Beschaffung einer WLAN-Infrastruktur Referenznummer der Bekanntmachung: VG-3000-2020-0085
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Lieferauftrag
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Wiesbaden
NUTS-Code: DE7 Hessen
Postleitzahl: 65185
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://vergabe.hessen.de
Abschnitt II: Gegenstand
Beschaffung einer WLAN-Infrastruktur
Beschaffung zweier WLAN-Infrastrukturen für die Polizeibehörden des Landes Hessen in 4 Losen
WLAN-Infrastruktur für die Polizeipräsidien Nordhessen, Mittelhessen, Westhessen, Osthessen
Leistungsnehmer ist das jeweilige Polizeipräsidium des Landes Hessen, somit ist der Leistungsort die Adresse des jeweiligen Haupthauses.
Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten. Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar. Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten. Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit. Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert. Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab. Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist. Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten. Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können. Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben. Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können. So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden. Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift. Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen. Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein. Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet. Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden. Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes. Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können. Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart. Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben. Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse. Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen. Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken. Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.
Dem Auftraggeber steht ein einseitiges Leistungsbestimmungserweiterungsrecht bis zu 20% der Gesamtangebotssumme (netto) aus diesem Vergabeverfahren als Mehrbedarf (quantitative Leistungserweiterung) zu. Die Gesamtangebotssumme (netto) ergibt sich aus dem Preisblatt.
WLAN-Infrastruktur für das Polizeipräsidium Frankfurt am Main
Leistungsnehmer ist das jeweilige Polizeipräsidium des Landes Hessen, somit ist der Leistungsort die Adresse des jeweiligen Haupthauses.
Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten. Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar. Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten. Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit. Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert. Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab. Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist. Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten. Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können. Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben. Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können. So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden. Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift. Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen. Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein. Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet. Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden. Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes. Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können. Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart. Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben. Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse. Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen. Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken. Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.
Dem Auftraggeber steht ein einseitiges Leistungsbestimmungserweiterungsrecht bis zu 20% der Gesamtangebotssumme (netto) aus diesem Vergabeverfahren als Mehrbedarf (quantitative Leistungserweiterung) zu. Die Gesamtangebotssumme (netto) ergibt sich aus dem Preisblatt.
WLAN-Infrastruktur für die Polizeipräsidien Südosthessen und Südhessen, Hessisches Bereitschaftspolizeipräsidium, Hessisches Landeskriminalamt und weitere
Leistungsnehmer ist das jeweilige Polizeipräsidium des Landes Hessen, somit ist der Leistungsort die Adresse des jeweiligen Haupthauses.
Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten. Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar. Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten. Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit. Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert. Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab. Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist. Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten. Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können. Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben. Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können. So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden. Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift. Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen. Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein. Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet. Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden. Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes. Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können. Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart. Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben. Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse. Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen. Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken. Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.
Dem Auftraggeber steht ein einseitiges Leistungsbestimmungserweiterungsrecht bis zu 20% der Gesamtangebotssumme (netto) aus diesem Vergabeverfahren als Mehrbedarf (quantitative Leistungserweiterung) zu. Die Gesamtangebotssumme (netto) ergibt sich aus dem Preisblatt.
Planung, Einrichtung und Betrieb von WLAN-Hotspots für die Polizeibehörden und -dienststellen des Landes Hessen
Polizeibehörden und -dienststellen des Landes Hessen.
Gefordert wird die Planung, Errichtung und Betrieb von WLAN-Hotspots. Der Internetanschluss beschreibt die Anbindung des Hotspots an das Internet. Er beinhaltet den uneingeschränkten Zugang zum Internet, dessen Nutzung nach definierten Parametern und alle nutzungsabhängigen Entgelte. Der Internetanschluss kann, je nach Verfügbarkeit, in einer der geforderten Technologien ausgeführt sein: • xDSL - Ein Technologiewechsel zwischen ADSL und VDSL muss möglich sein. (ADSL darf nur noch als befristete Übergangslösung im branchenüblichen Rahmen - bis zur Inbetriebnahme der VDSL-Technologie - verwendet werden.) • Breitband Kabelnetz Technologien (z.B. Koax-Netze) • Glasfaser (z.B. FTTB) • Mobilfunk (LTE / LTE-Advanced / 5G) - Diese Option wird nur als Ausweichlösung betrachtet, sofern alle anderen technologischen Ausführungen nicht umgesetzt werden können. Es sind verschiedene Internetanschlussklassen definiert. Sie beschreiben jeweils mögliche Anschlusstechnologien und minimal verfügbare Datenraten im Up- und Downlink. Der Auftragnehmer empfiehlt dem Einzelabrufberechtigten, unter Berücksichtigung der Verfügbarkeit im Ausbaugebiet, für jeden Hotspot eine geeignete Internetanschlussklasse. Die Internetanschlussklasse orientiert sich dabei in der Regel an den Anforderungen an Up- und Downlink-Datenraten. Der Einzelabrufberechtigte kann bei Verfügbarkeit im Ausbaugebiet, die Erschließung einer höheren Internetanschlussklasse verlangen. Die strukturierte Verkabelung eines WLAN-Hotspots erfolgt gemäß den "Installations-Richtlinien für Kommunikations-Verkabelungen" des Landes Hessen (IRKoV) bzw. der polizeilichen Ergänzung in ihrer jeweils aktuell gültigen Fassung. Die Notwendigkeit und der Umfang der zentralen Netzwerkkomponenten in der lokalen Netzwerkumgebung eines jeden WLAN-Hotspots sind vom Umsetzungskonzept des Auftragnehmers abhängig. Zu den zentralen Netzwerkkomponenten zählen sowohl Hard- als auch Softwarekomponenten (Switche, WLAN-Controller, Software). Etwaige notwendige Adapter (SFPs etc.) zur Integration der zentralen Netzwerkkomponenten in die strukturierte Verkabelung einer Lokation sind vom Auftragnehmer bereitzustellen. Ein WLAN-Hotspot besteht aus mindestens einem versorgenden Accesspoint. Ein Accesspoint stellt die Funkschnittstelle zur Kommunikation zwischen Endgeräten und dem Hotspot zur Verfügung. Der Auftragnehmer schlägt für verschiedene Montageorte geeignete Accesspoints und Zubehör vor. Die Accesspoints müssen mindestens folgende Anforderungen erfüllen: • WLAN-Standards nach IEEE 802.11 g, n und ac - inklusive der darin verwendeten Frequenzbänder im 2,4 GHz und 5 GHz Band (Dual Radio) • Multi-SSID: Unterstützung von mindestens 4 verschiedenen SSIDs • Offener Zugang zum WLAN-Hotspot - keine netzseitigen Zugangsbeschränkungen • WPA2-PSK (Pre-Shared-Key): Zukünftige Erweiterungen des WPA-Standards (z.B. WPA3) müssen ebenfalls - in der Ausführung "PSK" - unterstützt werden. • WPA3 bzw. eine zeitnahe Umstellung auf den neuen Standard. Damit ältere Geräte von der WLAN Infrastruktur nicht ausgeschlossen werden, muss temporär auch eine Authentifizierung über WPA2-PSK zusätzlich zu WPA3-PSK möglich sein. Eine Deaktivierung des WPA2-Standards orientiert sich am branchenüblichen Rahmen und erfolgt in Abstimmung mit dem Einzelabrufberechtigten. • Externe oder interne Antennen • Erweiterbarkeit um externe (remote) Antennen zur räumlichen Entkopplung von Antenne und Accesspoint • Dynamic Frequency Selection (DFS) • Black-Listing-Option für WLAN-Kanäle in den Frequenzbändern 2,4 GHz und 5 GHz • Transmit Power Control (TPC) • Eignung als Wand- oder Deckenmontage und als Standgerät; im Außenbereich auch als Mastmontage • Diebstahlsicherungsmöglichkeit, z.B. durch Kensington Lock • Stromversorgung, neben 230 V auch mittels Power over Ethernet (PoE) • Konfigurierbare Möglichkeit zur Unterdrückung der SSID-Aussendung pro SSID • 10/100/1000BASE-T Schnittstelle Aus technischen, wirtschaftlichen oder anderen Gründen kann der Einsatz unterschiedlicher Accesspoints sinnvoll sein. Beispielhaft gilt dies für: • High-Density Accesspoints: zur Versorgung einer höheren Anzahl von Endgeräten • Beamforming Accesspoints: mit Richtcharakteristik, z.B. mit 120° Richtwirkung Der Zugang zum WLAN-Hotspot kann auf zwei Arten realisiert werden: Zugangsart 1: Offen Der Zugang zu den WLAN-Hotspots muss hierbei für die Nutzer so unkompliziert wie möglich sein. Das WLAN wird daher unverschlüsselt betrieben und verzichtet auf eine Authentisierung durch die Nutzer. Die Nutzer müssen sich ohne Kennung/ Passwort am WLAN-Hotspot anmelden können. Dies ist die Standardkonfiguration eines WLAN-Hotspots und wird durch eine Standard-SSID "HessenWLAN" bereitgestellt. Zugangsart 2: Gesichert durch WPA2-PSK bzw. WPA3-PSK Optional kann der Einzelabrufberechtigte weitere SSIDs konfigurieren und mindestens eine SSID mit dem Sicherheitsstandard WPA2-PSK bzw. WPA3-PSK sichern. Wie zuvor beschrieben, müssen hier Geräte im branchenüblichen Rahmen berücksichtigt werden, welche den WPA3 Standard noch nicht unterstützen. Der Zugang zu den WLAN-Hotspots ist nur durch die Authentisierung der Nutzer möglich und wird dabei durch einen, vom Einzelabrufberechtigten definierten und verwalteten Netzwerkschlüssel ermöglicht. Für alle Zugangsarten muss der Auftragnehmer sicherstellen, dass die Kommunikation der WLAN-Teilnehmer untereinander unterbunden wird. Eine Beschreibung der Anforderungen an die Montage der Accesspoints befindet sich jeweils in den gültigen Installations-Richtlinien für Kommunikations-Verkabelung (IRKoV) bzw. der polizeilichen Ergänzung. Darüber hinaus gelten folgende Anforderungen: • Die Accesspoints dürfen nicht direkt auf Metallträgern oder blechverkleideten Decken montiert werden. In diesem Fall müssen entsprechende Distanzrahmen etc. eingesetzt werden. • Eine Montage der Accesspoints innerhalb von Zwischendecken oder Blenden ist in der Regel nicht vorgesehen, da die Abstrahlcharakteristik dadurch entscheidend verändert werden würde. Sollte jedoch eine sichtbare Montage aus optischen oder architektonischen Gründen nicht zulässig sein, können externe "Remote-Antennen" optional Abhilfe schaffen und als zusätzliches Zubehör durch den Auftragnehmer zur Verfügung gestellt werden. • Sofern eine Installation im Außenbereich vorgesehen ist, ist für entsprechende Witterungsfestigkeit zu sorgen und es sind geeignete Blitzschutzmaßnahmen (Erdung) zu berücksichtigen. • Öffentlich zugängliche Accesspoints müssen mit geeignetem Diebstahlschutz versehen werden. • Vereinbarungen bezüglich des Denkmalschutzes sind zu beachten. • Selbsterklärende Montageskizzen oder Fotodokumentation der AP-Installation nach Vorgabe des Einzelabrufberechtigten. • Bei einer Verortung in einer Arbeitshöhe von über 2,50 m sind evtl. Zugangshilfen zu dokumentieren. • Dokumentation aufgrund sonstiger projektspezifischer Anforderungen an den WLAN-Hotspot. Vom WLAN-Hotspot dürfen nur vom Einzelabrufberechtigten vergebene Netzwerkkennungen ausgestrahlt werden. Die im Rahmen dieser Ausschreibung errichteten WLAN-Hotspots dürfen nicht für andere als die in dieser Ausschreibung genannten Zwecke verwendet werden. Insbesondere darf der Auftragnehmer keine eigenen SSIDs ausstrahlen. Folgende SSID muss von den Accesspoints ausgestrahlt werden: HessenWLAN Die IEEE-Standards 802.11k, 802.11v und 802.11r müssen unterstützt werden. Über ein Webportal wird eine Subadministration des WLAN-Hotspots durch den Einzelabrufberechtigten ermöglicht. Zu den administrativen Einstellungsmöglichkeiten müssen u.a. gehören: • Konfiguration zusätzlicher SSIDs (inkl. Benennung der SSID-Namen), Konfiguration der Zugangsoptionen für einzelne SSIDs (Aktivierung von WPA2-PSK/WPA3-PSK, Setzen eines neuen WPA2-PSK/WPA3-PSK Netzwerk-schlüssels usw.). • Konfiguration der Login-Zeiten (Minimale Zeit zwischen zwei WLAN-Hotspot-Logins durch Besuch einer Landing Page). • Konfiguration von Betriebszeiten für jeden WLAN-Hotspot (Nachtabschaltungen, saisonale Anpassungen usw.). • Anpassung des Webfilters und Limitierung des Nutzdatenverkehrs mindestens einer SSID. Zentrales Captive Portal Das Captive Portal hat die Funktion, die Zugangssicherung des WLAN-Hotspot-Angebots zu übernehmen. Diese Zugangssicherung muss eine Kontrollinstanz von zu erfüllenden Bedingungen bereitstellen, die der Nutzungsfreigabe vorgeschaltet sind. Üblicherweise sind diese Bedingungen in zwei Abschnitte gegliedert, die in Abhängigkeit des Nutzerstatus zu erfüllen sind. Betrieb von WLAN-Hotspots Ein Nutzer erhält für die Dauer der Inanspruchnahme des WLAN-Hotspots sowohl eine IPv6 als auch eine IPv4 Adresse zugewiesen. Bei der IPv4 Adresse kann eine private Adresse nach RFC 1918 in Verbindung mit NAT (Network Address Translation) genutzt werden. Die Adressvergabe erfolgt dynamisch, d.h. die jeweiligen IP-Adressen werden bei jedem Verbindungsaufbau automatisch vergeben. Das Monitoring soll ein Reporting ergänzen bzw. idealerweise ganz ersetzen. Dazu ist es erforderlich, dass nicht nur aktuelle Kennzahlen, sondern die Kennzahlen rückblickend bis zur Inbetriebnahme und auch in einer Vergleichsdarstellung von mehreren gleichen Betrachtungszeiträumen dargestellt werden. Dies kann durch graphische Aufbereitung in geeigneten Diagrammen erfolgen, in denen z.B. die Anzahl der Verbindungen pro Tag für alle Tage eines Monats bzw. pro Monat für alle Monate seit Inbetriebnahme dargestellt wird. Nachfolgende Vorgaben sind für Hotline-Serviceleistungen einzuhalten: • Serviceannahme an Arbeitstagen von 08:00 - 17:00 Uhr; • Die Hotline ist mit unterwiesenen, Deutsch sprechenden Mitarbeitern zu besetzen; • Bearbeitung von Änderungswünschen ohne Technikereinsatz und außerhalb der Service Level-Vereinbarungen innerhalb von 7 Werktagen. Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben. Im Übrigen wird zu Einzelheiten auf die Leistungsbeschreibung verwiesen.
Dem Auftraggeber steht ein einseitiges Leistungsbestimmungserweiterungsrecht bis zu 20% der Gesamtangebotssumme (netto) aus diesem Vergabeverfahren als Mehrbedarf (quantitative Leistungserweiterung) zu. Die Gesamtangebotssumme (netto) ergibt sich aus dem Preisblatt.
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
WLAN-Infrastruktur für die Polizeipräsidien Nordhessen, Mittelhessen, Westhessen, Osthessen
Abschnitt V: Auftragsvergabe
WLAN-Infrastruktur für das Polizeipräsidium Frankfurt am Main
Abschnitt V: Auftragsvergabe
WLAN-Infrastruktur für die Polizeipräsidien Südosthessen und Südhessen, Hessisches Bereitschaftspolizeipräsidium, Hessisches Landeskriminalamt und weitere
Abschnitt V: Auftragsvergabe
Planung, Einrichtung und Betrieb von WLAN-Hotspots für die Polizeibehörden und -dienststellen des Landes Hessen
Postanschrift:[gelöscht]
Ort: Neu-Rum
NUTS-Code: AT332 Innsbruck
Postleitzahl: 6063
Land: Österreich
E-Mail: [gelöscht]
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Darmstadt
Postleitzahl: 64283
Land: Deutschland
Telefon: [gelöscht]
Fax: [gelöscht]