Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Wiesbaden
NUTS-Code: DE7 Hessen
Postleitzahl: 65185
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://vergabe.hessen.de

Der Auftrag wird von einer zentralen Beschaffungsstelle vergeben

Regional- oder Kommunalbehörde

Allgemeine öffentliche Verwaltung

Beschaffung einer WLAN Infrastruktur für das HPT

Referenznummer der Bekanntmachung: VG-3000-2021-0087

Lieferauftrag

Beschaffung zweier WLAN-Infrastrukturen für die Polizeibehörden des Landes Hessen in 3 Losen

Aufteilung des Auftrags in Lose: ja

WLAN-Infrastruktur für die Polizeipräsidien Nordhessen, Mittelhessen, Westhessen, Osthessen

Los-Nr.: 1

NUTS-Code: DE7 Hessen

Hauptort der Ausführung:

Leistungsnehmer ist das jeweilige Polizeipräsidium des Landes Hessen, somit ist der Leistungsort die Adresse

des jeweiligen Haupthauses.

Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten.

Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar.

Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten.

Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit.

Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert.

Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab.

Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist.

Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten.

Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können.

Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben.

Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können.

So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden.

Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift.

Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen.

Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein.

Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet.

Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden.

Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes.

Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können.

Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart.

Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben.

Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse.

Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen.

Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken.

Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.

Preis

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

WLAN-Infrastruktur für das Polizeipräsidium Frankfurt am Main

Los-Nr.: 2

NUTS-Code: DE7 Hessen

Hauptort der Ausführung:

Leistungsnehmer ist das jeweilige Polizeipräsidium des Landes Hessen, somit ist der Leistungsort die Adresse des jeweiligen Haupthauses.

Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten.

Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar.

Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten.

Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit.

Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert.

Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab.

Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist.

Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten.

Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können.

Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben.

Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können.

So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden.

Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift.

Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen.

Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein.

Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet.

Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden.

Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes.

Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können.

Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart.

Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben.

Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse.

Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen.

Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken.

Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.

Preis

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

WLAN-Infrastruktur für die Polizeipräsidien Südosthessen und Südhessen, Hessisches Bereitschaftspolizeipräsidium, Hessisches Landeskriminalamt, Polizeiakademie Hessen, HPT

Los-Nr.: 3

NUTS-Code: DE7 Hessen

Hauptort der Ausführung:

Leistungsnehmer ist das jeweilige Polizeipräsidium des Landes Hessen, somit ist der Leistungsort die Adresse des jeweiligen Haupthauses.

Die technologische Entwicklung, insbesondere in den Bereichen Mobilfunktelefonie und mobile Arbeitsplätze, innerhalb der hessischen Polizei macht es zwingend erforderlich, die mobilen Endgeräte mit einer WLAN-Infrastruktur auszustatten.

Dies begründet sich zum einen darin, dass die bereits in Nutzung befindlichen Smartphones unterschiedlicher Fabrikate regelmäßig mit Updates versorgt werden müssen. Diese können nicht über die vorhandenen Mobilfunkverträge geladen werden, da die vorhandenen Volumina nicht ausreichend sind. Die Aktualisierung der Betriebssysteme und der sich darauf befindlichen Apps sind aus Gründen der IT-Sicherheit unabdingbar.

Mit Blick auf den Client-Rollout 2020, der bereits begonnen hat, werden diese und künftige Computergenerationen über eine offene WLAN-Schnittstelle verfügen, um das Arbeiten an unterschiedlichen Orten zu ermöglichen. Somit ist es zwingend erforderlich, auf den polizeilichen Liegenschaften in Hessen, unter Verwendung einheitlicher Zugangsdaten, Zugriff auf ein polizeieigenes WLAN zu erhalten.

Die am WLAN teilnehmenden dienstlichen Endgeräte können über dieses Netz via mobiler Einwahl eine verschlüsselte Verbindung ins Polizeinetz aufbauen. Da die Geräte gegenwärtig schon in bestehenden WLAN Netzwerken, darunter auch Heimnetzwerken, genutzt werden, bestehen keine darüberhinausgehenden, besonderen Anforderungen an Sicherheit und Verfügbarkeit.

Der Betrieb soll durch die Mitarbeiter der hessischen Polizei geführt werden. Somit bestehen Anforderungen an Konfigurationsmöglichkeiten und Zentralisierung. Diese Punkte werden unter den Technischen Rahmenbedingungen in der Leistungsbeschreibung weiter erläutert.

Nachdem mehrere Lösungen getestet worden sind, hat man sich seitens des HPT für die Produktreihe Unifi des Herstellers Ubiquiti entschieden. Diese decken die unter den Technischen Rahmenbedingungen im Detail beschriebenen Anforderungen gesamtheitlich ab.

Derzeit bietet der Hersteller zwei Gerätegenerationen an. Der Rahmenvertrag sieht hier die Ausstattung mit der aktuellsten Gerätegeneration vor, sofern sie kompatibel mit allen bereits eingesetzten Geräten eines Polizeipräsidiums ist.

Ein nicht unerheblicher Teil der WLAN Internet Infrastruktur in der hessischen Polizei ist bereits mit dem gemanagten Wi-Fi System, UniFi von Ubiquiti ausgestattet worden. Um Komplikationen insbesondere hinsichtlich der Kompatibilität, Konfiguration und Sprachgebrauchs zu vermeiden, ist es zwingend erforderlich den gesamten Bedarf mit dieser Technologie auszustatten.

Da die Installation, Wartung und Betrieb der aktiven WLAN Infrastruktur (Switche und Accesspoints) in Eigenleistung durch den jeweiligen regionalen Benutzer Service (RBS) übernommen wird, ist es notwendig den Aufwand auf ein Minimum zu reduzieren. Die Verwaltung der genutzten Endgeräte, Switche und Accesspoints, muss daher über eine grafische Benutzeroberfläche möglich sein. Der Austausch von Geräten muss automatisiert vorgenommen werden können. Ziel ist es, dass die Geräte vom Anbieter direkt an den Installationsort gesendet werden. Vor Ort müssen sie dann durch einen eingewiesenen Mitarbeiter der Polizei eingebaut und vom zentralen Controller erkannt werden. Im Anschluss muss die Konfiguration des alten Gerätes durch den Administrator oder den Controller auf das neue Gerät über-tragen werden können.

Um hinsichtlich vorhandener Serverarchitekturen und des Platzes in den Technikschränken flexibel zu sein, muss die Benutzeroberfläche als Hardware- und reine Softwarelösung verfügbar sein. Verfügt ein Präsidium nicht über ausreichend Ressourcen, so kann auf die Hardwaregesamtlösung zurückgegriffen werden. Stehen Serverkapazitäten zur Verfügung, kann bspw. aus Platzgründen auf die Softwarelösung zurückgegriffen werden. Zudem lassen die Rahmenbedingungen für polizeiliche Infrastrukturen keine Cloud Lösungen zu. Demnach müssen der Controller wie auch die gesamte Infrastruktur unabhängig von Parteien außerhalb der hessischen Polizei bleiben.

Da die gesamte Infrastruktur über die grafische Benutzeroberfläche gesteuert werden muss, müssen auch die benötigte Art und Anzahl an Switchen und Accesspoints darin aufgenommen und im vollen Umfang verwaltet werden können.

So muss es möglich sein, die Switche bis auf den einzelnen Port, hinsichtlich den dort zur Verfügung gestellten VLAN, Geschwindigkeit etc. zu verwalten. Gleiches Gilt für die Access Points; hier muss es möglich sein, einzelne WLAN Funknetze auszustrahlen oder zu unterbinden.

Da das Management der jeweiligen Infrastruktur im Präsidium angesiedelt ist, muss es möglich sein, diverse Zonen einrichten zu können. Bspw. Zone 1 Haupthaus mit allen zum Haupthaus gehörigen Geräten, Zone 2 Polizeidirektion mit allen zur Polizeidirektion gehörigen Geräten usw. Wichtig ist, dass so auch eine optische Trennung geschaffen wird und der Administrator durch Auswahl der jeweiligen Zone auch nur die dort zugehörige Hardware administrieren kann. Um die Zonen miteinander zu verbinden muss ein Sicherheitsgateway eingesetzt werden können, das ebenfalls gemanagt wird, den Tunnel zum Sicherheitsgateway im Haupthaus aufbaut (oder umgekehrt) und sowohl das Management VLAN als auch alle anderen Netze durchschleift.

Um längeres Arbeiten so angenehm wie möglich zu gestalten, muss sich der Hintergrund der grafischen Nutzeroberfläche schwarz schalten lassen.

Als zentrale Einheit muss ein über die zentrale grafische Benutzeroberfläche gemanagter Core Switch verfügbar sein. Dieser bietet über ein zusätzliches, ebenfalls gemanagtes Sicherheitsgateway die WAN Anbindung an. Zudem muss der Core Switch in Sternarchitektur - via Glasfaser - alle Switche einer Liegenschaft verbinden. Darüber hinaus müssen an dem Core Switch diverse Server und Netzwerkspeicher angebunden werden können. Daher müssen neben den mindestens zehn SFP Ports für die Switchanbindung auch mindestens vier Kupferports verfügbar sein.

Jede Liegenschaft muss über ein eigenes Sicherheitsgateway an das Internet angebunden werden. Dieses hat zum einen die Aufgabe die jeweilige Zone mit dem Haupthaus zu verbinden und das Management der Zonen über eine VPN Verbindung zu ermöglichen. Zum anderen bietet es einen Schutz vor Angriffen aus dem Internet, indem nicht benötigte Ports gesperrt werden. Die Firewall im Haupthaus muss die entsprechende Anzahl an VPN Verbindungen annehmen und halten können. Dagegen müssen die Sicherheitsgateways in den Außenstellen lediglich eine Verbindung aufbauen und halten. Das Management oder die Firewall im Haupthaus muss zudem eine Verbindung zu einem zentralen, hessischen Radius-Server aufbauen. Meldet sich ein neues Gerät an einem AccessPoint an, so muss der AccessPoint zuvor die notwenigen Adressdaten von dem zentralen Radiusserver erhalten haben, um bei solch einer Authentifizierung die Verbindung selbstständig aufbauen zu können und die Credentials gegen den zentralen Radiusserver abgleichen zu können. Stimmen die Anmeldedaten mit denen des Radiusservers überein, darf das Endgerät am WLAN teilnehmen. Der Traffic für die Authentifizierung muss über den VPN Tunnel des Management VLANs zum zentralen Radius Server gehen. Nach der Authentifizierung wird das VLAN des jeweiligen WLANs genutzt. Dieser Traffic geht auch nicht über das Management VLAN zum Haupthaus, sondern direkt über den Internetanschluss der jeweiligen Dienststelle zu den gewünschten Diensten im Internet.

Die Switche müssen wie folgt verfügbar sein. Für die Ausstattung der unterschiedlich großen Dienststellen ist es notwendig, dass Switche mit 8, 16, 24 und 48 Ports angebunden werden. Da an den Switchen sowohl AccessPoints als auch Endgeräte angebunden werden, ist es wichtig, dass diese mit Power over Ethernet (PoE) angeboten werden.

Um wie zuvor geschildert, den Aufwand für die Mitarbeiter des RBS so gering wie möglich zu halten, ist es wichtig, dass die Geräte automatisch erkannt und Grundkonfiguriert werden. Um gleiche Konfigurationen nicht aufwendig für jeden Switch einzeln vornehmen zu müssen, ist es erforderlich, dass der Administrator Konfigurationen von einem auf weitere Switche kopieren kann. Für die zentrale Anbindung sind je nach Beschaffenheit der Anbindung zwei oder vier SFP Ports erforderlich. Bspw. bei Etagenswitchen, die nicht direkt am Core Switch angebunden werden können, sondern über einen weiteren Switch im Haupttechnikraum des Gebäudes.

Während der Testphase kam es teilweise zu Fehlern bei der Migration. Diese konnten allerdings über ein Konsolenkabel (baugleich Cisco) manuell behoben werden. Für solche Fälle wird erwartet, dass die bereits vorhandenen Cisco Konsolenkabel, oder analog ein RS232 Anschluss weiter genutzt werden können.

Um einen möglichst störungsfreien Betrieb der Infrastruktur gewährleisten zu können, werden neben der gesetzlichen Gewährleistung des eingesetzten Gerätes weitere Serviceleistungen vereinbart.

Es werden unterschiedliche Serviceklassen definiert und als verbindlich für die geforderten Leistungen vorgeschrieben.

Die Komponenten der WLAN Infrastruktur sind SLA Klassen zugeordnet. Der Austausch vor Ort wird durch den Regionalen Benutzerservice (RBS) selbst oder durch von RBS eingewiesenem eigenen Mitarbeitern durchgeführt. Hierfür sendet der Auftragnehmer die benötigten Ersatzgeräte an die Adresse des jeweiligen Polizeipräsidiums oder an eine vom zuständigen Sachbearbeiter angegebenen, abweichenden Lieferadresse.

Alternativ hierzu kann der Auftragnehmer, nach Vereinbarung mit dem jeweiligen Präsidium, eine Anzahl an Ersatzgeräten unentgeltlich zur Aufbewahrung zur Verfügung stellen.

Der Auftragnehmer verpflichtet sich, bei der Einstellung der angebotenen Produkte in das eProcurement-System des Landes Hessen und der elektronischen Bestellabwicklung mitzuwirken.

Die einzelnen Hardwarevolumina sowie die SLA sind der Leistungsbeschreibung zu entnehmen.

Preis

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Auftragsvergabe ohne vorherige Bekanntmachung eines Aufrufs zum Wettbewerb im Amtsblatt der Europäischen Union (für die unten aufgeführten Fälle)

Erläuterung:

Der Auftragsgegenstand wurde bereits - unterteilt in die Lose 1 bis 3 - im offenen Verfahren nach § 15 VgV unter der Vergabenummer VG-3000-2020-0085 ausgeschrieben. Hierbei konnte kein Zuschlag erteilt werden, da (für diese Lose) kein Angebot abgegeben wurde. Das Verfahren wurde daher teilweise gemäß § 63 Abs. 1 S. 1 Nr. 1 VGV aufgehoben.

Die benötigte Leistung sollte nunmehr im Rahmen eines Verhandlungsverfahrens gemäß §§ 14 Abs. 4 Nr. 1, 17 Abs. 5 VgV ausgeschrieben werden. Die Voraussetzungen hierfür lagen vor.

Der Tatbestand setzt zunächst zwingend voraus, dass dem Verhandlungsverfahren ein offenes oder nicht offenes Verfahren vorangegangen ist. Dies ist wie anfangs dargestellt der Fall. Es wurde ein offenes Verfahren durchgeführt.

Dieses vorangegangene offene Verfahren muss durch Aufhebung beendet worden sein (Müller-Wrede, VgV/UVgO-Kommentar, 5. Aufl. 2017, § 14 VgV Rn. 150). Am 20.09.2021 erfolgte die ex post Bekanntmachung und damit u.a. die Aufhebungsmitteilung an das Amtsblatt der EU (ABl. 2021/S S182-473316). Das vorangegangene offene Verfahren wurde damit außenwirksam - unter Aufhebung der Lose 1 bis 3 - beendet.

Weitere Voraussetzung ist, dass keine oder keine geeigneten Angebote oder keine geeigneten Teilnahmeanträge abgegeben wurden. Hier wurden keine Angebote für die betreffenden Lose abgegeben.

Abschließend dürfen die Auftragsbedingungen des vorangegangenen Verfahrens nicht grundlegend geändert werden. Die ursprünglichen Bedingungen des Auftrags wurden hier nur geringfügig geändert. Es wurden lediglich kleinere Anpassungen (u.a. Aktualisierung der Gesetzesverweise) im Rahmenvertrag vorgenommen, die aber den Leistungsgegenstand nicht betreffen. Es erfolgen somit keine wesentlichen Änderungen, die zu einem geänderten Bieterkreis führen würden.

Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

Los-Nr.: 1

WLAN-Infrastruktur für die Polizeipräsidien Nordhessen, Mittelhessen, Westhessen, Osthessen

Ein Auftrag/Los wurde vergeben: nein

Es sind keine Angebote oder Teilnahmeanträge eingegangen oder es wurden alle abgelehnt

Los-Nr.: 2

WLAN-Infrastruktur für das Polizeipräsidium Frankfurt am Main

Ein Auftrag/Los wurde vergeben: nein

Es sind keine Angebote oder Teilnahmeanträge eingegangen oder es wurden alle abgelehnt

Los-Nr.: 3

WLAN-Infrastruktur für die Polizeipräsidien Südosthessen und Südhessen, Hessisches Bereitschaftspolizeipräsidium, Hessisches Landeskriminalamt, Polizeiakademie Hessen, HPT

Ein Auftrag/Los wurde vergeben: nein

Es sind keine Angebote oder Teilnahmeanträge eingegangen oder es wurden alle abgelehnt

Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Darmstadt
Postleitzahl: 64283
Land: Deutschland
Telefon: [gelöscht]
Fax: [gelöscht]

09/05/2022