CPV-Code / Auftragsgegenstand
72265000-0
Software-Konfiguration
Abgabefrist
Vergabeart / Vergabeordnung
National UVGO
Mandant
Open Source Business Alliance - Bundesverband für digitale Souveränität e.V.
Ort der Ausführung
Pariser Platz 6a, 10117 Berlin
Art und Umfang der Leistung
Die OSB Alliance - Bundesverband für digitale Souveränität e.V. vertritt mehr als 200 Mitgliedsunternehmen der Open-Source-Wirtschaft. Sie setzt sich zusammen mit ihren wissenschaftlichen Einrichtungen und Anwenderorganisationen dafür ein, die zentrale Bedeutung von Open-Source-Software und offenen Standards für eine digital souveräne Gesellschaft nachhaltig im öffentlichen Bewusstsein zu verankern. Dieser digitale Wandel soll Unternehmen, Regierungen, Behörden und Bürgern gleichermaßen zugutekommen. Der Verein tritt dafür ein, Open Source als Standard in der öffentlichen Beschaffung und bei der Forschungs- und Wirtschaftsförderung zu etablieren.
Mit Fördermitteln des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) entwickelt die OSB Alliance den "Sovereign Cloud Stack (SCS)". Der SCS liefert einen technischen Unterbau für das europäische Vorhaben Gaia-X und trägt somit zur europäischen digitalen Souveränität bei. Der Stack stellt Software, Betriebsprozesse und Standards für eine digital souveräne, nachvollziehbare und freie Cloud-Infrastruktur bereit und baut ein Netzwerk aus Cloud-Anbietern auf. Diese föderierbaren Clouds erlauben es Anwendern, Daten und Rechenleistung sicher in eine Cloud ihrer Wahl mit europäischem Datenschutz und zertifizierbaren Sicherheitsstandards auszulagern und dabei aufgrund der gewährleisteten Interoperabilität den sog. "Vendor-Lock-In" zu vermeiden. Das Projekt wird von vielen beteiligten Unternehmen getragen. Wichtige Bausteine des Gesamtvorhabens werden außerdem öffentlich ausgeschrieben.
SCS Plattformen sind häufig interessant für Bereiche mit erhöhten Sicherheitsanforderungen. Das Projekt berücksichtigt dies in der Architektur und will von vornherein einerseits besondere Absicherungen in die Plattform einbauen und andererseits den Entwicklern auf der Plattform auch Werkzeuge bereitstellen, die bei der Absicherung der Anwendungen (unter Nutzerkontrolle) helfen. Letzteres soll allerdings zunächst nur vorbereitet werden - die Umsetzung und Bereitstellung müsste in einem Folgeprojekt umgesetzt werden. Die Absicherung der Infrastruktur hat einige Aspekte: Die Zulieferungswege der quelloffenen Software muss abgesichert werden; die Authentizität der eingesetzten Technologie muss überprüft werden. Darüber hinaus wird es Sicherheitstests geben, welche den Inhalt von Artefakten (Containerimages usw.) entsprechend auf Lücken überprüfen. Das Verhalten zur Laufzeit wird entsprechend von Richtlinien beobachtet und Fehlverhalten verhindert und/oder gemeldet. Für hohe Anforderungen an die Isolation von Containern der Nutzer sollen Techniken evaluiert und angeboten werden, welche mittels leichtgewichtiger Virtualisierung Container besonders absichern können.
Gegenstand der Ausschreibung ist eine Rahmenvereinbarung mit einem Unternehmen über Programmier- und sonstige Dienstleistungen für die Entwicklung, Dokumentation, Validierung und Integration von Open Source Software zur Bestimmung der Stückliste der Softwarekomponenten (SBOM) in der Referenzimplementierung von Sovereign Cloud Stack (SCS) zwecks Überprüfung der Authentizität, Erfassung der Lizenzen und insbesondere dem Management von Sicherheitsinformationen (insbesondere auch Sicherheitslücken) der genutzten Stücke auf Basis des Open-Source Review Toolkits.
Der vorliegende Auftrag dient der Umsetzung des vom BMWK geförderten Projekts "Sovereign Cloud Stack - Ein offener, souveräner, föderierbarer Infrastrukturstack für GAIA-X".
Es müssen pro Bieter ein bis zwei Berater:innen angeboten werden, die unterschiedliche Erfahrungen und Qualifikationen haben dürfen, soweit die Berater:innen zusammen über die zur Auftragsdurchführung erforderlichen Kompetenzen und Erfahrungen verfügen. Sämtliche angebotenen Berater:innen müssen die Einzelaufträge durchführen. Ein Austausch der Berater:innen ist nur aus einem unabdingbaren Grund mit Einwilligung des Auftraggebers gegen Berater:innen mit vergleichbarer Qualifikation und Erfahrung zulässig. Der Auftragnehmer kommuniziert dies umgehend mit dem Auftraggeber. Weitere Einzelheiten hierzu finden sich in der Anlage Nr. 4 zum EVB-IT-Vertrag "Besondere Anforderungen an das Personal". Es wird klargestellt, dass die Bieter und der Auftragnehmer keine besondere Rechtsform erfüllen müssen - insbesondere können auch Selbständige (als Bieter) am Vergabeverfahren teilnehmen und "sich selbst" als Berater anbieten.
Eine Mindestabnahmeverpflichtung besteht nicht. Es gilt eine verbindliche Höchstabnahmegrenze in Höhe von 194.560,00 EUR netto. Dafür wird über die Projektlaufzeit bis voraussichtlich Ende September 2024 - einschließlich einer einjährigen Verlängerungsoption bis Ende September 2025 - eine Leistung von insgesamt 19 Personenmonaten à 16 Arbeitstagen erwartet. Die Ermittlung des wirtschaftlichsten Angebots erfolgt daher bei einem festgelegten Tagessatz (640,00 EUR netto) ausschließlich über qualitative Kriterien.
Die Begründung für einen Rahmenvertrag liegt in der agilen Arbeitsweise in diesem Projekt. Wie der Leistungsbeschreibung genauer zu entnehmen ist, sind Einzelabrufe der auftragsgegenständlichen Leistungen geplant, wobei sich das konkrete Volumen aus den (normalerweise monatlichen) Planungsgesprächen ergeben wird. Damit wird einer nicht genau vorhersehbaren Projektentwicklung Rechnung getragen, indem in kurzen Entwicklungsschritten/Iterationen die nächsten Entwicklungsstufen definiert werden, sodass vor diesem Hintergrund die im Einzelnen erforderlichen Tätigkeiten/Arbeitspakete abgerufen werden können. So soll trotz der hohen technischen Komplexität des Projektes eine hohe Effizienz, Geschwindigkeit und Qualität erreicht werden.
CPV-Code / Auftragsgegenstand
72265000-0
Software-Konfiguration
Abgabefrist