TendiGo
Ausschreibungen IT-Security

Bug Bounty Programm Dienstleistungen

SPRIND GmbH | Vergabekammer des BundesLeipzig, SachsenFrist: (in 11 Tagen)

Zusammenfassung

Öffentliche Ausschreibung der SPRIND GmbH für den Aufbau und Betrieb eines verwalteten Bug-Bounty-Programms (Managed Bug Bounty Program) für das deutsche EUDI-Wallet (European Digital Identity Wallet).

Worum es geht:

Ein erfahrener Dienstleister soll auf seiner eigenen Plattform ein öffentliches Bug-Bounty-Programm betreiben. Externe Sicherheitsforscher weltweit sollen dadurch motiviert werden, Schwachstellen im EUDI-Wallet-Ökosystem (Mobile Apps iOS/Android, Wallet-Backend, Hub-Webportal, PID-Provider-Backend) zu finden und zu melden. Der Quellcode des Ökosystems wird weitgehend als Open Source veröffentlicht.

Was der Auftragnehmer konkret leisten muss:

  • Betrieb einer Bug-Bounty-Plattform (Audit-Trail, Rollen-/Rechteverwaltung, Mehr-Faktor-Login, Jira-Integration, 99,9 % Verfügbarkeit)
  • Triage und Validierung eingehender Schwachstellenmeldungen mit klaren Reaktionszeiten (2 Std. erste Rückmeldung, 1–3 Werktage je nach Schweregrad)
  • Verwaltung einer globalen Community von Sicherheitsforschern (Einladung, Betreuung, Moderation)
  • Auszahlung von Belohnungen (Bounties) an Forscher über ein Treuhandkonto
  • Erstellung und Durchsetzung einer Vulnerability Disclosure Policy (VDP) und von Programmregeln
  • Echtzeit-Dashboards, monatliche SLA-Berichte und KPI-Tracking
  • Compliance mit ISO/IEC 27001 oder SOC 2 Type 2, NIS 2 und DSGVO

Rahmenbedingungen:

  • Vertragslaufzeit: 3 Jahre inkl. Verlängerungsoptionen (12 + 12 + 12 Monate)
  • Geschätzter Auftragswert: ca. 1,6 Mio. € netto; maximaler Abrufwert: 2,4 Mio. € netto (Servicegebühren + Bounty-Auszahlungen)
  • Referenzen von Regierungsbehörden oder KRITIS-Betreibern sind Pflicht
Original-Bekanntmachung ansehen

Zeitplan & Fristen

Aus den Vergabeunterlagen extrahiert

Noch 11 Tage bis zur Angebotsfrist
Termin / Frist
2026202720282029
MAINOVMAINOVMAINOVMAI
Veröffentlichung
Bieterfragen-Frist
Bieterfragen-Frist
Angebotsfrist
Angebotsfrist
Bindefrist
Zuschlag
Vertragsbeginn
Vertragslaufzeit
Verlängerung 1
Verlängerung 2
Vertragsende
Heute
vor Angebotsabgabenach Angebotsabgabegeschätzt

Leistungsumfang

Aus den Vergabeunterlagen

Programm-Setup und Geltungsbereich

Öffentliches Bug-Bounty-Programm: Von Beginn an öffentlich, ohne private Vorphase. Programmstart gestaffelt (Ramp-up), nicht sofort im vollen Umfang.

In-Scope-Assets:

  • Mobile Anwendungen (iOS und Android)
  • Mobile EUDI-Wallet-Backend
  • EUDI-Hub-Webportal und -Backend
  • PID-Provider-Backend

Out-of-Scope: Interne Netzwerke und nicht-öffentliche Systeme, Drittanbietersysteme (Relying Parties, Issuer), physische Sicherheitstests, Social Engineering, DoS/DDoS.

Open Source: Der Quellcode des EUDI-Wallet-Ökosystems wird weitgehend als Open Source veröffentlicht.

Plattform und Integration

Bereitstellung und Betrieb einer Bug-Bounty-Plattform mit:

  • Audit-Trail, rollenbasierter Zugriffsverwaltung (RBAC), Mehr-Faktor-Authentifizierung (MFA), Verschlüsselung
  • Bidirektionale Jira-Integration (automatische Ticket-Erstellung, Status-Synchronisation)
  • Mindestverfügbarkeit: 99,9 % pro Kalendermonat
  • Geplante Wartung mit mindestens 48 Stunden Vorankündigung, vorzugsweise außerhalb der Geschäftszeiten des Auftraggebers

Triage- und Validierungs-Services

  • Erste Rückmeldung (First Response): innerhalb von 2 Stunden nach Eingang der Meldung
  • Triage Critical/Exceptional: Abschluss innerhalb von 1 Werktag
  • Triage High: Abschluss innerhalb von 2 Werktagen
  • Triage Medium/Low: Abschluss innerhalb von 3 Werktagen
  • Triage muss auch bei hohem Meldeaufkommen (inkl. KI-generierter Berichte) eingehalten werden
  • Nur Findings mit nachweisbarem Sicherheits-Impact sind vergütungsfähig; rein theoretische Code-Funde oder reine Code-Qualitätsthemen sind nicht im Scope

Researcher- und Bounty-Management

  • Aufbau, Rekrutierung und Verwaltung einer qualifizierten Community von Sicherheitsforschern weltweit
  • Safe-Harbor-Regelungen für legitime Forschungstätigkeiten
  • Auszahlung von Bounties über ein vom Auftragnehmer verwaltetes Treuhandkonto (Trust Account)
  • Bounty-Tabelle (Belohnungsstufen nach Schweregrad Critical/High/Medium/Low) wird nach Zuschlag in der Onboarding-Phase finalisiert

Compliance, Governance und Sicherheit

  • Eigene Plattform-Zertifizierung nach ISO/IEC 27001 oder SOC 2 Type 2 (oder gleichwertig)
  • Einhaltung DSGVO und NIS 2 Directive (EU) 2022/2555
  • Übersicht aller Sub-Prozessoren (Rollen, Verarbeitungsstandorte) und aller Länder, in denen Daten gespeichert/verarbeitet werden
  • Personensicherheitsüberprüfungen für Personal mit Zugang zu Produktivumgebungen
  • Incident-Response-Plan, Disaster-Recovery mit definiertem RTO/RPO, Vulnerability-Management
  • Meldepflicht bei Sicherheitsvorfällen (insb. Datenpannen, Dienstausfall) innerhalb von 24 Stunden
  • Sanktions-Compliance: keine Aktivitäten mit sanktionierten Personen

Reporting, Analytics und Onboarding

  • Echtzeit-Dashboards, monatliche SLA-Berichte und KPI-Tracking
  • Onboarding-Phase nach Zuschlag: gemeinsame Festlegung der finalen Bounty-Tabelle und Tier-Auswahl
  • Budget-Tiers (Maximum Annual Bounty To Spend): A bis 200.000 €, B bis 300.000 €, C bis 400.000 €, D bis 500.000 €, E bis 600.000 €, F bis 700.000 €, G bis 800.000 €, H bis 900.000 €, I bis 1.000.000 €

Eignungskriterien

Geforderte Nachweise laut Vergabeunterlagen

Ausschlussgründe

Wirtschaftliche und finanzielle Leistungsfähigkeit

Technische und berufliche Leistungsfähigkeit

Referenzprojekte
mindestens 3 ReferenzenZeitraum: ab 01.01.2023 (abgeschlossen oder laufend)

Erfolgreiche Bug-Bounty-Programmdienstleistungen für Regierungsbehörden oder Betreiber kritischer Infrastrukturen (KRITIS)

Pro Referenz: mind. 10 erfolgreiche Bounty-Zahlungen, Plattform mit mind. 1.000 Sicherheitsforschern; mind. 2 unterschiedliche Referenzgeber; Selbstreferenzen nicht zulässig; eine Referenz mit Kontaktdaten einer verantwortlichen Person

Unternehmen, die ähnliche Ausschreibungen gewonnen haben

Aus vergleichbaren bereits vergebenen Vergaben (KI-Ähnlichkeit)

Checkliste zur Angebotsabgabe

Konkrete Schritte laut Vergabeunterlagen

Formale Eigenerklärungen und Nachweise (Pflicht für alle Bieter)5
  • Teil A Anlage 01 – Selbstauskunft Unternehmensprofil, Ausschlussgründe, Steuer-/Sozialpflichten, Sicherheitszertifikate, Umsatz, HaftpflichtPflicht
    Inkl. Handelsregisterauszug (max. 90 Tage alt bei Angebotsfrist)
  • Erklärung zu EU-Russland-Sanktionen (Art. 5k EU-VO 833/2014)Pflicht
    Bestätigung, dass kein Russlandbezug besteht
  • Bei Bietergemeinschaft: Teil A Anlage 02 – Konsortialerklärungoptional
    Von allen Mitgliedern unterzeichnet
  • Bei Nachunternehmern/Eignungsleihe: Teil A Anlage 03 – Erklärung zu Subcontracting und Borrowing of Qualificationsoptional
    Leistungsbereiche müssen benannt werden
  • Bei Eignungsleihe: Teil A Anlage 04 (Verpflichtungserklärung) + Anlage 05 (Ausschlussgründe) zwingend mit dem Angebotoptional
    Bei reinem Subcontracting reicht Nachreichung auf Anforderung
Referenzen und Eignung3
  • Mindestens 3 Referenzen aus Bug-Bounty-Programmen für Regierungsbehörden oder KRITIS-Betreiber einreichenPflicht
    Referenzzeitraum ab 01.01.2023; pro Referenz mind. 10 erfolgreiche Bounty-Zahlungen und Plattform mit mind. 1.000 Forschern; mind. 2 verschiedene Referenzgeber; Selbstreferenzen unzulässig
  • Nachweis ISO/IEC 27001 oder SOC 2 Type 2 (oder gleichwertig)Pflicht
    Kopie des Zertifikats kann nach Angebotsfrist angefordert werden
  • Nachweis/Bereitschaftserklärung BetriebshaftpflichtversicherungPflicht
    Mind. 1.000.000 € pro Schadensfall (Personen-, Sach-, Vermögensschäden)
Inhaltliche Angebotsbestandteile5
  • Teil C Anlage 02 – Lösungskonzept (max. 30 Seiten)Pflicht
    Struktur in 7 Abschnitte gem. Annex B (Programm-Setup, Plattform, Compliance, Triage, Researcher/Bounty, Reporting, Onboarding); Schriftgröße ≥11 pt, Ränder ≥2 cm
  • Teil C Anlage 03 – Lebensläufe (genau 2 CVs, je max. 3 Seiten)Pflicht
    Customer Success Manager und Triage Team Manager
  • Plattform-Demo oder DokumentationPflicht
    Testzugang (Link + Credentials) ODER ausführliche PDF-Dokumentation mit Screenshots
  • Vorschlag Bounty-Tabelle (Belohnungsstufen pro Schweregrad)Pflicht
    Wird nach Zuschlag in der Onboarding-Phase finalisiert
  • Vorschlag Budget-Tier (Maximum Annual Bounty To Spend)Pflicht
    Tier A–I von bis zu 200.000 € bis zu 1.000.000 € pro Jahr
Preisblatt und kommerzielle Unterlagen2
  • Teil C Anlage 01 – PreisblattPflicht
    Nur in diesem Formular; Angabe jährlicher Plattform- und Triage-Gebühren je Tier; keine Preise in DTVP-Textfeldern
  • Rahmenvertrag (Part C) unverändert übernehmenPflicht
    Eigene AGB oder Änderungen sind nicht zulässig

Weitere Ausschreibungen IT-Security

Alle anzeigen

?Long Term Service Agreement für die Bereiche der industriellen Prozessleit- und Netzwerktechnik der SEFE Storage Gasspeicherbetriebe?

SEFE Storage GmbH | hpm Henkel Projektmanagement GmbH | SEFE Securing Energy for Europe GmbH | 1. und 2. Vergabekammer bei dem Regierungspräsidium Darmstadt

Frist:

Vergabe von Seminaren und Webinaren

Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern

Frist:

Landkreis Peine: Vergabe eines externen Datenschutzbeauftragen, externen Informationssicherheitsbeauftragten und Dienstleistungen für das Geschäftsfortführungsmanagement

Landkreis Peine | DAGEFÖRDE Öffentliches Wirtschaftsrecht Rechtsanwaltsgesellschaft mbH | Vergabekammer Niedersachsen

Frist:

Landkreis Peine: Vergabe eines externen Datenschutzbeauftragen, externen Informationssicherheitsbeauftragten und Dienstleistungen für das Geschäftsfortführungsmanagement

Landkreis Peine | DAGEFÖRDE Öffentliches Wirtschaftsrecht Rechtsanwaltsgesellschaft mbH | Vergabekammer Niedersachsen

Frist:

RV Beratung Cybersicherheit- & Resilienzstärkung

terranets bw GmbH | Vergabekammer Baden-Württemberg beim Regierungspräsidium Karlsruhe

Frist:

Landkreis Peine: Vergabe eines externen Datenschutzbeauftragen, externen Informationssicherheitsbeauftragten und Dienstleis-tungen für das Geschäftsfortführungsmanagement

Landkreis Peine | DAGEFÖRDE Öffentliches Wirtschaftsrecht Rechtsanwaltsgesellschaft mbH | Vergabekammer Niedersachsen

Frist:

Diese Ausschreibung gewinnen?

Mit TendiGo finden Sie passende Vergaben automatisch, prüfen Eignungskriterien per KI und erstellen überzeugende Angebote — schneller als je zuvor.

Kostenlos testen
806+ Vergabequellen
Mit Experten entwickelt
Sofort einsatzbereit