Projekt 563: Sicherheit von Praxisverwaltungssystem (SiPra) Referenznummer der Bekanntmachung: P563
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Bonn
NUTS-Code: DEA22 Bonn, Kreisfreie Stadt
Postleitzahl: 53133
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.bsi.bund.de
Abschnitt II: Gegenstand
Projekt 563: Sicherheit von Praxisverwaltungssystem (SiPra)
Das Projekt 563 SiPra Sicherheit von Praxisverwaltungssystemen hat den Anspruch, zunächst eine realistische Einschätzung und aktuelle Übersicht der deutschen Marktlage, inkl. der derzeitigen IT-Sicherheitsvorkehrungen, zu Praxisverwaltungssystemen (PVS) zu geben. Für die weiteren Untersuchungen im Projekt werden vier marktrelevante PVS ausgewählt. In der anschließenden umfassenden technischen Sicherheitsanalyse (Penetrationstest, Fuzzing-Test, Ausführen von Schadcode, Einschleusen von Maleware) dieser Systeme sollen alle möglichen Schwachstellen und Angriffsszenarien auf Softwareebene aufgezeigt werden. Die Ergebnisse dieses Projektes können die Basis für nachfolgende Projekte sein, abhängig davon, ob und welche IT-Sicherheitslücken identifizierbar sind und wie kritisch diese für die Leistungserbringer sein können.
Beim Auftragnehmer
Ziel des Projektes 563 „Sicherheit von Praxisverwaltungssystemen (SiPra)“ ist eine Einschätzung zum sicheren Betrieb von mind. 4 verschiedenen marktrelevanten Praxisverwaltungssystemen (PVS) zu geben und eine aktuelle Übersicht der deutschen Marktlage inkl. der derzeitigen IT-Sicherheitsvorkehrungen solcher PVS und Konfigurationsempfehlungen für Leistungserbringer zu veröffentlichen. Diese Erkenntnisse sollen zur Kommunikation mit den Leistungserbringern dienen und ggf. regulatorische Handlungsbedarfe darstellen. Im Rahmen der Laufzeit von 9 Monaten ist zu erforschen, welche Produkte derzeit vertrieben werden, welch unterschiedlicher Funktionsumfang derzeit beworben wird, wie sich die aktuelle IT-Sicherheitslage dieser Produkte darstellt und welche weiteren Ziele und Trends (durch Kommunikation mit den Herstellern) durch die Hersteller verfolgt werden. Bei der Analyse der Risiken sind insbesondere die eingesetzten Systemarchitekturen (Verwaltung kryptografischer Schlüssel, Authentisierungs-, Kommunikations- und Update-Mechanismen) zu untersuchen. Hierbei ist zu betrachten, über welches Schutzniveau das Produkt verfügt, um sich beispielsweise vor unberechtigtem Zugriff, Malware, Spoofing, Man-in-the-Middle- oder DDoS-Angriffen zu schützen.
Zunächst wird eine Marktübersicht in schriftlicher Form von Praxisverwaltungssystemen erstellt und vorgestellt.
Im Anschluss an die Marktübersicht werden durch die für SiPra zuständige Projektleitung im BSI die zu untersuchenden Medizinprodukte ausgewählt, bei denen der Auftragnehmer IT-Schwachstellen anschließend technisch analysieren, benennen und beschreiben soll, um mögliche Risiken für Nutzer, in Form einer Cyber- Sicherheitsbetrachtung, ableiten zu können.
Es muss zum Projektende eine Ausarbeitung einer IT-Sicherheitsbetrachtung für die Praxisverwaltungssysteme erstellt worden sein, die auf der Webseite des BSI veröffentlicht wird. Gesondert von dieser Ausarbeitung sind die Ergebnisse mit Handlungsempfehlungen zusammenzufassen oder zumindest die Ausarbeitung derartig gestaltet sein, dass dies ohne großen Aufwand durch die Projektleitung nach Abschluss des Projektes erstellt werden kann.
Zudem findet eine Abschlusspräsentation im BSI statt. Die Ergebnisse dieses Projektes können die Basis für nachfolgende Projekte sein, abhängig davon, ob und welche IT-Sicherheitslücken identifizierbar sind und wie kritisch diese für die Leistungserbringer sein können.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
siehe Leistungsbeschreibung
Ausführungsbedingungen gemäß Auftragsunterlagen
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: http://www.bundeskartellamt.de
Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den
Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.
Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.