Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Wiesbaden
NUTS-Code: DE7 Hessen
Postleitzahl: 65185
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://vergabe.hessen.de

Der Auftrag wird von einer zentralen Beschaffungsstelle vergeben

Die Auftragsunterlagen stehen für einen uneingeschränkten und vollständigen direkten Zugang gebührenfrei zur Verfügung unter: https://vergabe.hessen.de/NetServer/TenderingProcedureDetails?function=_Details&TenderOID=54321-Tender-17c036798a5-1c971f6c746b8d42

Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen

Angebote oder Teilnahmeanträge sind einzureichen elektronisch via: https://vergabe.hessen.de/NetServer

Regional- oder Kommunalbehörde

Allgemeine öffentliche Verwaltung

Beschaffung von Personal für die Konzeption und Projektleitung von Penetrationstest-Projekten im Rahmen einer ANÜ

Referenznummer der Bekanntmachung: VG-3000-2021-0089

Dienstleistungen

Beschaffung von Personal für die Konzeption und Projektleitung von Penetrationstest-Projekten im Rahmen einer ANÜ

Wert ohne MwSt.: [Betrag gelöscht] EUR

Aufteilung des Auftrags in Lose: nein

NUTS-Code: DE7 Hessen

Hauptort der Ausführung:

Hessische Zentrale für Datenverarbeitung

Mainzer Straße 29 

65185 Wiesbaden 

Der SecurityTest Service ist eine Fachgruppe der HZD. Sie bietet den Dienststellen des Landes Hessen Dienstleistungen rund um das Thema IT-Sicherheits-Tests an. Dazu gehört u.a. die Konzeption und Projektierung von Penetrationstests und Schwachstellenscans, das Projektmanagement von Penetrationstest- (nachfolgend kurz Pentest) und Scan-Projekten sowie der Durchführung von Schwachstellen-Scans, Penetrationstests, Audits, Code-Reviews usw.

Der Auftragnehmer stellt zwei oder mehr ständige stationäre Projektleiter für die Konzeption und das Management von Pentest-Projekten in der HZD. Die Durchführung der eigentlichen Penetrationstests selbst ist nicht Bestandteil der Tätigkeiten dieses Rahmenvertrags.

Die Projektleiter werden im SecurityTest Service der HZD im Rahmen einer Arbeitnehmerüberlassung (ANÜ) eingesetzt.

Insgesamt beabsichtigt der Auftraggeber für die Durchführung der Projektleitung bei Pentests und Schwachstellenscans in der HZD ein Volumen von insgesamt ca. 600 Personentagen für maximal 3 Pentest-Projektleiter pro Jahr abzurufen.

Eine Mindestabnahmemenge wird nicht vereinbart.

Der SecurityTest Service rechnet im Regelfall mit dem Einsatz von 2 Pentest-Projektleitern gleichzeitig. Der Einsatz einer dritten Person in Zeiten mit Spitzen-Auslastungen wird hierbei voraussichtlich der Ausnahmefall bleiben.

ANÜ-Kräfte müssen im öffentlichen Dienst nach 18 Monaten Einsatz für mindestens ein halbes Jahr durch den Auftragnehmer anderweitig (außerhalb der hessischen Landesverwaltung) eingesetzt werden. Um dennoch die Versorgung des SecurityTest Service mit ausreichend Personal zu gewährleisten, soll der Auftragnehmer einen Pool von mindestens 5 Personen zur Verfügung haben, welche die geforderten Leistungen erfüllen.

Das vom Auftragnehmer im SecurityTest Service der HZD eingesetzte Fachpersonal ist für die Konzeption, Planung und das Management von Pentest-Projekten vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD.

Das zentrale Dokument eines Penetrationstest-Projektes in der HZD ist das Penetratiostest-Konzept. Die Inhalte des Penetratiostest-Konzepts enthalten u.a. wichtige Informationen als Grundlage für die Genehmigung von Pentests in der HZD, für die Erstellung von belastbaren Angeboten durch unseren Pentest-Dienstleister sowie für die Dokumentation von Entscheidungen zur Auswahl von Testobjekten eines IT-Verfahrens. Die Erstellung eines Pentest-Konzepts ist eine der zentralen Aufgaben des Pentest-Projektleiters.

Im Vorfeld der Erstellung eines Penetrationstest-Konzepts wird das betreffende IT-Verfahren durch den Pentest-Projektleiter analysiert bzgl. dessen eingesetzter Verfahrens-Bestandteile (Netzwerk, Architektur, Technologie etc.) und dessen zugrundeliegender Betriebs- und Verfahrens-Prozesse. Hierzu führt der Pentest-Projektleiter Interviews mit den IT-Verfahrens-Spezialisten sowie dem Betriebs-Personal des zu testenden IT-Verfahrens und führt hierzu Dokumentations- und Online-Recherchen durch.

Aus den gewonnenen Informationen erfolgt eine Bedrohungs-Analyse und Bewertung der einzelnen Verfahrens-Bestandteile bzgl. deren Risikos für einen Sicherheitsvorfall, woraus wiederum die Auswahl der zu testenden Objekte des IT-Verfahrens folgt.

Verschiedene planerische und organisatorische Details zu dem Pentest-Projekt und dem zugehörigen IT-Verfahren runden das Pentest-Konzept ab.

Im Anschluss an die Erstellung des Pentest-Konzepts muss dieses von den Auftraggebern abgenommen und danach in einem bestimmten Prozess in der HZD genehmigt werden.

Das abgenommene Pentest-Konzept ist das Lastenheft für den Pentest-Dienstleister, der die eigentlichen Tests durchführt. Er übersendet ein belastbares Angebot als Pflichtenheft für den Test. Im weiteren Verlauf wird der Test mit Hilfe des ITIL Change Managements organisiert und letztlich umgesetzt.

Pentest-Ergebnisse des erfolgten Tests sind zu prüfen und mit dem Auftraggeber abzustimmen.

Sowohl im Vorfeld als auch im Nachgang der Tests organisiert und moderiert der Pentest-Projektleiter Termine, in denen Details zur Durchführung (Kickoff) und Ergebnisse (Abschluss- bzw. Ergebnis-Workshop) besprochen und präsentiert werden. Für Kickoff und Abschluss- bzw. Ergebnis-Workshop sind jeweils Ergebnisprotokolle anzufertigen.

Der Projektleiter organisiert alle notwendigen Projekt- und Gesprächs-Termine selbstständig und hält diese selbstständig im Blick.

Einmal pro Woche werden die Projektfortschritte in der SecurityTest Service Projektleiter-Runde präsentiert und besprochen.

Alle im Rahmen der Leistungserbingung eingesetzten Projektleiter müssen die deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen.

Vom Auftragnehmer überlassene Personen, die nicht deutsche Muttersprachler sind oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben haben, müssen die Kenntnis der deutschen Sprache mindestens mit einem C1-Sprachdiplom nachweisen.

Folgende fachlichen Voraussetzungen muss das vom Auftragnehmer überlassene Personal erfüllen:

Verpflichtend ist ein

• Hochschulabschluss in IT und mindestens 3 Jahre Berufserfahrung in der IT-Branche, wobei u.g. Themenfelder bearbeitet wurden

• oder alternativ ein beliebiger Hochschulabschluss und mindestens 5 Jahre Berufserfahrung in der IT (ebenfalls mit Bearbeitung der u.g. Themenfelder)

• Mindestens 2 Jahre Erfahrung als Projektleiter

• Mindestens 3 Jahre Erfahrung bei IT-Sicherheits-Projekten

Mit folgenden Themenfeldern der IT muss das Personal vertraut sein:

• Netzwerke/ISO-OSI,

• Programmierung oder Scripting,

• Webserver/Web-Services,

• Datenbanken,

• verteilte Infrastrukturen (SOA).

Darauf aufbauend muss das eingesetzte Personal Expertise in folgenden Themenfeldern der IT-Sicherheit besitzen:

• ISO 27001 und/oder IT-Grundschutz nach BSI,

• Kryptographie,

• OWASP,

• Cyber-Threat Management

Wünschenswert (optional) wäre

• Erfahrung im ITIL Change Management,

• Pentest-Erfahrung,

• Risiko-Modellierung mit Stride/Dread

• IT-Architektur-Planung

Die o.g. fachlichen Voraussetzungen finden sich ebenfalls im Kompetenzprofil des einzusetzenden Projektleiter-Personals wieder.

Die nachstehenden Kriterien

Preis

Wert ohne MwSt.: [Betrag gelöscht] EUR

Beginn: 07/01/2022

Ende: 06/01/2024

Dieser Auftrag kann verlängert werden: ja

Beschreibung der Verlängerungen:

Zweimalige Verlängerung um jeweils ein Jahr

Varianten/Alternativangebote sind zulässig: nein

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Die Leistungen aus der Rahmenvereinbarung können bis zu einem Höchstwert von [Betrag gelöscht] Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Auflistung und kurze Beschreibung der Bedingungen:

Im Hinblick auf die Befähigung und Erlaubnis zur Berufsausübung des Bieters wird Folgendes verlangt:

- Erlaubnis zur Arbeitnehmerüberlassung gem. § 1 AÜG (in Kopie)

Auflistung und kurze Beschreibung der Eignungskriterien:

Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei Jahren (Stichtag "Ablauf der Angebotsfrist"), die nach Art und Umfang den nachfolgend aufgeführten Anforderungen entsprechen.

Art: Projektmanagement von IT-Sicherheits-Projekten mit u.a. konzeptionellen Aufgaben zu IT-Sicherheits-Tests.

Umfang jeder eingereichten Referenz: Mindestens 5 Monate

Mindestens eine Referenz muss ein Projekt umfassen, bei dem Penetrationstests selbst organisiert und konzipiert wurden. Diese eigenständige Organisation und Konzeption ist in der Projektbeschreibung darzustellen.

Gemäß § 5 Abs. 2 des Hessischen Vergabe- und Tariftreuegesetzes vom 20. Juli 2021 - HVTG - (GVBl. S. 338) weist die Vergabestelle darauf hin, dass die Bieter (Bietergemeinschaft) sowie deren Nachunternehmer (Unterauftragnehmer) bzw. Verleihunternehmen (§ 6 HVTG), soweit diese bereits bei Angebotsabgabe bekannt sind, die erforderliche Verpflichtungserklärung nach § 4 HVTG zu Tariftreue und Mindestlohn mit ihrem digitalen Angebot abzugeben haben (Datei "Verpflichtungserklaerung_oeff_AG").

Offenes Verfahren

Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung

Rahmenvereinbarung mit einem einzigen Wirtschaftsteilnehmer

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

Tag: 30/11/2021

Ortszeit: 10:00

Deutsch

Das Angebot muss gültig bleiben bis: 31/01/2022

Tag: 30/11/2021

Ortszeit: 10:00

Angaben über befugte Personen und das Öffnungsverfahren:

entfällt

Dies ist ein wiederkehrender Auftrag: nein

Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.

Die Vergabestelle weist an dieser Stelle bereits darauf hin, dass für den für den Zuschlag in Aussicht genommenen Bieter, Mitglieder einer Bietergemeinschaft sowie die von ihm im Vergabeverfahren gemeldeten Unterauftragnehmer eine Abfrage bei Korruptions- und Vergaberegistern, insbesondere bei der Informationsstelle nach § 17 Abs. 4 HVTG bei der Oberfinanzdirektion Frankfurt am Main, vorgenommen wird. Ebenso wird von dem für den Zuschlag in Aussicht genommenen Bieter gemäß § 19 Abs. 4 MiLoG vor Zuschlagserteilung eine Auskunft aus dem Gewerbezentralregister nach § 150a der Gewerbeordnung angefordert.

Eigenerklärung zu zwingenden Ausschlussgründen nach § 123 GWB

Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen nach § 123 GWB ausgefüllt mit seinem Angebot vorzulegen.

Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern ist die Eigenerklärung von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.

(Datei "Eigenerklaerung_Ausschlussgruende_Par_123_GWB")

Eigenerklärung zu fakultativen Ausschlussgründen nach § 124 GWB

Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen nach § 124 GWB ausgefüllt mit seinem Angebot einzureichen.

Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern ist die Eigenerklärung von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.

(Datei "Eigenerklaerung_Ausschlussgruende_Par_124_GWB")

Hinweise der Vergabestelle zu den Ausschlussgründen nach §§ 123, 124 GWB: Sollten ein oder mehrere Gründe bejaht werden, wird der Bieter/das Mitglied der Bietergemeinschaft/Unterauftragnehmer gebeten, diesen Grund bzw. diese Gründe unter präziser Darstellung des relevanten Sachverhalts sowie die unternommenen Selbstreinigungsmaßnahmen (§ 125 GWB) auf einem gesonderten Blatt zu erläutern. Die Vergabestelle wird dann nach pflichtgemäßem Ermessen entscheiden, ob die Teilnahme des Bieters/Mitglieds der Bietergemeinschaft/Unterauftragnehmers am Vergabeverfahren zulässig ist oder der Bieter vom Vergabeverfahren ausgeschlossen werden muss.

Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Darmstadt
Postleitzahl: 64283
Land: Deutschland
Telefon: [gelöscht]
Fax: [gelöscht]

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

§ 160 GWB (Einleitung, Antrag)

(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.

(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.

(3) Der Antrag ist unzulässig, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,

2.Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

3.Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

4.mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.

28/10/2021