TendiGo
Ausschreibungen Softwareentwicklung

App-Katalog zum App-Security-Check; LSI

Freistaat Bayern vertreten durch das Bayerische Landesamt für Steuern - Zentrale Vergabestelle - | Regierung von Oberbayern - Vergabekammer Südbayern | Bayerisches Landesamt für SteuernNürnberg, BayernFrist: (in 16 Tagen)

Zusammenfassung

Das bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) sucht ein Unternehmen, das Smartphone-Apps (Android und iOS) automatisiert auf Sicherheitslücken prüft und die Ergebnisse in einem App-Katalog bereitstellt.

Was ist zu tun?

  • Aufbau und Betrieb einer Webanwendung mit App-Katalog (mind. 1.000 Apps)
  • Automatisierte Sicherheitsprüfungen (statisch + dynamisch) nach OWASP-Standards
  • Bereitstellung einer API für die Anbindung an das LSI-Portal
  • Regelmäßige Re-Prüfungen, Berichte, SBOM-Bereitstellung, Barrierefreiheit

Was wird vom Bieter erwartet?

  • Mindestens 2 vergleichbare Referenzen (max. 5 Jahre alt)
  • Spezifischer Jahresumsatz ≥ 100.000 € netto, Gesamtumsatz ≥ 200.000 € netto
  • Erfahrung in automatisierter App-Prüfung seit mindestens 2023
  • Mindestens 4 qualifizierte Mitarbeitende

Rahmenbedingungen

  • 1 Los, Erfüllungsort Nürnberg
  • Vertragslaufzeit: 24 Monate + bis zu 3× 12 Monate Verlängerung
  • Einreichung elektronisch über evergabe.bayern.de bis 03.07.2026, 11:00 Uhr
  • Angebotsabgabe: Pauschalfestpreis, Wertung über Preis und Qualität
Original-Bekanntmachung ansehen

Zeitplan & Fristen

Aus den Vergabeunterlagen extrahiert

Noch 16 Tage bis zur Angebotsfrist
Termin / Frist
20262027202820292030
MAINOVMAINOVMAINOVMAINOVMAI
Veröffentlichung
Bieterfragen-Frist
Angebotsfrist
Bindefrist
Zuschlag
Vertragsbeginn
Vertragslaufzeit
Verlängerung 1
Verlängerung 2
Verlängerung 3
bis 2031
Heute
vor Angebotsabgabenach Angebotsabgabegeschätzt

Zuschlagskriterien

Gewichtung laut Vergabeunterlagen

Preis & Qualität7 Kriterien
Preis 100%Qualität 0%
  • Preis30%

    Fiktiver Angebotspreis netto gemäß Preiszusammenstellung (Anlage 06a), berechnet auf Basis eines geschätzten Abrufvolumens der optionalen Leistungspositionen über die Mindestvertragslaufzeit und Verlängerungsoptionen (Vertragsjahr 3, 4 und 5). Angebotswertung erfolgt auf Grundlage der angebotenen Bruttopreise.

  • Leistung (Bewertungsmatrix App-Katalog)70%

    Bewertung der fachlichen Leistungsfähigkeit anhand der Bewertungsmatrix (Anlage 06c) mit A-Kriterien (Ausschluss-/Zulassungskriterien, z.B. Sprache der Webanwendung, Prüfdetails) und B-Kriterien (Bewertungskriterien mit Zielerfüllungsgraden, z.B. Sprache, Bearbeitungszeiten).

Die genaue Aufteilung 30% Preis / 70% Leistung wird in den vorliegenden Auszügen nicht explizit mit Gewichtungsangaben belegt; zudem fehlen detaillierte Angaben zu Anzahl, Inhalt und Gewichtung aller B-Kriterien der Bewertungsmatrix (Anlage 06c), da nur einzelne Kriterien (2.3, 2.4, 2.8, 2.9) referenziert werden.

Leistungsumfang

Aus den Vergabeunterlagen

App-Katalog – Inhalt und Umfang

  • Bereitstellung und laufende Pflege eines App-Katalogs mit mindestens 1.000 Apps (davon ≥ 400 Android und ≥ 400 iOS).
  • Nutzer des LSI-Portals können weitere Apps hinzufügen – die Plattform muss perspektivisch mindestens 1.000 weitere Apps aufnehmen können.
  • Jede App wird automatisiert geprüft – sowohl statische als auch dynamische Sicherheitsanalysen sind durchzuführen.

Prüfumfang und Prüfmethodik

  • Prüfungen nach OWASP Testing Guide (Stand Oktober 2025).
  • Konkrete Prüfpunkte u. a.:
  • Ausführung von JavaScript-Code (MASTG-TEST-0076)
  • Lokales Dateisystem, Tastatur-Cache, Backups, Logs, Arbeitsspeicher, IPC-Mechanismen
  • Regelmäßige Re-Prüfungen – mindestens einmalig sowie anlassbezogen bei Versions-Updates der App.
  • Penetrationstests werden durch das LSI selbst durchgeführt.

Webanwendung & API

  • Webanwendung: öffentlich erreichbar über HTTPS, deutsch/englisch (Deutsch bevorzugt), intuitiv bedienbar, barrierefrei (BayDiV).
  • Webservice (API) für die Anbindung an das LSI-Portal.
  • Rollen: Benutzer und Administrator.
  • Mehr-Faktor-Authentifizierung für administrative Zugänge.
  • Verfügbarkeit: ≥ 96 % an Arbeitstagen (Mo–Fr, 6–20 Uhr).

Prüfergebnisse & Dokumentation

  • Bereitstellung einer Zusammenfassung, Gesamtbewertung und Detail-Informationen je Prüfung.
  • Ergebnisdetails in deutscher oder englischer Sprache.
  • Ausgabeformate: HTML, JSON/XML, PDF – in Echtzeit abrufbar.
  • Bereitstellung einer SBOM (Software Bill of Materials).
  • DSGVO-konforme Verarbeitung.

Projektkommunikation

  • Regelmäßige Arbeitsbesprechungen mit dem LSI.
  • Kommunikation in Deutsch (Englisch nur in begründeten Ausnahmen).

Eignungskriterien

Geforderte Nachweise laut Vergabeunterlagen

Ausschlusskriterien (zwingend)

  • Keine Ausschlussgründe nach § 123 GWB (z. B. Straftaten, schwere Verfehlungen, schwere Menschenrechtsverstöße, schwere Steuer- oder Sozialversicherungsverstöße, Insolvenz).
  • Keine fakultativen Ausschlussgründe nach § 124 GWB (z. B. wettbewerbswidriges Verhalten, frühere Vertragsverletzungen).
  • Keine russische Beteiligung im Sinne der EU-Verordnung 833/2014 (Art. 5k).
  • Keine Scientology-Verbindung.

Wirtschaftliche Eignung

  • Durchschnittlicher Jahresumsatz (bereinigtes Netto) der letzten 3 abgeschlossenen Geschäftsjahre ≥ 200.000 € (bei Bietergemeinschaft addiert).
  • Spezifischer Jahresumsatz im Bereich automatisierte technische Sicherheitsüberprüfungen für Android- und iOS-Apps der letzten 3 Jahre ≥ 100.000 €.

Technische und fachliche Eignung

  • Mehrjährige Erfahrung in der automatisierten sicherheitstechnischen Prüfung von Android- und iOS-Apps – Tätigkeit mindestens seit dem Jahr 2023.
  • Personalstärke: durchschnittlich mindestens 4 Mitarbeitende, die überwiegend im Bereich der automatisierten sicherheitstechnischen Prüfungen für Android- und iOS-Apps tätig sind.
  • Bestätigung, dass die Leistungen während der gesamten Vertragslaufzeit in vollem Umfang erbracht werden können.

Referenzen

  • Mindestens 2 nachprüfbare Referenzen über vergleichbare Aufträge (automatisiert, Android + iOS).
  • Projektabschlüsse dürfen nicht älter als 5 Jahre sein.
  • Pflichtangaben je Referenz: Auftraggeber (Name, Branche), Kontakt (Funktionspostfach oder Ansprechpartner), Auftragswert (gerundet auf Tausend EUR), Auftragszeitraum (Monat/Jahr), Vergleich mit dem Auftragsgegenstand.
  • Die Vergabestelle kann die Angaben beim Referenzkunden verifizieren.

Unternehmensdarstellung

  • Darstellung des Unternehmens, Leistungsportfolio, Tätigkeitsschwerpunkte der letzten 3 Jahre, Bezug zur Ausschreibung und Erfahrungen mit öffentlicher Verwaltung.
  • Format: PDF, 1–4 DIN A4 Seiten, Arial 11 Pkt., Zeilenabstand 1,5.

Form der Nachweise

  • Bewertungsmatrix Eignung (Anlage 06b) vollständig ausfüllen (alle grünen Felder).
  • Sämtliche Belege als gesonderte Anlagen (PDF oder Excel) im Arbeitsschritt „Eigene Anlagen" hochladen.
  • Positionsnummern in den PDF-Anlagen für die Zuordnung vermerken.
  • Anforderungstyp: late-all – alle Eignungskriterien müssen erfüllt sein, andernfalls Ausschluss.
Referenzprojekte
mindestens 2 ReferenzenZeitraum: Projektabschluss darf nicht älter als 5 Jahre seinVolumen: nicht vorgegeben

Nachprüfbare Referenzen über vergleichbare Aufträge: automatisierte sicherheitstechnische Prüfung von Android- und iOS-Apps

Name und Branche des Auftraggebers, Funktionspostfach oder Ansprechpartner (keine Privatadresse), Auftragswert in EUR (gerundet auf Tausend), Auftragsbeginn/-ende (Monat/Jahr), Vergleich mit dem Auftragsgegenstand. Vergabestelle kann beim Referenzkunden verifizieren.

Unternehmen, die ähnliche Ausschreibungen gewonnen haben

Aus vergleichbaren bereits vergebenen Vergaben (KI-Ähnlichkeit)

Checkliste zur Angebotsabgabe

Konkrete Schritte laut Vergabeunterlagen

Fristen & Einreichung3
  • Angebot fristgerecht über evergabe.bayern.de einreichenPflicht
    Frist: 03.07.2026, 11:00 Uhr (MESZ). Spätere Einreichung führt zum Ausschluss.
  • Bieterfragen bis 22.06.2026, 11:00 Uhr einreichenoptional
    Frist für Rückfragen zu den Vergabeunterlagen.
  • Verbindliche Bearbeitungsfristen und Mindestrhythmen in der Anlage 06c angebenPflicht
    Betrifft Kriterien 2.3 (3) bis (10) – durchschnittliche und maximale Fristen verbindlich nennen.
Pflicht-Anlagen (Excel-Dateien)4
  • Anlage 06a – Preiszusammenstellung ausfüllen und hochladenPflicht
    Steuersatz angeben; Bewertung erfolgt auf Basis Bruttopreise.
  • Anlage 06b – Bewertungsmatrix Eignung ausfüllen und hochladenPflicht
    Alle grünen Felder ausfüllen, Pflichtfelder (Firmenname etc.) beachten.
  • Anlage 06c – Bewertungsmatrix Leistung ausfüllen und hochladenPflicht
    Inkl. Bearbeitungsfristen, Verfügbarkeit, Prüfumfang.
  • Anlage 06d – Anforderungskatalog Barrierefreiheit ausfüllen und hochladenPflicht
Eigenerklärungen & Nachweise5
  • Eigenerklärung Eignung abgeben (keine Ausschlussgründe nach §§ 123, 124 GWB)Pflicht
  • Eigenerklärung zu russischen Unternehmensbeteiligungen abgebenPflicht
    Bezug: EU-Verordnung 833/2014, Art. 5k.
  • Schutzerklärung Scientology abgebenPflicht
  • Bei Unterauftragnehmern / Eignungsverleihern: entsprechende Eigenerklärungen beifügenoptional
  • Bei Bietergemeinschaften: Erklärung aller Mitglieder (Gesamtschuldner, bevollmächtigter Vertreter)optional
Eignungsnachweise (gemäß Anlage 06b)7
  • Unternehmensdarstellung (Pkt. 2.1) als PDF erstellenPflicht
    1–4 DIN A4 Seiten, Arial 11 Pkt., Zeilenabstand 1,5; Bezug zur Ausschreibung und Erfahrung mit öffentlicher Verwaltung.
  • Nachweis Gesamtumsatz (Pkt. 3.1) – Anlage hochladenPflicht
    Durchschnittlicher Jahresumsatz (bereinigtes Netto) letzte 3 Jahre ≥ 200.000 €.
  • Nachweis spezifischer Umsatz (Pkt. 3.2) – Anlage hochladenPflicht
    Umsatz mit automatisierten App-Sicherheitsprüfungen letzte 3 Jahre ≥ 100.000 €.
  • Erfahrungszeitraum (Pkt. 3.4) – Anlage hochladenPflicht
    Nachweis Tätigkeit seit mindestens 2023.
  • Mitarbeiterzahl (Pkt. 4.1) – Anlage hochladenPflicht
    Mind. 4 Mitarbeitende im Bereich automatisierter App-Sicherheitsprüfungen.
  • Mindestens 2 Referenzen (Pkt. 5.1) – je eine Anlage pro Referenz hochladenPflicht
    Projektabschluss max. 5 Jahre zurückliegend; Pflichtangaben: Auftraggeber, Kontakt, Auftragswert, Zeitraum, Vergleichbarkeit.
  • Bestätigung der Leistungsfähigkeit über gesamte Vertragslaufzeit (Pkt. 1.1)Pflicht
Technische Antworten im Leistungskatalog5
  • Prüfumfang gemäß OWASP Testing Guide (Stand 10/2025) darstellenPflicht
  • Aussagen zu Verfügbarkeit (≥ 96 %, Mo–Fr 6–20 Uhr) und Reaktionszeiten treffenPflicht
  • Konzept zu Barrierefreiheit (BayDiV) und Mehrsprachigkeit (DE/EN) darlegenPflicht
  • API-Spezifikation und Anbindung an LSI-Portal beschreibenPflicht
  • SBOM-Bereitstellung und Re-Prüfungs-Rhythmus erläuternPflicht

Weitere Ausschreibungen Softwareentwicklung

Alle anzeigen

Dynamisches Beschaffungssystem zur Beschaffung von verschiedenen IT-Dienstleistungen

uni-assist Arbeits- und Servicestelle für internationale Studienbewerbungen e.V. | Vergabekammer des Bundes beim Bundeskartellamt

Frist:

Dynamisches Beschaffungssystem zur Beschaffung von verschiedenen IT-Dienstleistungen

uni-assist Arbeits- und Servicestelle für internationale Studienbewerbungen e.V. | Vergabekammer des Bundes beim Bundeskartellamt

Frist:

Anwendungsentwicklungsleistungen mit .NET, Java und verwandten Technologien in 5 Losen

Land Hessen, vertreten durch die Hessische Zentrale für Datenverarbeitung | Vergabekammer des Landes Hessen beim Regierungspräsidium Darmstadt

Frist:

Anwendungsentwicklungsleistungen mit .NET, Java und verwandten Technologien in 5 Losen

Land Hessen, vertreten durch die Hessische Zentrale für Datenverarbeitung | Vergabekammer des Landes Hessen beim Regierungspräsidium Darmstadt

Frist:

Weiterentwicklung und Ausbau einer digitalen Beteiligungsplattform sowie Umsetzung einer Progressive Web App (PWA)

Bundesministerium für Bildung, Familie, Senioren, Frauen und Jugend | Bundesamt für Familie und zivilgesellschaftliche Aufgaben - Zentrale Vergabestelle des BMBFSFJ | Bundeskartellamt - Vergabekammer des Bundes

Frist:

DL20230719-018100: Ausgeschrieben wird ein dynamisches Beschaffungssystem gemäß §§ 22 bis 24 VgV für diverse Tätigkeiten aus dem IT-Dienstleistungs- und Projektumfeld, die der Unterstützung des Schulrechenzentrums im IT-DLZ dienen. Das dynamische Beschaffungssystem soll für einen Zeitraum von fünf Jahren gelten. Startzeitpunkt ist der Zuschlag auf die erste Einzelvergabe.

Bayerisches Landesamt für Digitalisierung, Breitband und Vermessung | Regierung von Oberbayern - Vergabekammer Südbayern

Frist:

Diese Ausschreibung gewinnen?

Mit TendiGo finden Sie passende Vergaben automatisch, prüfen Eignungskriterien per KI und erstellen überzeugende Angebote — schneller als je zuvor.

Kostenlos testen
806+ Vergabequellen
Mit Experten entwickelt
Sofort einsatzbereit