Ende September hat das Kantonale Steueramt Aargau (KStA) eine Ausschreibung "Aufbau und Etablierung eines Application Security Managements (ASM) im Bereich Steuerapplikationen" abgebrochen. Laut Begründung auf Simap erlauben die eingereichten Angebote keine wirtschaftliche Beschaffung oder haben den Kostenrahmen "deutlich" überschritten.
Mediensprecherin Flurina Hoffmann vom Finanzdepartement erklärt gegenüber inside-it.ch zum Abbruch: "Das KStA ging aufgrund der vorgenommenen Kostenschätzung davon aus, dass die Dienstleistungen im Rahmen einer sogenannten Binnenausschreibung (Schwellenwert zwischen 250'000 und 350'000 Franken) beschafft werden konnten." Die eingegangenen Angebote seien jedoch erheblich über diesem Schwellenwert gelegen.
Abbruch entsprechend dem Submissionsrecht
"Nach Submissionsrecht muss in einem solchen Fall das Verfahren abgebrochen werden, damit der Kreis der potenziellen Anbietenden entsprechend der zum Tragen kommenden Verfahrensart zugelassen werden kann", so Hoffmann. Mit technischen Spezifikationen oder Know-how habe der Abbruch hingegen nichts zu tun.
Bei der Ausschreibung habe es sich primär um ein organisatorisches Vorhaben gehandelt. "Das Vorhaben beinhaltet den Aufbau und die Etablierung der Application Security Manager Rolle als externen Service, welche entsprechende Aufgaben im Kontext Application Security im KStA wahrnimmt und mit der bestehenden Security der ITAG interagiert", erläutert die Mediensprecherin. Die Rolle des ASM sei somit komplementär und als Verstärkung der Informationssicherheit für das Steueramt zu verstehen, um die vom Kanton Aargau festgelegten Massnahmenziele im Bereich Informationssicherheit und Datenschutz "fristgerecht und angemessen" umsetzen zu können.
Neue Ausschreibung geplant
"Angesichts dieser komplexen Anforderungen war es erforderlich, einen Application Security Manager zu rekrutieren, der die Sicherheitsspezialisten im Rahmen ihrer Tätigkeit unterstützt", so Hoffmann. Der Zeithorizont betrage zwei Jahre Analyse und Aufbau des ASM und zwei Jahre Unterstützung im Betrieb als Option.
Jetzt soll ein Application Security Manager "neu im richtigen Verfahren (GATT/WTO)" ausgeschrieben werden. "Dabei muss vorerst die Finanzierung, das heisst der höhere Finanzbedarf, sichergestellt werden. Allenfalls müssen Korrekturen bezüglich der zu beziehenden Leistungen vorgenommen werden", erklärt die Mediensprecherin zum weiteren Vorgehen.