IT-Security Ausschreibung bewerten: Zertifizierungen und Kriterien

Warum die frühzeitige Bewertung über Gewinn oder Verlust entscheidet

Die Teilnahme an einer öffentlichen Ausschreibung kostet ein Unternehmen durchschnittlich mehrere tausend Euro an internen Ressourcen. Warum sollten Sie also diese Investition riskieren? Laut Bitkom-Experten ist die genaue Analyse der Vergabeunterlagen der wichtigste Schritt, wenn Sie Ihre Gewinnchancen erhöhen wollen. Wie funktioniert die Bewertung bei IT-Security-Ausschreibungen eigentlich? Gibt es Spielraum für „Interpretationen“? Nein. Entweder Sie haben das geforderte Zertifikat, oder Sie haben es nicht.

Viele Dienstleister machen den Fehler, erst das technische Konzept zu schreiben und sich dann um die formalen Nachweise zu kümmern. Das ist oft fatal. Wann sollten Sie ein Angebot lieber ablehnen? Berichte des BMWK zeigen, dass fehlende Nachweise oft zum sofortigen Ausschluss führen. Wenn Sie bemerken, dass eine Sicherheitsüberprüfung Ü2 gefordert wird, diese aber nicht vorliegt, ist das Projekt nicht durchführbar. Wie Vergabe-Consultants bestätigen, betragen die Vorlaufzeiten für solche Überprüfungen Monate. Eine strukturierte „Go/No-Go“-Analyse schützt Sie davor, wertvolle Zeit in aussichtslose Angebote zu investieren. Informieren Sie sich über unsere Preise, um Ihre Ressourcen noch effizienter zu nutzen.

Zertifizierungsanforderungen: Der Dschungel aus ISO, BSI und C5

Welche sind die wichtigsten IT-Sicherheitsstandards in Deutschland? In der IT-Sicherheitslandschaft dominieren zwei große Standards, deren Unterscheidung essenziell ist. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) berichtet, dass der Hauptunterschied zwischen dem internationalen ISO 27001 und dem deutschen IT-Grundschutz in der Detailtiefe liegt. Während ISO 27001 ein Managementsystem definiert, schreibt der IT-Grundschutz konkrete technische Maßnahmen vor.

Folgende Zertifizierungen finden Sie häufig in den Vergabeunterlagen:

• ISO/IEC 27001 (Nativ): Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er ist oft die Mindestanforderung. Die Kosten für eine Erstzertifizierung liegen für mittelständische Unternehmen oft zwischen 15.000 und 50.000 Euro, mit einer Vorlaufzeit von 6 bis 12 Monaten. Wenn Sie dieses Zertifikat nicht haben und die Ausschreibung es fordert („muss zum Zeitpunkt der Angebotsabgabe vorliegen“), ist dies ein hartes Ausschlusskriterium.
• ISO 27001 auf Basis von IT-Grundschutz: Dies ist die „deutsche Spezialität“. Warum ist diese Unterscheidung wichtig? Sie ist deutlich detaillierter und preskriptiver als die native ISO 27001. Experten von Fuentis weisen darauf hin, dass der IT-Grundschutz konkrete Maßnahmenkataloge für spezifische Bausteine (z. B. Windows-Clients, Serverräume) vorschreibt. Öffentliche Auftraggeber mit hohem Schutzbedarf fordern oft explizit diese Variante. Ein natives ISO-Zertifikat reicht hier meist nicht aus.
• BSI C5 (Cloud Computing Compliance Criteria Catalogue): Für Cloud-Anbieter ist dies der Goldstandard in Deutschland. PwC betont, dass die EVB-IT Cloud Verträge maßgeblich auf dem C5-Katalog basieren. Wer Cloud-Services an den Bund verkaufen will, muss oft ein C5-Testat vorlegen.

Wie können Sie Gleichwertigkeit nachweisen? Ein häufiges Missverständnis ist die „Gleichwertigkeit“. Zwar erlaubt das Vergaberecht oft den Nachweis durch „gleichwertige Bescheinigungen“, doch Sie werden feststellen, dass die Beweislast bei Ihnen liegt. Vergaberechtsexperten erklären, dass der Nachweis der Gleichwertigkeit extrem aufwendig ist und im Zweifel von der Vergabekammer kassiert wird. Prüfen Sie daher genau: Wird ein spezifisches Zertifikat gefordert oder eine „Vergleichbare Qualifikation“?

Für spezialisierte Branchen gibt es weitere Standards. Wann sollten Sie mit TISAX rechnen? Im Automotive-Umfeld (relevant für städtische Fuhrpark-IT) definiert die ENX Association TISAX als verbindlichen Standard. Zudem zeigen Berichte des BSI zu KRITIS, dass Kritische Infrastrukturen durch das IT-Sicherheitsgesetz 2.0 verschärfte Anforderungen haben, die spezifische Nachweise zur Angriffserkennung (SzA) fordern.

Strategischer Tipp: Wie hilft Automatisierung hierbei? Nutzen Sie KI-Tools, um Ausschreibungsunterlagen automatisch nach diesen Schlüsselbegriffen (ISO 27001, BSI, C5, TISAX) zu durchsuchen. Hier ist das Risiko: Ein manuelles Übersehen eines einzigen Satzes auf Seite 40 der Leistungsbeschreibung kann Sie die gesamte Kalkulation kosten.

Personelle Anforderungen: Der Kampf um CISSP und CISM

Neben den Unternehmenszertifikaten legen öffentliche Auftraggeber immer mehr Wert auf die Qualifikation des eingesetzten Personals. Warum ist das für Ihre Planung entscheidend? Der Hays-Fachkräfte-Index zeigt, dass IT-Security-Spezialisten trotz leichter Rückgänge weiterhin die am stärksten nachgefragte Berufsgruppe sind. Das bedeutet für Sie: Wenn eine Ausschreibung spezifische Personenzertifikate fordert, müssen Sie diese Mitarbeiter auch wirklich „auf der Bank“ haben. Wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) betont, ist die nachweisbare Kompetenz des Personals oft das Zünglein an der Waage bei der Vergabe.

Was sind die typischen Anforderungen in Leistungsverzeichnissen? Hier ist eine Übersicht der Qualifikationen, auf die Sie achten sollten:

• CISSP (Certified Information Systems Security Professional): Laut ISC2 oft gefordert für Projektleiter oder Lead Architects.
• CISM (Certified Information Security Manager): Standard für die Rolle des Informationssicherheitsbeauftragten (ISB).
• OSCP (Offensive Security Certified Professional): Der Goldstandard für Pentester.

Das Problem: Laut Bitkom fehlen in Deutschland über 100.000 IT-Fachkräfte. Wie können Sie diesen Mangel ausgleichen? Wenn Sie die geforderten Experten nicht fest angestellt haben, können Sie die Möglichkeit der Eignungsleihe prüfen. Nach Angaben des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) erlaubt das Vergaberecht es oft, sich auf die Kapazitäten von Nachunternehmern (Freelancern) zu berufen. Aber Vorsicht: Diese müssen oft schon mit dem Angebot namentlich benannt und mit Verpflichtungserklärung gebunden werden.

Sicherheitsüberprüfung (SÜG): Die unterschätzte Zeitbombe

Was ist die Sicherheitsüberprüfung nach SÜG? Ein oft unterschätztes Kriterium ist die personelle und materielle Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz. Während man Zertifikate mit Geld beschleunigen kann, sind Sie hier vollständig von den deutschen Behörden abhängig. Das Bundesamt für Verfassungsschutz definiert klare Stufen für den Zugang zu Verschlusssachen, die Sie zwingend kennen müssen.

Schauen wir uns die drei Stufen der Sicherheitsüberprüfung genauer an:

• Ü1 (Einfache Sicherheitsüberprüfung): Zugang zu VS-VERTRAULICH. Wird oft polizeilich geprüft, geht relativ schnell (Wochen).
• Ü2 (Erweiterte Sicherheitsüberprüfung): Zugang zu GEHEIM. Hier wird das Umfeld geprüft, inklusive Partner. Dauer: oft 3 bis 6 Monate.
• Ü3 (Erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen): Zugang zu STRENG GEHEIM. Umfassende Durchleuchtung. Dauer: 6 bis 12 Monate oder länger.

Warum ist das für die Bewertung der Ausschreibung so kritisch? Wenn eine Ausschreibung den sofortigen Einsatz von Ü2-überprüftem Personal fordert, ist das ein No-Go-Kriterium. Wie Experten des BMWK berichten, können Sie eine Ü2 nicht „mal eben“ beantragen. Der Berliner Geheimschutz weist darauf hin, dass ein Unternehmen erst in die „Geheimschutzbetreuung“ aufgenommen werden muss, bevor es überhaupt Anträge für Mitarbeiter stellen kann. Dieser Prozess ist ein eigenes bürokratisches Verfahren.

Wie können Sie sicherstellen, dass Ihr Angebot nicht ausgeschlossen wird? In vielen Ausschreibungen (BKA, BND, ITZBund) ist der vorliegende Sicherheitsbescheid eine zwingende Eignungsvoraussetzung. Sie werden feststellen, dass ohne diesen Bescheid Ihr Angebot ausgeschlossen wird, egal wie gut Ihre technische Lösung ist. Karriere-Guides für die Defense-Industrie betonen, dass ohne diese Freigaben der Zugang zu Projekten faktisch versperrt ist.

Praxis-Tipp: Prüfen Sie in den „Besonderen Vertragsbedingungen“ (BVB) sofort nach Stichworten wie „SÜG“ oder „Verschlusssachenanweisung“. Wenn Sie Erfolg haben wollen und diese Anforderungen finden, müssen Sie klären, ob eine „Anleitung zur Sicherheitsüberprüfung“ nach Zuschlagserteilung vorgesehen ist oder ob die Betreuung Voraussetzung ist.

Vergessen Sie auch nicht die Standortsicherheit. Nach Richtlinien des BSI benötigen Sie zertifizierte sichere Räume (Abhörschutz, Zutrittskontrolle), wenn Sie VS-Daten verarbeiten. Der Aufbau solcher Infrastruktur dauert Monate. Überlegen Sie gut, ob sich diese Investition für einen einzelnen Auftrag lohnt.

Referenzen und Vergleichbarkeit: Was zählt wirklich?

Warum sind Referenzprojekte so entscheidend? Neben Zertifikaten und Personal fordern Auftraggeber den Nachweis der Leistungsfähigkeit. Hier lauert die Falle der „Vergleichbarkeit“, auf die Sie achten sollten. Nach Angaben der EVB-IT-Verträge und des Vergaberechts müssen Referenzen in Art und Umfang dem ausgeschriebenen Auftrag ähneln.

Wie können Sie sicherstellen, dass Ihre Referenzen akzeptiert werden? Lassen Sie uns auf die Details schauen:

• Zeitraum: Meist werden nur Projekte der letzten 3 Jahre akzeptiert.
• Volumen: Ein Projekt über 50.000 € ist keine Referenz für eine Ausschreibung über 5 Mio. €.
• Inhalt: Haben Sie „nur“ Lizenzen geliefert oder wirklich die Implementierung durchgeführt?

Eine unzureichende Referenz führt oft zum Punktabzug. Wie die Vergabekammer Bund berichtet, dürfen fehlende oder falsche Angaben hier oft nicht nachgebessert werden.

Fazit: Systematik schlägt Bauchgefühl

Was ist die Bewertung von IT-Security Ausschreibungen? Sie ist keine rein technische, sondern laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in erster Linie eine formale Disziplin. Wie Vergaberechtsexperten bestätigen, machen die strengen Vorgaben Zertifikate (ISO 27001) und Sicherheitsfreigaben (SÜG) zu harten Währungen. Wenn Sie diese Anforderungen frühzeitig identifizieren, sparen Sie sich teure Fehlkalkulationen.

Wie können Sie diesen Prozess beschleunigen? Moderne Tools wie BidFix nutzen KI, um hunderte Seiten Ausschreibungsunterlagen in Sekunden nach genau diesen „Killer-Kriterien“ zu scannen. Berichte aus der Praxis zeigen, dass dies die Effizienz massiv steigert. So wissen Sie sofort, ob Sie eine Chance haben - oder ob Sie Ihre Ressourcen lieber auf den nächsten Pitch konzentrieren sollten.