Vergabeverfahren für das PIAV-Zentralsystem

Im Beschaffungsverfahren für PIAV Operativ Zentral, das PIAV-Zentralsystem beim Bundeskriminalamt, wurden die Eignungskriterien für den Wunschkandidaten inzwischen mehrfach nachgebessert.

Mit hohen Punktzahlen wird der Bieter belohnt, der einen Umsatz von mehr als 30 Millionen € ausweisen kann und über 250 oder mehr Mitarbeiter verfügt, davon 125 oder mehr im Bereich der Softwareentwicklung. Ursprünglich verlangt war auch, dass der Kandidat Hersteller einer im polizeilichen Einsatz befindlichen ‚Standardsoftware‘ sein soll. Doch diese Anforderung, gepaart mit den nun nachgebesserten Eignungskriterien, erfüllt keine der Firmen, die bisher solche, als Standardsoftware in Frage kommende Fallbearbeitungssysteme an Polizeibehörden in Deutschland geliefert haben.

Während Insider Wetten darauf abschließen, mit welchem Schachzug sich dieses Rätsel auflösen wird, hält sich die Regierung im Bundestag äußerst bedeckt: Auf konkrete Fragen kommt vor allem heiße Luft und Selbstverständlichkeiten werden als Fortschritt verkauft.

Aktueller Status im Beschaffungsverfahren für PIAV-Zentral für das Bundeskriminalamt

Im Beschaffungsverfahren für PIAV-Operativ Zentral gibt es erwartungsgemäß noch keine Entscheidungen: Der Aufruf zur Abgabe von Teilnahmeanträgen an interessierte Unternehmen [1] wurde kurz nach Veröffentlichung gleich zweimal geändert [2] [3]. War ursprünglich die „Beschaffung einer Standard-Software vorgesehen, die sich bereits im vergleichbaren polizeilichen Umfeld im Einsatz befindet und die hinsichtlich der speziellen Anforderungen von PIAV-Operativ Zentral noch in einem überschaubaren Umfang angepasst werden kann“, spielt eine einsatzfertige Software inzwischen kaum noch eine Rolle.

Dies ist auch an der „Gesamtkostenschätzung“ zu erkennen, die der Antwort der Bundesregierung auf eine Anfrage der GRÜNEN aus dem September 2013 zu entnehmen ist [4]: Allein die PIAV-Zentralkomponente beim BKA soll 24 Mio Euro kosten, davon 22 Mio für „Anpassung und Entwicklung“. Lizenzkosten für den Kauf der Standardsoftware, die man angeblich sucht, kommen in der Gesamtkostenschätzung dagegen überhaupt nicht vor. Sucht man Software, die kostenlos zu erhalten ist? Oder ist das ein erster Hinweis darauf, dass unter dem Deckmantel der Beschaffung einer Standardsoftware tatsächlich eine Software-Entwicklung angestrebt wird?!

Für diese Annahme spricht auch die Anforderung an die wirtschaftliche Leistungsfähigkeit der künftigen Auftragnehmer: Erfolgreiche Bewerber um den PIAV-Projektrahmenvertrag sollen, um die Maximalzahl möglicher Punkte zu erreichen, 250 oder mehr Mitarbeiter haben, von denen 125 oder mehr „im Bereich der Softwareentwicklung“ tätig sein sollen. Sonderlich tiefe fachspezifische bzw. technische Kompetenz ist dagegen nicht mehr vonnöten: Wo in der ersten Veröffentlichung noch die Höchstpunktzahl erreicht werden konnte für „Schwerpunkt des Unternehmens ist die Erstellung von Analyse- und Recherchesoftware für Sicherheitsbehörden”, gewinnt ein Bewerber nach den beiden Korrekturen bereits die maximale Punktzahl, wenn er „die Vergleichbarkeit zum Vergabegegenstand darstellt und nachvollziehbar macht“. Ein zweiter Hinweis also auf den anzunehmenden Entwicklungsauftrag unter dem Mantel der angeblichen Software-Beschaffung.

Die Frist zur Abgabe von Teilnahmeanträgen ist Ende November abgelaufen. Die eingegangenen Bewerbungen dürften sich also derzeit in Prüfung befinden. Wie lange die dauern wird und wann mit einer Entscheidung zu rechnen ist, ist öffentlich nicht bekannt.

Viel heiße Luft im Bundestag bei Fragen nach dem PIAV

Frage nach deutschen Produkten und Anbietern: Nicht beantwortet!

Erneut warf das PIAV-Vergabeverfahren auch Fragen im Deutschen Bundestag auf: Diesmal war es der SPD-Abgeordnete Michael Hartmann, der von der Bundesregierung wissen wollte, „wie deutsche Produkte und Anbieter bei der Beschaffung des PIAV aus nationalen Sicherheitserwägungen berücksichtigt“ werden. Wie so häufig, kommt aus dem Bundesinnenministerium eine wortreiche Stellungnahme [7], die u.a. darüber belehrt, dass „gemäß der Richtlinie 2004/18/EG keine Diskriminierung von Unternehmen erfolgen“ darf. Wir trauen den Abgeordneten im Deutschen Bundestag und ihren Mitarbeitern durchaus zu, dass sie den Text von EU-Direktiven selbst lesen können. Umso mehr würden wir es, wie vermutlich auch die Abgeordneten, begrüßen, wenn das BMI gestellte Fragen tatsächlich beantwortet, anstatt immer wieder auf solch peinliche Art und Weise heiße Luft zu produzieren.

Eine Antwort auf die Frage nach der Berücksichtigung deutscher Unternehmen und Produkte findet sich jedenfalls nicht. Der Staatssekretär tut lediglich kund, dass „entsprechend den Regularien des Vergabeverfahrens“ „sich Firmen unabhängig von ihrem Firmensitz bewerben und ihre Produkte anbieten“ können. Man kann dies als dritten Hinweis darauf werten, dass die Beteiligung von fachlich in Frage kommenden deutschen Herstellern (, die die geforderten Mitarbeiter- bzw. Umsatzgrößen nicht erfüllen) von „Analyse- und Recherchesoftware für Sicherheitsbehörden“, ohnehin nicht vorgesehen ist. Denn die weniger als eine Handvoll Unternehmen, die entsprechende Software und die geforderten Referenzen für den Einsatz in Sicherheitsbehörden anbieten könnten, genügen den [willkürlich gesetzten] Anforderungen an Mitarbeiterzahl und Umsatz gerade nicht.

Frage nach evtl. Sicherheitslücken, z.B. bei amerikanischen Softwareanbietern: Auch nicht beantwortet!

Weiter wollte der Abgeordnete wissen, wie „z.B. bei amerikanischen Softwarenanbietern eventuell bestehende Sicherheitslücken ausgeschlossen“ werden.

Das Bündel von bei PIAV vorgesehenen Sicherheitsmaßnahmen, das der Staatssekretär hier zu präsentieren vermag, ist wahrlich beeindruckend, zumindest, was die Anzahl der Worte und Blumigkeit seiner Ausführungen angeht: Alle mit dem Auftrag betrauten Mitarbeiter des obsiegenden Unternehmens müssten sich auf das Datengeheimnis nach §5 Bundesdatenschutzgesetz verpflichten und einer Sicherheitsüberprüfung (Ü2) für sich und den Ehegatten bzw. Lebenspartner zustimmen. Diese umfasst Anfragen beim Bundeszentralregister, den Polizeibehörden, der Staatsanwaltschaft und den Verfassungsschutzbehörden. Wow! Man ist beeindruckt, ob dieser hohen und für Unternehmen im Sicherheitsbereich auch gänzlich neuen Anforderungen!

Nächster Baustein im Sicherheitskonzept ist die Geheimschutzbetreuung des Unternehmens durch das Bundeswirtschaftsministerium. Auf der einschlägigen Seite des BMWi findet man dazu die Erläuterung, dass diese „den Umgang mit Verschlusssachen des Bundes in Wirtschaftsunternehmen regelt“. Was der adäquate Umgang mit Verschlusssachen zu tun hat mit Sicherheitslücken in gelieferter (oder entwickelter) Software, bleibt allerdings das Geheimnis des Staatssekretärs.

Selbstverständlichkeiten werden als Fortschritt verkauft

Und nicht nur an Mitarbeiter und das Unternehmen wurde gedacht, nein, auch an die Software selbst unterliegt respektheischenden Sicherheitskontrollen: Sie wird nämlich, sagt der Staatssekretär, einem Sicherheitstest nach dem BSI-Grundschutz unterzogen als Bestandteil der Abnahmeprozedur. Erneut ist man beeindruckt: Sollte das BMI und das ihm nachgeordnete BKA nach Megapleiten bei der Softwarebeschaffung bzw. -entwicklung, wie z.B. Inpol-Neu, inzwischen tatsächlich gelernt haben, dass man für Software einen Abnahmetest durchführt, vor allem, wenn dafür zweistellige Millionenbeträge ausgegeben werden?!
[Nur am Rande sei übrigens bemerkt, dass es im streng juristischen Sinne ein Abnahmeverfahren zwar bei der Software-Erstellung gibt, nicht jedoch beim Kauf von Software-Lizenzen; vermutlich handelt es sich bei diesem Argument daher um eine Freud’sche Fehlleistung …]

Auch die nächste Mitteilung spricht für einen echten Lernerfolg bei BMI und BKA. Hatte man beim ‚Bundestrojaner‘ noch so seine Schwierigkeiten, vom Hersteller den Quellcode zu erhalten [5], so soll bei PIAV „die Offenlegung des Quellcodes und seine Dokumentation vertraglich festgelegt“ werden. Auch das ist jedoch eine Selbstverständlichkeit, vor allem für Software-Werkleistungen, um die es sich bei einer Auftragsentwicklung zweifellos handeln würde!
Es stellt sich zusätzlich dann allerdings die Frage, wer diesen Quellcode beim BKA fachkundig und objektiv prüfen sollte: Die Firma CSC Deutschland Solutions GmbH etwa, ein Unternehmen im Firmenverbund der amerikanischen Computer Sciences Corporation mit Sitz in Falls Church, Virginia?! Zumindest gäbe es für CSC Deutschland schon mal den passenden Auftrag, verfügt die Firma doch über einen mit 26,9 Millionen Euro ausgestatteten, mehrjährigen Rahmenvertrag des BKA über IT-Dienstleistungen mit dem Schwerpunkt der (Weiter-)Entwicklung von im BKA betriebenen „hoheitlichen Großverfahren“ [6]. Und schließlich war CSC auch schon behilflich beim Test des Staatstrojaners, wie die Süddeutsche Zeitung berichtete [8].

Endgültig beruhigend für den angenommen dummen Abgeordneten und Bürger soll wohl die Mitteilung wirken, dass PIAV „keine physische Verbindung zum Internet haben“ wird.
Dass es ungezählte andere/weitere Möglichkeiten gibt, ein bundesweites, zentrales polizeiliches Informationssystem und künftiges Sammelbecken aktueller kriminalpolizeilicher Ermittlungsergebnisse aus allen Ländern zu attackieren, zu korrumpieren und mit Abflussmöglichkeiten für Informationen zu versehen, läßt der Staatssekretär dabei ebenso geflissentlich, wie verantwortungslos unter den Tisch fallen.

Doch vielleicht gelingt es ja durch eine weitere Nachfrage, anstelle der heißen Luft, etwas mehr Substanz zu fördern oder das Bundesinnenministerium dazu zu bewegen, das sich abzeichnende nächste Desaster eines vom BKA zu verantwortenden Mega-IT-Projekts doch noch aufzuhalten. Dass Fragen inzwischen auch aus den Reihen der Regierungskoalition gestellt werden, ist zumindest ein ganz kleiner Hoffnungsschimmer.

Dieser Artikel ist Teil der Serie IT-Systeme und -Projekte |
Neues vom PIAV …

Hier finden Sie eine Liste aller bisher erschienener Artikel dieser Serie.

Quellen zu diesem Beitrag

[1]   Auftragsbekanntmachung über PIAV-Operativ-Zentral vom 29.08.2013

[2]   1. Korrektur der Auftragsbekanntmachung vom 14.09.2013

[3]   2. Korrektur der Auftragsbekanntmachung vom 25.09.2013

[4]   Polizeiliche Datensysteme zur Erfassung und Analyse Politisch motivierter Kriminalität – rechts,
     Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion Bündnis90/Die Grünen,
     16.09.2013, dort Antwort zu Frage 24 = Seite 18f
http://dipbt.bundestag.de/dip21/btd/17/147/1714753.pdf

[5]   Auskunft über Einsatz staatlicher Schadprogramme zur Computerspionage („Staatstrojaner“),
     Antwort der Bundesregierung vom 17.11.2011 auf eine Kleine Anfrage der Fraktion DIE LINKE,
     dort insbesondere Antworten zu den Fragen 2, 7 und 9
http://dipbt.bundestag.de/dip21/btd/17/077/1707760.pdf

[6]   Vergabebekanntmachung über Leistungen zur (Weiter-)Entwicklung und dem Betrieb von im BKA
     hoheitlich betriebenen (Groß-)Verfahren
http://ausschreibungen-deutschland.de/52787_Rahmenvertrag_fuer_IT-Dienstleistungen_fuer_IT-Entwicklungs-Projekte_und_den_IT-Betrieb_des_2012_Bonn

[7]   Schriftliche Fragen mit den in der Woche vom 9.12.2013 eingegangenen Antworten der
     Bundesregierung, dort Seite 12 bzw. Frage #13 und 14, DBT-Drs. 18/166
http://dipbt.bundestag.de/dip21/btd/18/001/1800166.pdf

[8]   Dubioser Partner der Regierung – Deutsche Aufträge für CSC, 16.11.2013, Süddeutsche Zeitung
http://www.sueddeutsche.de/politik/2.220/deutsche-auftraege-fuer-csc-dubioser-partner-der-regierung-1.1820145