Sicherheitsanalysen und Evaluierungen für Consumer- und Public-IoT-Produkte sowie Standards
Was wird ausgeschrieben
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergibt einen Rahmenvertrag zur Durchführung von Sicherheitsanalysen und Evaluierungen im Bereich Consumer und Public IoT. Der Auftrag umfasst die Bewertung von Produktschwachstellen, die Praxistauglichkeitsprüfung von Standards und Testspezifikationen sowie die Entwicklung von Handlungsempfehlungen und Demonstratoren zur Stärkung der Cyberresilienz. Die Vertragslaufzeit beträgt vier Jahre (1440 Tage), wobei der genaue finanzielle Umfang nicht öffentlich angegeben ist.
Vollständige Beschreibung anzeigen
Mit diesem Rahmenvertrag sollen Aufgaben als Dienstleistung zur Gestaltung der Cybersicherheit in den Bereichen Consumer IoT und Public IoT sowie E-Mail-Diensten und allgemein dem digitalen Verbraucherschutz übernommen werden. Explizit ausgenommen sind hierbei regulierte IoT-Produkte aus dem Energiesektor (wie Mess- und Steuerungseinrichtungen gemäß MsbG und EnWG), Energiewendeanlagen (wie PV-Wechselrichter, Energiemanagementsysteme und Batteriespeicher), regulierte IoT-Produkte aus dem Gesundheitswesen und der Telematik-Infrastruktur, dem Bereich intelligenter Transportsysteme sowie industrieller Anwendungen. Die Ergebnisse dienen zur Verbesserung der Vollständigkeit, Testbarkeit und Anwendbarkeit von neuen Standards, die z.B. im Rahmen des CRA Anwendung finden werden. Überdies sollen Handlungsempfehlungen und Demonstratoren für die Cybersicherheitsprävention entwickelt werden mit dem Ziel, die Cyberresilienz von Staat, Wirtschaft und Gesellschaft zu stärken. Für unsere Standardisierungsarbeiten sind praxisorientierte Erkenntnisse von hoher Bedeutung. Hierfür müssen Schwachstellen von Produkten analysiert und bewertet, Standards und Testspezifikation anhand von konkreten Produkten auf deren Praxistauglichkeit evaluiert (Proof of Concept, PoC) und neue Technologien (z.B. Sicherheitsprotokolle) auf deren Anwendbarkeit untersucht werden, bevor diese in Standards eingebracht werden können. Bei Bekanntwerden von Schwachstellen in Produkten und Services aus den o. g. Bereichen werden bei Bedarf Ersteinschätzungen durchgeführt, Handlungsempfehlungen und begleitet Prozesse erstellt, die zur Schließung der Schwachstelle beitragen wie bspw. den CVD-Prozess. Abhängig von der Kritikalität und den Spezifika der vorliegenden Schwachstelle kann zu einer fachspezifischen Einschätzung z.B. ein praktisches Nachstellen der Schwachstelle oder eine Betroffenheitsprüfung erforderlich sein. Erkenntnisse aus der Entwicklung und Pflege der Standards, sowie Studien und Sicherheitsanalysen sind wichtiger Bestandteil der Präventionsarbeit des BSI zur Sensibilisierung und Stärkung der Cyberresilienz von Staat, Wirtschaft und Gesellschaft. Zur Prävention veröffentlicht das BSI darüber hinaus Handlungsempfehlungen, Testtools bzw. Prüfumgebungen und entwickelt Demonstratoren, z.B. für Messen, um verbreitete Schwachstellen praxisnah präsentieren zu können. Eine weitere wichtige Aufgabe des BSI ist der technische Verbraucherschutz. Im Rahmen von Sicherheitsuntersuchungen ausgewählter digitaler Verbraucherprodukte kann das BSI aktuelle IT-Sicherheitsrisiken am Markt identifizieren, um die gewonnenen Erkenntnisse für die Beratung, Information und Warnung von Verbraucherinnen und Verbrauchern zu nutzen.
Das Bundesamt für Sicherheit in der Informationstechnik sucht Dienstleister für einen vierjährigen Rahmenvertrag, der die IT-Sicherheit von vernetzten Verbrauchergeräten und öffentlichen IoT-Systemen stärken soll. Die Auftragnehmer sollen technische Schwachstellen in Smart-Home-Geräten, vernetzten Diensten und E-Mail-Systemen analysieren, neue Sicherheitsstandards auf ihre Praxistauglichkeit testen und konkrete Handlungsempfehlungen sowie Demonstratoren zur Prävention entwickeln. Die Ergebnisse fließen direkt in die Arbeit des BSI zur Verbesserung europäischer Cybersicherheitsvorschriften und zum Verbraucherschutz ein. Der Vertrag ist in einem einzigen Los ausgeschrieben und läuft vier Jahre mit der Möglichkeit, Leistungen bedarfsweise zu bestellen. (interne Bezeichnung des Auftraggebers: PraCyS)
Zentrale Anforderungen
6 Punkte- Eigenerklärung nach §§ 123, 124 GWB
- Nachweis Einhaltung von Mindestlohn und Arbeitsschutz
- Erklärung zur Einhaltung EU-Sanktionen
- Fachkompetenz in IoT-Sicherheit und Schwachstellenanalyse
- Erfahrung mit Proof-of-Concept-Tests und Standardisierung
- Nachweis technischer Verbraucherschutzexpertise
KI-zusammengefasst aus den offiziellen Eignungsanforderungen. Verbindlich ist der Originaltext unten.
Eignungskriterien (Volltext)
1. Eigenerklärung Ausschlussgründe zu §§ 123, 124 GWB 2. Eigenerklärung Ausschlussvoraussetzungen gem. § 19 Abs. 1 MiLoG, § 21 AentG, § 98c AufenthG, § 21 SchwarzArbG und § 22 LkSG 3. Eigenerklärung zu Artikel 5 k) Absatz 1 der Verordnung (EU) Nr. 833/2014 Die Nachforderung ist nach Maßgabe von § 56 VgV zulässig.
Aufteilung in Lose
1 LotMit diesem Rahmenvertrag sollen Aufgaben als Dienstleistung zur Gestaltung der Cybersicherheit in den Bereichen Consumer IoT und Public IoT sowie E-Mail-Diensten und allgemein dem digitalen Verbraucherschutz übernommen werden. Explizit ausgenommen sind hierbei regulierte IoT-Produkte aus dem Energiesektor (wie Mess- und Steuerungseinrichtungen gemäß MsbG und EnWG), Energiewendeanlagen (wie PV-Wechselrichter, Energiemanagementsysteme und Batteriespeicher), regulierte IoT-Produkte aus dem Gesundheitswesen und der Telematik-Infrastruktur, dem Bereich intelligenter Transportsysteme sowie industrieller Anwendungen. Die Ergebnisse dienen zur Verbesserung der Vollständigkeit, Testbarkeit und Anwendbarkeit von neuen Standards, die z.B. im Rahmen des CRA Anwendung finden werden. Überdies sollen Handlungsempfehlungen und Demonstratoren für die Cybersicherheitsprävention entwickelt werden mit dem Ziel, die Cyberresilienz von Staat, Wirtschaft und Gesellschaft zu stärken. Für unsere Standardisierungsarbeiten sind praxisorientierte Erkenntnisse von hoher Bedeutung. Hierfür müssen Schwachstellen von Produkten analysiert und bewertet, Standards und Testspezifikation anhand von konkreten Produkten auf deren Praxistauglichkeit evaluiert (Proof of Concept, PoC) und neue Technologien (z.B. Sicherheitsprotokolle) auf deren Anwendbarkeit untersucht werden, bevor diese in Standards eingebracht werden können. Bei Bekanntwerden von Schwachstellen in Produkten und Services aus den o. g. Bereichen werden bei Bedarf Ersteinschätzungen durchgeführt, Handlungsempfehlungen und begleitet Prozesse erstellt, die zur Schließung der Schwachstelle beitragen wie bspw. den CVD-Prozess. Abhängig von der Kritikalität und den Spezifika der vorliegenden Schwachstelle kann zu einer fachspezifischen Einschätzung z.B. ein praktisches Nachstellen der Schwachstelle oder eine Betroffenheitsprüfung erforderlich sein. Erkenntnisse aus der Entwicklung und Pflege der Standards, sowie Studien und Sicherheitsanalysen sind wichtiger Bestandteil der Präventionsarbeit des BSI zur Sensibilisierung und Stärkung der Cyberresilienz von Staat, Wirtschaft und Gesellschaft. Zur Prävention veröffentlicht das BSI darüber hinaus Handlungsempfehlungen, Testtools bzw. Prüfumgebungen und entwickelt Demonstratoren, z.B. für Messen, um verbreitete Schwachstellen praxisnah präsentieren zu können. Eine weitere wichtige Aufgabe des BSI ist der technische Verbraucherschutz. Im Rahmen von Sicherheitsuntersuchungen ausgewählter digitaler Verbraucherprodukte kann das BSI aktuelle IT-Sicherheitsrisiken am Markt identifizieren, um die gewonnenen Erkenntnisse für die Beratung, Information und Warnung von Verbraucherinnen und Verbrauchern zu nutzen.
Zeitplan
- 4. Mai 2026Bekanntmachung veröffentlichtAuf TED publiziert
- 1. Juni 2026EinreichungsfristElektronische Einreichung