Öffentliche Ausschreibungen icc hofmann - Ingenieurbüro für technische Informatik
Am Stockborn 16, 60439 Frankfurt/M, FRG
Tel.: +49 6082-910101 Fax.: +49 6082-910200
E-Mail: info@icc-hofmann.net
Öffentliche Ausschreibungen

Titel : DE-Bonn - IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Dokument-Nr. ( ID / ND ) : 2018110609155860206 / 488492-2018
Veröffentlicht :
06.11.2018
Angebotsabgabe bis :
10.12.2018
Dokumententyp : Ausschreibung
Vertragstyp : Dienstleistungsauftrag
Verfahrensart : Offenes Verfahren
Unterteilung des Auftrags : Gesamtangebot
Zuschlagkriterien : Wirtschaftlichstes Angebot
Produkt-Codes :
72000000 - IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
79100000 - Dienstleistungen im juristischen Bereich
DE-Bonn: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung

2018/S 213/2018 488492

Auftragsbekanntmachung

Dienstleistungen
Legal Basis:
Richtlinie 2014/24/EU

Abschnitt I: Öffentlicher Auftraggeber
I.1)Name und Adressen
Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
Bonn
53133
Deutschland
E-Mail: [1]vergabestelle@bsi.bund.de
NUTS-Code: DEA22

Internet-Adresse(n):

Hauptadresse: [2]https://www.bsi.bund.de
I.2)Informationen zur gemeinsamen Beschaffung
I.3)Kommunikation
Die Auftragsunterlagen stehen für einen uneingeschränkten und
vollständigen direkten Zugang gebührenfrei zur Verfügung unter:
[3]https://www.evergabe-online.de/tenderdetails.html?id=223886
Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen
Angebote oder Teilnahmeanträge sind einzureichen elektronisch via:
[4]https://www.evergabe-online.de/tenderdetails.html?id=223886
I.4)Art des öffentlichen Auftraggebers
Ministerium oder sonstige zentral- oder bundesstaatliche Behörde
einschließlich regionaler oder lokaler Unterabteilungen
I.5)Haupttätigkeit(en)
Allgemeine öffentliche Verwaltung

Abschnitt II: Gegenstand
II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:

Projekt 392: Manipulation von Medizinprodukten (ManiMed)
Referenznummer der Bekanntmachung: P 392
II.1.2)CPV-Code Hauptteil
72000000
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:

Ziel des Projekts ist es. eine Einschätzung zum sicheren Betrieb von
mindestens 5 verschiedenen vernetzten Medizinprodukten (IT- und
Patientensicherheit) zu geben und eine aktuelle Übersicht der deutschen
Marktlage solcher Geräte und Produkte, die in den letzten 5 Jahren in
Deutschland in Verkehr gebracht wurden, zu veröffentlichen. Im Rahmen
von ManiMed ist innerhalb von 18 Monaten zu erforschen, welche
Anwendungsbreite an Produkten im Bereich eHealth bereits zur Verfügung
steht, wie sich die aktuelle IT-Sicherheitslage dieser Produkte
darstellt und welche weiteren Ziele und Trends (durch Kommunikation mit
Herstellern und Betreibern) in der digitalisierten medizinischen
Versorgung langfristig angestrebt werden.
II.1.5)Geschätzter Gesamtwert
II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: nein
II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:
II.2.2)Weitere(r) CPV-Code(s)
79100000
II.2.3)Erfüllungsort
NUTS-Code: DEA22
Hauptort der Ausführung:

Beim Auftragnehmer
II.2.4)Beschreibung der Beschaffung:

Bei der Analyse der Risiken sind insbesondere die eingesetzten
Systemarchitekturen (Betriebssysteme, Hardware, Verwaltung
kryptografischer Schlüssel, Authentisierungs-, Kommunikations- und
Update-Mechanismen) zu untersuchen. Hierbei ist zu betrachten, über
welches Schutzniveau das Produkt verfügt, um sich beispielsweise vor
unberechtigtem Zugriff, Malware, Spoofing, Fake-Apps,
Man-in-the-Middle- oder DDoS-Angriffen zu schützen.

Zunächst soll eine Marktübersicht, in schriftlicher Form, von
vernetzten Medizinprodukten (mindestens eine
Kommunikationsschnittstelle muss vorhanden sein), die in den letzten 5
Jahren auf den Markt gebracht wurden, erstellt und vorgestellt werden.
Hierbei ist zusätzlich zu berücksichtigen, dass auch mindestens ein
Gerät der folgenden Geräteklassen, neben anderen Medizinprodukten, in
der Marktsichtung erfasst werden:

Implantierbarer Herzschrittmacher, Insulinpumpe, Beatmungsgerät,
Patientenmonitor und Schmerzmittelpumpe.

Im Anschluss an die Marktübersicht werden durch die für ManiMed
zuständige Projektleitung im BSI die zu untersuchenden Medizinprodukte
ausgewählt, bei denen der Auftragnehmer IT-Schwachstellen anschließend
technisch analysieren, benennen und beschreiben soll, um mögliche
Risiken für Nutzer, in Form einer Cyber-Sicherheitsbetrachtung
(mindestens dem Format von BSI-CS 132 Anforderungen an netzwerkfähige
Medizinprodukte entsprechend), ableiten zu können.

Auf Softwareebene soll in diesem Projekt betrachtet werden, ob
Cyber-Sicherheitsanalysen zu Bedrohungen und Risiken während des
gesamten Produktzyklus (Kommunikation mit dem entsprechenden Hersteller
erwünscht) stattfinden und technische Sicherheitsanalysen
(Penetrationstests), eine Bereinigung der Produkte vor Auslieferung,
die Bereitstellung von getesteten Updates und Patches,
Antivirenlösungen, die Erhebung und Verarbeitung von Logdaten, sichere
kryptografische Verfahren, robuste Kommunikationsprotokolle und
Integritäts-Checks verwendet werden. Bei den kryptografischen Lösungen
soll zusätzlich beleuchtet werden, ob es sich um
Standardimplementierungen oder Eigenentwicklungen handelt. Es soll
herausgearbeitet werden, wie sich die unterschiedlichen Nutzer bei den
zu untersuchenden Medizingeräten authentisieren, ob Passwörter
beispielsweise im Klartext übermittelt werden und ob es ein
abgesichertes Sessionmanagement gibt. Es muss geprüft werden, ob sich
Passwörter oder Zertifikate leicht ersetzen lassen und ob das Gerät so
konfiguriert ist, dass es gegen nicht autorisierte Manipulation
geschützt ist, beispielsweise durch einen gesicherten TLS-Betrieb. Des
Weiteren soll auf Hardwareebene untersucht werden, ob das System
gehärtet ist, ob es physisch vor Zugriffen geschützt ist, welche Daten
in welche Richtung fließen und ob dies kabellos geschieht, welche
Schnittstellen vorhanden sind, wie die Fernwartung, falls
implementiert, abläuft und ob es Backup- und
Wiederherstellungssystemlösungen gibt. Anhand dieser Untersuchungen ist
der mögliche maximale Schaden, der aus einer Manipulation des Geräts
für den Patienten resultieren kann, zu bestimmen und zu beschreiben.

Es muss zum Projektende eine Ausarbeitung einer
IT-Sicherheitsbetrachtung, in deutscher und englischer Sprache, für
vernetzte Medizinprodukte erstellt worden sein, die auf der Webseite
des BSI veröffentlicht wird. Die Übersetzung muss eigenständig durch
den Auftragnehmer erfolgen. Zudem soll eine Abschlusspräsentation im
BSI vor Fachpublikum (BSI-Mitarbeiter) und je nach Projektergebnissen,
sogar im größeren Rahmen, stattfinden. Die Ergebnisse dieses Projektes
können die Basis für nachfolgende Projekte sein, abhängig davon, ob und
welche IT-Sicherheitslücken identifizierbar sind und wie kritisch diese
für das Patientenwohl sein können.
II.2.5)Zuschlagskriterien
Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind
nur in den Beschaffungsunterlagen aufgeführt
II.2.6)Geschätzter Wert
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des
dynamischen Beschaffungssystems
Laufzeit in Monaten: 18
Dieser Auftrag kann verlängert werden: nein
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.12)Angaben zu elektronischen Katalogen
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm,
das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben

Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische
Angaben
III.1)Teilnahmebedingungen
III.1.1)Befähigung zur Berufsausübung einschließlich Auflagen
hinsichtlich der Eintragung in einem Berufs- oder Handelsregister
Auflistung und kurze Beschreibung der Bedingungen:

Firmenprofil.

Erstellen Sie vom Generalunternehmer bzw. vom jedem Mitglied der
Bietergemeinschaft ein aussagekräftiges Firmenprofil. Die Darstellung
muss in tabellarischer Form erfolgen und folgende Punkte umfassen:

Offizielle Bezeichnung,

Rechtsform,

Firmensitz und Standorte,

Struktur und Organisation z. B. Abbildung des Organigramms,

Geschäftsfelder (Auflistung der einzelnen Geschäftsfelder; Benennung
der Geschäftsfelder, die für den hier zu vergebenden Auftrag relevant
sind (auftragsbezogene Geschäftsfelder); ggf. nähere
Ausführungen/Erläuterungen zu den auftragsbezogenen Geschäftsfeldern),

Anzahl der Mitarbeiter in den auftragsbezogenen Geschäftsfeldern,

Gesamtumsatz in den letzten 3 Geschäftsjahren (Angabe pro Jahr). Die
Angabe kann bei nicht-gewinnorientierten Institutionen, z. B.
öffentlichen Hochschulen, entfallen,

Umsatz in den auftragsbezogenen Geschäftsfeldern in den letzten 3
Geschäftsjahren (Angabe pro Jahr). Angabe pro Jahr für die letzten 3
Geschäftsjahre). Die Angabe kann bei nicht-gewinnorientierten
Institutionen, z. B. öffentlichen Hochschulen, entfallen.

Gehen Sie im Falle einer Bietergemeinschaft auf die Aufteilung der zu
erbringenden Leistung auf die einzelnen Mitglieder der
Bietergemeinschaft ein.

Weder beim Generalunternehmer noch bei den Mitgliedern einer
Bietergemeinschaft darf es sich um Hersteller von vernetzten
Medizinprodukten handeln (siehe Kapitel 4.9 der Leistungsbeschreibung).
III.1.2)Wirtschaftliche und finanzielle Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:

Qualitätsmanagement.

Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar.
Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen
erworben hat.

Mindestvoraussetzung: Es ist ein Qualitätsmanagement etabliert und
dokumentiert und kann nachgewiesen werden.

Ausschluss eines Interessenskonflikts.

Ziel ist ein unvoreingenommenes Untersuchungsergebnis, bei dem
Neutralität des Untersuchenden nachgewiesen werden kann.

Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer
Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die
mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen
und sie nachteilig beeinflussen könnten? Eingeschlossen von dieser
Bestätigung sind die bei dem Projekt eingesetzten Mitarbeiter.

Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung
gegenüber oder Kooperation mit dem Hersteller eines untersuchten
Produkts oder durch eine sonstige wirtschaftliche Abhängigkeit vom
genannten vor.

Bitte mit JA oder Nein beantworten.

Wurde die Frage mit Nein beantwortet (= es besteht ein
Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie
dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur
berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als
ausreichend beurteilt wird.

Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre
Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung
des Kriteriums.
III.1.3)Technische und berufliche Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:

Referenzen: Technische Sicherheitsanalyse

Weisen Sie mindestens ein Projekt mit Schwerpunkt technische Analyse
von Sicherheitskriterien nach, das von Ihrem Unternehmen, den
Mitgliedern der Bietergemeinschaft oder den Unterauftragnehmern
innerhalb der letzten 3 Jahre erfolgreich durchgeführt wurde, und
welches mit der hier zu vergebenden Leistung vergleichbar ist (Dauer,
Umfang, Inhalt) oder darüber hinaus geht.

Gehen Sie dabei auf folgende Punkte ein:

Auftraggeber inkl. Ansprechpartner,

(detaillierte) Darstellung des Auftragsgegenstands/der Tätigkeit,

Umfang,

Dauer,

Auftragsvolumen.

Aus Ihren Ausführungen muss ersichtlich werden, warum das beschriebene
Projekt aus Ihrer Sicht die oben genannten Anforderungen erfüllt und
somit als Referenz geeignet ist. Die Darstellung sollte eine DIN
A4-Seite pro Referenzprojekt nicht überschreiten.

Mindestvoraussetzung: Benennung und Beschreibung von mindestens einer
Referenz.

Referenzen: Projekttätigkeit

Benennen Sie die Beratungs- bzw. Untersuchungsprojekte im Bereich
Medizinprodukte/Medizintechnik die in den letzten 3 Jahren von Ihrem
Unternehmen, den Mitgliedern der Bietergemeinschaft und den
Unterauftragnehmern durchgeführt wurden als Nachweis, dass
Medizinprodukte ein wesentliches Arbeitsfeld der beteiligten
Unternehmen ist.

Gehen Sie dabei auf folgende Punkte ein:

Auftraggeber inkl. Ansprechpartner,

(detaillierte) Darstellung des Auftragsgegenstands/der Tätigkeit,

Umfang,

Dauer,

Auftragsvolumen.

Aus Ihren Ausführungen muss ersichtlich werden, warum die beschriebenen
Projekte aus Ihrer Sicht die oben genannten Anforderungen erfüllen und
somit als Referenz geeignet sind. Die Darstellung sollte eine DIN
A4-Seite pro Referenzprojekt nicht überschreiten.

Mindestvoraussetzung: Benennung und Beschreibung von mindestens 3
Referenzen.

Technische Ausrüstung.

Geben Sie einen kurzen Überblick über das technische Equipment, welches
Ihnen zur Verfügung steht und von Ihnen zur Erbringung der AP 3 und 4
eingesetzt wird. Als Mindestvoraussetzung wird erwartet:

Testumgebungen (z. B. Krankenhaus, Praxis, Patient) bereitstellen,

Erfahrung in mindestens 3 Bereichen aus: reverse engineering;
Replay-Attacken; Sniffing- und Spoofing-Tools; SQL-injection;
Cross-Site-Scripting; Eavesdropping,

Erfahrung in mindestens 4 Bereichen aus: Penetrationstests;
Schwachstellenanalyse; Fuzzing-Tests; Jamming; Schadcode-Analyse;
Netzwerk-Scan; Quellcode-Analyse; Nutzung von Analyse-Programmen wie z
.B. Wireshark, tcpdump.
III.1.5)Angaben zu vorbehaltenen Aufträgen
III.2)Bedingungen für den Auftrag
III.2.1)Angaben zu einem besonderen Berufsstand
III.2.2)Bedingungen für die Ausführung des Auftrags:

Ausführungsbedingungen gemäß Auftragsunterlagen
III.2.3)Für die Ausführung des Auftrags verantwortliches Personal
Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der
Personen, die für die Ausführung des Auftrags verantwortlich sind

Abschnitt IV: Verfahren
IV.1)Beschreibung
IV.1.1)Verfahrensart
Offenes Verfahren
IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen
Beschaffungssystem
IV.1.4)Angaben zur Verringerung der Zahl der Wirtschaftsteilnehmer oder
Lösungen im Laufe der Verhandlung bzw. des Dialogs
IV.1.6)Angaben zur elektronischen Auktion
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: nein
IV.2)Verwaltungsangaben
IV.2.1)Frühere Bekanntmachung zu diesem Verfahren
IV.2.2)Schlusstermin für den Eingang der Angebote oder Teilnahmeanträge
Tag: 10/12/2018
Ortszeit: 14:00
IV.2.3)Voraussichtlicher Tag der Absendung der Aufforderungen zur
Angebotsabgabe bzw. zur Teilnahme an ausgewählte Bewerber
IV.2.4)Sprache(n), in der (denen) Angebote oder Teilnahmeanträge
eingereicht werden können:
Deutsch
IV.2.6)Bindefrist des Angebots
Das Angebot muss gültig bleiben bis: 10/02/2019
IV.2.7)Bedingungen für die Öffnung der Angebote
Tag: 10/12/2018
Ortszeit: 14:00

Abschnitt VI: Weitere Angaben
VI.1)Angaben zur Wiederkehr des Auftrags
Dies ist ein wiederkehrender Auftrag: nein
VI.2)Angaben zu elektronischen Arbeitsabläufen
Aufträge werden elektronisch erteilt
Die elektronische Rechnungsstellung wird akzeptiert
Die Zahlung erfolgt elektronisch
VI.3)Zusätzliche Angaben:
VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Vergabekammer des Bundes beim Bundeskartellamt
Villemombler Str. 76
Bonn
53123
Deutschland
Telefon: +49 228-94990
E-Mail: [5]info@bundeskartellamt.bund.de
Fax: +49 228-9499400

Internet-Adresse: [6]http://www.bundeskartellamt.de
VI.4.2)Zuständige Stelle für Schlichtungsverfahren
VI.4.3)Einlegung von Rechtsbehelfen
Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über
das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen
Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie
sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das
Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind,
können nur vor den

Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156
Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf
Antrag ein, § 160 Abs. 1 GWB.

Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß §
160 Abs. 3 Satz 1 GWB unzulässig ist, soweit

1) der Antragsteller den geltend gemachten Verstoß gegen
Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und
gegenüber dem BSI nicht innerhalb einer Frist von 10 Kalendertagen
gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt
unberührt,

2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung
erkennbar sind, nicht spätestens bis zum Ablauf der in der
Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe
gegenüber dem BSI gerügt werden,

3) Verstöße gegen Vergabevorschriften, die erst in den
Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der
Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt
werden,

4) mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer
Rüge nicht abhelfen zu wollen, vergangen sind.

Die o. g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2
GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des
Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt
unberührt.
VI.4.4)Stelle, die Auskünfte über die Einlegung von Rechtsbehelfen
erteilt
VI.5)Tag der Absendung dieser Bekanntmachung:
02/11/2018

[BUTTON] ×

Direktlinks

HTML ____________________
PDF ____________________
PDFS ____________________
XML ____________________
[BUTTON] Schließen

References

1. mailto:vergabestelle@bsi.bund.de?subject=TED
2. https://www.bsi.bund.de/
3. https://www.evergabe-online.de/tenderdetails.html?id=223886
4. https://www.evergabe-online.de/tenderdetails.html?id=223886
5. mailto:info@bundeskartellamt.bund.de?subject=TED
6. http://www.bundeskartellamt.de/

 
 
Ausschreibung ausschreibung Ausschreibungen Ingenieure Öffentliche Ausschreibungen Datenbank Öffentliche Ausschreibungen Architekten Öffentliche Ausschreibungen Bau