(ex: Photo by Photo by NASA on Unsplash)
Cloud-Konzepte für Ausschreibungen: Architektur, Sicherheit und Migration verständlich darstellen
Haben Sie schon einmal eine Ausschreibung verloren, obwohl Ihre Cloud-Lösung technisch überlegen war? Oft scheitert es nicht an der Technologie, sondern an der Darstellung. Erfahren Sie, wie Sie komplexe Cloud-Architekturen, Sicherheitskonzepte und Migrationspläne so aufbereiten, dass Vergabestellen sie verstehen und mit Höchstpunktzahlen bewerten.
Das Wichtigste in Kürze
- Nutzen Sie das C4-Modell für Architekturdiagramme, um sowohl Management als auch Technik abzuholen.
- Strukturieren Sie Ihr Sicherheitskonzept strikt nach den BSI C5-Kriterien und der DSGVO.
- Integrieren Sie eine transparente Exit-Strategie, um die Angst vor Vendor Lock-in zu nehmen.
Die öffentliche Verwaltung in Deutschland befindet sich im größten digitalen Umbruch ihrer Geschichte. Laut Bitkom Cloud Report nutzen bereits 90 Prozent der Unternehmen Cloud-Anwendungen, und auch der Public Sector zieht mit der „Deutschen Verwaltungscloud-Strategie“ (DVS) nach. Doch für IT-Dienstleister und Systemhäuser bringt dieser Wandel eine paradoxe Herausforderung mit sich: Technisch brillante Lösungen werden in Vergabeverfahren oft schlecht bewertet. Der Grund ist meist nicht die fehlende Kompetenz, sondern die „Übersetzungsleistung“. Ein technisches Konzept muss so geschrieben sein, dass es sowohl den IT-Sachverständigen als auch den Verwaltungsbeamten überzeugt, der die UfAB-Bewertungsmatrix ausfüllt. Doch wie machen Sie Ihre Cloud-Expertise papierfähig? Das erfahren Sie hier.
Was fordert die öffentliche Hand? Der regulatorische Rahmen
Was sind die grundlegenden Anforderungen? Bevor Sie das erste Architekturdiagramm zeichnen, müssen Sie verstehen, auf welchem Spielfeld Sie sich bewegen. Seit März 2022 gelten für Bundesbehörden die EVB-IT Cloud. Das ITZBund betont, dass diese neuen Vertragsbedingungen die Beschaffung von IaaS, PaaS und SaaS revolutioniert haben. Wie das Bundesministerium des Innern (BMI) berichtet, stellen diese Regeln aber auch neue Hürden für Anbieter auf. Früher wurden Cloud-Leistungen oft in Dienstleistungsverträge „gepresst“; heute gibt es einen speziellen Kriterienkatalog. Hier ist der entscheidende Punkt: Sie müssen die regulatorischen Feinheiten beherrschen.
Was bedeutet das für Sie als Bieter? Ihr Konzept muss sich exakt an der Struktur der EVB-IT Cloud und der UfAB (Unterlage für Ausschreibung und Bewertung von IT-Leistungen) orientieren. Die UfAB 2018 gibt vor, wie Leistungspunkte vergeben werden. Wie können Sie Fehler vermeiden? Ein häufiger Fehler ist es, Standard-Marketingmaterial der Hyperscaler (AWS, Azure, Google) zu kopieren. Das reicht nicht. Nach Angaben des BSI ist die Informationssicherheit dabei nicht verhandelbar. Die Vergabestelle prüft die Eignung für den spezifischen Anwendungsfall unter Berücksichtigung der deutschen Rechtslage (DSGVO, Geheimschutz). Wenn Sie hier punkten wollen, muss Ihr Konzept zeigen, wie Sie die Standard-Bausteine eines Hyperscalers oder Ihrer eigenen Private Cloud zu einer rechtskonformen Gesamtlösung für die Behörde veredeln. Werfen Sie einen Blick auf unser Pricing, um die passende Unterstützung für Ihr Vorhaben zu finden.
Architektur visualisieren: Mehr als nur bunte Kästchen
Warum ist die Architekturdarstellung so entscheidend? Ein Bild sagt mehr als tausend Worte - aber in einer Ausschreibung kann ein schlechtes Diagramm Sie tausend Punkte kosten. Die Darstellung der Cloud-Architektur ist oft das Herzstück Ihres Angebots. Hier entscheidet sich, ob der Prüfer versteht, wie Ihre Lösung funktioniert. Experten des Bitkom weisen immer wieder darauf hin, dass die Nachvollziehbarkeit der Lösung ein zentrales Bewertungskriterium ist. Seien wir ehrlich: Ohne klare Visualisierung geht das Verständnis schnell verloren.
Viele Bieter machen den Fehler, überladene „Spaghetti-Diagramme“ einzureichen. Was ist das C4-Modell? Es ist ein bewährter Ansatz, um genau dieses Chaos zu vermeiden. Nach dem Konzept von Software-Architekt Simon Brown hilft das C4-Modell (Context, Containers, Components, Code), die Architektur in verschiedenen Abstraktionsebenen darzustellen. Wenn Sie dieses Modell nutzen, empfehlen sich für ein Cloud-Konzept mindestens zwei Sichten:
- Die Management-Sicht (Kontext-Ebene): Zeigen Sie, wie sich Ihre Cloud-Lösung in die bestehende IT-Landschaft des Auftraggebers integriert. Wo sind die Schnittstellen zum Behördennetz (NdB)? Wo fließen Daten hin? Diese Grafik muss auch für nicht-technische Entscheider verständlich sein.
- Die Technische Sicht (Container-Ebene): Hier gehen Sie ins Detail. Zeigen Sie Kubernetes-Cluster, Datenbanken, Load Balancer und Sicherheitszonen. Wichtig: Beschriften Sie die Verbindungen! Ein Pfeil sollte nicht nur zwei Boxen verbinden, sondern erklären, welches Protokoll (z.B. HTTPS/TLS 1.3) und welche Daten dort fließen.
Ein weiterer kritischer Erfolgsfaktor ist die Traceability (Rückverfolgbarkeit). Wie die UfAB-Richtlinien (Unterlage für Ausschreibung und Bewertung von IT-Leistungen) betonen, muss die Erfüllung der Anforderungen jederzeit prüfbar sein. Jedes Element in Ihrem Architekturdiagramm sollte auf eine Anforderung im Leistungsverzeichnis referenzieren. Wenn die Ausschreibung „Hochverfügbarkeit über zwei Rechenzentren“ fordert, markieren Sie in Ihrem Diagramm explizit die Verfügbarkeitszonen. Schreiben Sie im Begleittext: „Wie in Abbildung 3 dargestellt, wird die Anforderung 4.2 (Geo-Redundanz) durch die synchrone Spiegelung zwischen Zone A und Zone B erfüllt.“
Wie können Sie Hybrid-Szenarien meistern? Vergessen Sie nicht, dass die wenigsten Behörden „All-in“ in die Public Cloud gehen. Meistens wird eine Anbindung an Fachverfahren im eigenen Rechenzentrum benötigt. Die Deutsche Verwaltungscloud-Strategie setzt stark auf Multi-Cloud- und Hybrid-Ansätze. Ihr Konzept muss detailliert beschreiben, wie die Latenzzeiten und die Sicherheit auf dieser Verbindungsstrecke gewährleistet werden. Visualisieren Sie den „Ingress“ und „Egress“ des Datenverkehrs sehr genau, denn hier liegen oft die versteckten Kosten.
Nutzen Sie professionelle Tools wie Enterprise Architect oder Draw.io. Best Practices der APMP (Association of Proposal Management Professionals) zeigen, dass hochwertige Grafiken das Vertrauen des Prüfers signifikant steigern. Exportieren Sie die Grafiken daher immer in hoher Auflösung. Führen Sie den Leser durch die Grafik: „Der Datenfluss beginnt oben links...“. Dies ist ein Zeichen dafür, dass Sie Ihre eigene Lösung durchdrungen haben.
Dokumentieren Sie auch, was Sie nicht bauen. Die Abgrenzung (Out-of-Scope) ist Teil einer sauberen Architektur. Wenn der Kunde für die Bereitstellung der Identitäten (IdP) verantwortlich ist, zeichnen Sie den IdP als externe Box ein. Das schützt Sie später vor Missverständnissen und zeigt Ihre Kompetenz in der Schnittstellendefinition.
Sicherheit und Compliance: BSI C5 als Maßstab
Warum ist Sicherheit in Deutschland so entscheidend? Sie ist kein „Nice-to-have“, sondern das K.O.-Kriterium Nummer eins. Laut dem BSI (Bundesamt für Sicherheit in der Informationstechnik) wurde mit dem C5-Kriterienkatalog ein Standard geschaffen, an dem kein Weg vorbeiführt. Hier ist der Punkt: In Ihrem Konzept reicht es nicht, zu schreiben: „Wir sind sicher.“ Sie müssen konkret werden.
Wie gehen Sie dabei vor? Lassen Sie uns Ihr Sicherheitskapitel analog zu den C5-Domänen strukturieren:
- Identitäts- und Rechtemanagement (IAM): Wie funktioniert der Zugriffsschutz effektiv? Beschreiben Sie, wie Sie das Prinzip der minimalen Rechte (Least Privilege) umsetzen.
- Verschlüsselung: Das BSI berichtet, dass eine saubere Unterscheidung zwischen Data-at-Rest und Data-in-Transit essenziell ist. Erwähnen Sie explizit Standards wie AES-256 und TLS 1.2/1.3.
- Standort und Souveränität: Experten von PwC warnen, dass Unklarheiten über den Datenstandort oft zum Ausschluss führen. Wenn Sie sichergehen wollen, bestätigen Sie explizit die Datenhaltung in der EU/DE.
Was ist Zero Trust? Ein starkes Sicherheitskonzept muss diese Architektur umfassen. Erklären Sie, wie Ihre Umgebung davon ausgeht, dass kein Netzwerk vertrauenswürdig ist. Untersuchungen des Bitkom zeigen zudem die Relevanz von proaktivem „Incident Management“. Was passiert, wenn es doch brennt? Ein definierter Meldeweg schafft Vertrauen.
Migration und Betrieb: Der Weg in die Wolke
Was ist ein erfolgreiches Migrationskonzept? Ein überzeugendes Migrationskonzept für die öffentliche Verwaltung minimiert Risiken durch methodische Fundierung und klare Verantwortlichkeiten. Laut Gartner scheitern viele Projekte an fehlender Planung, weshalb diesem Konzept oft bis zu 30 Prozent der Bewertung beigemessen wird. Es muss etablierte Strategien wie die „6 Rs“ mit einem phasenbasierten Vorgehen verbinden.
Der schönste Zielzustand nützt nichts, wenn der Weg dorthin ein unkalkulierbares Risiko darstellt. Warum ist das Migrationskonzept so entscheidend? Weil hier die meisten Projekte scheitern. Ein überzeugendes Konzept muss methodisch fundiert und risikominimiert sein.
Orientieren Sie sich an den etablierten „6 Rs“ der Cloud-Migration. Wenn Sie sich die Standards ansehen, werden Sie feststellen, dass diese ursprünglich von Gartner definiert und von AWS popularisiert wurden. AWS beschreibt diese Strategien als Standard für Großprojekte. In Ihrem Konzept sollten Sie für jedes Fachverfahren des Kunden eine dieser Strategien vorschlagen:
- Rehost (Lift & Shift): Schnelle Migration ohne Code-Anpassung. Ideal für Legacy-Systeme.
- Replatform (Lift & Tinker): Optimierung der Infrastruktur ohne den Kern der Applikation zu ändern.
- Refactor (Re-Architect): Umbau zu Cloud-Native. Teuer, aber langfristig am effizientesten.
Ein reines „Wir machen das schon agil“ wird oft als Planlosigkeit interpretiert. Hier ist die Lösung: Liefern Sie einen phasenbasierten Projektplan:
- Phase 1: Discovery & Assessment
- Phase 2: Pilotmigration (Proof of Concept)
- Phase 3: Wellenweise Migration (Wave Planning)
- Phase 4: Hypercare & Übergabe
Wann sollten Sie eine Phase als abgeschlossen betrachten? Beschreiben Sie für jede Phase die „Quality Gates“. Welche Tests (Lasttests, Penetrationstests) werden durchgeführt?
Ein oft unterschätzter Punkt ist das Betriebskonzept. Die EVB-IT Cloud unterscheiden klar zwischen IaaS, PaaS und SaaS. Definieren Sie Ihr „Shared Responsibility Model“ glasklar. Sie können RACI-Matrizen nutzen, um Zuständigkeiten wie Patching oder Backups darzustellen. Das BSI fordert im C5-Katalog explizite Prozesse für das Änderungsmanagement. Beschreiben Sie, wie Sie sicherstellen, dass ein Update die Fachanwendung nicht lahmlegt.
Wie können Sie den Vendor Lock-in vermeiden? Das ist die Frage, die jeder Auftraggeber stellt. Die Strategie der Bundesregierung fordert digitale Souveränität. Ihr Konzept muss eine Antwort auf die Frage geben: „Wie kommen wir da wieder raus?“ Beschreiben Sie Formate für den Datenexport (z.B. JSON, CSV) und sichern Sie Unterstützung beim Wechsel zu. Ein glaubwürdiges Exit-Konzept sichert Ihnen oft den entscheidenden Vertrauensvorschuss.
Verknüpfen Sie Migration und Betrieb mit einem kontinuierlichen Verbesserungsprozess (KVP). Laut dem AWS Well-Architected Framework sind regelmäßige Reviews essenziell für die Sicherheit. Zeigen Sie auf, wie Sie sicherstellen, dass die Umgebung auch in drei Jahren noch kosteneffizient ist. Dies signalisiert, dass Sie an einer langfristigen Partnerschaft interessiert sind.
SLA und Qualitätsmanagement: Versprechen messbar machen
Papier ist geduldig, aber Service Level Agreements (SLAs) sind es nicht. Wenn Sie die Anforderungen definieren, müssen Sie klären, was „Verfügbarkeit“ konkret bedeutet. Was sind die wichtigsten Unterscheidungsmerkmale? Der Bitkom-Leitfaden zur IT-Vergabe rät hier zu präzisen Definitionen. Unterscheiden Sie zwischen Betriebszeit (Uptime) und Servicezeit. Wie das Uptime Institute berichtet, klingen 99,9 % Verfügbarkeit zwar gut, bedeuten aber immer noch fast 9 Stunden Ausfall pro Jahr. Ist das für ein kritisches Fachverfahren akzeptabel?
Lassen Sie uns auch Ihre Support-Prozesse betrachten. Wie können Sie die Qualität Ihres Services belegen? Beschreiben Sie genau, wie schnell Sie reagieren (Response Time) und wie schnell Sie das Problem lösen (Resolution Time). Nach Angaben von Gartner ist die Transparenz dieser Metriken entscheidend für den Erfolg. Bieten Sie einen deutschsprachigen Service Desk an? Für deutsche Behörden ist das oft ein Muss-Kriterium. Hier ist ein Tipp: Visualisieren Sie Ihren Incident-Management-Prozess von der Meldung bis zur Lösung.
FAQ
Was sind die EVB-IT Cloud?
Die EVB-IT Cloud (Ergänzende Vertragsbedingungen für die Beschaffung von Cloud-Leistungen) sind Standardvertragsbedingungen für die öffentliche Hand in Deutschland. Sie regeln den Einkauf von IaaS, PaaS und SaaS und beinhalten spezifische Vorgaben zu Datensicherheit, Kündigungsrechten und Leistungspflichten. Für Bieter ist es entscheidend, diese Bedingungen zu kennen und im Angebot zu akzeptieren oder zulässige Abweichungen transparent zu machen.
Warum werden technisch gute Cloud-Konzepte schlecht bewertet?
Oft liegt es an der mangelnden Nachvollziehbarkeit für die Evaluatoren. Wenn Diagramme unklar sind, Bezüge zum Leistungsverzeichnis fehlen oder Standard-Texte (Boilerplate) verwendet werden, die nicht auf den konkreten Bedarfsfall eingehen, gibt es Punktabzug. Die „Übersetzung“ der technischen Lösung in den Nutzen für die Behörde ist der Schlüssel zum Erfolg.
Welche Rolle spielt die DSGVO in Cloud-Ausschreibungen?
Eine zentrale Rolle. Öffentliche Auftraggeber sind als Verantwortliche (Data Controller) in der Pflicht. Das Cloud-Konzept muss detailliert darlegen, wie die Auftragsverarbeitung (AVV) geregelt ist, wo die Daten liegen (Serverstandort) und wie Drittstaatentransfers (z.B. bei US-Hyperscalern) rechtssicher gestaltet werden (z.B. durch Standardvertragsklauseln und zusätzliche technische Maßnahmen).
Was bedeutet Vendor Lock-in und wie vermeide ich ihn?
Vendor Lock-in bedeutet, dass ein Kunde technisch oder wirtschaftlich so stark von einem Anbieter abhängig ist, dass ein Wechsel kaum möglich ist. In Ausschreibungen vermeiden Sie diesen Eindruck durch die Nutzung offener Standards (z.B. Kubernetes, OpenStack), den Verzicht auf proprietäre Services wo möglich und die detaillierte Beschreibung einer Exit-Strategie.
Wie detailliert muss der Migrationsplan sein?
Sehr detailliert. Ein grober Zeitplan reicht nicht. Erwartet werden Phasenpläne, Rollback-Szenarien (Was tun, wenn die Migration scheitert?), Kommunikationspläne und Risikomatrizen. Der Auftraggeber will sehen, dass Sie die Komplexität der Migration verstanden haben und beherrschen.
Welche Tools eignen sich für die Erstellung von Cloud-Konzepten?
Für Diagramme eignen sich Enterprise Architect, Microsoft Visio, Lucidchart oder Draw.io. Für die textliche Erstellung und Kollaboration nutzen viele Teams Confluence oder Word mit Review-Funktionen. Wichtiger als das Tool ist jedoch die Struktur und die Einhaltung der formalen Vorgaben der Ausschreibung.
Newsletter abonnieren
Erhalten Sie hilfreiche Tipps und Tricks für erfolgreiche Ausschreibungen.
Weitere Artikel entdecken
Alle Artikel
IT-Konzept Ausschreibung schreiben: Technische Lösungen überzeugend präsentieren
Hervorragende technische Lösungen scheitern in Ausschreibungen oft an der Darstellung. Erfahren Sie, wie Sie komplexe IT-Konzepte verständlich, bewertungssicher und UfAB-konform formulieren, um den entscheidenden Leistungswert zu sichern.
Weiterlesen
Angebot öffentliche Ausschreibung erstellen: Der ultimative Leitfaden für IT-Dienstleister
Öffentliche Aufträge sind lukrativ, doch viele IT-Dienstleister scheitern an den hohen formalen Hürden und komplexen Anforderungen. Erfahren Sie, wie Sie ein rechtssicheres und inhaltlich überzeugendes Angebot für öffentliche Ausschreibungen erstellen, das die Vergabestelle begeistert und Ihre Gewinnchancen maximiert.
Weiterlesen