 |
icc hofmann - Ingenieurbüro für technische Informatik Am Stockborn 16, 60439 Frankfurt/M, FRG Tel.: +49 6082-910101 Fax.: +49 6082-910200 E-Mail: info@icc-hofmann.net |
|
(1) Searching for "2021072312404611304" in Archived Documents Library (TED-ADL)
Ausschreibung: Beratung, Software-Entwicklung, Internet und Hilfestellung - DE-Wiesbaden
IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Dokument Nr...: 374678-2021 (ID: 2021072312404611304)
Veröffentlicht: 23.07.2021
*
DE-Wiesbaden: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2021/S 141/2021 374678
Auftragsbekanntmachung
Dienstleistungen
Rechtsgrundlage:
Richtlinie 2014/24/EU
Abschnitt I: Öffentlicher Auftraggeber
I.1)Name und Adressen
Offizielle Bezeichnung: Land Hessen, vertreten durch die Hessische
Zentrale für Datenverarbeitung
Postanschrift: Mainzer Straße 29
Ort: Wiesbaden
NUTS-Code: DE7 Hessen
Postleitzahl: 65185
Land: Deutschland
E-Mail: [6]vergabestelle@hzd.hessen.de
Telefon: +49 611 / 340-0
Fax: +49 611 / 340-1150
Internet-Adresse(n):
Hauptadresse: [7]https://vergabe.hessen.de
I.2)Informationen zur gemeinsamen Beschaffung
Der Auftrag wird von einer zentralen Beschaffungsstelle vergeben
I.3)Kommunikation
Die Auftragsunterlagen stehen für einen uneingeschränkten und
vollständigen direkten Zugang gebührenfrei zur Verfügung unter:
[8]https://vergabe.hessen.de/NetServer/TenderingProcedureDetails?functi
on=_Details&TenderOID=54321-Tender-179a2e2026a-f1690a2cee2a702
Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen
Angebote oder Teilnahmeanträge sind einzureichen elektronisch via:
[9]https://vergabe.hessen.de/NetServer/
I.4)Art des öffentlichen Auftraggebers
Regional- oder Kommunalbehörde
I.5)Haupttätigkeit(en)
Allgemeine öffentliche Verwaltung
Abschnitt II: Gegenstand
II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:
Beschaffung von Penetrationstest-Leistungen in 3 Losen
Referenznummer der Bekanntmachung: VG-3000-2021-0052
II.1.2)CPV-Code Hauptteil
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und
Hilfestellung
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:
Beschaffung von Penetrationstest-Leistungen:
1. Penetrationstest Dienstleistungen vor Ort in der HZD,
2. Projektgebundenen operativen IT Sicherheits-Test-Dienstleistungen,
3. Personal für die Projektleitung von Penetrationstest-Projekten
(ANÜ).
II.1.5)Geschätzter Gesamtwert
Wert ohne MwSt.: 10 981 600.00 EUR
II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: ja
Angebote sind möglich für maximale Anzahl an Losen: 3
II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:
Beschaffung von Penetrationstest Dienstleistungen vor Ort in der HZD
Los-Nr.: 1
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und
Hilfestellung
II.2.3)Erfüllungsort
NUTS-Code: DE7 Hessen
Hauptort der Ausführung:
Leistungsort für die zu erbringenden Leistungen sind die derzeitigen
und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld,
sowie der Standort der föderalen IT-Kooperation (FITKO) in Frankfurt am
Main
II.2.4)Beschreibung der Beschaffung:
Das vom Auftragnehmer zur Unterstützung des SecurityTest Service der
HZD eingesetzte Fachpersonal ist für die operative Durchführung von
Penetrationstests und Schwachstellenscans vorgesehen. Dies erfolgt
eingebettet in den weitestgehend formalisierten Pentest-Prozess der
HZD.
Voraussetzung für jeden Pentest/Schwachstellenscan stellt das
Testkonzept dar. Dieses ist u. a. Grundlage für verschiedene
Meilensteine des Pentest-Prozesses. Die eingesetzten Pentester arbeiten
nach den Vorgaben des Pentest-Konzeptes, das dezidiert z. B. die zu
testenden Systeme eines IT-Verfahrens, sowie die Art der Tests (z. B.
nach OWASP, CIS, ) beinhaltet.
Die Tester bekommen die Testkonzepte im Vorfeld der Tests von
Pentest-Projektleitern des SecurityTest Service zur Verfügung gestellt.
Ebenfalls im Vorfeld der Tests nehmen die Tester an einer
Kickoff-Veranstaltung teil, in der zusammen mit dem Betriebs- und
Verfahrens-Personal des zu testenden IT-Verfahrens die üblichen
technischen und organisatorischen Fragen zu den Tests geklärt werden.
Hierzu erstellt der Tester eine PowerPoint-Präsentation, in der das
Test-Setup und die -Planung zu den jeweiligen Arbeitspaketen (AP),
Tätigkeiten innerhalb der AP, usw. von ihm detailliert dargelegt
werden.
Im weiteren Verlauf des Pentest-Projekts organisiert der Pentester
selbständig und eigenverantwortlich das Testumfeld bzgl. Test-Planung
und -Werkzeuge (Test-Hardware und -Software). Sind die Vorarbeiten zu
den Tests erledigt, werden zum vereinbarten Zeitfenster die Tests
durchgeführt. Die Kommunikation mit dem Betriebspersonal und der
Projektleitung ist eng während der Testphase. Kritische
Schwachstellen-Funde werden unmittelbar an Projektleitung,
Betriebsleitung und die IT-Sicherheit der HZD weiterkommuniziert. Die
Testergebnisse sind sorgfältig zu dokumentieren. Die Dokumentation der
Ergebnisse und die nachfolgende Berichterstellung erfolgt anhand der
Dokumentationsrichtlinie für Penetrationstest-Ergebnisse der HZD. Nach
der Richtlinie wird ein umfangreicher Bericht mit einer Bewertung der
gefundenen Schwachstellen nach CVSS sowie eine Schwachstellen-Tabelle
als Zusammenfassung der Ergebnisse erstellt.
Im Nachgang der Testphase erstellt der Tester eine
Powerpoint-Präsentation, in der die Ergebnisse strukturiert aufbereitet
wiedergegeben werden. Diese stellt er auf einem Abschluss-Workshop vor
und geht auf Fragen der geladenen Gäste ein.
Zusammengefasst ergeben sich hiermit u.a. folgende hauptsächlichen
Tätigkeiten für das eingesetzte Fachpersonal:
Konzeption von Test-Setups nach den Vorgaben von Pentest-Konzepten,
Erstellen von Präsentationen des Test-Setups,
Präsentation auf einer Kickoff-Veranstaltung,
Vorbereiten, Einrichten und Rüsten des Arbeitsumfeldes (stationäre
und mobile Pentest-Umgebung),
Durchführung von Pentests, Audits und Schwachstellenscans auf
Grundlage einschlägiger Testfall-Kataloge wie z. B. den aktuellen OWASP
Testing-Guide und Schwachstellen-Enumerationen, wie z. B. den Mitre
CIS-Listen,
Durchführung von Pentests explorativer Natur, abweichend von o. g.
Hilfsmitteln,
Erstellen von Dokumentationen und Ergebnisberichten auf Grundlage der
Dokumentationsrichtlinie für Pentests in der HZD,
Erstellen von Präsentationen für Projektabschluss-Workshops.
Des Weiteren fallen gelegentlich u. a. folgende Aufgaben an:
Dokumentation von Lessons Learned und HowTos im SecurityTest Wiki,
Teilnahme an regelmäßigen wöchentlichen Team-Meetings,
Unterstützung beim Aufbau HZD-interner zentraler Pentest-Plattformen,
Planung und Durchführung von gezielten Schulungsmaßnahmen zu
Penetrationstest-Themen und Penetrationstest-Werkzeugen.
Alle im Rahmenvertrag eingesetzten Tester müssen die Deutsche Sprache
in Wort und Schrift sehr gut und verhandlungssicher beherrschen. Dies
ist eine unabdingbare Voraussetzung für die Erfüllung der geforderten
Leistungen.
Vom Auftragnehmer zur Auftragsausführung eingesetztes Personal, das
nicht deutsche Muttersprachler ist, oder nicht in Deutschland einen
Hochschul- oder vergleichbaren Abschluss erworben hat, muss die
Kenntnis der deutschen Sprache mindestens mit einem C1-Sprachdiplom
nachweisen.
Fachliche Voraussetzungen/Kompetenzen:
Wenn der vom Auftragnehmer eingesetzte Tester ein OSCP-Zertifikat
vorweisen kann, hat er damit alle für die Aufgabenstellung notwendigen
Kompetenzen schon nachgewiesen.
Alternativ dazu kann auch Test-Personal eingesetzt werden, das folgende
fachlichen Voraussetzungen erfüllt:
1 .Die Tester müssen mindestens 3 Jahre Berufserfahrung in der IT
vorweisen können,
2. Die Tester müssen mindestens 2 Jahre Berufserfahrung als
Penetration-Tester vorweisen können,
3. Innerhalb dieser 2 Jahre müssen die Tester mindestens 5
Penetrationstests selbstständig durchgeführt haben,
4. In den o. g. 5 Pentest-Projekten soll mindestens einmal mit einem
der in der Leistungsbeschreibung genannten Pentest-Werkzeuge gearbeitet
worden sein,
5. Die Tester müssen folgende Themenschwerpunkte der Informatik in
Theorie und Praxis sicher beherrschen:
a) Netzwerke (TCP/IP-Stack, Netzwerkprotokolle, Netzwerk-Systeme,
Netzkoppel-Elemente, Firewalls, etc.),
b) Web-Technologien (u.a. Webserver, Web-Applikationsserver,
http/SOAP/REST),
c) Scriptsprachen Batch oder Powershell, Bash, Perl oder Python,
d) Web-Programmierung: Basis-Kenntnisse (Server- und Clientseitig),
e) Server-Betriebssysteme (UNIXoide und Windows),
f) Client-Betriebssysteme (Linux und Windows),
g) Datenbank-Technologien.
6. Die vom Auftragnehmer eingesetzten Tester müssen eines der folgenden
einschlägig bekannten Penetrationstest-Zertifikate vorweisen können:
BSI, EC-Council - LPT (Master) oder ECSA (Practical) oder CEH (Basic).
II.2.5)Zuschlagskriterien
Die nachstehenden Kriterien
Preis
II.2.6)Geschätzter Wert
Wert ohne MwSt.: 1 792 000.00 EUR
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des
dynamischen Beschaffungssystems
Beginn: 05/10/2021
Ende: 04/10/2023
Dieser Auftrag kann verlängert werden: ja
Beschreibung der Verlängerungen:
Der Rahmenvertrag hat eine Mindestlaufzeit von 2 Jahren mit einer
zweimaligen automatischen Verlängerung um jeweils ein weiteres Jahr.
Der Rahmenvertrag endet spätestes nach 48 Monaten.
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm,
das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben
Die Leistungen können bis zu einem Höchstwert von 2 150 400,00 EUR
(netto) abgerufen werden. Ist dieser Höchstwert erreicht, endet die
Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:
Beschaffung von projektgebundenen operativen IT
Sicherheits-Test-Dienstleistungen
Los-Nr.: 2
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und
Hilfestellung
II.2.3)Erfüllungsort
NUTS-Code: DE7 Hessen
Hauptort der Ausführung:
Leistungsort für die zu erbringenden Leistungen sind die derzeitigen
und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld, der
Standort der föderalen IT-Kooperation (FITKO) in Frankfurt am Main
sowie die Standorte der Dienststellen des Landes Hessen.
II.2.4)Beschreibung der Beschaffung:
Die HZD als zentraler IT-Dienstleister des Landes Hessen betreibt viele
unterschiedliche IT-Services für das Land Hessen. Diese Services werden
sowohl in internen als auch in öffentlichen Netzen (wie z. B. dem
Internet) betrieben. Darüber hinaus bestehen auch
Kommunikationsverbindungen zwischen vereinzelten internen und externen
Services.
Einzelne Dienststellen betreiben eine eigene Infrastruktur, teilweise
unabhängig von den zentralen Systemen, die von der HZD bereitgestellt
werden. Diese häufig komplexen Kommunikationsstrukturen sind
vielfältigen Bedrohungen ausgesetzt, besonders die Systeme, die über
Verbindungen zu öffentlichen Netzen verfügen.
Die HZD hat es sich zur Aufgabe gemacht, die Risiken durch diese
Bedrohungen für das Land Hessen zu minimieren, indem es präventive
IT-Sicherheits-Tests bzw. Penetrationstests an den oben genannten
IT-Services und -Systemen durchführt.
Leistungsumfang
Folgende Leistungen gehören zum Themenfeld Penetrationstests und sollen
vom Rahmenvertrags-Dienstleister abgedeckt werden:
1. Planung und Durchführung von IS (Informations-Sicherheits)
Penetrationstests,
2. Planung und Durchführung von IS Webchecks,
3. IS-Kurzrevisionen,
4. Regressionstests zu vorher stattgefundenen Penetrationstests,
5. Technische Sicherheitsaudits,
6. Erstellen von Dokumentationen,
7. Durchführung von Penetrationstest-Informationsveranstaltungen (z. B.
Kick-offs oder Ergebnispräsentationen),
8. Planung und Durchführung von gezielten Schulungsmaßnahmen zu
Pe-netrationstest-Themen und Penetrationstest-Werkzeugen,
9. Beratungsleistungen zu Penetrationstests,
10. Konzeptionelle Arbeiten zu Penetrationstests,
11. Unterstützungsleistungen beim Aufbau HZD-interner
Penetrationstest-Services,
12. Forensische Untersuchungen von Systemen,
13. Code-Analysen und Code-Reviews.
Der Fokus liegt unbenommen der o. g. Liste bei der Durchführung von
Penetrationstests.
Operativer Leistungsumfang und Aufgaben bei Penetrationstests
Die Durchführung von Penetrationstests als White-, Grey- und
Blackbox-Tests machen den Großteil der zu beauftragenden Leistungen
aus. Folgende Tätigkeiten sind hier zu erwarten:
Testvorbereitung:
Einarbeitung in die mitgelieferten Dokumente wie Testkonzept,
Netzpläne, Betriebsdokumentation, Verfahrenshandbücher,
Sicherheitskonzepte etc. (bei Whitebox-Tests),
Führen von Interviews, Klärungsgesprächen und vorbereitenden
Meetings,
Anforderungen, Schwerpunkte, Zielsetzung und Durchführungs-Details
des Penetrationstests in Abstimmung und Zusammenarbeit mit dem
Auftraggeber ermitteln (Informationsbasis, Aggressivität, Umfang,
Vorgehensweise, Technik, Ausgangspunkt, etc.),
ggf. Erstellung und Abstimmung eines Testkonzepts,
Beratungsleistungen im Vorfeld eines Penetrationstests (während der
Konzeptions-Phase),
Teilnahme an Kickoff-Terminen,
Vorbereitung des Test-Setups (Hard- und Software).
Testdurchführung:
Durchführung einer Reconnaissance (Aufklärung/Erkundung):
umfangreiche Suchmaschinen-Recherche,
Recherche der Testobjekte auf einschlägigen externen Plattformen wie
shodan.io o. ä.
Abrufen von Systeminformationen, Versionsständen und Patch-Level der
Testobjekte selbst,
Durchführung von Portscans,
Perimeter-Erkennung und -Scans,
Durchführen automatisierter Schwachstellenscans ohne Ausnutzung der
Schwachstellen (System- oder Web-Vulnerability Scans),
Durchführen automatisierter Schwachstellenscans mit Ausnutzung der
Schwachstellen ggf. unter Zuhilfenahme von Exploits (nur in Absprache
mit dem Auftraggeber),
manuelle Tests und explorative Untersuchungen auf den Testobjekten
(z. B. Rechterweiterungen, Ausbruchsszenarien, MitM-Angriffe, sichere
Konfigura-tion von Verschlüsselungen),
manuelle Ausnutzung von Schwachstellen unter Zuhilfenahme von
Exploits (nur in Absprache mit dem Auftraggeber),
Durchführung von DOS-Attacken (nur in Absprache mit dem
Auftraggeber),
Umsetzung von Social Engineering-Szenarien (nur in Absprache mit dem
Auftraggeber),
bei Web-Anwendungen: mindestens Testabdeckung nach aktuellem O-WASP
Testing Guide.
Kritische Schwachstellen, d. h. Schwachstellen, bei denen Gefahr im
Verzug für die angestrebten Sicherheitsziele erkannt wird, sind
unmittelbar an den Auftraggeber zu kommunizieren. D. h. die
Beschreibung der Schwachstelle wird nachvollziehbar (z. B. per
verschlüsselter E-Mail) übermittelt. Der Dienstleister muss im
Anschluss daran konstruktive Vorschläge für die Behebung der gefundenen
Schwachstellen liefern.
Alle Zugriffe auf Prüfobjekte, die nur in den internen Netzen des
Landes Hessen erreichbar sind, müssen während des Penetrationstests
über tcpdump mitgeschnit-ten werden (s. Textziffer 5.10). Die
Mittschnitte werden zum Ende der Testphase dem Auftraggeber übergeben.
Testabschluss:
Erstellen einer aussagekräftigen, belastbaren und
qualitätsgesicherten Ergebnisdokumentation,
Lösungsvorschläge bei Bugfixing,
Durchführung von Abschluss-Workshops,
Datenschutzkonformes Löschen und Vernichten von Testdaten sowie
Daten, die bei Testtätigkeiten aufgefunden wurden.
Ergebnisdokumentationen müssen der HZD-Dokumentationsrichtlinie
entsprechen. Sie müssen von mindestens einem weiteren versierten
Mitarbeiter des Dienstleisters qualitätsgesichert werden. Dies ist in
den Metadaten bzw. im Dokumenten-Kopf in einer Versionshistorie
nachzuweisen.
Alle zur Leistungserbringung eingesetzten Tester müssen die deutsche
Sprache in Wort und Schrift sehr gut und verhandlungssicher
beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung
der geforderten Leistungen.
Einzusetzende Personen, die nicht deutsche Muttersprachler sind, oder
nicht in Deutschland einen Hochschulabschluss erworben haben, müssen
die Kenntnis der deutschen Sprache mit einem C1-Sprachdiplom
nachweisen.
Expertise in folgenden Schlüsseltechnologien
Folgende Technologien und Methodiken können grundsätzlich bei
Penetrationstests in der HZD erforderlich sein und sollen durch den
Auftragnehmer abgedeckt werden:
1. Administration von Webservices, Webanwendungen:
Applikationsserver wie z. B. Apache tomcat, Glassfish, JBoss,
Wildfly, IIS, etc.
Webserver wie z. B. Apache Webserver, IIS, Squid, SAP Netweaver,
NGINX, etc.
Gängige CMS.
2. Web-Programmierung Server:
a) CGI (Perl, C, PHP, Ruby, etc.),
b) Java und Java-Frameworks (JSP, JSF, Struts, etc.),
c) ASP.NET,
d) ABAP.
3. Web-Programmierung Client (Javascript, JSON; AJAX, etc.),
4. Programmier-Frameworks wie Java, .NET, C++,
5. Weitere Script-Sprachen (Batch, Shellscript, Python, etc.),
6. Server/Client-Technologien:
Schnittstellen-Protokolle (z. B. RDP, SSH, POP, SMTP, etc.),
thin/rich Client, fat client, webclient,
Middleware-Technologien.
7. Mobile Geräte (Tablet, Notebook, IOS- und Android-Smartphones,
etc.),
8. Desktop OS (UNIXoide, Microsoft-OS),
9. Server OS (UNIXoide, Microsoft-OS),
10. Mobile OS (Android, IOS),
11. Netzwerktechnologie und Netzsicherheit (kompletter ISO/OSI Stack):
Netzkoppel- und Lastverteil-Systeme (Router, Switches, Hubs,
(VPN-)Gateways, Loadbalancer),
Sicherheitsgateways (Firewalls: Paketfilter, Application Level,
Hybrid),
Intrusion Detection und Intrusion Protection Systeme,
Virenscanner,
Drahtlos-Netz-Technologie (WLAN, Bluetooth, Nearfield, GSM, LTE,
etc.),
Netzwerk-Protokolle (IPv4/IPv6, tcp, udp, etc.).
12. Backend- bzw. Datenbank-Technologien (Oracle DB, MSSQL, MySQL,
Mari-aDB, PostGreSQL, DB2, SQLite),
13. SAP-Technologie,
14. Telekommunikations-Anlagen,
15. Infrastruktur-Einrichtungen (Zutrittskontrollmechanismen,
Gebäudesteuerung),
16. Methodiken bei der Durchführung von Penetrationstests (z. B.
Blackbox- und Whitebox-Szenarien),
17. Kenntnisse und Erfahrungen zum Einsatz von geeigneten Werkzeugen
zur Nachbildung von Cyber-Angriffen und Angriffsmustern (z. B.
Vulnerabilty-Scanner, Werkzeuge unter Kali LINUX, etc.),
18. Kenntnisse und Erfahrungen mit dem OWASP Testing Guide,
19. Kenntnisse und Erfahrungen mit den CIS-Listen der Organisation
MITRE.
Folgende Anforderungen werden an das vom Auftragnehmer mit der
Ausführung des Einzelauftrags betrauten Personals gestellt:
mindestens 4 Jahre Erfahrung als Mitarbeiter in IT-Projekten,
Bereitschaft zum Einsatz an unterschiedlichen Standorten,
Zeitgerechte und fristgerechte Abarbeitung von Arbeitsaufträgen,
Fähigkeit, komplexe Sachverhalte zielgruppengerecht in Wort und
Schrift darzustellen.
Technisches Arbeitsumfeld:
Ziel eines Penetrationstests können letztendlich alle
IT-Infrastrukturen der HZD sowie vergleichbare IT-Infrastrukturen in
den einzelnen Dienststellen des Landes Hessen sein. Das sind
beispielsweise
Anwendungen
Webanwendungen (z. B. Internet- und Intranet-Auftritte,
Vorgangsbearbeitung, Webshop)
Client-Anwendungen (Java-, .Net-Anwendung etc., verfügbar im
In-ternet und Intranet)
Anwendungen wie Mail, SAP-Verfahren, Dokumentenmanagement-system
etc.
Infrastrukturen
Netzinfrastrukturen (kabelgebundene, wireless-, Funk-Netze)
inklusi-ve der Netzkoppelelemente (z. B. Router, Switches, Hubs,
(VPN-)Gateways)
Sicherheitsinfrastrukturen (Paketfilter, Firewalls, Intrusion
Detection System, Virenscanner, etc.)
Server (Datenbankserver, Webserver, Fileserver, Speichersysteme
etc.)
Arbeitssysteme
Arbeitsplatzsysteme (Desktop-Systeme)
Mobile Arbeitsgeräte (Tablets, Smartphones, Notebooks etc.)
Sonstige IT-Komponenten
Hardware wie Scan-Arbeitsplätze, Drucker- und Druckstraßen etc.
Telekommunikationsanlagen
Infrastruktureinrichtungen (wie z. B. Zutrittskontrollmechanismen)
Hardware und PC-Peripherie (z. B. Hardware für biometrische
Authen-tifikation)
Geeignete Werkzeuge, wie z. B. fachspezifische Hard- und Software zur
Durchführung der Penetrationstests, werden vom Auftraggeber nicht
gestellt und sind vom Auftragnehmer vorzuhalten.
II.2.5)Zuschlagskriterien
Die nachstehenden Kriterien
Qualitätskriterium - Name: Leistungskriterium / Gewichtung: 50,00
Preis - Gewichtung: 50,00
II.2.6)Geschätzter Wert
Wert ohne MwSt.: 3 609 600.00 EUR
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des
dynamischen Beschaffungssystems
Beginn: 05/10/2021
Ende: 04/10/2023
Dieser Auftrag kann verlängert werden: ja
Beschreibung der Verlängerungen:
Der Rahmenvertrag hat eine Mindestlaufzeit von 2 Jahren mit einer
zweimaligen automatischen Verlängerung um jeweils ein weiteres Jahr.
Der Rahmenvertrag endet spätestes nach 48 Monaten.
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm,
das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben
Die Leistungen können bis zu einem Höchstwert von 4 331 520,00 EUR
(netto) abgerufen werden. Ist dieser Höchstwert erreicht, endet die
Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:
Beschaffung von Personal für die Projektleitung von
Penetrationstest-Projekten im Rahmen einer ANÜ
Los-Nr.: 3
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und
Hilfestellung
II.2.3)Erfüllungsort
NUTS-Code: DE7 Hessen
Hauptort der Ausführung:
Leistungsort für die zu erbringenden Leistungen sind die derzeitigen
und zukünftigen Standorte der HZD in Wiesbaden, Mainz und Hünfeld,
sowie der Standort der föderalen IT-Kooperation (FITKO) in Frankfurt am
Main.
II.2.4)Beschreibung der Beschaffung:
Arbeitsumfeld/der SecurityTest Service der HZD
Der SecurityTest Service ist eine Fachgruppe der HZD. Sie bietet den
Dienststellen des Landes Hessen Dienstleistungen rund um das Thema
IT-Sicherheits-Tests an. Dazu gehört u. a. die Konzeption und
Projektierung von Penetrationstests und Schwachstellenscans, das
Projektmanagement von Penetrationstest- (nachfolgend kurz Pentest) und
Scan-Projekten sowie der Durchführung von Schwachstellen-Scans,
Penetrationstests, Audits, Code-Reviews, usw.
Der Auftragnehmer von Los 3 stellt einen oder mehrere ständige
stationäre Projektleiter für die Konzeption und das Management von
Pentest-Projekten in der HZD. Die Durchführung der eigentlichen
Penetrationstests selbst ist nicht Bestandteil der Tätigkeiten im
Rahmen des Los 3.
Die Projektleiter werden im SecurityTest Service der HZD im Rahmen
einer Arbeitnehmerüberlassung (ANÜ) eingesetzt.
Das vom Auftragnehmer im SecurityTest Service der HZD eingesetzte
Fachpersonal ist für die Konzeption, Planung und das Management von
Pentest-Projekten vorgesehen. Dies erfolgt eingebettet in den
weitestgehend formalisierten Pentest-Prozess der HZD, der nachfolgend
erläutert wird:
Das zentrale Dokument eines Penetrationstest-Projektes in der HZD ist
das Penetratiostest-Konzept. Die Inhalte des Penetratiostest-Konzepts
enthalten u.a. wichtige Informationen als Grundlage für die Genehmigung
von Pentests in der HZD, für die Erstellung von belastbaren Angeboten
durch unseren Pentest-Dienstleister sowie für die Dokumentation von
Entscheidungen zur Auswahl von Testobjekten eines IT-Verfahrens. Die
Erstellung eines Pentest-Konzept ist eine der zentralen Aufgaben des
Pentest-Projektleiters.
Im Vorfeld der Erstellung eines Penetrationstest-Konzepts wird das
betreffende IT-Verfahren durch den Pentest-Projektleiter analysiert
bzgl. dessen eingesetzter Verfahrens-Bestandteile (Netzwerk,
Architektur, Technologie, etc.) und dessen zugrundeliegender Betriebs-
und Verfahrens-Prozesse. Hierzu führt der Pentest-Projektleiter
Interviews mit den IT-Verfahrens-Spezialisten sowie dem
Betriebs-Personal des zu testenden IT-Verfahrens und führt hierzu
Dokumentations- und Online-Recherchen durch.
Aus den gewonnen Informationen erfolgt eine Bedrohungs-Analyse und
Bewertung der einzelnen Verfahrens-Bestandteile bzgl. deren Risiko für
einen Sicherheitsvorfall, woraus wiederum die Auswahl der zu testenden
Objekte des IT-Verfahrens folgert.
Verschiedene planerische und organisatorische Details zu dem
Pentest-Projekt und dem zugehörigen IT-Verfahren runden das
Pentest-Konzept ab.
Im Anschluss an die Erstellung des Pentest-Konzepts muss dies von den
Auftraggebern abgenommen und danach in einem bestimmten Prozess in der
HZD genehmigt werden.
Das abgenommene Pentest-Konzept ist das Lastenheft für den
Pentest-Dienstleister, der die eigentlichen Tests durchführt. Er
übersendet ein belastbares Angebot als Pflichtenheft für den Test. Im
weiteren Verlauf wird der Test mit Hilfe des ITIL Change Managements
organisiert und letztlich umgesetzt.
Pentest-Ergebnisse des erfolgten Tests sind zu prüfen und mit dem
Auftraggeber abzustimmen.
Sowohl im Vorfeld als auch im Nachgang der Tests organisiert und
moderiert der Pentest-Projektleiter Termine, in denen Details zur
Durchführung (Kickoff) und Er-gebnisse (Abschluss- bzw.
Ergebnis-Workshop) besprochen und präsentiert werden. Für Kickoff und
Abschluss- bzw. Ergebnis-Workshop sind jeweils Ergebnisprotokolle
anzufertigen.
Der Projektleiter organisiert alle notwendigen Projekt- und
Gesprächs-Termine selbstständig und hält diese selbstständig im Blick.
Einmal pro Woche werden die Projektfortschritte in der SecurityTest
Service Projektleiter-Runde präsentiert und besprochen.
Alle im Rahmenvertrag eingesetzten Projektleiter müssen die Deutsche
Sprache in Wort und Schrift sehr gut und verhandlungssicher
beherrschen. Dies ist eine unabdingbare Voraussetzung für die Erfüllung
der geforderten Leistungen.
Vom Auftragnehmer überlassenes Personal, das nicht deutsche
Muttersprachler ist, oder nicht in Deutschland einen Hochschul- oder
vergleichbaren Abschluss erworben hat, muss die Kenntnis der deutschen
Sprache mindestens mit einem C1-Sprachdiplom nachweisen.
Folgende fachlichen Voraussetzungen muss das vom Auftragnehmer
überlassene Personal erfüllen:
Verpflichtend ist ein:
Hochschulabschluss in IT und mindestens 3 Jahre Berufserfahrung in
der IT-Branche, wobei u. g. Themenfelder bearbeitet wurden,
oder alternativ ein beliebiger Hochschulabschluss und mindestens 5
Jahre Berufserfahrung in der IT (ebenfalls mit Bearbeitung der u. g.
Themenfelder),
mindestens 2 Jahre Erfahrung als Projektleiter,
mindestens 3 Jahre Erfahrung bei IT-Sicherheits-Projekten.
Mit folgende Themenfeldern der IT muss das Personal vertraut sein:
Netzwerke/ISO-OSI, Programmierung oder Scripting,
Webserver/Web-Services, Datenbanken, verteilte Infrastrukturen.
Darauf aufbauend muss das eingesetzte Personal Expertise in folgenden
Themenfeldern der IT-Sicherheit besitzen:
ISO 27001 und/oder IT-Grundschutz nach BSI,
Kryptographie,
OWASP,
Cyber-Threat Management.
Wünschenswert (optional) wäre:
Erfahrung im ITIL Change Management,
Pentest-Erfahrung,
Risiko-Modellierung mit Stride/Dread,
IT-Architektur-Planung.
II.2.5)Zuschlagskriterien
Die nachstehenden Kriterien
Preis
II.2.6)Geschätzter Wert
Wert ohne MwSt.: 5 580 000.00 EUR
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des
dynamischen Beschaffungssystems
Beginn: 05/10/2021
Ende: 04/10/2023
Dieser Auftrag kann verlängert werden: ja
Beschreibung der Verlängerungen:
Der Rahmenvertrag hat eine Mindestlaufzeit von 2 Jahren mit einer
zweimaligen automatischen Verlängerung um jeweils ein weiteres Jahr.
Der Rahmenvertrag endet spätestes nach 48 Monaten.
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm,
das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben
Die Leistungen können bis zu einem Höchstwert von 6 696 000,00 EUR
(netto) abgerufen werden. Ist dieser Höchstwert erreicht, endet die
Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische
Angaben
III.1)Teilnahmebedingungen
III.1.1)Befähigung zur Berufsausübung einschließlich Auflagen
hinsichtlich der Eintragung in einem Berufs- oder Handelsregister
Auflistung und kurze Beschreibung der Bedingungen:
Im Hinblick auf die Befähigung und Erlaubnis zur Berufsausübung des
Bieters wird im Los 3 Folgendes verlangt:
Erlaubnis zur Arbeitnehmerüberlassung gem. § 1 AÜG (in Kopie).
III.1.3)Technische und berufliche Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:
Los 1 Referenzen:
Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei
Jahren (Stichtag Ablauf der Angebotsfrist), die nach Art und Umfang
den nachfolgend aufgeführten Anforderungen entspricht.
Art: Durchführung von Penetrationstests inkl. der Dokumentation und
Präsentation der Ergebnisse.
Umfang jeder eingereichten Referenz: Mindestens 2 Wochen Test-Tätigkeit
In mindestens einer Referenz muss bei der Durchführung des
Penetrationstests der OWASP Testing Guide 4.1 vollständig angewandt
worden sein.
In mindestens einer Referenz müssen auch Server auf Schwachstellen
untersucht worden sein.
(Datei Referenzen Los 1)
Los 2 Referenzen:
Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei
Jahren (Stichtag Ablauf der Angebotsfrist), die nach Art und Umfang
den nachfolgend aufgeführten Anforderungen entsprechen.
Art:
Durchführung von Penetrationstests aus den unter Kapitel 4.2.3 der
Leistungsbeschreibung von Los 2 beschriebenen Themenfeldern (mit
Ausnahme von Profil A):
Profil B: SAP,
Profil C: Mobile Endgeräte,
Profil D: Desktop- und Arbeitsplatz-Systeme,
Profil E: Netzwerk-Systeme und IT-Sicherheits Infrastruktur-Systeme,
Profil F IT-forensische Tests,
Profil G Gebäude-Infrastruktur und Telekommunikations-Anlagen.
Es sind zu mindestens drei der unter Ziffer 4.2.3 der
Leistungsbeschreibung beschriebenen Profilen (mit Ausnahme von Profil
A) jeweils eine Referenz einzureichen.
Umfang jeder eingereichten Referenz: Mindestens 10 Projekt-Tage.
(Datei Referenzen Los 2)
Los 2 Maßnahme nzur Qualitätssicherung:
Der Bieter hat daher durch Eigenerklärung in Los 2 nachzuweisen, dass
seine Vertrauenswürdigkeit und Zuverlässigkeit durch Einhaltung einer
der unten aufgeführten Qualitätssicherungsnormen (Zertifizierungen)
gewährleistet ist.
BSI Zertifizierung,
ISO 27001-Zertifikat,
Zertifikat von europäischen Organisationen die dem BSI gleichgestellt
sind auf Basis von ISO 27001.
(Datei Erklaerung_Zertifizierung)
Kann der Bieter keinen Nachweis bezüglich der Einhaltung einer der oben
aufgeführten Qualitätssicherungsnormen geben, führt dies zum Ausschluss
des Angebots von der weiteren Wertung.
Hinweis der Vergabestelle: Der Auftraggeber behält sich jederzeit vor,
als Beleg der Einhaltung einer der oben genannten
Qualitätssicherungsnormen, sich vom Bieter das Zertifikat in Kopie
vorlegen zu lassen.
Los 3 Referenzen:
Darstellung von mindestens 3 geeigneten Referenzen aus den letzten drei
Jahren (Stichtag Ablauf der Angebotsfrist), die nach Art und Umfang
den nachfolgend aufgeführten Anforderungen entsprechen.
Art: Projektmanagement von IT-Sicherheits-Projekten mit u. a.
konzeptionellen Auf-gaben zu IT-Sicherheits-Tests,
Umfang jeder eingereichten Referenz: Mindestens 5 Monate.
Mindestens eine Referenz muss ein Projekt umfassen, bei dem
Penetrationstests selbst organisiert und konzipiert wurden (Diese
eigenständige Organisation und Konzeption ist in der
Projektbeschreibung darzustellen).
(Datei Referenzen Los 3)
In der jeweiligen Referenzvorlage (Dateien Referenzen Los 1,
Referenzen Los 2, Erklaerung_Zertifizierung, Referenzen Los 3)
ist abschließend die Person des Erklärenden namentlich anzugeben.
III.2)Bedingungen für den Auftrag
III.2.2)Bedingungen für die Ausführung des Auftrags:
Es wird darauf hingewiesen, dass die Bieter sowie deren Nachunternehmen
und Verleihunternehmen, soweit diese bereits bei Angebotsabgabe bekannt
sind, die erforderlichen Verpflichtungserklärungen (Datei
Verpflichtungserklaerung_oeff_AG) zur Tariftreue und zum
Mindestentgelt nach dem Hessischen Vergabe- und Tariftreuegesetz (HVTG)
vom 19.12.2014, (GVBl. S. 354) mit dem Angebot abzugeben haben. Die
Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei
einem Bieter, Nachunternehmer und Verleihunternehmen im EU-Ausland
beschäftigt sind und die Leistung im EU-Ausland erbringen.
Abschnitt IV: Verfahren
IV.1)Beschreibung
IV.1.1)Verfahrensart
Offenes Verfahren
IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen
Beschaffungssystem
Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung
Rahmenvereinbarung mit einem einzigen Wirtschaftsteilnehmer
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: ja
IV.2)Verwaltungsangaben
IV.2.2)Schlusstermin für den Eingang der Angebote oder Teilnahmeanträge
Tag: 20/08/2021
Ortszeit: 10:00
IV.2.3)Voraussichtlicher Tag der Absendung der Aufforderungen zur
Angebotsabgabe bzw. zur Teilnahme an ausgewählte Bewerber
IV.2.4)Sprache(n), in der (denen) Angebote oder Teilnahmeanträge
eingereicht werden können:
Deutsch
IV.2.6)Bindefrist des Angebots
Das Angebot muss gültig bleiben bis: 31/10/2021
IV.2.7)Bedingungen für die Öffnung der Angebote
Tag: 20/08/2021
Ortszeit: 10:00
Angaben über befugte Personen und das Öffnungsverfahren:
Entfällt
Abschnitt VI: Weitere Angaben
VI.1)Angaben zur Wiederkehr des Auftrags
Dies ist ein wiederkehrender Auftrag: nein
VI.3)Zusätzliche Angaben:
Eine Beschreibung der zu vergebenden Leistung steht auf der
Vergabeplattform des Landes Hessen ([10]https://vergabe.hessen.de) zur
Verfügung und muss dort heruntergeladen werden.
Erklärung zum Ausschluss wegen schweren Verfehlungen:
Der Bieter (jedes Mitglied einer Bietergemeinschaft) sowie seine
Unterauftragnehmer haben die Eigenerklärung gemäß dem Gemeinsamen
Runderlass über den Ausschluss von Bewerbern und Bietern wegen
schwerer Verfehlungen, die ihre Zuverlässigkeit in Frage stellen in
der Fassung vom 23. Oktober 2020 (StAnz 48/2020 S. 1216) ausgefüllt mit
ihren Angeboten einzureichen.
Bei elektronischem Versand ist die Verpflichtungserklärung auch ohne
Unterschrift rechtsgültig.
(Datei Erklaerung_Vergabesperre)
Eigenerklärung zu zwingenden Ausschlussgründen nach § 123 GWB:
Der Bieter hat die Eigenerklärung zu den zwingenden Ausschlussgründen
nach § 123 GWB ausgefüllt mit seinem Angebot vorzulegen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die
Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz
von Unterauftragnehmern ist die Eigenerklärung von jedem
Unterauftragnehmer in der erforderlichen Form vorzulegen.
(Datei Eigenerklaerung_Par_123_GWB)
Eigenerklärung zu fakultativen Ausschlussgründen nach § 124 GWB:
Der Bieter hat die Eigenerklärung zu den fakultativen Ausschlussgründen
nach § 124 GWB ausgefüllt mit seinem Angebot einzureichen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die
Eigenerklärung in der geforderten Form abzugeben. Bei geplantem Einsatz
von Unterauftragnehmern ist die Eigenerklärung von jedem
Unterauftragnehmer in der erforderlichen Form vorzulegen.
(Datei Eigenerklaerung_Par_124_GWB)
Los 1 + 3:
Den Zuschlag in Los 1 und 3 erhält der Bieter mit dem jeweils
wirtschaftlichsten Angebot in Bezug auf den Preis. Entscheidend ist die
jeweilige Gesamtangebotssumme (brutto), die sich aus der entsprechenden
Positionen im Preisblatt (Dateien Preisblatt Los 1, Preisblatt Los
3) ergibt. Sofern mehrere Bieter exakt den gleichen Preis anbieten,
entscheidet das Los.
Los 2:
Der Zuschlag wird auf das wirtschaftlichste Angebot erteilt (§ 127 GWB,
§ 58 VgV).
Die Ermittlung des wirtschaftlichsten Angebots nach der einfachen
Richtwertmethode (Ziffer 4.2.3 der UfAB 2018.04) findet auf Basis der
festgestellten Leistungspunkte und der feststehenden Angebotspreise
statt.
Hierfür wird die Kennzahl eines jeden Bieters für das
Leistungs-Preis-Verhältnis (Z) gebildet:
Kennzahl Z = L/P * 1 000 000
Nach der oben genannten Formel wird die Kennzahl (Z) zur
Leistungs-Preis-Bewertung aus dem Quotienten der Leistungspunkte des
Angebots und des Angebotspreises, multipliziert mit dem Faktor 1 000
000, gebildet. Der Bieter, dessen Angebot die höchste Kennzahl (Z)
erreicht, hat das für den Auftraggeber wirtschaftlichste Angebot
unterbreitet und erhält den Zuschlag. Sollten mehrere Bieter die
gleiche Kennzahl erreichen, erhält der Bieter mit der höheren
Leistungspunktzahl den Zuschlag. Sind auch die erzielten
Leistungspunkte gleich, entscheidet das Los.
Der Preis des zu bewertenden Angebots ist der wertungsrelvante
Gesamtpreis aus dem Preisblatt (Datei Preisblatt Los 2).
Leistungskriterium (Dateit: Leistungskriterium_Aufgabenstellung_Los
2)
Im genannten Dokument wird ein hypothetischer Penetrationstest
dargestellt.
Die Aufgabe des Bieters ist, auf Grundlage der gegebenen Informationen
ein Ergebnisdokument (ggf. mehrere Dokumente) zu entwerfen, wie es
üblicherweise bei einem Penetrationstest an den Auftraggeber
ausgeliefert wird.
Wertung:
Struktur des Dokuments max. 3,
Dokumenteigenschaften max. 7,
Inhaltlichen Kriterien max. 40,
Übersichtlichkeit, Gliederung, Verständlichkeit (max. 21),
Behandlung von Schwachstellenfunden (max. 4),
Testmanagement (max. 15).
Maximal können 50 (Leistungs)Punkte erreicht werden. Zur näheren
Bewertung siehe Ziffer 5.3.2.3 der Ausschreibungsbestimmungen.
VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Offizielle Bezeichnung: Vergabekammer des Landes Hessen beim
Regierungspräsidium Darmstadt
Postanschrift: Wilhelminenstraße 1-3
Ort: Darmstadt
Postleitzahl: 64283
Land: Deutschland
Telefon: +49 6151/126603
Fax: +49 6151/125816
VI.4.3)Einlegung von Rechtsbehelfen
Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:
§ 160 GWB (Einleitung, Antrag):
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag
ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem
öffentlichen Auftrag oder der Konzession hat und eine Verletzung in
seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von
Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem
Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein
Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit:
1) der Antragsteller den geltend gemachten Verstoß gegen
Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und
gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10
Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2
bleibt unberührt,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung
erkennbar sind, nicht spätestens bis zum Ablauf der in der
Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe
gegenüber dem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den
Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der
Frist zur Bewerbung oder zur Angebotsabgabe gegen-über dem Auftraggeber
gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des
Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit
des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt
unberührt.
VI.5)Tag der Absendung dieser Bekanntmachung:
20/07/2021
References
6. mailto:vergabestelle@hzd.hessen.de?subject=TED
7. https://vergabe.hessen.de/
8. https://vergabe.hessen.de/NetServer/TenderingProcedureDetails?function=_Details&TenderOID=54321-Tender-179a2e2026a-f1690a2cee2
a702
9. https://vergabe.hessen.de/NetServer/
10. https://vergabe.hessen.de/
--------------------------------------------------------------------------------
Database Operation & Alert Service (icc-hofmann) for:
The Office for Official Publications of the European Communities
The Federal Office of Foreign Trade Information
Phone: +49 6082-910101, Fax: +49 6082-910200, URL: http://www.icc-hofmann.de
