Deutschland – IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung – Penetrationtesting und Threat-Modeling

302378-2026 - Wettbewerb
Deutschland – IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung – Penetrationtesting und Threat-Modeling
OJ S 85/2026 04/05/2026
Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Dienstleistungen

1. Beschaffer

1.1.
Beschaffer
Offizielle Bezeichnung: DAK-Gesundheit
Rechtsform des Erwerbers: Von einer zentralen Regierungsbehörde kontrollierte Einrichtung des öffentlichen Rechts
Tätigkeit des öffentlichen Auftraggebers: Gesundheit

2. Verfahren

2.1.
Verfahren
Titel: Penetrationtesting und Threat-Modeling
Beschreibung: Rahmenvertrag über Penetrationstests und Threat Modelings bei der DAK-Gesundheit.
Kennung des Verfahrens: 9341e589-78a6-4a03-b5c4-a4a8b3acfd78
Interne Kennung: 1005156
Verfahrensart: Offenes Verfahren
Das Verfahren wird beschleunigt: nein
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Zusätzliche Einstufung (cpv): 72254000 Softwaretests
2.1.2.
Erfüllungsort
Land: Deutschland
Ort im betreffenden Land
2.1.3.
Wert
Höchstwert der Rahmenvereinbarung: 500 000,00 EUR
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: #Bekanntmachungs-ID: CXS0YRXYTP3CQZFC# Unabhängig von dieser Ausschreibung würden wir uns freuen, wenn wir Ihnen und Ihren Beschäftigten unser Leistungs- bzw. Serviceangebot vermitteln dürften. Sofern Sie hieran Interesse haben, senden Sie uns bitte die anliegende Erklärung "Freiwillige Einverständniserklärung Vertrieb" zu. WICHTIG! Die Entscheidung, ob Sie uns die Möglichkeit der Information hinsichtlich unseres Leistungs- bzw. Serviceangebotes geben möchten, hat keinerlei Auswirkung auf die Ausschreibung, d. h. auch wenn Sie uns die Erklärung "Freiwillige Einverständniserklärung Serviceangebot" nicht übermitteln, wird Ihr Angebot, wie jedes andere Angebot, geprüft und gewertet!
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
2.1.6.
Ausschlussgründe
Quellen der Ausschlussgründe: Bekanntmachung
Verstoß gegen die in den rein innerstaatlichen Ausschlussgründen verankerten Verpflichtungen: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Beteiligung an einer kriminellen Vereinigung: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Geldwäsche oder Terrorismusfinanzierung: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Betrug: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Korruption: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Kinderarbeit und andere Formen des Menschenhandels: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Verstoß gegen die Verpflichtung zur Entrichtung von Steuern: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Verstoß gegen umweltrechtliche Verpflichtungen: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Verstoß gegen sozialrechtliche Verpflichtungen: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Verstoß gegen arbeitsrechtliche Verpflichtungen: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Zahlungsunfähigkeit: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Verwaltung der Vermögenswerte durch einen Insolvenzverwalter: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Einstellung der gewerblichen Tätigkeit: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Schwerwiegendes berufliches Fehlverhalten: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Täuschung, Zurückhaltung von Informationen, Unfähigkeit zur Vorlage erforderlicher Unterlagen oder Erlangung vertraulicher Informationen zu dem Verfahren: Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

5. Los

5.1.
Los: LOT-0001
Titel: Penetrationtesting und Threat-Modeling
Beschreibung: Ausgeschrieben wird ein Rahmenvertrag für die Bereitstellung von Penetrationstests und Threat Modelings. Der Rahmenvertrag hat ein geschätztes Gesamtvolumen von 90 Personentagen (PT) pro Jahr und wird über vier Jahre geschlossen. Zwei Auftragnehmer bekommen den Zuschlag. Das Volumen verteilt sich auf beide Auftragnehmer und kann sowohl für Pentests als auch für Threat-Modelings abgerufen werden. Einzelheiten sind der Anlage Leistungsbeschreibung zu entnehmen.
Interne Kennung: 1005156
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Zusätzliche Einstufung (cpv): 72254000 Softwaretests
5.1.2.
Erfüllungsort
Land: Deutschland
Ort im betreffenden Land
5.1.3.
Geschätzte Dauer
Laufzeit: 48 Monate
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme:
Teilnahme ist nicht vorbehalten.
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Erforderlich für das Angebot
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: ja
Zusätzliche Informationen: #Besonders auch geeignet für:other-sme#
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Berufliche Risikohaftpflichtversicherung
Beschreibung des Auswahlkriteriums: 2.1 Nachweis einer Berufs-/Betriebshaftpflichtverischerung - "2.1 Nachweis einer Berufs-/Betriebshaftpflichtversicherung: Abgabe einer Eigenerklärung des Bieters, dass eine Berufs- oder Betriebshaftpflichtversicherung vorhanden ist, bzw. im Auftragsfall abgeschlossen wird und diese während der gesamten Vertragslaufzeit aufrecht erhalten wird (Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 2.1), Im Fall einer Bietergemeinschaft muss eine entsprechende Versicherung von mindestens einem Mitglied oder alternativ von der Bietergemeinschaft selbst vorhanden sein. Inhaltliche Mindestanforderung: Bestehen einer im Rahmen und Umfang marktüblichen Industriehaftpflichtversicherung oder einer vergleichbaren Versicherung aus einem Mitgliedsstaat der EU."

Kriterium: Allgemeiner Jahresumsatz
Beschreibung des Auswahlkriteriums: 2.2 Eigenerklärung zu den Unternehmensumsätzen - "2.2 Eigenerklärung zu den Unternehmensumsätzen: Abgabe einer Eigenerklärung des Bieters/von jedem Mitglied einer Bietergemeinschaft über seine Gesamt- sowie tätigkeitsbezogenen Umsatzerlöse der letzten drei abgeschlossenen Geschäftsjahre (Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 2.2). Inhaltliche Mindestanforderung: "

Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung des Auswahlkriteriums: 3.1 Eigenerklärung über geeignete Unternehmensreferenzen - "3.1 Eigenerklärung über geeignete Unternehmensreferenzen: Abgabe einer Eigenerklärung über geeignete Referenzen über früher ausgeführte Aufträge, die mit dem Ausschreibungsgegenstand vergleichbar sind. Eine Referenz ist vergleichbar, wenn sie die nachfolgenden Bedingungen erfüllt: - Das Referenzprojekt entspricht im wesentlichen den hier ausgeschriebenen Leistungen. - Projektbeginn und -ende nicht länger als 3 Kalenderjahre (gerechnet ab Angebotsfristende) zurückliegend - Das Penetrationstesting oder Threat-Modeling muss erfolgreich abgeschlossen sein. (Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 3.1). Inhaltliche Mindestanforderung: Es sind mindestens 6 vergleichbare Referenzprojekte nachzuweisen: I. Threat-Modeling Es sind mindestens 3 Referenzprojekte mit dem Inhalt Threat-Modeling einzureichen, die die folgenden Mindestanforderungen kumulativ erfüllen müssen: - Die Architektur eines verteilten, technischen Systems wurde anhand von Design-Dokumenten untersucht. Dabei wurden Schwachstellen identifiziert und beschrieben. - Es wurde ein Bedrohungsmodell in Form eines Diagrams erstellt. Hierfür wurden anerkannte Modellierungstechniken eingesetzt, beispielsweise das C4 Model. - Die Referenzprojekte müssen für einen Kunden außerhalb des eigenen Unternehmens durchgeführt worden sein. Zwei der mindestens 3 Refrenzprojekte müssen zusätzliche folgender Kriterien erfüllen: - Es wurde ein Workshop fürs Threat-Modeling mit mindestens 4 Teilnehmern durchgeführt. Im Rahmen des Workshops wurden zusammen Diagramme erstellt oder ergänzt, anhand derer mögliche Schwachstellen identifiziert werden konnten. Die Termine können Remote stattgefunden haben. II. Penetrationtesting Es sind mindestens 3 Referenzprojekte mit dem Inhalt Penetrationtesting einzureichen, die die folgenden Mindestanforderungen kumulativ erfüllen müssen: - Aus den vorlegten Refernzprojekten muss jedes der folgenden Themengebiete mindestens einmal belegt werden können: Smartphone-Apps (z.B. für iOS oder Android), Web-Applications, Cloud-Umgebungen und Netzwerke - Sie haben einen Umfang von mindestens 5 Personentagen - Sie müssen für einen Kunden außerhalb des eigenen Unternehmens durchgeführt worden sein. HINWEIS: Die Erfüllung sämtlicher Mindestkriterien muss sich aus der inhaltlichen Beschreibung der erbrachten Leistungen in der Eigenerklärung in Anlage A2, Ziffer 3.1 ergeben."

Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung des Auswahlkriteriums: 3.2 Eigenerklärung zur Menge durchgeführter Threat-Modelings - "3.2 Eigenerklärung zur Menge durchgeführter Threat-Modelings: Abgabe einer Eigenerklärung des Bieters / der Bietergemeinschaft, dass im Zeitraum der letzten 3 Jahre mindestens 10 Threat-Modelings durchgeführt wurden. (Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 3.2). Inhaltliche Mindestanforderung: Die Threat-Modelings müssen vergleichbar sein mit den Anforderungen dieser Ausschreibung an Threat-Modelings, beschrieben in Kapitel 4.9 der B1_Leistungsbeschreibung."
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
Frist für die Anforderung zusätzlicher Informationen: 18/05/2026 23:59:59 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Internetadresse der Auftragsunterlagen: https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC/documents
5.1.12.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Angebote: 01/06/2026 12:00:00 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Dauer, während der das Angebot gültig bleiben muss: 60 Tage
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können einige fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Unvollständige Angebote können vom weiteren Verfahren ausgeschlossen werden. Die Auftraggeberin behält sich vor, die Bieter unter Setzung einer Frist und Einhaltung der Grundsätze der Transparenz und der Gleichbehandlung aufzufordern, fehlende, unvollständige oder fehlerhafte unternehmensbezogene Unterlagen, insbesondere Eigenerklärungen, Angaben, Bescheinigungen oder sonstige Nachweise, nachzureichen, zu vervollständigen oder zu korrigieren, oder fehlende oder unvollständige leistungsbezogene Unterlagen nachzureichen oder zu vervollständigen. Die Nachforderung von leistungsbezogenen Unterlagen, die die Wirtschaftlichkeitsbewertung der Angebote anhand der Zuschlagskriterien betreffen, ist ausgeschlossen. Dies gilt nicht für Preisangaben, wenn es sich um unwesentliche Einzelpositionen handelt, deren Einzelpreise den Gesamtpreis nicht verändern oder die Wertungsreihenfolge und den Wettbewerb nicht beeinträchtigen. Im Übrigen gilt § 56 Abs. 2 und 3 VgV.
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Bedingungen für die Ausführung des Auftrags: "1.1 Eigenerklärung zur Zuverlässigkeit: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft zur Zuverlässigkeit gemäß §§ 123, 124 GWB (Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.1). || " "1.2 Eigenerklärung Mindestlohn und Tariftreue: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft zur Einhaltung der Pflicht zur Zahlung des Mindestlohns und zur Tariftreue (Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.2). || " "1.3 Eigenerklärung zu Russlandsanktionen: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft, von jedem benannten Nachunternehmer, dass die Art. 5k Abs. 1 VO (EU) 833/2014 genannten Sachverhalte zu Russlandsanktionen eingehalten werden (Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.3). || "
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: ja
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung:
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Höchstzahl der Teilnehmer: 2
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammern des Bundes
Informationen über die Überprüfungsfristen: § 160 Einleitung, Antrag (1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein. (2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht. (3) Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt, 2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: DAK-Gesundheit
Organisation, die Teilnahmeanträge entgegennimmt: DAK-Gesundheit

8. Organisationen

8.1.
ORG-0001
Offizielle Bezeichnung: DAK-Gesundheit
Registrierungsnummer: DE811462382
Postanschrift: Nagelsweg 27-31
Stadt: Hamburg
Postleitzahl: 20097
Land, Gliederung (NUTS): Hamburg (DE600)
Land: Deutschland
Telefon: +49 000
Internetadresse: http://www.dak.de
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt
8.1.
ORG-0002
Offizielle Bezeichnung: Vergabekammern des Bundes
Registrierungsnummer: 000
Postanschrift: Bundeskanzlerplatz 2
Stadt: Bonn
Postleitzahl: 53113
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49 22894990
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0003
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender

Informationen zur Bekanntmachung

Kennung/Fassung der Bekanntmachung: f93b745b-8e88-497c-9391-3c0c3572fc0a - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 16
Datum der Übermittlung der Bekanntmachung: 30/04/2026 12:26:58 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 302378-2026
ABl. S – Nummer der Ausgabe: 85/2026
Datum der Veröffentlichung: 04/05/2026