E-Learning-Plattform für Informationssicherheit

Die Unfallversicherung Bund und Bahn (UVB) beabsichtigt die Einrichtung einer E-Learning-Plattform zur Sensibilisierung ihrer Beschäftigten für Informationssicherheit, Datenschutz und DSGVO. Die Plattform soll spielerisch und interaktiv Wissen vermitteln und auch eine Phishing-Simulation beinhalten. Die Ausschreibung umfasst die Bereitstellung, Einrichtung, Einweisung, den Support und die Wartung einer browserbasierten E-Learning-Plattform, die von den Auftragnehmenden betrieben wird. Die Plattform muss für etwa 550 Beschäftigte zugänglich sein und den Zugriff über den Web-Browser Edge ermöglichen. Technischer Support bei Störungen und Bedienungsfragen ist per E-Mail, Telefon oder persönlich in deutscher Sprache gefordert. Begleitender fachlicher Support bei der Durchführung, Auswertung und Entwicklung von Sensibilisierungsaktivitäten ist ebenfalls Teil der Leistung. Die Plattform muss zu 100% DSGVO-konform sein und Daten ausschließlich innerhalb der EU verarbeiten. Unterauftragnehmende müssen ihren Sitz ebenfalls in der EU haben. Jegliche Kommunikation muss in deutscher Sprache erfolgen. Die Plattform soll interaktive Module und Lernvideos enthalten, die verschiedene Themen der Informationssicherheit mit unterschiedlichen Schwierigkeitsgraden abdecken. Zusätzliche Lerninhalte zu KI, Datenschutz (DSGVO-spezifisch), Compliance und dem allgemeinen Gleichbehandlungsgesetz sind gefordert. Die Module sollen kurz und präzise sein, maximal 15 Minuten dauern und jederzeit unterbrochen werden können. Eine Erkenntnisabfrage mittels Quiz ist vorgesehen, und die Beschäftigten sollen einen Überblick über ihren Lernfortschritt erhalten. Die Lerninhalte sind von der auftragnehmenden Seite zu erstellen und an die Bedürfnisse der UVB anzupassen. Die Richtlinien der UVB, die dem BSI-Standard entsprechen, sollen einfließen können und werden nach Zuschlagserteilung weitergeleitet. Lernende sollen durch Perspektivwechsel, wie die Rolle des Angreifers, neue Erfahrungen sammeln. Eine Phishing-Simulation mit einer Vielzahl von Phishing-Mails zu diversen Themen, die an die Bedürfnisse der UVB angepasst werden können, ist ebenfalls gefordert. Die Anwendenden erhalten mindestens zwei Phishing-Mails pro Monat, die verschiedene technische Vektoren wie Makroaktivierung und Credential-Theft simulieren. Die Phishing-Mails sollen spezifischen Nutzungsgruppen zugesendet und mit Nutzerdaten personalisiert werden können. Die Versandzeiten sind individuell anpassbar. Einfache Meldewege für verdächtige E-Mails und Schnittstellen zwischen der E-Learning-Plattform und der Phishing-Simulation sind erforderlich. Zu jedem Phishing-Template müssen detaillierte Erklärungen zur Erkennung des Angriffs bereitgestellt werden. Eine barrierefreie Nutzung der Anwendung ist sicherzustellen, und die Lerninhalte müssen stetig weiterentwickelt und schnell an aktuelle Begebenheiten angepasst werden. Zertifikate für absolvierte Trainings sollen ausgestellt werden können, und Nutzende sollen Feedback abgeben können. Analytics-Daten sind exportierbar, und Module können individuell nach Fachgruppen ausgespielt werden. Dedizierte Ansprechpersonen für die Implementierungsphase und die gesamte Vertragslaufzeit sind zu benennen, wobei immer eine Vertretung zur Verfügung stehen muss. Die Ansprechpersonen und deren Vertretungen bleiben konstant und Änderungen bedürfen der Abstimmung mit der UVB. Die Module müssen zeitversetzt freischaltbar sein, um die Steuerung der Lerninhalte zu ermöglichen. Pflichtmodule können in Gruppen gegliedert und individuell zugewiesen werden, und eine Unterscheidung zwischen Pflicht- und freiwilligen Modulen muss möglich sein. Eine sichere Nutzenden-Authentifizierung ist erforderlich, und Änderungen von Stammdaten müssen einfach und ohne Datenverlust möglich sein. Die Lösung soll mit dem Active Directory der UVB verknüpft werden können, wobei eine hohe Verschlüsselung zu beachten ist. Ein direkter Datenupload soll nicht möglich sein. Die Plattform muss auch auf mobilen Endgeräten nutzbar sein und auf einem deutschen Server gehostet werden. Informationen über absolvierte Pflichtmodule sollen automatisiert in die Weiterbildungssoftware Caruso eingepflegt werden. Die Leistungszeitraum erstreckt sich über drei Jahre ab Zuschlagserteilung. Die Auftragnehmende verpflichtet sich zur Einhaltung der Datenschutzordnung und zur Nichtnutzung oder Weitergabe von Daten. Die Angebote werden ausschließlich elektronisch über die E-Vergabeplattform des Bundes übermittelt. Das Angebot muss ein Konzept zur Umsetzung der Anforderungen enthalten, das maximal 20 Seiten DIN A4 umfasst, sowie eine Teststellung mit einem bereitgestellten Link. Die Bewertung der Angebote erfolgt zu 40% nach Preis und zu 60% nach dem Konzept.