Sicherheitstechnische Prüfung (Audit und Pentest) von Softwarekomponenten
Was wird ausgeschrieben
Der Kreis Schleswig-Flensburg vergibt eine unabhängige sicherheitstechnische Prüfung der im Projekt „LaDaDi-ProDi“ entwickelten Software. Der Auftrag umfasst ein White-Box-Quellcodeaudit der Backend-Komponenten sowie der mobilen und Desktop-Clients, ein Architektur- und Konfigurationsreview der Container-, Build- und Kubernetes-Artefakte, eine Dependency- und Supply-Chain-Prüfung mit SBOM-Analyse sowie einen Penetrationstest der Testumgebung inklusive strukturierter Dokumentation aller Befunde. Die Angebotsfrist endet am 08.06.2026.
Vollständige Beschreibung anzeigen
Gegenstand der Ausschreibung ist die unabhängige sicherheitstechnische Prüfung der im Projekt „LaDaDi-ProDi“ entwickelten Softwarekomponenten einschließlich der zugehörigen Konfigurationen und bereitgestellten Testumgebungen. Der Auftrag umfasst insbesondere: - ein White-Box-Quellcodeaudit der neu entwickelten Backend-Komponenten, - ein White-Box-Quellcodeaudit der mobilen und Desktop-Clients, - ein Architektur- und Konfigurationsreview der bereitgestellten Container-, Build- und Kubernetes-bezogenen Artefakte, - eine Dependency- und Supply-Chain-Prüfung einschließlich SBOM-basierter Analyse, - einen anwendungsbezogenen Penetrationstest der bereitgestellten Testumgebung, - die strukturierte Dokumentation und Priorisierung aller festgestellten sicherheitsrelevanten Befunde einschließlich technischer Handlungsempfehlungen. Nicht Gegenstand der Ausschreibung ist eine allgemeine Softwareentwicklung, ein Betrieb der Anwendung oder eine allgemeine datenschutzrechtliche Compliance-Prüfung.
Der Kreis Schleswig-Flensburg lässt die im EU-geförderten Projekt „LaDaDi-ProDi“ entwickelte Software von einem externen Dienstleister sicherheitstechnisch prüfen. Konkret geht es um ein White-Box-Quellcodeaudit — das heißt, der Prüfer erhält vollen Zugang zum Quellcode — sowohl für die Backend-Komponenten als auch für die mobilen und Desktop-Anwendungen. Hinzu kommen ein Architektur- und Konfigurationsreview der Container- und Kubernetes-Umgebung sowie eine Prüfung der Abhängigkeiten und Lieferkette (Supply Chain) auf Basis eines Software Bill of Materials (SBOM). Ein Penetrationstest der bereitgestellten Testumgebung rundet das Leistungspaket ab. Bewerber müssen nachweisen, dass sie über einschlägige praktische Erfahrung in der IT-Sicherheitsprüfung verfügen. Die Vergabe erfolgt zu 35 % nach der Methodik, zu 25 % nach der Erfahrung des Kernteams, zu 10 % nach der Berichtsqualität und zu 30 % nach dem Preis.
Zentrale Anforderungen
6 Punkte- Nachweis einschlägiger praktischer Erfahrung in IT-Sicherheitsprüfungen und Penetrationstests
- Fachliche Passung des Kernteams zum Prüfgegenstand (Quellcodeaudit, Konfigurationsreview, Pentest)
- Fähigkeit zur Durchführung von White-Box-Quellcodeaudits für Backend und Clients
- Kompetenz im Bereich Container-, Build- und Kubernetes-Sicherheit
- Erfahrung mit Dependency- und Supply-Chain-Prüfungen sowie SBOM-basierter Analyse
- Strukturierte Dokumentation von Sicherheitsbefunden mit Priorisierung und Handlungsempfehlungen
KI-zusammengefasst aus den offiziellen Eignungsanforderungen. Verbindlich ist der Originaltext unten.
Eignungskriterien (Volltext)
Zwingende bzw. fakultative Ausschlussgründe nach §§ 123 bis 126 GWB Unterlagen werden im Rahmen des § 56 Abs. 2 bis 4 VgV nachgefordert. Die Nachforderung von leistungsbezogenen Unterlagen, die die Wirtschaftlichkeitsbewertung der Angebote anhand der Zuschlagskriterien betreffen, ist ausgeschlossen. Dies gilt nicht für Preisangaben, wenn es sich um unwesentliche Einzelpositionen handelt, deren Einzelpreise den Gesamtpreis nicht verändern oder die Wertungsreihenfolge und den Wettbewerb nicht beeinträchtigen. Ferner werden Preisangaben nicht nachgefordert, wenn es sich um wesentliche Einzelpositionen handelt, deren Einzelpreise den Gesamtpreis verändern oder die Wertungsreihenfolge und den Wettbewerb beeinträchtigen.
Aufteilung in Lose
1 LotGegenstand der Ausschreibung ist die unabhängige sicherheitstechnische Prüfung der im Projekt „LaDaDi-ProDi“ entwickelten Softwarekomponenten einschließlich der zugehörigen Konfigurationen und bereitgestellten Testumgebungen. Der Auftrag umfasst insbesondere: - ein White-Box-Quellcodeaudit der neu entwickelten Backend-Komponenten, - ein White-Box-Quellcodeaudit der mobilen und Desktop-Clients, - ein Architektur- und Konfigurationsreview der bereitgestellten Container-, Build- und Kubernetes-bezogenen Artefakte, - eine Dependency- und Supply-Chain-Prüfung einschließlich SBOM-basierter Analyse, - einen anwendungsbezogenen Penetrationstest der bereitgestellten Testumgebung, - die strukturierte Dokumentation und Priorisierung aller festgestellten sicherheitsrelevanten Befunde einschließlich technischer Handlungsempfehlungen. Nicht Gegenstand der Ausschreibung ist eine allgemeine Softwareentwicklung, ein Betrieb der Anwendung oder eine allgemeine datenschutzrechtliche Compliance-Prüfung.
Zuschlagskriterien
4 Kriterien- quality35%
Methodik und projektspezifisches Vorgehen > Nachvollziehbarkeit der Scope- und Priorisierungslogik > Schlüssigkeit des Zusammenspiels von Code Audit, Konfigurationsreview und Pentest > Angemessenheit der vorgesehenen Prüfmethoden > Realistische Planung der Validierung und Befundaufbereitung
- quality10%
Qualität des Berichtswesens und der Ergebnisaufbereitung > Struktur und Verwertbarkeit der Deliverables > Qualität des Findings-Schemas > Nachvollziehbarkeit der Priorisierung > Eignung der Management-Zusammenfassung
- quality25%
Erfahrung und Eignung des vorgesehenen Kernteams > einschlägige praktische Erfahrung > Rollenzuschnitt und Aufgabenverteilung > fachliche Passung zum konkreten Prüfgegenstand
- price30%
Angabe des Gesamtfestpreises (netto) inkl. aller Nebenkosten für die vertraglich geschuldete Leistung
Zeitplan
- 7. Mai 2026Bekanntmachung veröffentlichtAuf TED publiziert
- 8. Juni 2026EinreichungsfristElektronische Einreichung