IT-Security Ausschreibungen finden: Kategorien, CPV-Codes & Trends 2025

Markttreiber 2025: Warum Behörden jetzt investieren müssen

Was sind die aktuellen Herausforderungen im öffentlichen Sektor? Deutschland steht unter einem enormen Modernisierungsdruck, der weit über die reine Digitalisierung von Verwaltungsleistungen hinausgeht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem aktuellen Lagebericht vor einer "besorgniserregenden" Bedrohungslage durch Ransomware und staatlich gesteuerte Cyberangriffe. Wie Bitkom berichtet, führen diese Warnungen zu einer direkten Handlungspflicht für Behörden, Landkreise und kommunale Unternehmen. Wenn Sie die Situation betrachten, müssen IT-Infrastrukturen nicht nur gewartet, sondern grundlegend gehärtet werden.

Wie beeinflusst die NIS-2-Richtlinie den Markt? Ein wesentlicher Faktor für die steigende Anzahl an Ausschreibungen ist die Umsetzung dieser Richtlinie in deutsches Recht. Experten von PwC analysieren, dass durch NIS-2 tausende Einrichtungen der öffentlichen Verwaltung und kommunale Versorger erstmals strengen Sicherheitsanforderungen unterliegen. Sie müssen:

• Risikomanagement-Maßnahmen nachweisen
• Vorfälle melden
• Lieferketten absichern

Das bedeutet für Sie als Dienstleister: Es werden nicht mehr nur Produkte beschafft, sondern ganzheitliche Konzepte, die Compliance sicherstellen. Warum sollten Sie das beachten? Laut Gartner verschiebt sich das Budget zunehmend in Richtung integrierter Sicherheitslösungen, was Ihre Strategie maßgeblich beeinflussen sollte. Prüfen Sie unser Pricing, um Ihre Angebote wettbewerbsfähig zu halten.

Zusätzlich verschärfen die Anforderungen an Kritische Infrastrukturen (KRITIS) den Bedarf an spezialisierten Lösungen wie Systemen zur Angriffserkennung (SzA). Wie Splunk in einer Analyse hervorhebt, müssen Betreiber bis Mai 2025 nachweisen, dass sie ihre Systeme rund um die Uhr überwachen können. Wie können Kommunen das leisten? Da kaum eine Kommune ein eigenes 24/7 Security Operations Center (SOC) betreiben kann, führt dies zu einer Welle von Ausschreibungen für Managed Security Services. Hier ist der entscheidende Punkt: Der Markt wandelt sich von einer reinen Produktbeschaffung hin zu langfristigen Service-Verträgen.

Hardware und Software: Die Basis-Infrastruktur gewinnen

Was sind die aktuellen Trends in der IT-Beschaffung? Der größte Anteil am Vergabevolumen entfällt nach wie vor auf die Beschaffung von Hard- und Software, doch die Art der Ausschreibungen hat sich gewandelt. Wenn Sie sich den Markt ansehen, werden Sie feststellen: Daten des Bitkom zeigen, dass das Segment für Sicherheitssoftware und Cloud-Plattformen mit 12,1 Prozent am stärksten wächst. Für Bieter bedeutet das: Der reine Verkauf von Lizenzen oder Box-Moving reicht oft nicht mehr aus, um den Zuschlag zu erhalten.

Ein typisches Muster in deutschen Ausschreibungen ist die sogenannte "Losaufteilung". Vergabe-Experten raten öffentlichen Auftraggebern häufig, Hardware und Dienstleistung zu trennen. Wie funktioniert diese Struktur in der Praxis? Laut dem Vergabe-Handbuch des Bundes dient dies der Mittelstandsförderung. Hier ist ein Beispiel, wie Ausschreibungen oft aufgebaut sind:

• Los 1: Lieferung der Komponenten (z.B. Next-Gen-Firewalls, Switches, HSM-Module)
• Los 2: Implementierung und Konfiguration (Initiale Einrichtung, Regelwerk-Erstellung)
• Los 3: Wartung und Support (Software-Updates, Hardware-Austausch über 3-5 Jahre)

Besonders im Bereich der Netzwerksicherheit sehen wir eine starke Nachfrage nach integrierten Lösungen. Warum ist die BSI-Konformität hier so kritisch? Der BSI IT-Grundschutz fordert für Behördennetze oft spezifische Zertifizierungen der Hardware (z.B. CC EAL4+). Wenn Sie als Bieter diese Anforderungen übersehen, wird Ihr Angebot formell ausgeschlossen. Ein Beispiel aus der Praxis: Eine Kommune schreibt "Erneuerung der Firewall-Infrastruktur" aus. Während der Titel simpel klingt, verbergen sich im Leistungsverzeichnis oft Anforderungen an Deep Packet Inspection (DPI), TLS-Entschlüsselung und eine zentrale Management-Konsole, die zwingend in Deutschland gehostet werden muss.

Auch der Bereich Endpoint Security hat sich von einfachen Antivirus-Lösungen zu komplexen EDR/XDR-Suiten (Endpoint Detection and Response) entwickelt. Wie können Sie diese Projekte identifizieren? Marktanalysen von Mordor Intelligence bestätigen, dass öffentliche Auftraggeber zunehmend Lösungen suchen, die nicht nur blockieren, sondern auch forensische Analysen ermöglichen. Berichte von Gartner unterstreichen ebenfalls den Trend hin zu integrierten Sicherheitsplattformen. Hier ist Vorsicht geboten: Oft verstecken sich diese Ausschreibungen hinter allgemeinen Titeln wie "Arbeitsplatzsysteme" oder "Server-Erneuerung". Wer nur nach "Antivirus" sucht, findet diese lukrativen XDR-Projekte oft nicht.

Auch die Beschaffung von SIEM-Systemen (Security Information and Event Management) gewinnt an Bedeutung. Wo können Sie diese versteckten Lose finden? Aktuelle Ausschreibungsdaten zeigen, dass diese oft im Kontext von Rechenzentrumserneuerungen ausgeschrieben werden. Die Herausforderung für Sie besteht darin, diese "versteckten" Security-Lose in großen Infrastruktur-Ausschreibungen zu identifizieren. Intelligente Suchagenten, die Volltexte nach Begriffen wie "Log-Management", "Korrelation" oder "Splunk/Elastic" scannen, sind hier ein entscheidender Wettbewerbsvorteil gegenüber der manuellen Suche nach CPV-Codes.

Hardware- und Software-Ausschreibungen sind zwar das "Brot-und-Butter-Geschäft", doch die Margen liegen zunehmend in den begleitenden Dienstleistungen und der Erfüllung komplexer technischer Kriterien (BSI-Konformität). Branchenbeobachter empfehlen, Partnerschaften mit spezialisierten Distributoren einzugehen. Auch Analysen von ChannelPartner legen nahe, dass Sie so bei großen Hardware-Losen lieferfähig bleiben, während Sie sich selbst auf die lukrativere Implementierung (Los 2) konzentrieren.

Dienstleistungen: Pentests, SOC und Consulting gewinnen

Was ist der entscheidende Faktor bei IT-Security-Dienstleistungen? Während Hardware oft über den Preis entschieden wird, zählt hier vor allem die Qualifikation des Personals. Hier ist die Situation: Nach aktuellen Daten von Bitkom wächst der Dienstleistungsmarkt um fast 10 Prozent jährlich, getrieben durch den massiven Fachkräftemangel. Öffentliche Auftraggeber sind oft gezwungen, Aufgaben extern zu vergeben. Was bedeutet das für Sie? Wenn Sie über qualifiziertes Personal verfügen, eröffnet dies enorme Chancen für Ihr Unternehmen.

Ein klassisches Beispiel sind Ausschreibungen für Penetrationstests. Was sind die Anforderungen an diese Tests? Berichte von CYSSDE bestätigen, dass Förderprogramme die Durchführung in kritischen Sektoren finanziell unterstützen. Worauf müssen Sie achten? In den Vergabeunterlagen finden Sie regelmäßig harte "K.O.-Kriterien". Wenn Sie diese Ausschreibungen gewinnen wollen, benötigen Sie Zertifizierungen wie OSCP oder CEH sowie den Status als BSI-zertifizierter IT-Sicherheitsdienstleister. Referenzen aus dem öffentlichen Sektor sind hierbei oft das Zünglein an der Waage.

Wie hilft ein Managed SOC dem Mittelstand? Ein weiteres wichtiges Wachstumsfeld ist das Security Operations Center. Recherchen von Heise Business Services zeigen, dass immer mehr öffentliche Unternehmen wie Stadtwerke nach externen SOC-Dienstleistern suchen. Warum ist das so? Ein eigenes 24/7-SOC benötigt mindestens 8-10 Vollzeitstellen - das ist für viele unbezahlbar. Sie werden sehen, dass Ausschreibungen hier oft Reaktionszeiten von unter 60 Minuten fordern. Hier können Sie punkten, indem Sie garantieren, dass die Datenanalyse zwingend im Rechtsraum der EU stattfindet.

Auch das Consulting rund um Informationssicherheits-Managementsysteme (ISMS) boomt. Was wird hier verlangt? Laut einer Analyse von PwC benötigen viele Behörden dringend Unterstützung bei der Umsetzung von BSI IT-Grundschutz oder ISO 27001. Experten von Digicomp weisen darauf hin, dass CISM oft für Management-Beratung gefordert wird, während CISSP eher technische Architekturen abdeckt. Wie können Sie das nutzen? Wenn Sie diese Zertifikate in Ihrem Team haben, sollten Sie gezielt nach Begriffen wie "ISMS Implementierung" suchen.

Wann sollten Sie als externer ISB agieren? Ein oft unterschätzter Bereich ist die Rolle des externen Informationssicherheitsbeauftragten. Gemäß den Richtlinien des BSI muss jede Institution einen ISB benennen, was viele Kommunen extern ausschreiben. Für Sie ist dies ein idealer "Foot-in-the-Door": Sie erhalten tiefen Einblick in die Infrastruktur und können proaktiv weitere Maßnahmen empfehlen. Halten Sie Ausschau nach Ausschreibungen zur "Gestellung ISB".

Wie gewinnen Sie die Ausschreibung? Die größte Herausforderung ist die Vergleichbarkeit. Der Forum Verlag rät Bietern dazu, nicht nur Preise zu nennen, sondern detaillierte Lösungskonzepte beizufügen. Oft fließt die Qualität des Konzepts mit 50-60% in die Bewertung ein. Das ist Ihre Chance: Mit einem exzellenten fachlichen Konzept können Sie günstigere, aber weniger kompetente Mitbewerber ausstechen.

Suchstrategien: CPV-Codes und Keywords kombinieren

Warum ist die Suche nach Security-Ausschreibungen oft so frustrierend? Das größte Problem ist die ungenaue Klassifizierung durch die Vergabestellen. Das Deutsche Vergabeportal (DTVP) berichtet zwar über spezifische CPV-Codes, doch wie Sie sehen werden, nutzen Vergabestellen in der Praxis oft nur Oberbegriffe. Wer sich nur auf den Code 72000000-5 (IT-Dienste) verlässt, ertrinkt in einer Flut irrelevanter Treffer.

Wie können Sie also die "Nadel im Heuhaufen" finden? Sie benötigen eine Kombination aus Codes und Volltextsuche. Laut Berichten von eVergabe.de ist dies der effektivste Weg zur Filterung. Hier ist eine Übersicht der CPV-Codes, die auf Ihre Watchlist gehören:

• 72246200-1: Beratung im Bereich Systemsicherheit (Sehr relevant für Consulting)
• 48730000-4: Sicherheitssoftwarepaket (Antivirus, Verschlüsselung)
• 32420000-3: Netzwerkausrüstung (Oft inkl. Firewalls)
• 79417000-0: Sicherheitsberatung (Vorsicht: Enthält auch Wachschutz!)

Warum sollten Sie zusätzlich eine Keyword-Strategie nutzen? Da diese Codes oft fehlerhaft vergeben werden, ist dies unerlässlich. Untersuchungen von IT-Tenders zeigen, dass viele Security-Projekte in allgemeinen Ausschreibungen versteckt sind. Wenn Sie sichergehen wollen, nutzen Sie daher boolesche Suchoperatoren für Begriffe wie:

• "Penetrationstest" OR "Schwachstellenscan"
• "SIEM" OR "SOC" OR "Angriffserkennung"
• "ISO 27001" OR "BSI Grundschutz" OR "ISIS12"
• "Firewall" AND "Next Generation"

Was ist ein oft übersehener Geheimtipp? Lassen Sie uns auf die Zertifizierungen schauen. Eine Suche nach "CISM" oder "OSCP" im Volltext der Vergabeunterlagen führt Sie oft direkt zu den hochwertigen Dienstleistungsaufträgen, die weniger Wettbewerb haben als reine Hardware-Lieferungen.

Nische mit Potenzial: Security Awareness & Training

Warum rückt der "Faktor Mensch" zunehmend in den Fokus der Behörden? Sie werden feststellen, dass technische Sicherheitsmaßnahmen allein oft nicht ausreichen. Laut dem BSI-Lagebericht identifiziert der Bund Phishing als eines der größten Einfallstore für Ransomware. Daher schreiben immer mehr öffentliche Stellen Schulungsmaßnahmen aus. Dies reicht von E-Learning-Plattformen bis hin zu simulierten Phishing-Kampagnen.

Wie können Sie diese Ausschreibungen finden? Hier ist ein Tipp für Ihre Akquise: Suchen Sie gezielt unter dem CPV-Code 80500000-9 (Ausbildungsdienstleistungen). Wenn Sie dies mit Keywords wie "Awareness", "Phishing-Simulation" oder "Live-Hacking" kombinieren, verbessern Sie Ihre Ergebnisse. Wie Bitkom-Studien bestätigen, wachsen die Budgets für Mitarbeiterschulungen im öffentlichen Sektor stabil. Marktbeobachter berichten zudem, dass dies für Anbieter von E-Learning-Content ein attraktiver Markt mit oft kürzeren Entscheidungswegen ist als bei komplexen Infrastruktur-Projekten.