SAP Sicherheitstool

• Lieferung und Implementierung eines SAP-Sicherheitstools in der IT.NRW-Betriebsumgebung (BIS).
• Nahtlose Integration in das bestehende SIEM (Splunk), die SAP-CMDB sowie BMC Remedy (IT-Service-Management).
• Anwender-Schulung und Dokumentation.
• On-Premise-Betrieb verpflichtend; Cloud-Betrieb und verpflichtende Datenübertragung an den Hersteller ausgeschlossen. Cloudbasierte Komponenten dürfen nur per Pull-Prinzip und aktiv durch IT.NRW gesteuert genutzt werden; Online-Synchronisation muss deaktivierbar und steuerbar sein.
• Skalierbarkeit/Performance für >300 SAP-Systeme, hohe Datenlast bei minimaler Auswirkung auf operative SAP-Systeme.
• KI-Funktionalität vollständig abschaltbar, volle Nutzbarkeit des Tools auch ohne aktive KI.
• Systemtrennung nach Least-Privilege mit technischer Durchsetzung, Protokollierung und Prüfbarkeit.
• Kontextualisierte Priorisierung/Handlungsempfehlungen im SAP-/Systemkontext (Systemrolle, Datenklassifizierung, Prozesskritikalität, Abhängigkeiten, Exponierung), mit dokumentiertem Mapping CVSS ↔ Business Impact (betroffene Systeme/Transporte).
• API zur Integration in die SAP-CMDB.

• Schwachstellen-Scan für SAP Security Patch Day, zwischenzeitliche Veröffentlichungen, BSI-Grundschutz und SAP Security Baseline.
• Patchmanagement gemäß SAP-Release-Plan, monatlich und ad hoc, mit konfigurierbarer Prüffrequenz und Workflow für Patch-Implementierung.
• Transport Checker: Prüfung von SAP-Transporten in CTS/TMS vor und nach Import.
• Automatisierte Code-Sicherheitsprüfung / statische ABAP-Codeanalyse (präventiv vor Laufzeit).
• Compliance-Auswertungen: privilegierte Benutzer, SoD-Konflikte (Segregation of Duties), regelbasierte Alerts, revisionssichere Reports.
• Log-Erfassung, -Analyse und Echtzeit-Monitoring: SM20, SM21, Change Documents, HANA Audit Logs u. a.
• False-Positive-Management: effizientes Fehlalarmmanagement durch Algorithmen/ML, zeitlich begrenzte Deaktivierung bekannter Alarme.
• Reporting: eigene Reports, Weiterleitung an Verantwortliche.
• Granulare IAM: RBAC, Need-to-know-Prinzip, dynamische Rollendefinition.

Das Tool muss u. a. folgende Systemtypen abdecken:

• SAP S/4HANA
• SAP ERP (ABAP)
• SAP HCM (ABAP)
• SAPRouter und SAP Web Dispatcher
• SAP JAVA
• SAP HANA Datenbank
• SAP BO (Business Objects)
• SAP BTP inkl. Cloud Connector
• ChaRM (Transport Inspection)
• BMC Remedy
• SolMan / Focused Run

Lizenziert werden 17 aufgeführte Produktivsysteme; eine Produktivlizenz muss mindestens 5 nicht-produktive Vorsysteme beinhalten. Rechte auf Updates/Upgrades sowie Downgrade-Rechte mit fortlaufender Pflege sind vorzusehen.

• System- und Security-Updates für mindestens 5 Jahre ab Vertragsbeginn.
• Kurzfristige Bereitstellung von Sicherheitsupdates bei bekannt werdenden Sicherheitslücken.
• Vorqualifizierung von Patches nach SAP Security Patch Day: Implementierung innerhalb von Stunden nach Veröffentlichung.
• Secure Development Lifecycle (SDLC) durch den Hersteller nachgewiesen.
• Kontinuierliche Weiterentwicklung des Tools im Rahmen der sich ständig ändernden Bedrohungslage.

• Erreichbarkeit: Montag–Freitag 07:00–17:00 Uhr (MEZ/MESZ), ausgenommen gesetzliche Feiertage in NRW.
• Fachlicher, technischer und betrieblicher Support.
• Support außerhalb der genannten Zeiten nur per Sondervereinbarung.

• Der ranghöchste Bieter muss vor Zuschlagserteilung einen PoC durchführen.
• Installationsmedien inkl. Zugangsdaten und Dokumentation sind innerhalb von 3 Wochen nach Angebotsabgabe bereitzustellen.
• Der PoC muss den nächsten (ggf. übernächsten) SAP Security Patch Day abdecken.
• PoC ist kostenfrei für IT.NRW; sämtliche Lizenzen, Ressourcen, Umgebungen, Arbeits-, Reise- und Nebenkosten sind im Angebotspreis enthalten.
• Bestehen des PoC ist Voraussetzung für die Zuschlagserteilung; bei Nichtbestehen rückt der nächstplatzierte Bieter nach.

• Hardwareanforderungs-Dokumentation in Abhängigkeit der Systemgröße.
• Einhaltung der IT.NRW-Architekturvorgaben aus der Anlage „Basisleitplanke BIS 1.0" (u. a. 3-Tier-Architektur, BSI-Grundschutz, zugelassene Betriebssysteme/Datenbanken/Middleware).
• Lieferung als Full-Deployment-Paket, jederzeitige Neuinstallation möglich, Datenmigrationen separat ausführbar.
• Konfigurationsdateien ausgelagert (nicht in .ear/.war-Archiven verpackt).

• Elektronische Angebotsabgabe verpflichtend über den Vergabemarktplatz NRW.
• Angebotssprache: Deutsch; fremdsprachige Nachweise mit beglaubigter Übersetzung.
• Keine eigenen AGB des Auftragnehmers; Angebote ohne Änderungen/Ergänzungen an Vertragsunterlagen (sonst Ausschluss).
• Keine Nebenangebote zugelassen.
• Präqualifizierung in anerkannter Datenbank optional möglich (amtl. IHK-Verzeichnis, pq-verein.de o. ä.); sonst Einzelnachweis.
• Angebotsgültigkeit: mindestens 31 Tage ab Abgabe (Bindefrist).

• Offizieller SAP-Partnerstatus (durch geeignete Unterlagen nachgewiesen).
• Listung des angebotenen Produkts im SAP Store.
• Kontinuierliche Erbringung der geforderten Beratungsleistungen am Markt seit mindestens 3 Jahren (Nachweis: Referenzen, Anlage max. 1 Seite).
• Eigener Nachweis eines Secure Development Lifecycle (SDLC) durch den Hersteller.
• On-Premise-Fähigkeit in der IT.NRW-BIS-Umgebung gemäß Anhang „Basisleitplanke"; keine verpflichtenden Abhängigkeiten zu externen Clouddiensten.
• Keine verpflichtenden Datenübertragungen an den Hersteller; Online-Sync nur per Pull-Prinzip, steuer- und deaktivierbar.
• Skalierbarkeit/Performance für >300 SAP-Systeme.
• Update- und Wartungskonzept mit System- und Security-Updates für mindestens 5 Jahre.
• Patch-Vorqualifizierung innerhalb von Stunden nach SAP Security Patch Day.
• KI-Funktionalität vollständig abschaltbar ohne Funktionsverlust.
• Systemtrennung technisch durchgesetzt (Rollen-/Berechtigungskonzept, Least-Privilege, protokollierte Zugriffe).
• Kontextualisierte Risiko- und Maßnahmenbewertung über CVSS hinaus.
• Erfüllung der funktionalen Pflichtmodule (Schwachstellen-, Code-, Transport-Scan, Compliance, Log-Monitoring, False-Positive-Management, Reporting, IAM).
• Unterstützung der geforderten SAP-Systemtypen (S/4HANA, ERP, HCM, JAVA, HANA, BO, BTP, ChaRM, SolMan/Focused Run, BMC Remedy u. a.).
• Erfolgreich durchgeführter PoC (zwingende Zuschlagsvoraussetzung).
• Nichterfüllung eines Muss-Kriteriums führt zum Ausschluss des Angebots.

• Mindestens 3 Referenzprojekte, davon mindestens 1 mit einem öffentlichen Auftraggeber.
• Projekte aus den letzten 5 Jahren.
• Je Referenz nachzuweisen:
• Betrieb eines SAP-Sicherheitstools in einer SAP-Systemlandschaft
• mind. 5.000 aktive Nutzende
• mehr als 5 produktive SAP-Systemschienen
• Einsatz in vergleichbarer Betriebs- und Sicherheitsumgebung (z. B. ISO 27001).
• Pro Referenz sind Auftraggeber, Ansprechpartner (auskunftsbereit), Auftragsgegenstand (mit Nutzeranzahl, Systemschienen, Sicherheitsumgebung), Laufzeit und Status des Kundenverhältnisses anzugeben.
• Bei mehr als 3 Referenzen: Priorisierung erforderlich; fehlende Angaben führen zum Ausschluss.

• Bewertung 60 % Leistung / 40 % Preis.
• A-Kriterien (Muss) werden mit „Erfüllt"/„Nicht erfüllt" bewertet – Nicht-Erfüllung führt zum Ausschluss.
• B-Kriterien (Bewertungsrelevant, 0–3 Punkte in 1-Punkte-Schritten); 0 Punkte führen nicht zum Ausschluss.
• Maßgebliche B-Kriterien (Auswahl): KI-Lokalbetrieb, Mandanten-/Berechtigungstrennung, kontextualisierte Handlungsempfehlungen, Pull-Prinzip mit Offline-Betrieb, Sicherheitsüberwachung (IAM, Loganalyse, Bedrohungserkennung), automatisierte SAP-native Schwachstellenscans, kontinuierliche Schwachstellenüberwachung, Lösungsdatenbank, zeitlich begrenzte Alarm-Deaktivierung, Audit & Compliance (BSI, DSAG), Infrastruktur (Virtualisierbarkeit mit VMWare, SAP-Nativität), Installationsunterstützung, API zur SAP-CMDB, eigenes Lab mit Veröffentlichungen im SAP Security Patch Day.
• Die drei Bieter mit den höchsten Gesamtpunktzahlen werden zur PoC-Phase (Phase 2) eingeladen; Bestehen des PoC ist Zuschlagsvoraussetzung.

• Vertragsform: EVB-IT Überlassungsvertrag Typ B (Miete) + EVB-IT Pflegevertrag (Fassung 01.03.2026).
• Anerkennung der BVB TVgG – NRW/VOL (Tariftreue/Mindestentlohnung) – Formular 513 EU.
• Kein KMU-geeignet (lt. Stammdaten: eforms_sme_suitable = false).
• Keine besondere Rechtsform vorgeschrieben; keine Sicherheitsüberprüfung erforderlich.
• Keine EU-Förderung.
• Nachprüfungsstelle: Vergabekammer Westfalen, 48147 Münster; Rügefrist 15 Kalendertage ab Mitteilung der Nichtabhilfe (§ 160 Abs. 3 Nr. 4 GWB).