TendiGo
Ausschreibungen IT-Dienstleistungen

Bug Bounty Programm Dienstleistungen

SPRIND GmbH | Vergabekammer des BundesLeipzig, SachsenFrist: (in 12 Tagen)

Zusammenfassung

Rahmenvertrag für ein öffentliches Bug-Bounty-Programm zur Stärkung der IT-Sicherheit des deutschen EU Digital Identity (EUDI) Wallet-Ökosystems.

Der Auftragnehmer betreibt auf eigener Plattform ein öffentliches Bug-Bounty-Programm, zieht eine Community aus Sicherheitsforschern an und übernimmt den kompletten End-to-End-Prozess: Entgegennahme von Meldungen, Schwachstellen-Bewertung (Triage), Forscher-Management und Auszahlung der Prämien.

Verfahren: Offenes Verfahren, Auftraggeber ist die SPRIND GmbH. Angebotsabgabe bis 30.06.2026 um 10:00 Uhr ausschließlich elektronisch über die Vergabeplattform DTVP. Vertragslaufzeit 12 Monate mit Verlängerungsoption (max. 3 Jahre gesamt). Geschätzter Auftragswert: 1,6 Mio. € (max. 2,4 Mio. €).

Original-Bekanntmachung ansehen

Zeitplan & Fristen

Aus den Vergabeunterlagen extrahiert

Noch 12 Tage bis zur Angebotsfrist
Termin / Frist
2026202720282029
MAINOVMAINOVMAINOVMAI
Veröffentlichung
Bieterfragen-Frist
Angebotsfrist
Sicherheitsüberprüfung bis
Angebotsöffnung
Angebotsgültigkeit
Bindefrist
Zuschlagsinformation
Zuschlag
Vertragsbeginn
Ausführungsbeginn
Rahmenvertrag Laufzeit
Kündigungsfrist Verlängerung
Verlängerung 1
Verlängerung 2
Vertragsende
Verlängerung max.
Heute
vor Angebotsabgabenach Angebotsabgabegeschätzt

Leistungsumfang

Aus den Vergabeunterlagen

Programm-Setup und Betrieb

  • Einrichtung und Betrieb eines öffentlichen Bug-Bounty-Programms als Managed Service für das deutsche EUDI Wallet-Ökosystem
  • Onboarding-Phase vor öffentlichem Launch: Finalisierung der Vulnerability Disclosure Policy (VDP) und Rules of Engagement (RoE), Validierung des Workflows
  • Anfänglich erfasste Angriffsziele (Annex D): EUDI-Wallet-Apps für iOS und Android, Mobile-Wallet-Backend, EUDI-Hub-Webportal und -Backend, PID-Provider-Backend

Plattform-Anforderungen

  • Eigene Bug-Bounty-Plattform mit Submission Intake, lückenlosem Audit Trail und rollenbasierter Zugriffskontrolle (RBAC) sowie Multi-Faktor-Authentifizierung
  • Sichere Kommunikationskanäle zwischen Forschern und Triage-Team
  • Bi-direktionale Jira-Integration (automatische Ticket-Erstellung, Status-Synchronisation, Export von Triage-Reports)
  • Datenverschlüsselung at rest und in transit, Policy-Versionierung, definierte Datenspeicherpolitik
  • Plattform-Verfügbarkeit: 99,9 % pro Kalendermonat (ohne geplante Wartung); geplante Wartung mindestens 48 Stunden vorher angekündigt, außerhalb der Geschäftszeiten des Auftraggebers

Managed Triage Services

  • Eingangsprüfung: Spam-Filter, Duplikaterkennung, Out-of-scope-Prüfung
  • Reproduktion in kontrollierter Umgebung und Severity-Bewertung nach CVSS v3.1
  • Erstellung strukturierter Triage-Reports
  • Service-Level-Agreements (SLA):
  • First Response Time: 2 Stunden nach Einreichung
  • Triage bei Critical/Exceptional: 1 Werktag
  • Triage bei High: 2 Werktage
  • Triage bei Medium/Low: 3 Werktage

Researcher- und Bounty-Management

  • Aufbau und laufende Betreuung einer qualifizierten Community aus Sicherheitsforschern
  • Identity-Verification (KYC), Steuer-Compliance, AML-Prüfungen, Sanktionslisten-Screening
  • Trust-Account-Verwaltung, Echtzeit-Ledger, weltweite Auszahlungen (inkl. Non-EU/EEA)
  • Quartalsweise überprüfte Bounty-Tabelle mit marktüblichen Prämien
  • Plattform-internes Messaging, 24/7-Emergency-Contact, dedizierter Customer Success Manager und Triage Team Lead

Compliance, Governance und Reporting

  • Echtzeit-Dashboard, KPI-Tracking (Submissions, Validierungen, Severity-Verteilung, Triage-Zeiten, Bounty-Beträge)
  • Monatliche und quartalsweise Summary-Reports, Datenexport für Audits
  • Compliance mit GDPR, NIS 2 Directive, ISO/IEC 27001 oder SOC2 Type 2
  • Incident Response inkl. 24-Stunden-Benachrichtigung bei Sicherheitsvorfällen
  • Verwaltung einer Sub-Processor-Liste mit Rolle und Hauptverarbeitungsstandort
  • NDAs für alle Beteiligten, Datentransfers außerhalb EU/EEA mit angemessenen Garantien (SCCs oder adäquates Schutzniveau)
  • Monatliches SLA-Reporting

Eignungskriterien

Geforderte Nachweise laut Vergabeunterlagen

Persönliche und rechtliche Eignung

  • Keine Ausschlussgründe: Weder zwingende Ausschlussgründe (z. B. Insolvenz, schwere Straftaten) noch fakultative Ausschlussgründe (z. B. schwere Verfehlungen, Zahlungsunfähigkeit) dürfen vorliegen. Andernfalls ist ein Selbstreinigungsnachweis erforderlich.
  • Steuern und Sozialversicherung: Pflichten zur Zahlung von Steuern, Sozialversicherungsbeiträgen, Mindestlohn und Vorgaben gegen Schwarzarbeit müssen erfüllt sein.
  • Handelsregistereintrag: Eintragung im Handelsregister oder einem vergleichbaren Register, alternativ Begründung für Nichteintragung.
  • EU-Russland-Sanktionen: Keine Bezüge zu russischen Staatsangehörigen, keine Beteiligung russischer Personen/Unternehmen über 50 %, keine problematischen Subunternehmer mit Russland-Bezug (über 10 % Auftragswert).
  • Unternehmensgröße: Angabe, ob Mikro-, Klein-, mittelständisches Unternehmen oder börsennotiert.
  • Bietergemeinschaften / Eignungsleihe: Bildung zulässig; Eignungsleihe möglich, bei finanzieller Eignungsleihe gemeinsame Haftung; Formulare Appendix 02–05 erforderlich.

Finanzielle und wirtschaftliche Eignung

  • Umsatznachweis: Angabe der Umsatzzahlen der letzten 3 abgeschlossenen Geschäftsjahre, aufgeschlüsselt nach Gesamtumsatz und Umsatz aus Bug-Bounty-Program-Services. Keine konkrete Mindestschwelle vorgegeben.
  • Berufshaftpflichtversicherung: Mindestdeckung 1.000.000 € pro Schadensfall für Personen-, Sach- und Vermögensschäden, mindestens zweimal pro Jahr verfügbar, für die gesamte Vertragslaufzeit.

Fachliche und technische Eignung

  • Sicherheitszertifizierung: Nachweis über Zertifizierung nach ISO/IEC 27001 oder SOC2 Type 2 (oder gleichwertig); Nachweis kann nach Angebotsfrist angefordert werden.
  • Personalscreening: Angemessene Sicherheitsüberprüfungen für alle Mitarbeiter mit Zugriff auf Produktionsumgebungen oder nicht-öffentliche Programmdaten.
  • Schlüsselpersonal: Benennung von (1) Customer Success Manager und (2) Triage Team Lead mit Lebensläufen, Qualifikationen und Erfahrungsnachweisen vor Vertragsbeginn. Triage-Team muss Expertise in Web Application Security, Authorization & Identity Protocols, Wallet Ecosystems, Mobile App Security und Kryptographie nachweisen.
  • Referenzen: Mindestens 3 vergleichbare Bug-Bounty-Programme für Behörden oder KRITIS-Betreiber seit dem 01.01.2023 (Details siehe Referenzprojekte).
  • Plattform-Anforderungen: Erfüllung aller mandatory requirements zur Plattform gemäß Annex B; Abweichungen führen zur Angebotsablehnung.
Referenzprojekte
mindestens 3 ReferenzenZeitraum: seit 01.01.2023 begonnen oder durchgeführt (abgeschlossen oder laufend)

Erfolgreiche Bug-Bounty-Program-Services für Regierungsbehörden oder KRITIS-Betreiber mit mindestens 10 erfolgreichen Bounty-Auszahlungen und einer Plattform mit mindestens 1.000 Sicherheitsforschern

Name und Adresse des Referenzgebers für alle 3 Referenzen; Kontaktdaten (Name, Telefon oder E-Mail) einer verantwortlichen Person beim Referenzgeber für mindestens eine Referenz; mind. 2 von 3 Referenzen müssen von unterschiedlichen Referenzgebern stammen; Eigenreferenzen (Referenzgeber = Bieter/Konsortiumsmitglied) nicht zulässig

Wettbewerb & Angebotsprognose

Erwartete Konkurrenz auf Basis vergleichbarer Vergaben

11+Angebote erwartet
Hohe Konkurrenz

Median rund 15 Angebote.

Wahrscheinliche Bieterzahl
1–3 · 31%4–10 · 30%11+ · 39%

Unternehmen, die ähnliche Ausschreibungen gewonnen haben

Aus vergleichbaren bereits vergebenen Vergaben (KI-Ähnlichkeit)

Checkliste zur Angebotsabgabe

Konkrete Schritte laut Vergabeunterlagen

Pflicht-Angebotsunterlagen (Teil A)6
  • Eigenerklärungen und Nachweise (Part A Appendix 01)Pflicht
    Selbstauskunft, Ausschlussgründe, Steuer-/Sozialversicherung, Handelsregister (max. 90 Tage alt), Sicherheitszertifizierung, Umsatz, Referenzen, Haftpflicht, EU-Russland-Sanktionen
  • Handelsregisterauszug oder gleichwertiger NachweisPflicht
    Darf bei Angebotsfristende nicht älter als 90 Tage sein; fremdsprachige Dokumente mit einfacher deutscher/englischer Übersetzung
  • Erklärung zur Sicherheitszertifizierung (ISO/IEC 27001 oder SOC2 Type 2)Pflicht
    Nachweis kann auch nach Angebotsfrist angefordert werden
  • Erklärung zur HaftpflichtversicherungPflicht
    Mindestens 1.000.000 € pro Schadensfall, zweimal pro Jahr verfügbar
  • Erklärung zu EU-Russland-Sanktionen (Art. 5k EU-VO 833/2014)Pflicht
    Keine russischen Bezüge, keine >50%-Beteiligung, keine problematischen Subunternehmer
  • Umsatzerklärung der letzten 3 GeschäftsjahrePflicht
    Aufschlüsselung nach Gesamtumsatz und Umsatz aus Bug-Bounty-Program-Services
Fachliche Angebotsbestandteile (Teil C)4
  • Preisblatt (Part C Appendix 01)Pflicht
    Preise für alle 9 Tiers (A–I) eintragen: Plattformgebühr (jährlich) und Triage-Service-Gebühr (jährlich) in € netto. Keine Änderungen am Formular, keine Preise ins DTVP-Systemfeld
  • Lösungskonzept (Part C Appendix 02)Pflicht
    Max. 30 Seiten (ohne Deckblatt/Inhaltsverzeichnis), Schriftgröße mind. 11pt Arial/Calibri, Ränder 2cm. Gliederung in 7 Kapitel gemäß Annex B
  • 2 Lebensläufe (Part C Appendix 03)Pflicht
    Je max. 3 Seiten: (1) Customer Success Manager, (2) Triage Team Manager
  • Plattform-Demonstration oder Dokumentation (Platform Design & Usability)optional
    Empfohlen: Testzugang zu Non-Production-Instanz mit Zugangsdaten. Alternativ ausführliche PDF-Dokumentation mit Screenshots
Referenzen (Teil A Appendix 01)1
  • Mindestens 3 ReferenzprojektePflicht
    Bug-Bounty-Programme für Behörden oder KRITIS-Betreiber, mind. 10 Auszahlungen, Plattform mit mind. 1.000 Forschern, seit 01.01.2023. Mind. 2 von 3 müssen von unterschiedlichen Referenzgebern stammen, Eigenreferenzen sind nicht zulässig. Kontaktdaten einer verantwortlichen Person für mindestens eine Referenz angeben
Bei Bietergemeinschaften / Konsortium4
  • Bietergemeinschaftserklärung (Appendix 02)Pflicht
    Unterschriften aller Mitglieder erforderlich
  • Erklärung zu Nachunternehmern und Eignungsleihe (Appendix 03)Pflicht
    Nur falls Nachunternehmer eingesetzt werden oder Eignung verliehen wird
  • Verpflichtungserklärung anderer Unternehmen (Appendix 04)Pflicht
    Unterschrift des unterstützenden Unternehmens
  • Erklärung zu Ausschlussgründen des Nachunternehmers (Appendix 05)Pflicht
Sprache und Plattform2
  • Angebot auf Englisch einreichenPflicht
  • Nur elektronisch über DTVP einreichenPflicht
    Bekanntmachungs-ID CXP4D9LMSTR; keine zusätzlichen AGB beifügen; Rahmenvertrag (Part C) unverändert akzeptieren

Weitere Ausschreibungen IT-Dienstleistungen

Alle anzeigen

IT Professional Services Framework

SEFE Energy GmbH | hpm Henkel Projektmanagement GmbH | SEFE Securing Energy for Europe GmbH | 1. und 2. Vergabekammer bei dem Regierungspräsidium Darmstadt

Frist:

Computer-Hotline

Der Präsident des Landtags Nordrhein-Westfalen | Vergabekammer Nordrhein-Westfalen

Frist:

Serviceleistungen für Betrieb, Betreuung und technische Aktualisierung der bestehenden IT-Infrastruktur

Stiftung Haus der Geschichte Nordrhein-Westfalen | Vergabekammer Westfalen

Frist:

Beratungsleistung Aufbau IT-Infrastruktur und IT-Betrieb

Zentraler IT-Dienstleister der Justiz des Landes Brandenburg | Vergabekammer des Landes Brandenburg

Frist:

IT-Service für Workload Automation

ARD ZDF Deutschlandradio Beitragsservice | Vergabekammer Rheinland c/o Bezirksregierung Köln

Frist:

IT-Dienstleistungsvertrag für das Sächsische Oberbergamt (2026-2030)

Sächsisches Oberbergamt

Frist:

Diese Ausschreibung gewinnen?

Mit TendiGo finden Sie passende Vergaben automatisch, prüfen Eignungskriterien per KI und erstellen überzeugende Angebote — schneller als je zuvor.

Kostenlos testen
806+ Vergabequellen
Mit Experten entwickelt
Sofort einsatzbereit