LibreOffice ist eine weit verbreitete OpenSource Office-Lösung mit geschätzt 200 Millionen Anwendern weltweit und wird u.a. in der Bundesverwaltung eingesetzt. Dementsprechend hat die Stärkung von LibreOffice durch sicherheitsrelevante Anpassungen sowie die Auditierung eine entsprechend große Tragweite. In einem ersten Meilenstein werden sicherheitsrelevante Anpassungen besprochen und implementiert. Nach Abschluss der Entwicklungen werden in einem zweiten Meilenstein diese (sowie weitere Grundfunktionen) durch einen unabhängigen und nicht mit dem ersten Meilenstein in Verbindung stehenden Auftragnehmer auditiert. Damit soll die Korrektheit der Funktionsbeschreibung überprüft werden, um das Vertrauen in die Sicherheitseigenschaften des Produkts zu stärken. Falls kritische Schwachstellen durch den IT-Sicherheitsaudit gefunden werden, wird ein optionales Arbeitspaket Anwendung finden und die Schwachstellen damit direkt geschlossen.

Vom AN sind verschiedenste sicherheitsrelevante Anpassungen zu implementieren und zu testen. Die sicherheitsrelevanten Änderungen sollen in den Hauptentwicklungszweig von LibreOffice einfließen, um die langfristige Pflege sicherzustellen. Falls im Rahmen von Los 2 kritische Schwachstellen durch den IT-Sicherheitsaudit gefunden werden, soll ein optionales Arbeitspaket genutzt werden, um die Schwachstellen direkt zu schließen.

Um das Vertrauen in die Sicherheitseigenschaften des Produkts zu stärken und etwaige Zweifel an der Korrektheit der Funktionsbeschreibung auszuräumen, ist im Rahmen von Los 2 von einem unabhängigen und weder mit dem Auftragnehmer des ersten Loses noch den Erstellern der LibreOffice-Anwendung in Verbindung stehenden Auditors ein vollständiger IT-Sicherheitsaudit der modifizierten LibreOffice-Anwendung (Los 1) durchzuführen. Ferner soll ein optionales Arbeitspaket Anwendung finden, insofern aufgrund des IT-Sicherheitsaudit Schwachstellen behoben werden müssen. Dies soll sicherstellen, dass bei der Behebung von Schwachstellen keine neuen Schwachstellen entstanden sind.