Procurement of On-Premises Antivirus Appliance Solution for Hessian State Government

Die Leistung umfasst folgende Komplexe: • Befristete Überlassung der Software (Betriebssystem/Anwendungssoftware, auch Software-Appliances) o Bei Software-Appliances sind auch die dafür benötigten Lizenzen der Virtualisierungsumgebung zum Einsatz auf bare-metal-Servern enthalten.

• Pflege der Software o Bereitstellung aller aktuellen Software-Patches und Updates (Hersteller-Subskription) sowie relevanter Informationen zu der Software während der Vertragslaufzeit, o Bereitstellung aktueller Signaturdateien. • Bei Hardware-Appliances zusätzlich o Überlassung und Bereitstellung der Hardware in Form einer Appliance-Lösung.

Für die Hardware der Appliance müssen Konformitätserklärungen gemäß der Niederspannungsrichtlinie 2014/35 EU vorliegen. Der Nachweis dazu kann entweder über die Vorlage des Dokuments oder die Vorlage einer Bestätigung des Herstellers oder des Inverkehrbringers über die Erfüllung dieser Richtlinie geführt werden.

Ebenso ist die Vorlage einer Produktbeschreibung/eines Handbuchs mit einem Verweis auf die "Erstellung [der Geräte] nach dem Produktsicherheitsgesetz" oder auf die "IEC 62328-1" als Nachweis ausreichend.

o Bereitstellung der nötigen Hersteller-Subskription und Wartungsleistungen für die Systeme • Bei Bedarf Dienstleistung für die Integration der AV-Lösung in die existierende Infrastruktur-Umgebung, die Inbetriebnahme der Lösung sowie Unterstützung bei der Übernahme der Funktionen der bisherigen Lösung inklusive der Migration des Regelwerkes der existierenden Lösung auf die neuen Systeme.

• Weiterhin verpflichtet sich der Auftragnehmer, den Auftraggeber bei produktspezifischen Problemen bzw. Support Cases zu unterstützen. Hierunter sind alle Störungen zu fassen, welche die einwandfreie Funktion und/oder die Lauffähigkeit der Software beeinträchtigen. • Bei Bedarf Übernahme des Betriebs der Lösung (24/7/365) in der bestehenden Umgebung. Weitere Details sind der Leistungsbeschreibung zu entnehmen.

Besonderheiten zu den Produkten der Hersteller Kaspersky und McAfee/Trellix/Check Point Angebote, mit denen Produkte des Herstellers Kaspersky angeboten werden, werden für den Zuschlag abgelehnt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit dem 15.

März 2022 vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/2022/BSI_W-004-220315.pdf?__blob=publicationFile&v=12). Gemäß § 1 Abs. 2 Nr. 4 des Hessischen Sicherheitsüberprüfungs- und Verschlussachengesetzes (HSÜVG) i.V.m. § 1 Nr.

3 der Verordnung zur Bestimmung lebenswichtiger Einrichtungen nach dem Hessischen Sicherheitsüberprüfungsgesetz (Sabotageschutzverordnung) ist im Geschäftsbereich des Hessischen Ministeriums der Finanzen die Hessische Zentrale für Datenverarbeitung zur lebenswichtigen Einrichtung mit sicherheitsempfindlichen Stellen eingeordnet worden. Nach § 2 Abs. 4 Nr.

2 HSÜVG sind solche Einrichtungen "lebenswichtig", die "für das Funktionieren des Gemeinwesens unverzichtbar sind und deren Beeinträchtigung zu einer Gefährdung der Versorgung der Bevölkerung mit wichtigen Dingen des Lebens führen oder erhebliche Unruhe in großen Teilen der Bevölkerung und somit Gefahren für die öffentliche Sicherheit oder Ordnung entstehen lassen würde".

Daher darf sich die HZD für das Land Hessen keinem erhöhten Risiko aussetzen durch den Einsatz eines Virenschutzprodukts eines russischen Herstellers, zu dessen Produkten noch dazu eine Warnung des BSI vorliegt. Ebenso werden Angebote abgelehnt, mit denen Produkte des Herstellers McAfee oder des Herstellers Check Point angeboten werden.

Produkte des Herstellers McAfee/Trellix dürfen nicht angeboten werden, denn zur Sicherstellung eines mehrstufigen Scanprozesses, der den Empfehlungen des BSI entspricht, muss für die Malware-Analyse an den geplanten Einsatzorten eine andere Software eingesetzt werden als auf den Endgeräten innerhalb der Landesverwaltung.

Derzeit werden als landesinterne Virenschutz-Lösung die Produkte der Firma McAfee/Trellix eingesetzt. Das Land Hessen hat in seiner "Informationssicherheitsleitlinie für die Hessische Landesverwaltung" festgeschrieben, dass die Vorgaben und Empfehlungen des BSI zu berücksichtigen sind.

Daraus ergibt sich, dass auch die HZD den Empfehlungen des BSI folgt und hinsichtlich der eingesetzten Virenschutzsoftware eine Multi-Vendor-Strategie verfolgt. Daher muss bei der neu zu beschaffenden Lösung ein anderes Virenschutzprodukt zu Einsatz kommen als auf den Endgeräten.