Verfahrensangaben

Der Kreis Euskirchen schreibt eine 24/7-mXDR-Lösung aus. Die Ausschreibung erfolgt im sogenannten Teilnehmerwettbewerb mit Verhandlungsverfahren.
Bewertungskriterien werden sein:
- 50 Prozent Preis
- 50 Prozent Service- und Produktmerkmale

Die Lösung ist für insgesamt ca. 1.500 Endpunkte (Seats) vorgesehen. Als Seat werden folgende Systeme unter folgenden Betriebssystemen verstanden:
- Physikalische und virtuelle Clients (alle unter Support stehenden Windows-Versionen)
- Windows- Server (alle unter Support stehenden Windows-Server-Versionen)
- Novell OES (SUSE Linux Enterprise) (Alle unter Herstellersupport stehenden Versionen)
- Suse und Ubuntu Linux (aktuelle Versionen)
Die tatsächliche Anzahl der Seats kann aufgrund der sich täglich verändernden Anzahl der virtuellen Clients immer leicht schwankend sein. Nachbestellung von weiteren Seats maximal zum in der Ausschreibung definierten Seat-Preis während der Laufzeit des Vertrages sollten jederzeit möglich sein. Die Laufzeit des Vertrages wird auf 36 Monate mit automatischer Verlängerungsoption um jeweils 1 Jahr festgelegt. Jährliche Zahlungsweise wird erwartet.
Der Softwarehersteller muss die im Folgenden beschriebenen Eignungskriterien erfüllen:
- Ganzheitlicher mXDR-Hersteller und Anbieter mit deutschsprachigem 24/7 Service und Support (kein "follow the sun"-Prinzip - ausschließlich Support direkt vom Hersteller)
- Mindestens 5 Jahre Erfahrung im Bereich des Endpoint-Schutzes
- Gesamtumsatz im mXDR-Kontext in 2024 größer 2 Mio.
- Mitarbeiteranzahl im mXDR-Kontext größer 100
- gültige Zertifizierung des verarbeitenden Rechenzentrums nach ISO27001 (Vorlage des Zertifikates)
- Datenhaltung ausschließlich in einem deutschen bzw. europäischen Rechenzentrum mit strenger Einhaltung hoher Datenschutzstandards (DSGVO, Nachweis erforderlich. Rechenzentren, die dem CLOUD Act unterliegen, sind nicht zugelassen)
Darüber hinaus sollte er folgende Kriterien erfüllen.
- "AV Comparatives"-zertifiziert (Vorlage des Zertifikates)
- FIRST CSIRT Membership (lncidentResponseTeam)
Bei Erfüllung der Soll-Anforderungen werden 10 Punkte je Kriterium vergeben, bei Nichterfüllung 0 Punkte.
Ferner werden 3 Referenzen für vergleichbare Projekte angefragt, die je nach Projektgröße, Projektbezug zum öffentlichen Dienst und der Nachweisbarkeit unterschiedlich bewertet werden (s. Eignungsmatrix).

Die Endpointsoftware (Agent) sollte folgende Eckpunkte erfüllen:
- Proaktiver, vollumfänglicher Endpointschutz unter den o.g. Betriebssystemen mit den zu erwartenden lokalen Schutz-, Erkennungs- und automatischen Response-Komponenten einer Endpoint-Security-Lösung
- Device Control: Zugriffsblockierung von USB-Diskettenlaufwerkten, USB-Massenspeichern, optischen Laufwerken, Portable Mobile Devices und Webcams zur Sicherstellung von Policy-Vorgaben inkl. einer zeitlich begrenzten als auch dauerhaften ausnahmebasierten Freigabe von blockierten Geräten
- zusätzliche Erkennung von komplexen Angriffsmustern über die gesamte geonboardete Kundenumgebung sowie Erkennung von Angriffsausbreitung in der Kundenumgebung
- Einbeziehung und Verknüpfung mehrerer Sensorquellen zur Erkennung komplexer Angriffe
Zusätzlich zu beachten ist die Tatsache, dass wir unsere virtuellen Windows-Clients über Omnissa Horizon aus einem sog. "Goldimage" generieren lassen. Dies bedeutet, dass die Maschinen bei der Anmeldung an Omnissa-Horizon ad hoc aus einer Kopiervorlage neu generiert werden und am Ende das Tages bei der Abmeldung wieder vollständig verworfen werden. Die Softwarelösung muss also in der Lage zu sein, den Agent bei Erstellung der Maschine im Anmeldeprozess auf die virtuelle Maschine auszubringen, diese in der Managementkonsole der Software sauber zu erkennen und auszuweisen und den Eintrag nach Abmeldung des User bzw. dem Verwerfen der Maschine wieder aus der Managementkonsole zu löschen, damit es nicht zu Doppeleinträgen und ungezählten "Karteileichen" in der Software kommt.
Der 24/7 Managed Service sollte folgende Eckpunkte erfüllen:
- 24/7 Security Operations Manager / Persönlicher deutschsprachiger Ansprechpartner für Sicherheitsfragen und technische Unterstützung
- mehrstufiger Remote-Onboarding-Workshop mit sicherheitsrelevanter Risikoaufklärung
- Individuelle Konfiguration sowie Ausnahmeverwaltung durch Anbieter
- Unterstützung beim Rollout über Standard-Softwareverteilungssysteme mit individualisiertem Setup
- Unterstützung bei Konfiguration von Proxy-Umgebungen zur Download-Lastverteilung
- Baseline-Analyse durch Anbieter, um normales von schadhaften Verhalten im Netzwerk zu unterscheiden
- Telefonische Benachrichtigung bei kritischen Sicherheitsvorfällen und Handlungsempfehlungen
- 24/7 Detect & Response Service durch erfahrene Security-Analysten
- Alert-Monitoring und Vorfalls-Analyse auf Basis von Security Events
- Proaktives False-Positive Handling und Ausnahmeverwaltung
- Logbasiertes Threat-Hunting
- Remote-Analyse von Sicherheitsvorfällen per Live-Terminal
- Eindämmung von Angriffsausbreitungen, wie z.B. Netzwerkisolation
- Bereinigung von persistierten Malwareartefakten durch Security Analysten
Alle aufgeführten Merkmale von Agent und Service sind als Grobmerkmale und Anforderungen an die Lösung zu verstehen und werden im Rahmen des später folgenden Leistungsverzeichnisses noch einmal konkretisiert und bewertet.

Objektive Zahl für die Auswahl der begrenzten Zahl von 3 oder 4 Bewerbern:
Alle Bewerber, die einen Teilnahmeantrag fristgerecht eingereicht haben und die formellen Mindestkriterien/-anforderungen erfüllen, sind für die Wertung der Auswahlkriterien zugelassen. Der Auftraggeber wählt anhand der erteilten Auskünfte über die Eignung der Bewerber sowie anhand der Auskünfte und Formalien, die zur Beurteilung der von diesen zu erfüllenden wirtschaftlichen und technischen Mindestanforderungen erforderlich sind, unter den Bewerbern, die nicht ausgeschlossen wurden und die die genannten Anforderungen erfüllen, diejenigen aus, die er zur Verhandlungen auffordert.
Die Auswahl erfolgt anhand der Erfüllung der Kriterien Produkt ist "AV Comparatives"-zertifiziert (Vorlage des Zertifikates) (0 oder 10 Punkte), HErsteller ist FIRST CSIRT membership (IncidentResponseTeam) (0 oder 10 Punkte) sowie der für den Leistungsbereich eingereichten Referenzprojekte, bezogen auf das bietende Unternehmen/Bietergemeinschaft, jeweils in den Kriterien Größe gemessen an den beauftragten Seats (0 - 10 Punkte), Unternehmen gehört zum öffentlichen Sektor (0 oder 10 Punkte), bei dem Unternehmen handelt es sich um eine Kommunalverwaltung/Kreisverwaltung (0 oder 10 Punkte), Vorlage eines Referenzschreibens oder Referenzbestätigung des Auftraggebers (0 oder 10 Punkte). Insgesamt können zusammen maximal 140 Punkte (davon maximal 120 Punkte für die Referenzen) erreicht werden. Erfüllen mehrere Bewerber gleichermaßen die Anforderungen und ist die Bewerberzahl nach einer objektiven Auswahl entsprechend der zu Grunde gelegten Kriterien zu hoch, behält sich die Vergabestelle vor, die Teilnehmerzahl unter den verbliebenen Bewerbern zu losen.

Entsprechend den Regelungen in § 160 GWB
Verstöße gegen Vergabevorschriften im Vergabeverfahren sind vor Einreichung eines Nachprüfungsantrages gegenüber dem Auftraggeber innerhalb einer Frist von 10 Kalendertagen nachdem der Verstoß erkannt worden ist zu rügen.
Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, sind spätestens bis zum Ablauf der
In der Bekanntmachung benannten Frist zur Angebotsabgabe oder zur Bewerbung zu rügen.
Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, sind spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe oder zur Bewerbung zu rügen.
Ein Antrag auf Nachprüfung ist innerhalb von 15 Kalendertagen nach Eingang der Mitteilung des Auftraggebers,einer Rüge nicht abhelfen zu wollen, zu stellen.

Der Auftraggeber behält sich vor, Unterlagen im Rahmen des § 56 Abs. 2 VgV nachzufordern. Hierauf besteht kein Rechtsanspruch.