Pentests 2020 Referenznummer der Bekanntmachung: ekom21-2020-0023
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Gießen
NUTS-Code: DE72 Gießen
Postleitzahl: 35398
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [removed]
Fax: [removed]
Internet-Adresse(n):
Hauptadresse: www.ekom21.de
Adresse des Beschafferprofils: www.ekom21.de
Abschnitt II: Gegenstand
Pentests 2020
Zur technischen Verifizierung des IT-Sicherheitsniveaus und zur Identifikation von Schwachstellen in den IT-Systemen (Webapps, Anwendungen, Netze, Produkte...) der ekom21 müssen IT-Penetrationstests durchgeführt werden. Ziel dieser Untersuchungen ist es, technische Schwachstellen in den IT-Systemen zu finden, die potenziell bei Cyberangriffen zu Schäden bzw. negativen Auswirkungen auf die Geschäftsprozesse der ekom21 haben können.
Bei Penetrationstests wird zur Überprüfung des Sicherheitsniveaus versucht, über Schwachstellen Systemzugriffe zu ermöglichen, die technisch eigentlich unterbunden sein sollten. Damit soll auch nachgewiesen werden, ob bzw. dass die umgesetzten Maßnahmen zur technischen Absicherung der IT-Systeme den erwarteten Schutz bieten.
Mittels Penetrationstests soll geprüft werden, ob die Zielanwendung gegenüber einem potentiellen Angreifer verwundbar ist und Möglichkeiten bestehen die Zielanwendung zu manipulieren oder in das System einzudringen.
Diese Analysen werden im Vorfeld mit den jeweiligen Verantwortlichen, IT-Sicherheitsmanagern sowie IT-Dienstleistern der betreffenden Verfahren abgestimmt und die Durchführung begleitet.
Weltweit nehmen die Cyberangriffe zu. Auch die ekom21 - KGRZ Hessen (im Folgenden: ekom21) kann sich diesem Trend nicht entziehen und steht hier zunehmend im Fokus von gezielten Cyberangriffen. Neben der Prävention werden Maßnahmen zur Detektion von und Reaktion auf solch gezielten Cyberangriffen zum Schutz der IT-gestützten immer wichtiger. Bei Cyberangriffen werden i. d. R. vorhandene Sicherheitslücken in IT-Systemen ausgenutzt, so dass die ekom21 systematisch sicherstellen muss, dass regelmäßig nach vorhandenen Schwachstellen gesucht wird, die dann zeitnah beseitigt werden müssen, bevor diese durch Angreifer ausgenutzt werden können. Zusätzlich muss die ekom21 die Reaktionsfähigkeiten und Analysemöglichkeiten bei erfolgreichen Cyberangriffen nachhaltig verbessern, um Schäden auf die Geschäftsprozesse zu vermeiden bzw. zu minimieren. Aus diesem Grund besteht der Bedarf nach Sicherheitsdienstleistungen wie der Durchführung von Penetrationstests in den folgenden Leistungsfeldern
— Planung und Durchführung von IS Penetrationstests,
— Planung und Durchführung von IS Webchecks,
— IS-Kurzrevisionen,
— Regressionstests zu vorher stattgefundenen Penetrationstests,
— Technische Sicherheitsaudits,
— Erstellen von Penetrationstest-Ergebnisberichten und Ergebnispräsentationen,
— individuelle Security Beratung.
Es ist mit 120 Personentagen pro Jahr zu rechnen. Die durchzuführenden Tests sind ausschließlich von eigenen Mitarbeitern des Auftragnehmers durchzuführen, der Einsatz von Subdienstleistern und / oder externen Fachkräften ist nicht zulässig. Die Qualifikation der Mitarbeiter (Pentester) ist entsprechend des Erfassungsblatt_Mitarbeiterqualität.xlsx zu dokumentieren. Im Rahmen der Durchführung ist nicht gewünscht, durch verdeckte Arbeit oder Täuschung der Mitarbeiter Arbeitsfehler zu provozieren oder auf solchen Wegen Informationen zu erhalten (kein Social Engineering). Die Penetrationstests erfolgen i. d. R. über das Internet bzw. einem vom Auftraggeber bereitgestellten VPN Anschluss oder am Standort des Bestellers in enger Abstimmung mit Vertretern des jeweiligen Geschäftsfeldes/ Servicecenters). Fallweise kann die Präsenz der Tester vor Ort (Standorte des Unternehmens in Kassel, Gießen und Darmstadt) sein, z. B. für das Modul WLAN. Der Auftraggeber gibt eine Schätzung der Durchführungsdauer des Penetrationstests bei der Anfrage an den Auftragnehmer ab. Damit sollte es möglich sein innerhalb von fünf Arbeitstagen ein Angebot abzugeben. Der geschätzte Zeitraum für die Durchführung darf im späteren Penetrationstest bei Bedarf auch unter- bzw. überschritten werden. Der Durchführungszeitraum muss, wenn vom Auftraggeber kein Zeitrahmen angegeben wurde, innerhalb der nächsten vier Wochen liegen. Die Ergebnisse der Tests müssen jeweils in einem deutschsprachigen Abschlussbericht erläutert und bewertet werden. Es ist immer eine detaillierte Beschreibung, inkl. relevanter technischer Parameter notwendig. Bei der Analyse sind die gefundenen Schwachstellen mit einem CVSS-Vektor zu bewerten. Die Ergebnisse reiner Vulnerability Scans müssen als solche gekennzeichnet sein. Automatisiert gefundene Schwachstellen sollten verifiziert werden. Dabei muss angegeben werden wie dies erfolgt ist. Sollte eine Verifizierung in Einzelfällen nicht möglich sein, muss dies explizit angegeben werden. Zu den beschriebenen Schwachstellen sollen die möglichen Angriffsvektoren ebenso wie die Ausnutzbarkeit beschrieben sein. Nähere Anforderungen zur Dokumentation sind in Abschnitt 6 definiert. Darüber hinaus sind bei Bedarf Abschlusspräsentationen für technische und fachliche Spezialisten und Vertreter des Managements jeweils vor Ort durchzuführen. Die Kommunikation erfolgt in deutscher Sprache. Die elektronische Kommunikation per E-Mails muss beim Austausch schützenswerter Informationen zwischen Besteller und Auftragnehmer verschlüsselt (mittels S/MIME oder PGP) erfolgen. Für den Datenaustausch wird vom Auftraggeber eine Webanwendung bereitgestellt, welche verwendet werden muss. Ergebnisse von durchgeführten Penetrationstests müssen vertraulich behandelt werden. Das Prinzip der Datensparsamkeit ist zu berücksichtigen. Anfallende Arbeitsergebnisse sind vom Auftragnehmer an den Auftraggeber zu übermitteln und dann umgehend sicher zu löschen. Die Testberichte sind hiervon ausgenommen, da diese beispielsweise auch Grundlage für eventuelle Nachtests sein können.
Die Rahmenvereinbarung enthält Regelungen,
— die Angaben zu Art, Umfang und Voraussetzungen möglicher Auftragsänderungen enthalten, insbesondere einem einseitigen Erweiterungsrecht als Mehrbedarf bis zu 20 % des veranschlagten Gesamtwerts,
— die dem Auftraggeber ein ordentliches Kündigungsrecht zum 31.12.2021 und zum 31.12.2022 einräumen,
— zur Verlängerung der Rahmenvereinbarung (Fortsetzungsoption); vgl. dazu auch Abschnitt II.2.7) der Bekanntmachung. Näheres ist den Vergabeunterlagen zu entnehmen.
Eine feste Abnahmemenge konnte nicht ermittelt werden. Der in den Vergabeunterlagen angegebene geschätzte Gesamtwert kann daher sowohl über- als auch unterschritten werden. Bei Ausübung der Fortsetzungsoption erhöht sich der veranschlagte Gesamtwert entsprechend anteilig.
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
Pentests 2020
Postanschrift:[gelöscht]
Ort: Frankfurt am Main
NUTS-Code: DE712 Frankfurt am Main, Kreisfreie Stadt
Postleitzahl: 60327
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Abschnitt V: Auftragsvergabe
Pentests 2020
Postanschrift:[gelöscht]
Ort: München
NUTS-Code: DE212 München, Kreisfreie Stadt
Postleitzahl: 80686
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Abschnitt V: Auftragsvergabe
Pentests 2020
Postanschrift:[gelöscht]
Ort: Taufkirchen
NUTS-Code: DE21H München, Landkreis
Postleitzahl: 82024
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Abschnitt V: Auftragsvergabe
Pentests 2020
Postanschrift:[gelöscht]
Ort: Neu-Isenburg
NUTS-Code: DE71C Offenbach, Landkreis
Postleitzahl: 63263
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Abschnitt V: Auftragsvergabe
Pentests 2020
Postanschrift:[gelöscht]
Ort: Bad Vilbel
NUTS-Code: DE71E Wetteraukreis
Postleitzahl: 61118
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Darmstadt
Postleitzahl: 64295
Land: Deutschland
Telefon: [removed]
Fax: [removed]