Vorwort
Bei der Plattform www.evergabe-online.de handelt es sich um die Vergabeplattform des Bundes. Die Nutzung der e-Vergabe ist kostenfrei, sie benötigen lediglich einen Computer, einen Internetzugang und ggf. ein elektronisches Zertifikat.
1 Einleitung
Dieser Artikel zeigt Unternehmen die Voraussetzungen zur Nutzung der e-Vergabe auf. Sowohl die organisatorischen als auch die technischen Voraussetzungen, d.h. die Ausstattung von Arbeitsplatzrechnern der Mitarbeiter und die benötigte Hard- und Software sind hier erläutert.
Der Artikel ersetzt nicht die Anleitungen und Handbücher, die im Menü unter Unternehmen -> Anleitungen zur Verfügung stehen.
Sind alle hier erläuterten Voraussetzungen im Unternehmen gegeben, können Sie sich für die e-Vergabe registrieren. Nach der Registrierung sind Sie in der Lage, Vergabeunterlagen elektronisch von der Plattform abzurufen sowie Angebote elektronisch und digital signiert zu versenden
2 Organisatorische Voraussetzungen
Um an Ausschreibungen der e-Vergabe teilnehmen zu können, steht Ihnen unsere Web-Anwendung AnA-Web zur Verfügung. Sie können sich als Unternehmen kostenfrei Registrieren. Im Zuge der Registrierung wird der erste Benutzer (Administrator) samt Zugangsdaten erstellt. Als Administrator haben Sie die Möglichkeit weitere Benutzer anzulegen. Das Konzept der e-Vergabe sieht vor das sich ein Unternehmen registriert und darunter alle weiteren Benutzer angelegt werden. Es ist also nicht notwendig dass sich jeder Benutzer eine eigene Unternehmensregistrierung anlegt.
Innerhalb des AnA-Web, können Sie Ihre Nutzer in Gruppen und mit bestimmten Rollen organisieren. Weitere Informationen hierzu finden Sie in unserem Benutzerleitfaden zu AnA-Web.
2.1 Datenschutz
Der Schutz von Daten, die im Rahmen der e-Vergabe lokal beim Nutzer verarbeitet werden obliegt der Verantwortung des jeweiligen Nutzers. Für Vorschläge zur Ergreifung von entsprechenden Schutzmaßnahmen sehen Sie bitte im Folgenden: „5. Sicherheitshinweise“
3 Technische Voraussetzungen
Folgende technische Voraussetzungen sind von Ihnen zu treffen.
3.1 Internetanschluss
Die Anbindung an das System e-Vergabe erfolgt über das Internet. Es werden die beiden Standardprotokolle HTTP und HTTPS (TLS 1.2) verwendet.
Zusätzlich sollten Sie dafür Sorge tragen, dass bei Ihnen https://download.evergabe-online.de, https://www.evergabe-online.de und Port: 443 in Firewalls und Proxys freigegeben sind.
Die e-Vergabe prüft das zur Verschlüsselung der Übertragung genutzte Zertifikat. Sollten Sie z.B. eine Proxy-Lösung nutzen, die das Zertifikat austauscht, müssen Sie für die e-Vergabe eine Ausnahme einrichten.
Bitte beachten Sie, dass abhängig vom Umfang der Verfahren sowie von der Bandbreite Ihres Internetanschlusses das Hochladen von Dokumenten unterschiedlich lange dauern kann.
3.2 Arbeitsplatzrechner der Mitarbeiter unter Windows
Die Anwendungen der e-Vergabe sind für die Installation und Nutzung auf einem FatClient getestet und optimiert. Die Funktionsfähigkeit der e-Vergabe Clients bei Nutzung z.B. im Rahmen von Terminalserverlösungen können wir nicht sicherstellen. Wir empfehlen daher ausdrücklich die Nutzung einer lokalen Installation auf einem Einzelarbeitsplatzrechner. Speichern Sie verwendete Daten und Unterlagen, vor Verwendung mit den Anwendungen der e-Vergabe, lokal ab.
3.3 Hardware:
Mindestens 2 GB Arbeitsspeicher
3.4 Unterstützte Betriebssysteme:
Windows (8 und 10), MacOS (ab OS X 10.11), Linux
3.5 Software:
Die erforderliche Software „e-VergabeAPP“ wird in Form eines Installers (EXE Datei) bereitgestellt. Die Anwendung basiert auf einer Java Laufzeitumgebung die bei erster Installation automatisch heruntergeladen und installiert wird. Hierfür wird standardmäßig das e-Vergabe-Verzeichnis in Ihrem Benutzerordner verwendet.
Für die Installation und Ausführung sind in der Regel keine Administratorrechte notwendig, es sei denn, dies wurde auf Ihrem Rechner von Ihrem IT-Dienstleister eingeschränkt.
Die Anwendungen prüfen bei jedem Start, ob sie aktuell sind. Ist dies nicht der Fall, erfolgt eine Aktualisierung. Dies erfolgt durch den Download eines aktualisierten Installers ( EXE Dateien). Aktualisierungen erfolgen regelmäßig (ca. alle vier Wochen) und können nicht verschoben werden. Die Web-Server der e-Vergabe unterstützen nur das Verschlüsselungsprotokoll TLS 1.2.
Darüber hinaus sind folgende technische Voraussetzungen zu treffen um Vergabeunterlagen ausfüllen zu können.
- PDF-Viewer (z.B. Adobe Acrobat Reader DC) (wichtige Hinweise)
- Einige Verfahren erfordern spezifische Software, um die angebotenen Dateien bearbeiten zu können. Die dafür notwendige Software finden Sie auch über unseren Bereich Unternehmen -> Software. Beispielsweise LV-Cockpit um AIDF Leistungsverzeichnisse bearbeiten zu können. Bitte beachten Sie, dass diese Software nicht von uns zur Verfügung gestellt wird und wir darauf keinerlei Support leisten können.
- Vor der Abgabe von Angeboten oder Teilnahmeanträgen muss die e-VergabeAppinstalliert werden. Diese ermöglicht erst die sichere Abgabe von Angeboten oder Teilnahmeanträgen.
3.5 Webbrowser:
Für die Nutzung der e-Vergabe im Web-Browser können Sie aktuelle Webbrowser nutzen, wie zum Beispiel Google Chrome, Microsoft Edge, Mozilla Firefox oder Apple Safari.
JavaScript sollte im Webbrowser aktiviert sein. Ohne Javascript kann nicht der volle Funktionsumfang der e-Vergabe genutzt werden.
4 Signaturkomponenten
Abhängig von der Verfahrensart der Ausschreibung und dem Vergaberechtsrahmen kann es erforderlich sein, dass Sie Dokumente elektronisch Signieren müssen. Dazu ist zwingend ein Signaturzertifikat (dateibasiert oder Karte) erforderlich. In vielen Fällen ist die einfache Signatur in Textform zulässig. In diesem Fall wird kein zusätzliches Signaturzertifikat benötigt.
Bitte prüfen Sie die Vergabeunterlagen was im Einzelfall notwendig ist. Die Vergabestelle gibt die Signaturmöglichkeiten in Angeboten und Teilnahmeanträge je Verfahren vor. Bitte prüfen Sie die Vergabeunterlagen oder halten Sie Rücksprache um abzuklären was im Einzelfall notwendig ist.
Die unterstützten dateibasierten Zertifikate und Signaturkarten finden Sie im Menüpunkt Service / Unterstützte Zertifikate.
5 Sicherheitshinweise
Die über die e-Vergabe-Plattform abgewickelten Vergabeverfahren haben für alle Beteiligten einen hohen Wert. Aus diesem Grund wird auf die sichere Entwicklung der verschiedenen Plattformkomponenten (Server und Clients) und deren sicheren Betrieb besonders Wert gelegt. Während der sichere Betrieb der zentralen Server-Komponenten durch eine Vielzahl von Sicherheitsmaßnahmen auch im Rechenzentrum gewährleistet werden kann, muss der sichere Betrieb der Clients im Wesentlichen durch die Anwender selbst bzw. deren IT-Abteilungen sichergestellt werden. Das Beschaffungsamt des Bundesministeriums des Innern unterstützt die e-Vergabe-Anwender, indem es Clients für die Plattform bereitstellt, die nicht nur durch deren Entwicklung ein hohes Sicherheitsniveau aufweisen, sondern deren Authentizität und Integrität vom Anwender überprüft werden kann. Der Anwender kann sich also immer sicher sein, dass er die richtige Software verwendet.
Die Bereitstellung einer sicheren Client-Anwendung kann aber immer nur ein Teil eines sicheren Nutzungsszenarios sein. Mindestens genauso wichtig ist, die Anwendungen auf sicher konfigurierten Computern zu betreiben. Dieses Dokument soll dabei helfen, diese Voraussetzung zu schaffen.
Im ersten Teil werden eher allgemeine Hinweise zur Sicherheit Ihres Computers gegeben. Dabei wird auch auf weiterführende Literatur z. B. des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwiesen. Der zweite Teil dieses Dokuments beschäftigt sich konkret mit Sicherheitsmaßnahmen im Kontext der e-Vergabe-Clients.
5.1 Allgemeine Sicherheitsmaßnahmen
Auch wenn eine Software im Hinblick auf größtmögliche Sicherheit entwickelt wurde, kann sie keine Sicherheit garantieren, wenn der Computer von Schadcode befallen ist, auf dem sie ausgeführt wird. So können beispielsweise auf einem befallenen Computer Tastatureingaben wie Benutzernamen und Passworte abgefangen und per Internet an den Angreifer übermittelt werden. Auf diese Weise können ggf. auch vertrauliche Dokumente an einen Angreifer fallen und von diesem Missbraucht werden. Auch die Manipulation von Kartenlesern für den Smartcard-Einsatz kann von einem entfernten Angreifer durchgeführt werden.
Auch unabhängig von der Nutzung der e-Vergabe-Clients liegt es also im Interesse des Anwenders, seinen Computer vor Angriffen zu schützen. Im Folgenden werden Hinweise auf eine solche Absicherung gegeben. Sie stellen aber keine vollständige Auflistung notwendiger Sicherheitsmaßnahmen dar, sondern dienen eher dem Einstieg in die Absicherung des Computers.
Da Informationstechnik und insbesondere die Sicherheit in der Informationstechnik häufig als komplizierte Themenbereiche gesehen werden und daher die Beschäftigung damit gerne vermieden wird, sei hier auf ein Internetangebot des BSI verwiesen: Unter https://www.bsi-fuer-buerger.de/werden viele Aspekte der IT-Sicherheit in leicht verständlicher Sprache erklärt und Hinweise auf geeignete Sicherheitsmaßnahmen gegeben.
5.1.1 Absicherung des Client-PC gegen Schadcode
Mit Schadcode werden Programme jeglicher Art bezeichnet, die versuchen, bösartige Aktivitäten eines Angreifers auf einem angegriffenen Computer auszuführen. Dazu gehören beispielsweise Viren und Trojaner, aber auch in Office-Dateien können schädliche aktive Elemente (z. B. Makros) enthalten sein. Um sich bzw. den eigenen Computer gegen Schadcode zu schützen, sollten im Wesentlichen zwei Maßnahmen durchgeführt werden:
- Regelmäßige Installation von Aktualisierungen (Updates) für das Betriebssystem und Anwendungssoftware. Häufig macht es Sinn, diese Aktualisierungen automatisch installieren zu lassen, so dass dies nicht vom Anwender getan werden muss. So kann sichergestellt werden, dass Fehlerbehebungen zeitnah zum Einsatz kommen und die Angriffsfläche des Computers deutlich reduziert wird.
- Verwendung eines sogenannten Virenscanners, der zumindest täglich aktualisiert wird. Moderne Schutzsysteme leisten viel mehr als nur eine reine Untersuchung der Programmdateien auf Schadcode und bieten einen umfassenden Schutz.
Wichtig ist jedoch, dass es bei allen technischen Sicherheitsmaßnahmen keinen Ersatz für einen aufmerksamen Anwender gibt, der eingehende Mails und Interaktionen im Web-Browser mit der nötigen Aufmerksamkeit bearbeitet. Dies kann wesentlich effektiver Angriffsversuche aufdecken und das Einnisten von Schadcode vermeiden.
5.1.2 Sichere Nutzung von Web-Applikationen
Das BSI bietet nicht nur unter der o.g. Adresse Informationen zur Sicherheit im Internet, sondern hat unter https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Reihe_node.htmleine Reihe von Dokumenten bereit. Diese Reihe richtet sich zwar in erster Linie an Behörden, ist aber auch für Unternehmen interessant, die Ihre Internet-Kommunikation unter verschiedensten Aspekten absichern möchten. Im Kontext dieses Dokuments ist das Modul „Sichere Nutzung von Web-Angeboten“ (https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Web-Client/web_client_node.html) interessant. Jedoch muss wie immer bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigt werden, welche Anforderungen die konkret zu nutzende Web-Applikation hat.
Da der Einstieg in die e-Vergabe normalerweise über die Seite www.evergabe-online.deerfolgt, sollte der Zugriff über einen sicheren Browser erfolgen. Hinweise zur Auswahl und sicheren Konfiguration des Browsers finden sich z. B. unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Sicherheitscheck_Webbrowser.html. Für den Browser sollten neue Versionen zeitnah nach Erscheinen installiert werden. Hierzu sind in vielen Browsern Automatismen vorgesehen, die unbedingt aktiviert werden sollten.
Wichtig ist, dass immer eine verschlüsselte Kommunikation per HTTPS einer ungesicherten Kommunikation via HTTP vorzuziehen ist. Bei allen Web-Angeboten sollte daher die Adresse mit der Zeichenkette „https://“ beginnen, was vom Browser mit einem geschlossenen Schlosssymbol bestätigt wird. Dies gilt insbesondere auch für Zugriffe auf die e-Vergabe, da nur so sichergestellt werden kann, dass man wirklich mit den Servern der e-Vergabe kommuniziert und keinen gefälschten Web-Angeboten krimineller Angreifer aufsitzt.
Die e-Vergabe-Plattform weist sich mit einem DFN-SSL-Zertifikat aus, welches für die Organisation „Informationstechnikzentrum Bund (ITZBund)“ ausgestellt ist. Dieses Zertifikat wird von allen Browsern erkannt. Sollte es dennoch zu einer Zertifikatswarnung des Browsers kommen, sollte die Verbindung abgebrochen und der e-Vergabe-ServiceDesk benachrichtigt werden.
5.2 Nutzung der e-Vergabe-Clients
Für die Nutzung der e-Vergabe-Clients gibt es verschiedene Voraussetzungen, z. B. zu unterstützten Betriebssystemen oder Zertifikaten. Alle hierzu notwendigen Informationen können unter https://www.evergabe-online.info/abgerufen werden. Sie finden dort unter anderem einen FAQ Bereich. Auch werden dort jeweils aktuelle Informationen zur e-Vergabe veröffentlicht, so dass sich ein Besuch dieser Website ohne konkreten Anlass lohnt.
5.2.1 Korrekte Zeiteinstellung
Um Probleme bei der Nutzung der e-Vergabe gerade im Zusammenhang mit Fristen der Vergabeverfahren zu vermeiden, sollte sichergestellt werden, dass die Einstellung von Datum und Uhrzeit korrekt ist. Bei der Abgabe von Teilnahmeanträgen und Angeboten zählt immer die Zeiteinstellung der Server der e-Vergabe-Plattform, die hierfür auf eine automatische Zeitsynchronisation mit einer vertrauenswürdigen Zeitquelle konfiguriert sind. Eine solche automatische Zeitsynchronisation sollte auch für die Computer eingerichtet sein, auf denen die e-Vergabe genutzt wird.
5.2.2 Download und Installation der e-Vergabe-Clients
Alle Anwendungen für Unternehmen finden Sie zum herunterladen unter https://www.evergabe-online.de/unter dem Punkt „Unternehmen“. Sie finden dort ebenfalls den Unterpunkt „Anleitungen“. Dort sind die Handbücher und Installationsanleitungen für Sie hinterlegt.
5.2.3 Schutz der Signaturzertifikate
Für das elektronische Signieren wird ein Zertifikat in Form einer Signaturkarte (Qualifizierte Signatur) oder in Dateiform als sogenanntes Soft-Zertifikat (Fortgeschrittene Signatur) benötigt. Bei Signaturkarten ist der zum Zertifikat gehörende Private Schlüssel sicher auf der Karte untergebracht und
kann dementsprechend von einem Angreifer nicht entwendet werden. Dennoch empfiehlt es sich, die Smartcard bei Nichtgebrauch aus dem Kartenleser zu entfernen, um jedes Restrisiko eines Missbrauchs auszuschließen.
Bei der Verwendung von fortgeschrittenen Signaturen wird das Signaturzertifikat mitsamt dem zugehörigen privaten Schlüssel in einer Datei bereitgestellt. Diese hat typischerweise die Dateiendung .p12. Während bei Smartcards der Schlüssel nicht entwendet werden kann, besteht bei den sogenannten Soft-Zertifikaten die Gefahr, dass ein Angreifer mittels einer auf den Computer eingeschleusten Schadsoftware die p12-Datei entwendet. Greift er dann noch Tastatureingaben und damit das Passwort der p12-Datei ab, kann er beispielsweise beliebige Dokumente im Namen des bestohlenen digital unterschreiben. Um dieses Risiko zu reduzieren, sollte das Softzertifikat möglichst auf einem mobilen Datenträger (USB-Stick) untergebracht sein, der nur zur Arbeit mit dem e-Vergabe-Client in den Computer gesteckt und sonst sicher aufbewahrt wird.
5.2.4 Verwendung des e-Vergabe-Signaturclients
Auch wenn für die Erstellung und Prüfung digitaler Signaturen für die e-Vergabe beliebige Werkzeuge eingesetzt werden können, empfiehlt es sich, die von der e-Vergabe bereitgestellten Signaturclients zu verwenden. Vorteilhaft ist hier insbesondere die enge Integration, die z. B. dafür sorgt, dass Signaturen an der richtigen Stelle in einer Form aufgebracht werden, die eine problemlose Weiterverarbeitung der signierten Dokumente ermöglicht. Zudem wurde bei der Auswahl des zugrundeliegenden Signaturtools darauf geachtet, dass alle gesetzlichen Vorgaben eingehalten werden. Zudem wird durch die komfortable Integration der Signatur-Funktionen in die e-Vergabe-Clients die Wahrscheinlichkeit von Fehlern bei der Abgabe von signierten Dokumenten verringert.
Grundsätzlich gilt für die Verwendung von digitalen Signaturen, dass sie in geeigneter Weise überprüft werden müssen. Eine rein optische Prüfung der visuellen Darstellung einer Signatur innerhalb des PDF-Dokuments lediglich ein Indiz auf die Auftragung einer Signatur und kann die Prüfung mit dem Signaturclient keinesfalls ersetzen! Im Handbuch zum Signaturclient wird die Prüfung im Detail beschrieben.
6 Support
Bei technischen Fragen (keine Inhaltlichen) können Sie uns über das Kontaktformular oder innerhalb der Geschäftszeiten unter folgenden Kontaktdaten erreichen:
ticket@bescha.bund.de oder unter der Telefonnummer: 0228 99 610-1234 erreichen.
Geschäftszeiten:
Montag bis Donnerstag: 08:00 - 16:00 Uhr.
Freitag von 08:00 - 14:00 Uhr.