IT-Security Ausschreibung Anforderungen: Der ultimative Guide für 2025

Was sind IT-Security Ausschreibung Anforderungen?

Was sind IT-Security-Ausschreibungsanforderungen?

IT-Security-Ausschreibungsanforderungen definieren das verbindliche Sicherheitsniveau, das ein Auftragnehmer während der gesamten Vertragslaufzeit garantieren muss. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterscheidet man dabei primär zwischen organisatorischen Anforderungen (wie einem ISMS) und konkreten technischen Maßnahmen zur Risikoabwehr.

Wo finden Sie diese Vorgaben? In der Praxis werden Sie feststellen, dass diese oft in hunderten Seiten von Vergabeunterlagen versteckt sind, etwa in den „Besonderen Vertragsbedingungen“ (BVB) oder direkt im Leistungsverzeichnis. Um diesen Aufwand zu minimieren, lohnt sich ein Blick auf unser Pricing für effiziente Analyselösungen.

Was sind typische Bestandteile? Hier ist eine Übersicht der wichtigsten Punkte:

• Zertifizierungen: Laut gängigen ISO-Standards ist der Nachweis eines ISMS (Information Security Management System) nach ISO 27001 oft verpflichtend.
• Personelle Sicherheit: Sicherheitsüberprüfungen für Mitarbeiter (Ü1/Ü2), wenn Sie in sensiblen Bereichen arbeiten.
• Technische Standards: Verschlüsselung nach BSI TR-02102 oder BSI-Grundschutz-Bausteine.

Warum ist Rechtssicherheit entscheidend? Achten Sie besonders auf diesen Aspekt, um Verfahrensfehler zu vermeiden. Wie der Bitkom berichtet, sind unklare Sicherheitsanforderungen einer der häufigsten Gründe für Rügen in Vergabeverfahren.

Penetrationstests und Security Assessments: Was wird gefordert?

Was sind Penetrationstests in IT-Ausschreibungen?

Penetrationstests sind simulierte Cyberangriffe, die Sicherheitslücken in IT-Systemen identifizieren, bevor Kriminelle sie ausnutzen. Laut dem BSI (Bundesamt für Sicherheit in der Informationstechnik) ist dabei die Unterscheidung zwischen einfachen Vulnerability Scans und tiefgehenden manuellen Tests entscheidend. Für Sie als Bieter ist es essenziell, diese Nuancen in den Vergabeunterlagen zu erkennen, um den Aufwand korrekt zu kalkulieren.

Welche Testarten sind üblich? Wenn Sie die Anforderungen analysieren, treffen Sie in der Regel auf drei Hauptkategorien. Hier ist eine Übersicht, damit Sie besser planen können:

1. Black-Box-Tests: Hier simulieren Sie einen externen Angreifer ohne Vorwissen. Die Ausschreibung fordert oft, dass „keine internen Informationen bereitgestellt werden“.
2. White-Box-Tests: Sie erhalten vollen Zugriff auf Quellcode und Architektur. Dies ist oft bei der Entwicklung von Fachverfahren für Behörden (GovTech) der Fall.
3. Grey-Box-Tests: Eine Mischform, bei der Sie Benutzerzugänge erhalten, um Privilegien-Eskalation zu prüfen.

Ein kritischer Punkt sind die geforderten Zertifizierungen für das Testpersonal. Wie der Bundesverband IT-Sicherheit e.V. (TeleTrusT) berichtet, sollten Auftraggeber auf zertifizierte Penetrationstester bestehen, um die Qualität der Ergebnisse zu sichern. Das SANS Institute bestätigt zudem, dass praxisnahe Zertifizierungen oft höher gewichtet werden. In Ausschreibungen finden Sie daher oft Forderungen nach:

• OSCP (Offensive Security Certified Professional): Der Goldstandard für technische Tester.
• CEH (Certified Ethical Hacker): Oft gefordert, aber weniger praxisorientiert als OSCP.
• BSI-zertifizierte Dienstleister: Für KRITIS-Betreiber oft zwingend vorgeschrieben.

Was wird oft übersehen? Ein Detail, das Sie auf keinen Fall ignorieren sollten, ist die „No-Backdoor-Klausel“. Gemäß den EVB-IT Systemverträgen wird explizit gefordert, dass gelieferte Software frei von verdeckten Zugängen ist. Bei Security-Assessments müssen Sie oft nachweisen, wie Sie dies bei Third-Party-Komponenten sicherstellen. Ignorieren Sie solche Passus nicht - sie sind oft harte Ausschlusskriterien.

Warum ist die Dokumentation so wichtig? Die Aufbereitung der Ergebnisse ist ebenso entscheidend wie der Test selbst. Nach Angaben der ISO 27001 müssen Risiken bewertet und Maßnahmenpläne erstellt werden. Auch das OWASP (Open Web Application Security Project) betont, dass ein technischer Bericht ohne Management Summary für die Geschäftsführung oft unzureichend ist. Kalkulieren Sie hierfür ausreichend Zeit ein, denn ein schlechter Bericht kann trotz gutem Test zur Abwertung führen.

Wenn eine Ausschreibung nur vage von „Sicherheitsüberprüfung“ spricht, stellen Sie unbedingt Bieterfragen. Klären Sie, ob ein automatisierter Scan reicht oder ob manuelle Exploits erwartet werden. So vermeiden Sie Missverständnisse, denn der Aufwandsunterschied kann Faktor 10 betragen.

SIEM und SOC: Die 24/7-Herausforderung

Warum explodiert die Nachfrage nach Security Operations Centern (SOC) und SIEM-Lösungen (Security Information and Event Management)? Gartner prognostiziert, dass bis 2025 über 50 % der Unternehmen Managed Detection and Response (MDR) nutzen werden. In Ausschreibungen sehen wir eine Verschiebung: Weg vom reinen Produktkauf („Wir brauchen eine SIEM-Lizenz“), hin zum Managed Service („Wir brauchen 24/7 Überwachung“).

Was sind die typischen Anforderungen in diesem Bereich? Wenn Sie die aktuellen Vergabeunterlagen analysieren, finden Sie meist folgende Kriterien:

• Standort der Datenhaltung: Für deutsche Behörden ist der Serverstandort Deutschland oft nicht verhandelbar (Datensouveränität).
• Reaktionszeiten (SLA): Gefordert werden oft Reaktionszeiten von unter 15 Minuten bei kritischen Alarmen (Prio 1).
• Analysten-Level: Ausschreibungen unterscheiden oft zwischen Level-1 (Triage), Level-2 (Analyse) und Level-3 (Threat Hunting) Analysten. Laut Berichten von ISC2 ist der Nachweis zertifizierter Fachkräfte hierbei oft ausschlaggebend.

Hier ist ein häufiger Fallstrick: die Anbindung von Log-Quellen. Wie das BSI IT-Grundschutz-Kompendium berichtet, ist eine umfassende Protokollierung für die Compliance zwingend. In Ausschreibungen wird oft pauschal die „Anbindung aller sicherheitsrelevanten Systeme“ gefordert. Hier müssen Sie genau prüfen: Meint der Kunde nur Firewalls und AD-Server oder auch jeden einzelnen Switch und Drucker? Die Lizenzkosten für SIEM-Systeme (oft basierend auf Events per Second oder Datenvolumen) können hier explodieren.

Auftraggeber fordern auch zunehmend „Threat Intelligence“ Integrationen. Wie können Sie darlegen, dass Ihr SOC von externen Quellen (z. B. BSI Warnmeldungen) lernt? Untersuchungen des SANS Institute zeigen, dass die Integration externer Feeds die Erkennungsrate signifikant erhöht. Das MITRE Framework ist mittlerweile der De-facto-Standard für die Beschreibung von Angriffsmustern in Ausschreibungen.

Compliance-Dschungel: ISO 27001, BSI & NIS-2

Warum ist Compliance das Rückgrat jeder IT-Security-Ausschreibung? Früher reichte oft eine Eigenerklärung zur Datensicherheit, doch heute fordern Auftraggeber harte Nachweise. Die International Organization for Standardization (ISO) berichtet, dass die ISO-27001-Zertifizierung weltweit zum unverzichtbaren Standard geworden ist. Hier ist, was Sie wissen müssen: Die Landschaft ist komplexer geworden - insbesondere durch die Einführung der NIS-2-Richtlinie.

Wie wirkt sich die NIS-2-Richtlinie konkret aus? Sie hat die Anforderungen an die Lieferkette (Supply Chain Security) stark verschärft. Das BSI stellt klar, dass betroffene Unternehmen (KRITIS und wichtige Einrichtungen) ihre Lieferanten strenger prüfen müssen. Die ENISA (Agentur der EU für Cybersicherheit) betont zudem, dass Sicherheitslücken in der Lieferkette eines der größten Risiken darstellen. Das bedeutet für Sie als IT-Dienstleister: Auch wenn Sie selbst kein KRITIS-Betreiber sind, werden Sie vertraglich wie einer behandelt, wenn Sie an einen solchen Kunden liefern.

Was sind die entscheidenden Standards? In Ausschreibungen begegnen Ihnen oft folgende Compliance-Anforderungen:

• ISO 27001 auf Basis von IT-Grundschutz: Eine deutsche Besonderheit. Während die reguläre ISO 27001 international ist, fordert die öffentliche Verwaltung oft die BSI-Variante. Diese ist deutlich detaillierter und maßnahmenorientierter.
• TISAX (Trusted Information Security Assessment Exchange): Wenn Sie für die Automobilindustrie arbeiten, ist dies der Standard. Der Verband der Automobilindustrie (VDA) bestätigt, dass dieser auf ISO 27001 basiert, aber spezifische Erweiterungen enthält.
• C5-Testat (Cloud Computing Compliance Criteria Catalogue): Für Cloud-Anbieter in Deutschland unverzichtbar. Das BSI C5-Testat weist nach, dass Ihre Cloud-Dienste sicher sind. Ohne C5 ist der Zugang zu Bundesbehörden fast unmöglich.

Wo kann die EVB-IT zur Stolperfalle werden? Ein oft unterschätzter Bereich sind die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen. Das Bundesministerium des Innern (BMI) hat in den neueren Versionen (z. B. EVB-IT Cloud) strenge Datenschutzklauseln integriert. Hier müssen Sie bestätigen, dass Sie keine Daten in unsichere Drittstaaten übermitteln (Schrems II Urteil). Ein „Ja, aber“ gibt es hier nicht - entweder Sie garantieren die DSGVO-Konformität oder Sie werden ausgeschlossen.

Wie können Sie damit umgehen, wenn Sie eine geforderte Zertifizierung noch nicht haben? Manche Ausschreibungen erlauben eine „Zertifizierungsabsicht“, wenn Sie nachweisen können, dass Sie sich im Prozess befinden (z. B. durch einen Vertrag mit einem Auditor). Zertifizierungsstellen wie der TÜV bieten hierfür oft Vorab-Bestätigungen an. Prüfen Sie die Vergabeunterlagen genau auf Formulierungen wie „zum Zeitpunkt der Angebotsabgabe“ oder „zum Zeitpunkt der Leistungserbringung“.

Wann sollten Sie personengebundene Zertifikate einplanen? Zusätzlich zur Unternehmenszertifizierung werden oft personengebundene Nachweise gefordert. Ein CISO (Chief Information Security Officer) oder Datenschutzbeauftragter muss oft namentlich benannt werden. Der Bitkom empfiehlt, hierfür Stellvertreterregelungen direkt im Angebot zu definieren, um bei Personalwechsel nicht vertragsbrüchig zu werden.

Lassen Sie uns abschließend einen Blick auf Ihre Organisation werfen: Dokumentieren Sie Ihre Compliance-Nachweise zentral. Wenn Sie für jede Ausschreibung erst Zertifikate zusammensuchen müssen, verlieren Sie wertvolle Zeit. Eine gut gepflegte „Bid Library“ mit aktuellen ISO-Zertifikaten, SOC-2-Berichten und Referenzprojekten ist Ihr größter Wettbewerbsvorteil.

Incident Response: Wenn jede Sekunde zählt

Wenn Sie sich mit IT-Sicherheit befassen, wissen Sie: Sicherheitsvorfälle sind keine Frage des „Ob“, sondern des „Wann“. Warum ist ein detailliertes Incident-Response-Konzept (IR) daher unverzichtbar? Ausschreibungen fordern genau diese Vorbereitung. Laut dem Cost of a Data Breach Report von IBM können Sie Vorfälle mit KI-gestützter Incident Response 98 Tage schneller eindämmen. Auftraggeber wollen sehen, dass Sie nicht nur reagieren, sondern proaktiv handeln.

Was sind die kritischen Anforderungen in Ausschreibungen? Hier ist eine Übersicht, worauf Sie besonders achten sollten:

• Meldewege: Wie schnell informieren Sie den Auftraggeber? Während Artikel 33 der DSGVO eine Meldung binnen 72 Stunden vorsieht, fordern Verträge oft Reaktionszeiten von unter 4 Stunden.
• Forensik: Können Sie Beweise gerichtsfest sichern? Nach Standards, wie sie das SANS Institute beschreibt, ist eine saubere Beweiskette (Chain of Custody) essenziell für die Nachweisbarkeit.
• Business Continuity: Haben Sie Notfallpläne, um den Betrieb aufrechtzuerhalten?

Achten Sie auf die Schnittstellen: Wer darf bei einem Vorfall den „Stecker ziehen“? Das BSI empfiehlt, klare Entscheidungsbefugnisse vertraglich zu regeln. Wenn Sie dies beachten, verlieren Sie im Ernstfall keine wertvolle Zeit durch Diskussionen.

Wie analysieren Sie diese Anforderungen effizient?

Wie hilft Automatisierung bei der Ausschreibungsanalyse?

Die manuelle Analyse von Hunderten Seiten Vergabeunterlagen auf versteckte Security-Klauseln ist fehleranfällig und zeitaufwendig. Laut BidFix scannt die KI-gestützte Software Ausschreibungsdokumente automatisch nach relevanten IT-Security-Anforderungen, Zertifizierungspflichten und K.O.-Kriterien. Dies spart wertvolle Zeit und minimiert Risiken bei der Angebotserstellung.

Was sind die Vorteile für Ihr Team? Anstatt Stunden mit dem Markieren von PDFs zu verbringen, erhalten Sie in Minuten eine strukturierte Übersicht. Wenn Sie das Tool nutzen, sehen Sie sofort: Welche ISO-Normen werden gefordert? Welche SLAs gelten für das SOC? Wie von BidFix berichtet, erkennen Sie Risiken so frühzeitig und können fundiert entscheiden, ob sich ein Angebot lohnt (Go/No-Go). Das bedeutet für Sie: Mehr Zeit für das, was wirklich zählt - ein überzeugendes Sicherheitskonzept zu schreiben.