Auszug aus dem Protokoll des Stadtrats von Zürich vom 7. Januar 2015 7. Organisation und Informatik (OIZ), Beschaffung von Firewalls, IT-Ausgaben und Vergabe IDG-Status: öffentlich 1. Zweck der Vorlage Das «ZüriNetz» ist das Informatik-Netzwerk der Stadt Zürich. Es verbindet die Standorte der Stadt Zürich und ermöglicht Daten- und Telefonkommunikation sowohl innerhalb der Stadtverwaltung als auch mit externen Stellen. Um das «ZüriNetz» und die am «ZüriNetz» angeschlossenen Geräte vor potenziellen Bedrohungen zu schützen, kommen spezialisierte Netzkomponenten, sogenannte «Firewalls», zum Einsatz. Diese Firewalls müssen aus Alters-, Kapazitäts- und Funktionsgründen ersetzt werden. Mit dieser Vorlage werden die Mittel für den Ersatz der Firewall-Infrastruktur gesprochen. Gleichzeitig wird die von der Organisation und Informatik (OIZ) in einem offenen Ausschreibungsverfahren nach WTO evaluierte künftige Lieferantin für die Lieferung und Wartung der Firewalls bestimmt. 2. Ausschreibung Firewall 2.1 Zuschlag Aufgrund der Resultate der Ausschreibung wird die Firma Inter-Networking als Standardlieferantin für die Firewalls festgelegt und der Auftrag für die Lieferung und Wartung neuer Firewalls an sie vergeben. 2.2 Vertragsdauer Mit der Firma Inter-Networking wird ein Vertrag über vier Jahre mit einer Verlängerungsoption um ein oder mehrere Jahre, in der Summe jedoch maximal um weitere sechs Jahre (maximale Vertragsdauer zehn Jahre), abgeschlossen. Die vorgesehene maximale Vertragslaufzeit ist dadurch begründet, dass die Firewalls im Security-Dispositiv der OIZ eine entscheidende und sensible Funktion einnehmen und eine langfristige Kontinuität in der Lieferanten- und Produktebeziehung daher sinnvoll ist. Ob die OIZ die maximale Vertragslaufzeit von zehn Jahren effektiv ausschöpfen wird, hängt im Wesentlichen von der Entwicklung der Gefahrensituation und den Risiken ab. Entscheidend werden die Möglichkeiten der Lieferantin sein, auf diese Veränderungen adäquat reagieren zu können. 2.3 Ausschreibung Am 6. Juni 2014 hat die OIZ eine Submission nach WTO/GPA (Government Procurement Agreement) im offenen Verfahren auf der Ausschreibungsplattform SIMAP und im Amtsblatt des Kantons Zürich publiziert, mit dem Zweck, eine Lieferfirma zu evaluieren, die für einen definierten Zeitraum Standardlieferantin für Firewalls wird. Gemäss funktional gehaltenem Pflichtenheft wurden die Anforderungen an die künftigen Firewalls beschrieben. Die Anbieterinnen hatten aufzuzeigen, wie sie mit ihrem Produkt die 7/07.01.2015 1
Anforderungen erfüllen, und mussten das vorhandene Know-how im Bereich der offerierten Firewall-Lösung belegen. Neben der Lieferung der Firewalls mussten Wartungsdienstleistungen für die Hard- und Software sowie die zu erbringenden Supportleistungen offeriert werden. Sechs Anbieterinnen haben ein gültiges Angebot eingereicht. Ein Angebot wurde zu spät eingereicht, dieses konnte somit nicht berücksichtigt werden. Gültige Angebote eingereicht haben: ITRIS Enterprise Inter-Networking SIDARION Sunrise Communications United Security Providers InfoGuard Die Angebote wurden vom Evaluationsteam, unter Berücksichtigung der Zuschlagskriterien, wie folgt beurteilt: 1. Überzeugungskraft des Angebots, u. a. nachgewiesen durch Unternehmensqualität, Dienstleistungsumfang, Referenzen (Gewichtung 36 Prozent), 2. Erfüllungsgrad der technischen und organisatorischen Anforderungen (Gewichtung 34 Prozent), 3. Preise der angebotenen Leistungen (Gewichtung 30 Prozent). 2.4 Ergebnisse der Ausschreibung Unter Berücksichtigung aller Zuschlagskriterien hat sich am Ende des Evaluationsprozesses folgende Rangfolge ergeben: 1. Inter-Networking, 4,91 Punkte 2. United Security Providers, 3,42 Punkte 3. SIDARION, 3,31 Punkte 4. InfoGuard, 3,05 Punkte 5. ITRIS Enterprise, 3,02 Punkte 6. Sunrise Communications, 3,01 Punkte Zuschlagskriterien Gewichtung in % Überzeugungskraft 36 Inter- United Networking Security Providers SIDA- RION Info- Guard ITRIS Sunrise Communications Enterprise Punkte Punkte Punkte Punkte Punkte Punkte Unternehmen 16 4,23 4,05 4,16 4,14 4,15 4,20 Dienstleistungen 20 4,28 4,20 4,29 4,28 4,27 4,28 Erfüllungsgrad Anforderungskatalog 34 Firewall 10 4,68 4,54 4,68 4,61 4,56 4,43 Firewall Management 24 4,62 4,42 4,47 4,44 4,34 4,33 7/07.01.2015 2
Preis 30 Projekt- und Betriebskosten 30 6,00 1,40 0,83 0,00 0,00 0,00 Erreichte Punktzahl 100 4,91 3,42 3,31 3,05 3,02 3,01 Die Firma Inter-Networking hat von allen Anbieterinnen unter Berücksichtigung der Zuschlagskriterien (Überzeugungskraft des Angebots, Erfüllungsgrad der technischen und organisatorischen Anforderungen und Preis) das wirtschaftlich günstigste Angebot eingereicht. Die Details des Bewertungsprozesses sind im ausführlichen Evaluationsbericht «Ausschreibung Ersatzbeschaffung Firewalls Stadt Zürich, vom 17. Oktober 2014» dokumentiert. 3. Ersatz der Firewalls 3.1 Projektbeschreibung Für die Erneuerung der Firewall-Infrastruktur werden neben den eigentlichen Firewalls, die bei der Inter-Networking gemäss Resultat der Ausschreibung beschafft werden, auch Cisco-Netzkomponenten zwecks Einbindung der Firewalls in die Infrastruktur benötigt. Die Beschaffung erfolgt bei der Standardlieferantin der Stadt Zürich gemäss Resultat der Ausschreibung «Festlegung der Standardlieferantin für die Beschaffung und Wartung von Cisco- Komponenten». Die Migration der neuen Firewalls erfolgt im laufenden Betrieb. Neue Firewalls werden parallel im «ZüriNetz» angeschlossen und entlasten anschliessend in geordneten Migrationsschritten die alten Firewalls. Sobald alle Sicherheitsregeln und Einstellungen übernommen sind, werden die alten Firewalls abgebaut und fachgerecht entsorgt. Die logische äussere Netzsicherheitszone, der «Netz-Perimeter», wird unter Nutzung erweiterter Funktionen der neuen Firewalls von heute «physisch dediziert» auf künftig «vollvirtualisiert» umgestellt. Umfangreiche Ersatzbeschaffungen von Server- und Storage-Hardware, die ursprünglich im Rahmen des Vorhabens «New Perimeter» für einen dedizierten Einsatz im Perimeter eingeplant waren, entfallen dadurch. Mit den zusätzlichen Möglichkeiten der neuen Firewalls können Dienste und Datenströme mit unterschiedlichen Risiko-Expositionen durch feinere Zonierung besser separiert werden. 3.2 Kosten Ausgaben zur Beschaffung von Informatiksystemen unterstehen gemäss Art. 10 ter Gemeindeordnung der Stadt Zürich der abschliessenden Finanzkompetenz des Stadtrats, auch soweit es sich nicht um gebundene Ausgaben handelt. Die Ausgaben sind deshalb ungeachtet ihrer Höhe durch den Stadtrat zu beschliessen. Für die Ersatzbeschaffung der Firewalls und die dafür benötigten Cisco-Netzkomponenten fallen folgende Kosten (einschliesslich Mehrwertsteuer) an: Einmalige Kosten Konto Bezeichnung Total Fr. (2080) 506201 Anschaffungen von IT-Anlagen Hardware Firewalls 900 000 (2080) 506201 Reserve für allfällige kurzfristige Kapazitäts- und Funktionserweiterungen der Firewalls 100 000 (2080) 506201 Anschaffungen von IT-Anlagen Hardware Cisco 128 000 Total einmalige Kosten 1 128 000 7/07.01.2015 3
Betriebliche Folgekosten pro Jahr Konto Bezeichnung Total Fr. (2080) 3152 0000 Unterhalt IT-Anlagen Hardware Wartung Firewall (inkl. Support) 265 000 (2080) 3152 0000 Unterhalt IT-Anlagen Hardware Wartung Cisco (inkl. Support) 2 200 (2080) 3310 0000 Abschreibungen 225 600 Total betriebliche jährliche Folgekosten 492 800 Die betrieblichen Folgekosten zulasten des Kontos (2080) 3152 0000 (Unterhalt IT-Anlagen Hardware) betragen für die Wartung pro Jahr Fr. 267 200.. Für die Abschreibung der Hardware-Anschaffungen während fünf Jahren fallen jährlich Kosten von Fr. 225 600. zulasten des Kontos Nr. (2080) 3310 0000, Vergütung von ordentlichen Abschreibungen, auf dem Verwaltungsvermögen an (Abschreibung gemäss 1 der kantonalen Verordnung über die Abschreibung nach betriebswirtschaftlichen Gesichtspunkten [LS 133.15], i.v.m. deren Anhang 3, Ziff. 2.3). Die Ausgaben sind im Budget 2015 der OIZ enthalten und im Ausgaben- und Finanzplan 2015 2018 vorgemerkt. Bei der Beschaffung der Firewalls handelt es sich um eine Ersatzbeschaffung, daher wird auf eine Wirtschaftlichkeitsberechnung verzichtet. Mit der Vollvirtualisierung der Infrastruktur können gegenüber einer Ersatzbeschaffung von dedizierter Infrastruktur Kosten in der Grössenordnung von 2 Millionen Franken eingespart werden. Auf Antrag des Vorstehers des Finanzdepartements beschliesst der Stadtrat: 1. Der Zuschlag als Standardlieferantin für die Lieferung von Firewalls wird der Firma Inter- Networking, Dietikon, erteilt. 2. Für die Ersatzbeschaffung der Firewalls werden Ausgaben von insgesamt Fr. 1 128 000. bewilligt. 3. Der Auftrag für die Lieferung im Umfang von Fr. 1 000 000. und Wartung der neuen Firewalls wird an die Firma Inter-Networking vergeben. Die sonstigen Vergaben erfolgen in der Kompetenz des Direktors der OIZ. 4. Mit der Firma Inter-Networking wird ein Vertrag über vier Jahre mit einer Verlängerungsoption um ein Jahr oder um mehrere Jahre, in der Summe jedoch maximal um weitere sechs Jahre (maximale Vertragsdauer zehn Jahre), abgeschlossen. 5. Die Ausgaben werden wie folgt belastet: Konto Nr. (2080) 506201 Anschaffungen IT-Anlagen Hardware Fr. 1 128 000. 6. Die OIZ wird beauftragt, die Vergabe der Ausschreibung «Ersatzbeschaffung Firewalls Stadt Zürich» ordnungsgemäss auf SIMAP und im Amtsblatt des Kantons Zürich zu publizieren. 7. Während der Laufzeit des Vertrags sind zusätzliche Beschaffungen für die Firewalls unter Bezug auf die erfolgte Ausschreibung, ungeachtet des Beschaffungswertes und unter Einhaltung der städtischen Kompetenzordnung, freihändig an die Inter-Networking zu vergeben. Freihändige Beschaffungen im Staatsvertragsbereich werden durch die OIZ auf SIMAP publiziert. 8. Der Direktor der OIZ wird ermächtigt, die entsprechenden Verträge abzuschliessen und die Vertragsverlängerungsoption mit Inter-Networking auszuüben. 7/07.01.2015 4
9. Mitteilung an den Vorsteher des Finanzdepartements sowie die übrigen Mitglieder des Stadtrats, die Stadtschreiberin, den Rechtskonsulenten, den Datenschutzbeauftragten, die Organisation und Informatik und das IT-Controlling. Für getreuen Auszug die Stadtschreiberin 7/07.01.2015 5