle auf der angegebenen Internetseite zum Download zur Verfügung gestellten Vordrucke und Formblätter zu verwenden. Die Vergabestelle behält sich vor, fehlende, formell fehlerhafte oder unvollständige Unterlagen bis zum Ablauf einer von der Vergabestelle zu bestimmenden Nachfrist nachzufordern oder aufzuklären. Die Bieter haben keinen Anspruch auf Nachforderung / Nachreichung oder Aufklärung / Erläuterung von Unterlagen. Sämtliche Unterlagen sind in elektronischer Form sowie in Textform nach § 126b BGB über die genannte Vergabeplattform einzureichen; 4) Soweit Auskünfte erforderlich werden, sind Fragen ausschließlich über die genannte Vergabeplattform einzureichen; 5) Eine Erstattung von Kosten/Aufwendungen für die Erstellung des Angebots und die Teilnahme am Vergabeverfahren findet nicht statt; 6) Die Verfahrens- und Vertragssprache ist deutsch.
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
2.1.6.
Ausschlussgründe
Quellen der Ausschlussgründe: Bekanntmachung
Verstoß gegen die in den rein innerstaatlichen Ausschlussgründen verankerten Verpflichtungen: gem. §§123, 124 GWB
Beteiligung an einer kriminellen Vereinigung: gem. §§123, 124 GWB
Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten: gem. §§123, 124 GWB
Geldwäsche oder Terrorismusfinanzierung: gem. §§123, 124 GWB
Betrug: gem. §§123, 124 GWB
Korruption: gem. §§123, 124 GWB
Kinderarbeit und andere Formen des Menschenhandels: gem. §§123, 124 GWB
Verstoß gegen die Verpflichtung zur Entrichtung von Steuern: gem. §§123, 124 GWB
Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen: gem. §§123, 124 GWB
Verstoß gegen umweltrechtliche Verpflichtungen: gem. §§123, 124 GWB
Verstoß gegen sozialrechtliche Verpflichtungen: gem. §§123, 124 GWB
Verstoß gegen arbeitsrechtliche Verpflichtungen: gem. §§123, 124 GWB
Zahlungsunfähigkeit: gem. §§123, 124 GWB
Verwaltung der Vermögenswerte durch einen Insolvenzverwalter: gem. §§123, 124 GWB
Einstellung der gewerblichen Tätigkeit: gem. §§123, 124 GWB
Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften: gem. §§123, 124 GWB
Schwerwiegendes berufliches Fehlverhalten: gem. §§123, 124 GWB
Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs: gem. §§123, 124 GWB
Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren: gem. §§123, 124 GWB
Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens: gem. §§123, 124 GWB
Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen: gem. §§123, 124 GWB
Falsche Angaben, verweigerte Informationen, die nicht in der Lage sind, die erforderlichen Unterlagen vorzulegen, und haben vertrauliche Informationen über dieses Verfahren erhalten.: gem. §§123, 124 GWB

5. Los

5.1.
Los: LOT-0001
Titel: 360-Grad-Sicherheitsanalyse Authenticator
Beschreibung: Im Rahmen ihrer Gesamtverantwortung lässt die gematik jährlich eine sogenannte 360 Grad-Sicherheitsanalyse durch externe Experten durchführen, um etwaige Schwachstellen innerhalb der TI zu ermitteln. Denn neben Angriffen auf technische Systeme stellen Angriffe mittels Social-Engineering-Methoden ein zunehmendes Risiko dar. Für das Jahr 2025/2026 ist eine Social-Engineering-Sicherheitsanalyse zur Sicherheit des Authenticators geplant. Hierzu soll versucht werden, missbräuchliche Meldungen von Krankheiten und Erregern an das Deutsche Elektronische Melde- und Informationssystem für den Infektionsschutz (DEMIS) mittels Authenticator der gematik zu übermitteln, um die Resilienz des Authentisierungs- und Meldeprozesses gegen Manipulationen zu prüfen, d. h. zu validieren, ob es formale, organisatorische und technische Sicherheitslücken gibt. Die Analyse inkl. eines durchzuführenden Workshops sowie zugehöriger Dokumentationen und Berichte sind bis 11. KW 2026 abzuschließen.
Interne Kennung: 2025-0037
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72254100 Systemprüfung
Zusätzliche Einstufung (cpv): 72260000 Dienstleistungen in Verbindung mit Software
5.1.2.
Erfüllungsort
Ort im Europäischen Wirtschaftsraum
Zusätzliche Informationen: Die Leistungen des Auftragnehmers können neben dem Haupterfüllungsort auch am Sitz des Auftragnehmers erbracht werden.
5.1.3.
Geschätzte Dauer
Laufzeit: 9 Monate
5.1.6.
Allgemeine Informationen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Nicht erforderlich
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: ja
Zusätzliche Informationen: #Besonders auch geeignet für:other-sme#
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Eintragung in das Handelsregister
Beschreibung: Handelsregisterauszug (Mit dem Angebot; Mittels Dritterklärung): Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen.

Kriterium: Allgemeiner Jahresumsatz
Beschreibung: Umsatz der letzten drei abgeschlossenen Geschäftsjahre (Mit dem Angebot; Mittels Eigenerklärung): Angaben zum Umsatz der letzten drei abgeschlossenen Geschäftsjahre 2022 bis 2024 Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen.

Kriterium: Techniker oder technische Stellen zur Durchführung der Arbeiten
Beschreibung: Erklärung über den Bestand an Mitarbeitern und Analysten (Mit dem Angebot; Mittels Eigenerklärung): Es sind Angaben über den Bestand an Mitarbeitern und Analysten in den Geschäftsjahren 2022 bis 2024 hinsichtlich der durchschnittlichen Anzahl der Beschäftigten sowie der durchschnittlichen Anzahl der Analysten zu tätigen. Mindestanforderung: Die durchschnittliche Anzahl an Analysten muss mindestens 2 Analysten in den letzten drei Geschäftsjahren 2022 bis 2024 betragen haben. Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen.

Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung: Unternehmesbezogene Referenzprojekte (Mit dem Angebot; Mittels Eigenerklärung): Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie in einem vergleichbaren Umfeld (eHealth) erbracht wurden, Methoden des Social Engineerings angewendet werden und die Dokumentation der Ergebnisse im Umfang und Tiefe ähnlich ist. Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn Startzeitpunkt und Endzeitpunkt des Leistungszeitraums innerhalb der letzten drei Jahre liegen (2022 bis Ablauf der Angebotsfrist). Mindestanforderungen: - Es müssen mindestens 3 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung vergleichbar sind - Auftragsvolumen: Mindestauftragswert 50.000 EUR (netto) je Referenz Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen.

Kriterium: Eintragung in das Handelsregister
Beschreibung: Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen. - Handelsregisterauszug

Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung: Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie in einem vergleichbaren Umfeld (eHealth) erbracht wurden, Methoden des Social Engineerings angewendet werden und die Dokumentation der Ergebnisse im Umfang und Tiefe ähnlich ist. Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn Startzeitpunkt und Endzeitpunkt des Leistungszeitraums innerhalb der letzten drei Jahre liegen (2022 bis Ablauf der Angebotsfrist). Mindestanforderungen: - Es müssen mindestens 3 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung vergleichbar sind - Auftragsvolumen: Mindestauftragswert 50.000 EUR (netto) je Referenz Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen. - Unternehmensbezogene Referenzprojekte

Kriterium: Techniker oder technische Stellen zur Durchführung der Arbeiten
Beschreibung: Es sind Angaben über den Bestand an Mitarbeitern und Analysten in den Geschäftsjahren 2022 bis 2024 hinsichtlich der durchschnittlichen Anzahl der Beschäftigten sowie der durchschnittlichen Anzahl der Analysten zu tätigen. Die durchschnittliche Anzahl Analysten muss mindestens 2 Analysten betragen haben. Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen. - Erklärung über den Bestands an Mitarbeitern
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
Frist für die Anforderung zusätzlicher Informationen: 17/07/2025 23:59:59 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Internetadresse der Auftragsunterlagen: https://www.dtvp.de/Satellite/notice/CXS0Y53YT4774TXC/documents
5.1.12.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Angebote: 28/07/2025 12:00:00 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Frist, bis zu der das Angebot gültig sein muss: 64 Tage
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Möglichkeit der Nachforderung und Aufklärung: Sofern Angebote unvollständig eingegangen sind, behält sich der Auftraggeber vor, fehlende, unvollständige oder fehlerhafte Unterlagen - soweit zulässig - nachzufordern. Fehlende, unvollständige oder fehlerhafte Unterlagen führen gleichwohl zum Ausschluss des Angebotes, wenn nach pflichtgemäßer Ausübung des Ermessens von einer Nachforderung abgesehen wird. Sofern Angebotspreise im Verhältnis zu der zu erbringenden Leistung ungewöhnlich niedrig erscheinen, verlangt der Auftraggeber von den betroffenen Bietern Aufklärung und die Plausibilisierung der Angebotspreise. Gleiches gilt, wenn die Angebote widersprüchliche Angaben enthalten.
Informationen über die öffentliche Angebotsöffnung:
Eröffnungsdatum: 28/07/2025 12:00:00 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Bedingungen für die Ausführung des Auftrags: Vorliegend werden keine besonderen Bedingungen an die Ausführungen des Auftrags (Ausführungsbedingungen) im Sinne des § 128 Abs. 2 GWB festgelegt. Alle allgemeingültigen Bedingungen an die Leistungserbringung ergeben sich aus den Vergabeunterlagen (insb. Leistungsbeschreibung und Vertrag).
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: nein
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung:
Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Bundeskartellamt Vergabekammern des Bundes
Informationen über die Überprüfungsfristen: Das Nachprüfungsverfahren ist in Kapitel 2 des 4. Teils des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) geregelt. Ein Nachprüfungsverfahren wird nach § 160 GWB nur auf Antrag bei der Vergabekammer eingeleitet. Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschrift ein Schaden entstanden ist oder zu entstehen droht. Dieser Antrag ist unzulässig, soweit: 1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrages erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt; 2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden; 3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden; 4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Dies gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Absatz 1 Nummer 2 GWB. § 134 Absatz 1 Satz 1 Satz 2 GWB bleibt unberührt. Nach § 134 GWB (Informations- und Wartepflicht) wird der Auftraggeber Bieter bzw. Bewerber über den vorgesehenen Zuschlag informieren. Der Vertrag wird erst 15 Kalendertage (bei elektronischer Übermittlung oder per Fax: 10 Kalendertage) nach Absendung dieser Information geschlossen.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: gematik GmbH
Organisation, die Teilnahmeanträge entgegennimmt: gematik GmbH

8. Organisationen

8.1.
ORG-0001
Offizielle Bezeichnung: gematik GmbH
Registrierungsnummer: HRB 96351
Postanschrift: Friedrichstr. 136
Stadt: Berlin
Postleitzahl: 10117
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Kontaktperson: Rechtsabteilung / Vergabestelle
Telefon: +49 3040041-0
Internetadresse: https://www.gematik.de/
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt
8.1.
ORG-0002
Offizielle Bezeichnung: Bundeskartellamt Vergabekammern des Bundes
Registrierungsnummer: 991-02380-92
Postanschrift: Kaiser-Friedrich-Straße 16
Stadt: Bonn
Postleitzahl: 53113
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49 22894990
Fax: +49 2289499163
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0003
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender

Informationen zur Bekanntmachung

Kennung/Fassung der Bekanntmachung: 267777d1-dcf1-4f7f-bc2d-0a76ee98244d - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 16
Datum der Übermittlung der Bekanntmachung: 25/06/2025 12:56:47 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 413823-2025
ABl. S – Nummer der Ausgabe: 120/2025
Datum der Veröffentlichung: 26/06/2025