1.1.
Beschaffer
Offizielle Bezeichnung: SWM Services GmbH
Tätigkeit des Auftraggebers: Mit Strom zusammenhängende Tätigkeiten
Deutschland – IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung – SV-JMÄ-250617-002, Planung, Durchführung und Nachbereitung von Pentests
118930-2026 - Ergebnis
Deutschland – IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung – SV-JMÄ-250617-002, Planung, Durchführung und Nachbereitung von Pentests
OJ S 35/2026 19/02/2026
Bekanntmachung vergebener Aufträge oder Zuschlagsbekanntmachung – Standardregelung
Dienstleistungen
1. Beschaffer
2. Verfahren
2.1.
Verfahren
Titel: SV-JMÄ-250617-002, Planung, Durchführung und Nachbereitung von Pentests
Beschreibung: Der Auftraggeber beabsichtigt die Vergabe von IT-Sicherheitstests mit dem Ziel die Simulation eines Angreifers und/oder Analyse des Quellcodes sowie Konfigurationen ausnutzbare Schwachstellen in der zu untersuchende Anwendung bzw. in dem zu untersuchenden System zu bestimmen, zu bewerten und zu dokumentieren. Die Ausschreibung zielt darauf ab, Penetrationstests zu vergeben, die aus Basispaketen und optionalen Addons bestehen. Diese werden je nach Bedarf individuell zusammengestellt. Es sollen insgesamt 10 Pakete angeboten werden. Die Basispakete beinhalten Tests für Webapplikationen, Rich Clients, Cloud-Anwendungen, Mobile Apps, Netzwerke, Betriebssysteme und Nachtests, die Schwachstellenanalyse und -behebung sowie umfassende Dokumentationen umfassen. Zu den optionalen Addons gehören Schnittstellenanalyse, Netzwerk-Interfaces und Workshops zur detaillierten Schwachstellenanalyse und Lösungsfindung. Bei der Bewertung und Dokumentation der Ergebnisse wird großer Wert auf die Klassifizierung von Schwachstellen nach CVSS 4.0 gelegt; zudem muss die Geheimhaltung der Informationen gewährleistet sein. Der Testprozess umfasst ein Kickoff-Gespräch zur Festlegung von Testzeitraum und Umfang, optional technische Klärungen, die Durchführung des Tests inklusive Kommunikation über eventuelle Änderungen, sowie die Bereitstellung von Abschlussberichten und Nachbesprechungen. Die Berichte, die innerhalb von zwei Wochen nach Abschluss des Tests bereitgestellt werden, beinhalten Berichte, Tracking Sheets und maschinenlesbare Daten und werden standardmäßig auf Deutsch erstellt. Der Auftraggeber geht von ca. 10 Test p.a von verschiedenen Ausprägungen aus. Die Mindestanforderungen für Anbieter beinhalten langjährige Erfahrung im Bereich Pentest sowie die Nutzung anerkannter Hacking-Tools wie Burp Suite Pro und Nessus. Zur Erfüllung dieser Aufgabe verfolgt die SWM eine Multi-Vendor-Strategie, die mittels drei externe Rahmenvertragspartner (hiernach Auftragnehmer) Implementiert werden soll.
Kennung des Verfahrens: 0445ea10-4944-4ed1-a303-f72a2947d15a
Interne Kennung: SV-JMÄ-250617-002
Verfahrensart: Verhandlungsverfahren mit vorheriger Veröffentlichung eines Aufrufs zum Wettbewerb/Verhandlungsverfahren
Das Verfahren wird beschleunigt: nein
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2.1.2.
Erfüllungsort
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: Die Einreichung der Teilnahmeanträge erfolgt elektronisch über das Lieferantenportal der SWM. Für das Vergabeverfahren werden die Vergabeunterlagen unter der in der genannten URL zum freien Download zur Verfügung gestellt. Voraussetzung für die elektronische Einreichung der Teilnahmeanträge ist eine Freischaltung der Vergabeunterlagen im Lieferantenportal (URL: https://www.swm.de/einkauf/bekanntmachungen). Diese ist mit Angabe der Aktenzeichen SV-JMÄ-250617-002 anzufordern. Im Falle einer Bewerbergemeinschaft ist durch jedes Mitglied der Bewerbergemeinschaft ein elektronischer Teilnahmeantrag über das Lieferantenportal einzureichen. Die Aufteilung der (Teil)-Leistungen bzw. Aufgaben auf die einzelnen Mitglieder der Bewerbergemeinschaft ist für den Auftragsfall darzustellen. Objektive Kriterien für die Auswahl der begrenzten Zahl von Bewerbern: Die Auswahl der Bewerber für die Aufforderung zur Angebotsabgabe erfolgt über eine Prüfung und Bewertung der mit dem Teilnahmeantrag eingereichten Eignungsnachweise im Bezug zu den vorgegebenen Eignungskriterien (= Eignungsprüfung). Voraussetzung für die Berücksichtigung eines Teilnahmeantrages ist dessen fristgerechte Einreichung, die Vollständigkeit der Eignungsnachweise sowie die Einhaltung von etwaigen Mindestanforderungen.
Rechtsgrundlage:
Richtlinie 2014/25/EU
sektvo -
5. Los
5.1.
Los: LOT-0000
Titel: SV-JMÄ-250617-002, Planung, Durchführung und Nachbereitung von Pentests
Beschreibung: Der Auftraggeber beabsichtigt die Vergabe von IT-Sicherheitstests mit dem Ziel die Simulation eines Angreifers und/oder Analyse des Quellcodes sowie Konfigurationen ausnutzbarer Schwachstellen in der zu untersuchende Anwendung bzw. in dem zu untersuchenden System zu bestimmen, zu bewerten und zu dokumentieren. Die Ausschreibung zielt darauf ab, Penetrationstests zu vergeben, die aus Basispaketen und optionalen Addons bestehen. Diese werden je nach Bedarf individuell zusammengestellt. Es sollen insgesamt 10 Pakete angeboten werden. Die Basispakete beinhalten Tests für Webapplikationen, Rich Clients, Cloud-Anwendungen, Mobile Apps, Netzwerke, Betriebssysteme und Nachtests, die Schwachstellenanalyse und -behebung sowie umfassende Dokumentationen umfassen. Zu den optionalen Addons gehören Schnittstellenanalyse, Netzwerk-Interfaces und Workshops zur detaillierten Schwachstellenanalyse und Lösungsfindung. Bei der Bewertung und Dokumentation der Ergebnisse wird großer Wert auf die Klassifizierung von Schwachstellen nach CVSS 4.0 gelegt; zudem muss die Geheimhaltung der Informationen gewährleistet sein. Der Testprozess umfasst ein Kickoff-Gespräch zur Festlegung von Testzeitraum und Umfang, optional technische Klärungen, die Durchführung des Tests inklusive Kommunikation über eventuelle Änderungen, sowie die Bereitstellung von Abschlussberichten und Nachbesprechungen. Die Berichte, die innerhalb von zwei Wochen nach Abschluss des Tests bereitgestellt werden, beinhalten Berichte, Tracking Sheets und maschinenlesbare Daten und werden standardmäßig auf Deutsch erstellt. Der Auftraggeber geht von ca. 10 Test p.a von verschiedenen Ausprägungen aus. Die Mindestanforderungen für Anbieter beinhalten langjährige Erfahrung im Bereich Pentest sowie die Nutzung anerkannter Hacking-Tools wie Burp Suite Pro und Nessus. Zur Erfüllung dieser Aufgabe verfolgt die SWM eine Multi-Vendor-Strategie, die mittels drei externe Rahmenvertragspartner (hiernach Auftragnehmer) Implementiert werden soll.
Interne Kennung: SV-JMÄ-250617-002
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Optionen:
Beschreibung der Optionen: Verlängerungsoption um zwei mal je ein Jahr, d.h. bis 14.01.2030
5.1.2.
Erfüllungsort
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Datum des Beginns: 15/01/2026
Enddatum der Laufzeit: 14/01/2028
5.1.4.
Verlängerung
Maximale Verlängerungen: 2
5.1.6.
Allgemeine Informationen
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.10.
Zuschlagskriterien
Beschreibung der anzuwendenden Methode, wenn die Gewichtung nicht durch Kriterien ausgedrückt werden kann: Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind in den Beschaffungsunterlagen aufgeführt.
5.1.15.
Techniken
Rahmenvereinbarung:
Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Schlichtungsstelle: Regierung von Oberbayern, Vergabekammer Südbayern
Überprüfungsstelle: Regierung von Oberbayern, Vergabekammer Südbayern
Informationen über die Überprüfungsfristen: Ein Nachprüfungsantrag ist unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind (§ 160 Abs. 3 Satz 1 Nr. 4 GWB). Ein Nachprüfungsantrag ist zudem unzulässig, soweit der Antrag erst nach Zuschlagserteilung zugestellt wird (§ 168 Abs. 2 Satz 1 GWB). Die Zuschlagserteilung ist möglich 10 Kalendertage nach Absendung (elektronisch oder per Fax) der Bekanntgabe der Vergabeentscheidung (§ 134 GWB). Die Zulässigkeit eines Nachprüfungsantrags setzt ferner voraus, dass der Antragsteller die geltend gemachten Vergabeverstöße, soweit diese vor Einreichen des Nachprüfungsantrags erkannt wurden, innerhalb einer Frist von 10 Kalendertagen, soweit die Vergabeverstöße aufgrund der Bekanntmachung erkennbar sind, bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung, Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe, gegenüber dem Auftraggeber gerügt hat (§ 160 Abs. 3 Satz 1 Nr. 1 - 3 GWB).
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: SWM Services GmbH
Organisation, die den Auftrag unterzeichnet: SWM Services GmbH
6. Ergebnisse
Wert aller in dieser Bekanntmachung vergebenen Verträge: 0,01 EUR
6.1.
Ergebnis, Los-– Kennung: LOT-0000
Status der Preisträgerauswahl: Es wurde mindestens ein Gewinner ermittelt.
6.1.2.
Informationen über die Gewinner
Wettbewerbsgewinner:
Offizielle Bezeichnung: EY Consulting GmbH
Angebot:
Kennung des Angebots: Angebot 1
Kennung des Loses oder der Gruppe von Losen: LOT-0000
Wert der Ausschreibung: 0,01 EUR
Das Angebot wurde in die Rangfolge eingeordnet: nein
Bei dem Angebot handelt es sich um eine Variante: nein
Vergabe von Unteraufträgen: Nein
Informationen zum Auftrag:
Kennung des Auftrags: Vertrag 1
Datum der Auswahl des Gewinners: 18/12/2025
Datum des Vertragsabschlusses: 26/01/2026
Angaben zu Mitteln der Europäischen Union:
Organisation, die den Auftrag unterzeichnet: SWM Services GmbH
Wettbewerbsgewinner:
Offizielle Bezeichnung: Oneconsult Deutschland AG
Angebot:
Kennung des Angebots: Angebot 2
Kennung des Loses oder der Gruppe von Losen: LOT-0000
Wert der Ausschreibung: 0,01 EUR
Das Angebot wurde in die Rangfolge eingeordnet: nein
Bei dem Angebot handelt es sich um eine Variante: nein
Vergabe von Unteraufträgen: Nein
Informationen zum Auftrag:
Kennung des Auftrags: Vertrag 2
Datum der Auswahl des Gewinners: 18/12/2025
Datum des Vertragsabschlusses: 26/01/2026
Angaben zu Mitteln der Europäischen Union:
Organisation, die den Auftrag unterzeichnet: SWM Services GmbH
Wettbewerbsgewinner:
Offizielle Bezeichnung: Profundis Labs GmbH & Co. KG
Angebot:
Kennung des Angebots: Angebot 3
Kennung des Loses oder der Gruppe von Losen: LOT-0000
Wert der Ausschreibung: 0,01 EUR
Das Angebot wurde in die Rangfolge eingeordnet: nein
Bei dem Angebot handelt es sich um eine Variante: nein
Vergabe von Unteraufträgen: Nein
Informationen zum Auftrag:
Kennung des Auftrags: Vertrag 3
Datum der Auswahl des Gewinners: 18/12/2025
Datum des Vertragsabschlusses: 26/01/2026
Angaben zu Mitteln der Europäischen Union:
Organisation, die den Auftrag unterzeichnet: SWM Services GmbH
6.1.4.
Statistische Informationen
Eingegangene Angebote oder Teilnahmeanträge:
Art der eingegangenen Einreichungen: Angebote
Anzahl der eingegangenen Angebote oder Teilnahmeanträge: 4
8. Organisationen
8.1.
ORG-0000
Offizielle Bezeichnung: SWM Services GmbH
Registrierungsnummer: DE813863509
Postanschrift: Emmy-Noether-Str. 2
Stadt: München
Postleitzahl: 80992
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
Kontaktperson: Frauke Finck
Telefon: +49 89 2361-4818
Fax: +49 89 2361-704818
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die den Auftrag unterzeichnet
8.1.
ORG-0001
Offizielle Bezeichnung: Regierung von Oberbayern, Vergabekammer Südbayern
Registrierungsnummer: DE811335517
Postanschrift: Maximiliansstr. 39
Stadt: München
Postleitzahl: 80538
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
Kontaktperson: Geschäftsstelle
Telefon: +49 89 2176-2411
Fax: +49 89 2176-2847
Rollen dieser Organisation:
Überprüfungsstelle
Schlichtungsstelle
8.1.
ORG-0002
Offizielle Bezeichnung: EY Consulting GmbH
Größe des Wirtschaftsteilnehmers: Großunternehmen
Registrierungsnummer: DE282005257
Postanschrift: Friedrichstraße 140
Stadt: Berlin
Postleitzahl: 10117
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Rollen dieser Organisation:
Bieter
Gewinner dieser Lose: LOT-0000
8.1.
ORG-0003
Offizielle Bezeichnung: Oneconsult Deutschland AG
Größe des Wirtschaftsteilnehmers: Kleines Unternehmen
Registrierungsnummer: DE313008071
Postanschrift: Elsenheimerstraße 65
Stadt: München
Postleitzahl: 80687
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
Rollen dieser Organisation:
Bieter
Gewinner dieser Lose: LOT-0000
8.1.
ORG-0004
Offizielle Bezeichnung: Profundis Labs GmbH & Co. KG
Größe des Wirtschaftsteilnehmers: Kleinstunternehmen
Registrierungsnummer: DE278557445
Postanschrift: Klausenburger Str. 9
Stadt: München
Postleitzahl: 81677
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
Rollen dieser Organisation:
Bieter
Gewinner dieser Lose: LOT-0000
8.1.
ORG-0005
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: ca5b2d2d-f7ef-499a-b856-9266fecbf5d7 - 01
Formulartyp: Ergebnis
Art der Bekanntmachung: Bekanntmachung vergebener Aufträge oder Zuschlagsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 30
Datum der Übermittlung der Bekanntmachung: 18/02/2026 13:59:39 (UTC+01:00) Mitteleuropäische Zeit, Westeuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 118930-2026
ABl. S – Nummer der Ausgabe: 35/2026
Datum der Veröffentlichung: 19/02/2026