1858-CK-Vulnerability-Scanning-Platform

Vermietung (Miete) einer Vulnerability Scanning Platform – jede eindeutige IP-Adresse / jeder Host zählt als 1 Asset.

• Mindestabnahmemenge pro Vertragsjahr: 70.000 Subscriptions (Pflicht)
• Geschätzte Bestellmengen:
• Vertragsjahr 1: ca. 120.000 Assets
• Vertragsjahr 2: ca. 170.000 Assets
• Vertragsjahr 3: ca. 220.000 Assets
• Vertragsjahr 4: ca. 270.000 Assets
• Asset-Zusammensetzung: ca. 1/5 der 70.000 Mindestabnahme (≈14.000) agentenbasiert betreibbar; Rest netzwerkseitig. Optionale 200.000 Zusatz-Assets: 100 % Client-Systeme, agentenbasiert betreibbar.
• Mengenstaffeln für Mehrmengen: 4 degressive Tiers (1–100.000 / 100.001–150.000 / 150.001–200.000 / 200.001–500.000). Jeder Asset wird zum Preis des Tiers berechnet, in den er sequenziell fällt.
• Preisgarantie: Preise für optionale Abrufmengen dürfen die Preise der Mindestabnahme (70.000) nicht überschreiten.

Agentenloses Network Scanning (Firewalls, Switches, Mainframe, SAP-Appliances, Netzwerkkomponenten) – alle UDP/TCP-Ports, TLS-Zertifikate, Systeminformationen, authentifizierte und unauthentifizierte Scans.

Agentenbasiertes Host Scanning auf physischen Geräten, VMs und Endgeräten (Windows, Linux, Mac) – mit WMI für Windows und os-spezifischen Checks; Softwareversionen, EOL/EOS-Erkennung (bei vom Hersteller öffentlich als solche gekennzeichneter Software).

Web Application Scanning nach OWASP Top 10 (SQL-Injection, CSRF, Cookie-Einstellungen), authentifiziert und unauthentifiziert.

Container Scanning in Kubernetes-Umgebungen (laufende Container, lokale Registries).

Erkennungsmechanismen: CVE/GCVE, Fehlkonfigurationen, Default Accounts, ungültige/veraltete Zertifikate, EOL/EOS.

Skalierbare Erkennung: >4.000 VLANs monatlich, IPv4 (/21–/30), ab 2027 zusätzlich bis zu 400.000 IPv6-Einzelziele.

Scan-Attribute: konfigurierbare Wartungsfenster, on-demand und automatische Scans, Drosselung, Timeout, Resume-Funktion, tägliche automatische Aktualisierung der Schwachstellendaten.

On-Premise-Betrieb zwingend – vollständig in vom Auftraggeber verwalteter Umgebung, kein Cloud-/SaaS-Betrieb, kein Provider-Zugriff. Internetdownload für CVE-/Vulnerability-Daten zur internen Verarbeitung ist zulässig.

Verteilte Architektur: dezentralisierte Scan-Sensoren und Scan-Agents, die Ergebnisse an eine zentrale Instanz übermitteln. Redundanz pro Netzsegment (Active-Passive oder Active-Active) wird gewünscht.

Zwei getrennte Betriebsumgebungen:

• Kubernetes-Umgebungen: Lösung muss als Kubernetes-Container lauffähig sein und Kubernetes-Cluster scannen.
• Legacy-/Client-Infrastruktur: Lösung muss als VM (VMware ESXi) lauffähig sein und Legacy-Systeme sowie Endgeräte scannen.

Beide Plattformen werden voneinander getrennt betrieben. Ressourcen der Sensoren müssen individuell anpassbar sein (nicht nur Low/Medium/High); Ressourcenhoheit liegt beim Auftraggeber.

Pflichtexporte: JSON, XML, CSV, YAML, maschinenlesbare Formate (CVE JSON5, OSV, OVAL, CSAF), PDF sowie filterbares HTML.

Pflichtangaben je Schwachstelle: CVSS, EPSS, Severity Score, Priorisierung, CVE, QoD, CPE/PURL/SWID, EOL/EOS-Status, empfohlene Behebungsmaßnahmen.

Schwachstellendatenquellen: MITRE CWE, CVE, NIST NVD, CISA KEV, EPSS sowie europäische Quellen (CERT-EU DB, ENISA EUVD, BSI WID). Deduplizierung der Informationen, tägliche automatische Aktualisierung.

Benachrichtigungen: S/MIME-verschlüsselte E-Mail, Push/WebHooks.

REST-API: mindestens Richardson Maturity Model Stufe 2, mit deutsch- und englischsprachiger Dokumentation.

Schwachstellenmanagement: Override-Möglichkeiten auf Asset- und Assetgruppenebene (z. B. VLANs, Netzwerkbereiche), Risk Acceptance, False-Positive-Handling, Tagging, Bearbeitungsstatus, Dashboards, Performance-Übersicht.

Backup/Recovery: vollständige Wiederherstellung der Konfiguration (Ziele, Zeitpläne, Assets).

Softwarepflege und Support (inhärenter Bestandteil des Mietmodells) – inkl. Update- und Patchlieferung, technischer Support, EOL-Vorabmeldung mindestens 6 Monate vor Produktlebenszyklusende und Bereitstellung eines Nachfolgeprodukts mindestens 3 Monate vor Auslauf des Vorgängerprodukts.

Implementierungsleistungen: 25 Personentage für Implementierung, Teststellung, Installation, Konfiguration, Integration und Tests. Plan: Implementierungsplan, Testumgebung, gemeinsame Abnahmeprüfung.

Schulungen: 25 Personentage für Betriebspersonal und Systemadministratoren, deutschsprachig, 8 Stunden pro Tag.

Unterstützungsleistungen: laufende Unterstützung im Betrieb, Monitoring-Schnittstellen (CPU/RAM-Auslastung mindestens per SNMP oder Monitoring Agent abrufbar).

Roadmap-Zusagen (falls Funktionen nicht ab Angebotsabgabe verfügbar):

• Agentenbasiertes Scannen: binnen 12 Monaten ab Vertragsbeginn
• Anpassbare Sensor-Ressourcen: binnen 12 Monaten
• Container Scanning in Kubernetes: binnen 12 Monaten
• Europäische Schwachstellendatenquellen: binnen 6 bzw. 12 Monaten ab Zuschlag
• Dark Mode: binnen 7 Monaten ab Vertragsbeginn
• SSO (SAML/OpenID): binnen 6 Monaten ab Zuschlag
• CyberArk-Integration: zu Vertragsbeginn funktional
• Kubernetes-Deployment: zu Vertragsbeginn funktional
• Produktivbetrieb: geplant bis Ende Q2 2027, Dark Mode bis 01.07.2027.

Sprache der Scan-Reports: Deutsch (englische Fachbegriffe zulässig), Informationen zu Auswirkungen und Behebung zwingend auf Deutsch.

Benutzeroberfläche: Englisch (für administrative Oberflächen) oder Deutsch; Browser-Übersetzungsfunktion nicht zulässig. Dark Mode ist bereitzustellen.

Kundensupport: Deutsch und Englisch, ansässig im DACH-Raum (ursprünglich Deutschland, auf DACH erweitert).

Personal: Mitarbeiter mit direktem Kundenkontakt müssen Deutsch in Wort und Schrift fließend beherrschen.

Berechtigungskonzept: RBAC mit eigenen Benutzergruppen und individuellen Rechten.

CyberArk-Anbindung: ausschließlich zur Verwaltung von Zugangsdaten bei authentifizierten Scans.

Cyber Resilience Act (EU 2024/2847): Konformität ab Inkrafttreten; Security Advisories im CSAF-Format (maschinenlesbar).

Übergeordnete Sicherheit: Verarbeitung gemäß BSI-IT-Grundschutz / ISO 27002:2013, Anhang 6 zum Rahmenvertrag; VS-NfD-Anforderungen bei entsprechender Einstufung.

• Handelsregisterauszug (bzw. Eintragung im Berufsregister des Herkunftsstaates) – darf nicht älter als 6 Monate ab Veröffentlichung der EU-Bekanntmachung sein.
• Keine Ausschlussgründe nach §§ 123, 124, 125 GWB (Erklärung über Anlage 4).
• Keine EU-Sanktionen (VO (EU) 833/2014, 269/2014) – keine Russland-Bezüge, kein Listeneintrag.

• Betriebs-/Berufshaftpflichtversicherung mit folgenden Mindestdeckungssummen je Schadensereignis:
• Sach- und Personenschäden: 2.000.000 €
• Vermögensschäden: 1.000.000 €
• Nachweis über Versicherer-Erklärung oder Versicherungsschein (Template BB_Anlage 9). Versicherungsvertrag muss Vertragslaufzeit abdecken; ggf. Erklärung zur Verlängerung bzw. Deckungserhöhung spätestens eine Woche nach Zuschlag.
• Steuern und Sozialversicherungsbeiträge: ordnungsgemäße Zahlung (Bescheinigung der zuständigen Behörde des Niederlassungsstaates).

• Referenzprojekte: mindestens 2 vergleichbare Projekte mit Lizenzierung von jeweils mindestens 5.000 Assets im Bereich Vulnerability Scanning, aus den zurückliegenden 36 Monaten, mit unterschiedlichen Auftraggebern (Template BB_Anlage 12).
• Qualitätsmanagement: Nachweis DIN EN ISO 9001 oder gleichwertig, gültig zum Angebotsabgabetermin.
• Informationssicherheits-Managementsystem (ISMS): Nachweis DIN EN ISO/IEC 27001 oder gleichwertig, gültig zum Angebotsabgabetermin; bei Hosting zudem unabhängiger Auditbericht.
• Hersteller- oder autorisierter Vertriebs-/Servicepartnerstatus für das angebotene Produkt.
• Eignungsleihe ist bei technischer/beruflicher Leistungsfähigkeit zulässig, sofern Mittel tatsächlich verfügbar und der Dritte zwingend für den entsprechenden Leistungsteil eingesetzt wird (dann gemeinsame Haftung).

• Angebotsschreiben (Anlage 3)
• Vertraulichkeitserklärung, Erklärung gem. §§ 123, 124, 125 GWB, Verpflichtungserklärung MiLoG (Anlage 4)
• Eigenerklärung zur Umsetzung der Sanktionsverordnung (Anlage 2) – bei Bietergemeinschaft von jedem Mitglied
• Bietergemeinschaftserklärung (Anlage 5, falls zutreffend)
• Erklärung Unterauftragsvergabe (Anlage 6, falls geplant)
• Verpflichtungserklärung Unterauftragnehmer (Anlage 7, falls geplant)
• Leistungsblatt / Leistungskriterienkatalog (Anhang 2 zur Anlage 1)
• Leistungsverzeichnis (Anlage 2 zum RV, elektronisch via AI Bietercockpit)
• Liste der Unterauftragnehmer (RV_Anlage 3)
• Liste der Ansprechpartner (RV_Anlage 4)
• VS-NfD-Merkblatt (RV_Anlage 5) – inkl. Verpflichtungsnachweise der betroffenen Mitarbeiter
• Open Source Software Erklärung (RV_Anlage 14)
• Vergaberechtliche Verpflichtungserklärung (Anlage 7) – sofern Beratungsunternehmen im Verfahren eingebunden