Beschaffung einer Antiviren- und Antispam-Lösung (Bereitstellung als Software, Software-Appliance oder Hardware-Appliance) in der E-Mail-Infrastruktur am Internetübergang des Landes Hessen

<div class="h1">Titel</div> <div class="pre">Beschaffung einer Antiviren- und Antispam-Lösung (Bereitstellung als Software, Software-Appliance oder Hardware-Appliance) in der E-Mail-Infrastruktur am Internetübergang des Landes Hessen</div> <div class="h1">Beschreibung</div> <div class="pre">Die Kommunikation und der Informationsaustausch mittels E-Mail mit externen Kommunikationspartnern über das Internet ist eine wesentliche Voraussetzung für die Aufgabenerfüllung der hessischen Landesverwaltung. Die HZD bietet deshalb ihren Kunden einen umfassenden, sicherheitstechnisch geschützten Zugang in das Internet. Ein entscheidender Teilbereich ist die Bereitstellung von E-Mail-Funktionalitäten. Umfang/Volumen a) Im Falle der Bereitstellung als Software oder Software-Appliance: Zeitlich befristete Überlassung einer Antivirus- und einer Antispam-Software-Lösung (On-Premises) für die Nutzung durch mindestens 175.500 Benutzer und die Annahme von mindestens 150.000 E-Mails täglich sowie für die anschließende notwendige Pflege der Software (Produkt-Updates, Patches, Signaturen). oder b) Im Falle der Bereitstellung als Hardware-Appliance: Verkauf einer Antivirus-/Antispam-Hardware-Appliance-Lösung (On-Premises) für die Nutzung durch mindestens 175.500 Benutzer und den Versand von mindestens 150.000 E-Mails täglich sowie für die Sicherstellung von Hersteller-Subskription und Wartung für die Systeme und für die anschließende Pflege der Software (Produkt-Updates, Patches, Signaturen). Gegenstand der Leistungserbringung ist die Überlassung einer geeigneten Antiviren- und Antispam-Software für E-Mail oder einer geeigneten Appliance-Lösung (Hard- oder Software-Appliance) im Umfeld des Internet-Zuganges des Landes sowie die dazugehörigen Pflege-Leistungen. Diese Lösung muss On-Premises arbeiten. Die Leistung umfasst die Komplexe: • Überlassung der Software (auch Software-Appliances) o Befristete Überlassung und Bereitstellung der Software • Pflege der Software o Bereitstellung aller aktuellen Software-Patches und -Updates (Hersteller-Subskription) und relevanter Informationen o Bereitstellung aktueller Signaturdateien • Bei Hardware-Appliances zusätzlich: o Überlassung und Bereitstellung der Hardware in Form einer Appliance-Lösung o Bereitstellung der nötigen Hersteller-Subskription und Wartungsleistungen für die Systeme • Weiterhin verpflichtet sich der Auftragnehmer, den Auftraggeber bei produktspezifischen Problemen bzw. Support Cases zu unterstützen. Hierunter sind alle Störungen zu fassen, welche die einwandfreie Funktion und/oder die Lauffähigkeit der Software und/oder der Appliance bzw. der Hardware beeinträchtigen. •Bei Bedarf: Abruf von Consulting- und betrieblichen Unterstützungsleistungen o bei der Integration der Lösung in die komplexen Netzinfrastrukturen und in die existierende Umgebung des Landes Hessen, o bei der Inbetriebnahme der Lösung (Installation, Konfiguration) sowie bei der Übernahme der Funktionen der bisherigen Lösung inklusive der Migration des Regelwerkes der existierenden Lösung auf die neuen Systeme. Besonderheiten zu den Produkten der Hersteller Kaspersky und Trellix Angebote, mit denen Produkte des Herstellers Kaspersky angeboten werden, werden für den Zuschlag abgelehnt. Ein Zuschlag auf solche Angebote erfolgt daher in diesem Vergabeverfahren nicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit dem 15. März 2022 vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/2022/BSI_W-004-220315.pdf?__blob=publicationFile&v=12). In der Handlungsempfehlung wird im öffentlichen Bereich geraten: "Unternehmen und Behörden mit besonderen Sicherheitsinteressen/Rahmenbedingungen und Einrichtungen Kritischer Infrastrukturen sind in besonderem Maß gefährdet." Gemäß § 1 Abs. 2 Nr. 4 des Hessischen Sicherheitsüberprüfungs- und Verschlusssachengesetzes (HSÜVG) i.V.m. § 1 Nr. 3 der Verordnung zur Bestimmung lebenswichtiger Einrichtungen nach dem Hessischen Sicherheitsüberprüfungsgesetz (Sabotageschutzverordnung) ist im Geschäftsbereich des Hessischen Ministeriums der Finanzen die Hessische Zentrale für Datenverarbeitung zur lebenswichtigen Einrichtung mit sicherheitsempfindlichen Stellen eingeordnet worden. Nach § 2 Abs. 4 Nr. 2 HSÜVG sind solche Einrichtungen "lebenswichtig", die "für das Funktionieren des Gemeinwesens unverzichtbar sind und deren Beeinträchtigung zu einer Gefährdung der Versorgung der Bevölkerung mit wichtigen Dingen des Lebens führen oder erhebliche Unruhe in großen Teilen der Bevölkerung und somit Gefahren für die öffentliche Sicherheit oder Ordnung entstehen lassen würde". Daher darf sich die HZD für das Land Hessen keinem erhöhten Risiko durch den Einsatz eines Virenschutzprodukts eines russischen Herstellers aussetzen, zu dessen Produkten noch dazu eine Warnung des BSI vorliegt. Ebenso werden Angebote abgelehnt, mit denen Produkte des Herstellers Trellix (ehemals McAfee) angeboten werden. Ein Zuschlag auf solche Angebote erfolgt daher in diesem Vergabeverfahren nicht. Produkte des Herstellers Trellix dürfen ebenfalls nicht angeboten werden, denn zur Sicherstellung eines mehrstufigen Scanprozesses, der den Empfehlungen des BSI entspricht, muss für die Malware-Analyse an den geplanten Einsatzorten eine andere Software eingesetzt werden als auf den Endgeräten innerhalb der Landesverwaltung. Derzeit werden als landesinterne Virenschutz-Lösung die Produkte der Firma Trellix eingesetzt. Das Land Hessen hat in seiner "Informationssicherheitsleitlinie für die Hessische Landesverwaltung" festgeschrieben, dass die Vorgaben und Empfehlungen des BSI zu berücksichtigen sind. Daraus ergibt sich, dass auch die HZD den Empfehlungen des BSI folgt und hinsichtlich der eingesetzten Virenschutzsoftware eine Dual-Vendor-Strategie verfolgt. Daher muss bei der neu zu beschaffender Lösung ein anderes Virenschutzprodukt zu Einsatz kommen als auf den Endgeräten. Eine detaillierte Beschreibung des Leistungsgegenstandes ist der Leistungsbeschreibung zu entnehmen.</div> <div class="h1">Interne Kennung</div> <div class="pre">LOT-0000</div>