Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Wiesbaden
NUTS-Code: DE7 Hessen
Postleitzahl: 65185
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://vergabe.hessen.de

Der Auftrag wird von einer zentralen Beschaffungsstelle vergeben

Regional- oder Kommunalbehörde

Allgemeine öffentliche Verwaltung

Beschaffung von Personal für die Konzeption und Projektleitung von Penetrationstest-Projekten im Rahmen einer ANÜ

Referenznummer der Bekanntmachung: VG-3000-2021-0089

Dienstleistungen

Beschaffung von Personal für die Konzeption und Projektleitung von Penetrationstest-Projekten im Rahmen einer ANÜ

Aufteilung des Auftrags in Lose: nein

NUTS-Code: DE7 Hessen

Hauptort der Ausführung:

Hessische Zentrale für Datenverarbeitung

Mainzer Straße 29 

65185 Wiesbaden 

Der SecurityTest Service ist eine Fachgruppe der HZD. Sie bietet den Dienststellen des Landes Hessen Dienstleistungen rund um das Thema IT-Sicherheits-Tests an. Dazu gehört u.a. die Konzeption und Projektierung von Penetrationstests und Schwachstellenscans, das Projektmanagement von Penetrationstest- (nachfolgend kurz Pentest) und Scan-Projekten sowie der Durchführung von Schwachstellen-Scans, Penetrationstests, Audits, Code-Reviews usw. Der Auftragnehmer stellt zwei oder mehr ständige stationäre Projektleiter für die Konzeption und das Management von Pentest-Projekten in der HZD. Die Durchführung der eigentlichen Penetrationstests selbst ist nicht Bestandteil der Tätigkeiten dieses Rahmenvertrags. Die Projektleiter werden im SecurityTest Service der HZD im Rahmen einer Arbeitnehmerüberlassung (ANÜ) eingesetzt. Insgesamt beabsichtigt der Auftraggeber für die Durchführung der Projektleitung bei Pentests und Schwachstellenscans in der HZD ein Volumen von insgesamt ca. 600 Personentagen für maximal 3 Pentest-Projektleiter pro Jahr abzurufen. Eine Mindestabnahmemenge wird nicht vereinbart. Der SecurityTest Service rechnet im Regelfall mit dem Einsatz von 2 Pentest-Projektleitern gleichzeitig. Der Einsatz einer dritten Person in Zeiten mit Spitzen-Auslastungen wird hierbei voraussichtlich der Ausnahmefall bleiben. ANÜ-Kräfte müssen im öffentlichen Dienst nach 18 Monaten Einsatz für mindestens ein halbes Jahr durch den Auftragnehmer anderweitig (außerhalb der hessischen Landesverwaltung) eingesetzt werden. Um dennoch die Versorgung des SecurityTest Service mit ausreichend Personal zu gewährleisten, soll der Auftragnehmer einen Pool von mindestens 5 Personen zur Verfügung haben, welche die geforderten Leistungen erfüllen. Das vom Auftragnehmer im SecurityTest Service der HZD eingesetzte Fachpersonal ist für die Konzeption, Planung und das Management von Pentest-Projekten vorgesehen. Dies erfolgt eingebettet in den weitestgehend formalisierten Pentest-Prozess der HZD. Das zentrale Dokument eines Penetrationstest-Projektes in der HZD ist das Penetratiostest-Konzept. Die Inhalte des Penetratiostest-Konzepts enthalten u.a. wichtige Informationen als Grundlage für die Genehmigung von Pentests in der HZD, für die Erstellung von belastbaren Angeboten durch unseren Pentest-Dienstleister sowie für die Dokumentation von Entscheidungen zur Auswahl von Testobjekten eines IT-Verfahrens. Die Erstellung eines Pentest-Konzepts ist eine der zentralen Aufgaben des Pentest-Projektleiters. Im Vorfeld der Erstellung eines Penetrationstest-Konzepts wird das betreffende IT-Verfahren durch den Pentest-Projektleiter analysiert bzgl. dessen eingesetzter Verfahrens-Bestandteile (Netzwerk, Architektur, Technologie etc.) und dessen zugrundeliegender Betriebs- und Verfahrens-Prozesse. Hierzu führt der Pentest-Projektleiter Interviews mit den IT-Verfahrens-Spezialisten sowie dem Betriebs-Personal des zu testenden IT-Verfahrens und führt hierzu Dokumentations- und Online-Recherchen durch. Aus den gewonnenen Informationen erfolgt eine Bedrohungs-Analyse und Bewertung der einzelnen Verfahrens-Bestandteile bzgl. deren Risikos für einen Sicherheitsvorfall, woraus wiederum die Auswahl der zu testenden Objekte des IT-Verfahrens folgt. Verschiedene planerische und organisatorische Details zu dem Pentest-Projekt und dem zugehörigen IT-Verfahren runden das Pentest-Konzept ab. Im Anschluss an die Erstellung des Pentest-Konzepts muss dieses von den Auftraggebern abgenommen und danach in einem bestimmten Prozess in der HZD genehmigt werden. Das abgenommene Pentest-Konzept ist das Lastenheft für den Pentest-Dienstleister, der die eigentlichen Tests durchführt. Er übersendet ein belastbares Angebot als Pflichtenheft für den Test. Im weiteren Verlauf wird der Test mit Hilfe des ITIL Change Managements organisiert und letztlich umgesetzt. Pentest-Ergebnisse des erfolgten Tests sind zu prüfen und mit dem Auftraggeber abzustimmen. Sowohl im Vorfeld als auch im Nachgang der Tests organisiert und moderiert der Pentest-Projektleiter Termine, in denen Details zur Durchführung (Kickoff) und Ergebnisse (Abschluss- bzw. Ergebnis-Workshop) besprochen und präsentiert werden. Für Kickoff und Abschluss- bzw. Ergebnis-Workshop sind jeweils Ergebnisprotokolle anzufertigen. Der Projektleiter organisiert alle notwendigen Projekt- und Gesprächs-Termine selbstständig und hält diese selbstständig im Blick. Einmal pro Woche werden die Projektfortschritte in der SecurityTest Service Projektleiter-Runde präsentiert und besprochen. Alle im Rahmen der Leistungserbingung eingesetzten Projektleiter müssen die deutsche Sprache in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten Leistungen. Vom Auftragnehmer überlassene Personen, die nicht deutsche Muttersprachler sind oder nicht in Deutschland einen Hochschul- oder vergleichbaren Abschluss erworben haben, müssen die Kenntnis der deutschen Sprache mindestens mit einem C1-Sprachdiplom nachweisen. Folgende fachlichen Voraussetzungen muss das vom Auftragnehmer überlassene Personal erfüllen: Verpflichtend ist ein • Hochschulabschluss in IT und mindestens 3 Jahre Berufserfahrung in der IT-Branche, wobei u.g. Themenfelder bearbeitet wurden • oder alternativ ein beliebiger Hochschulabschluss und mindestens 5 Jahre Berufserfahrung in der IT (ebenfalls mit Bearbeitung der u.g. Themenfelder) • Mindestens 2 Jahre Erfahrung als Projektleiter • Mindestens 3 Jahre Erfahrung bei IT-Sicherheits-Projekten Mit folgenden Themenfeldern der IT muss das Personal vertraut sein: • Netzwerke/ISO-OSI, • Programmierung oder Scripting, • Webserver/Web-Services, • Datenbanken, • verteilte Infrastrukturen (SOA). Darauf aufbauend muss das eingesetzte Personal Expertise in folgenden Themenfeldern der IT-Sicherheit besitzen: • ISO 27001 und/oder IT-Grundschutz nach BSI, • Kryptographie, • OWASP, • Cyber-Threat Management Wünschenswert (optional) wäre • Erfahrung im ITIL Change Management, • Pentest-Erfahrung, • Risiko-Modellierung mit Stride/Dread • IT-Architektur-Planung Die o.g. fachlichen Voraussetzungen finden sich ebenfalls im Kompetenzprofil des einzusetzenden Projektleiter-Personals wieder.

Preis

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Die Leistungen aus der Rahmenvereinbarung können bis zu einem Höchstwert von [Betrag gelöscht] Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.

Offenes Verfahren

Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

Bekanntmachungsnummer im ABl.: 2021/S 212-559207

Ein Auftrag/Los wurde vergeben: nein

Es sind keine Angebote oder Teilnahmeanträge eingegangen oder es wurden alle abgelehnt

Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Darmstadt
Postleitzahl: 64283
Land: Deutschland
Telefon: [gelöscht]
Fax: [gelöscht]

23/12/2021