IT-Security Beschaffung öffentlicher Sektor: Verfahren & Geheimschutz

Was bedeutet IT-Security Beschaffung im öffentlichen Sektor?

Was ist IT-Security-Beschaffung eigentlich? Sie umfasst nicht nur den Einkauf von Firewalls oder Antiviren-Software, sondern jede Beschaffung, die sicherheitsrelevante Aspekte berührt. Wenn Sie genauer hinsehen, betrifft dies oft Bereiche, die als Verschlusssache (VS) eingestuft sind. Laut der Vergabeverordnung Verteidigung und Sicherheit (VSVgV) existiert hierfür ein eigener Rechtsrahmen, der zwar flexibler ist als das klassische Vergaberecht, aber strengere Eignungskriterien anlegt. Um diese Anforderungen wirtschaftlich umzusetzen, lohnt sich ein Blick auf unser Pricing.

Wie können IT-Dienstleister diese Anforderungen erfüllen? Technische Exzellenz allein reicht nicht aus. Wie das BSI-Grundschutz-Kompendium berichtet, bilden technische Standards zwar das Fundament, doch die organisatorische Hürde liegt im Geheimschutz. Das ist der entscheidende Punkt: Öffentliche Auftraggeber müssen sicherstellen, dass sensible Daten - nach Angaben des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) reicht dies von kritischer Infrastruktur bis zu Verteidigungsgeheimnissen - beim Auftragnehmer genauso sicher sind wie in der Behörde selbst.

VS-Anforderungen und Geheimschutzbetreuung: Ein Deep Dive

Was ist der wohl kritischste Aspekt bei der IT-Security-Beschaffung? Es ist der Umgang mit Verschlusssachen (VS). Wenn Sie sich auf öffentliche Aufträge bewerben, greift das staatliche Geheimschutzverfahren, sobald ein Auftrag Informationen enthält, die als VS-VERTRAULICH oder höher eingestuft sind. Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) ist hierbei die zuständige Instanz für die sogenannte Geheimschutzbetreuung von Unternehmen. Das ist kein bloßer Formalismus, sondern ein umfassender Prozess, der Monate in Anspruch nehmen kann und oft schon vor der eigentlichen Angebotsabgabe initiiert werden muss.

Für Unternehmen beginnt der Prozess meist mit der Aufnahme in das Geheimschutzhandbuch (GHB). Hier ist ein entscheidender Punkt, den Sie beachten müssen: Das Geheimschutzhandbuch des BMWK schreibt exakt vor, welche baulichen, personellen und organisatorischen Maßnahmen zu treffen sind. Dazu gehören beispielsweise:

• die Einrichtung einer VS-Registratur,
• die Nutzung zugelassener IT-Systeme (wie SINA-Boxen) und
• die Benennung eines Sicherheitsbevollmächtigten (SiBe) im Unternehmen.

Ohne diese Strukturen ist eine Teilnahme an entsprechenden Ausschreibungen faktisch ausgeschlossen.

Wie funktioniert die Abgrenzung zur Stufe VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)? Nach Angaben des Bundesinnenministeriums (BMI) erfordert VS-NfD zwar keine formelle Geheimschutzbetreuung durch das BMWK, aber dennoch spezifische technische Schutzmaßnahmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet in diesem Zusammenhang, dass IT-Dienstleister oft vertraglich zusichern müssen, dass Daten nur auf Systemen verarbeitet werden, die für diesen Geheimhaltungsgrad freigegeben sind. Das wird in den Vergabeunterlagen oft als „Verpflichtungserklärung nach dem Verpflichtungsgesetz“ gefordert.

Die Kosten für die Umsetzung dieser Maßnahmen trägt in der Regel das Unternehmen selbst. Der Branchenverband Bitkom weist darauf hin, dass diese Vorinvestitionen für kleine und mittlere Unternehmen (KMU) eine erhebliche Markteintrittsbarriere darstellen können. Sie können dies jedoch auch als Chance nutzen: Experten für Vergaberecht bestätigen, dass der Besitz eines gültigen Sicherheitsbescheids ein massiver Wettbewerbsvorteil ist. Er signalisiert öffentlichen Auftraggebern sofortige Einsatzbereitschaft für sensible Projekte.

Wie können Sie strategisch vorgehen? Lassen Sie uns einen Blick auf die Praxis werfen. Prüfen Sie Ausschreibungen frühzeitig auf VS-Vermerke. Plattformen wie evergabe.de kennzeichnen solche Verfahren oft explizit. Wenn Sie noch nicht geheimschutzbetreut sind, aber strategisch in diesen Markt wollen, sollten Sie proaktiv den Kontakt zu Auftraggebern suchen, da die Betreuung nur auf Antrag einer Behörde eingeleitet werden kann. Eine „Vorratsbetreuung“ ohne konkreten Auftragsbezug ist rechtlich nicht vorgesehen.

Die Geheimschutzbetreuung ist die Eintrittskarte in den High-End-Markt der öffentlichen IT-Security. Die Allianz für Cyber-Sicherheit empfiehlt Unternehmen, sich frühzeitig mit den Anforderungen des GHB vertraut zu machen, um im Ernstfall reaktionsfähig zu sein. Wer hier Fehler macht, wird oft schon aus formalen Gründen vom Vergabeverfahren ausgeschlossen, egal wie gut das technische Angebot ist.

Sicherheitsüberprüfungen (SÜG): Ü1, Ü2 und Ü3 erklärt

Neben der Sicherheit des Unternehmens ist die Zuverlässigkeit Ihres Personals entscheidend. Doch was ist die rechtliche Grundlage? Das Sicherheitsüberprüfungsgesetz (SÜG) regelt hierfür drei Stufen der Überprüfung. Hier ist ein wichtiger Punkt für Sie: Als IT-Dienstleister müssen Sie den Zeitbedarf dieser Prüfungen unbedingt in die Projektplanung einkalkulieren.

Was ist die Einfache Sicherheitsüberprüfung (Ü1)? Sie ist der Standard für den Zugang zu VS-Vertraulich. Der Bundesbeauftragte für den Datenschutz (BfDI) erläutert, dass hierbei primär Registerabfragen durchgeführt werden. Wenn Sie diese Stufe benötigen, geht es relativ schnell - oft innerhalb von 4 bis 8 Wochen - was für viele administrative IT-Tätigkeiten ausreicht.

Die Erweiterte Sicherheitsüberprüfung (Ü2) wird fällig bei Zugang zu Geheim oder bei Tätigkeiten im Sabotageschutz. Wie funktioniert diese Prüfung? Das Bundesamt für Verfassungsschutz berichtet, dass hierbei zusätzlich die Identität geprüft und in der Regel auch der Partner einbezogen wird. Planen Sie hierfür etwa 3 bis 6 Monate ein.

Die Erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen (Ü3) ist die höchste Stufe für Streng Geheim. Warum dauert das so lange? Laut BMI werden hierbei auch Referenzpersonen befragt, um ein umfassendes Bild zu erhalten. Das bedeutet für Sie, dass ein solches Verfahren 6 bis 12 Monate dauern kann.

Wann sollten Sie die Prüfung einleiten? Beachten Sie, dass eine Sicherheitsüberprüfung immer zweckgebunden ist. Das BMWK stellt klar, dass die Überprüfung erst beginnt, wenn ein konkreter Einsatz geplant ist. Lassen Sie uns eines festhalten: Ein „Sicherheits-Zertifikat“ zum Mitnehmen gibt es nicht, auch wenn bestehende Überprüfungen oft anerkannt werden.

Besondere Vergabeverfahren nach VSVgV: Strategien für Anbieter

Was ist das maßgebliche Regelwerk für IT-Security im Verteidigungsbereich? Es ist die VSVgV. Gemäß § 10 VSVgV steht den Auftraggebern hier das „Verhandlungsverfahren mit Teilnahmewettbewerb“ als Standardverfahren zur Verfügung. Hier ist ein wesentlicher Unterschied zur klassischen VgV: Es gibt fast immer eine Verhandlungsrunde. Wenn Sie Anbieter sind, bedeutet das für Sie: Diese Runde ist Ihre größte Chance.

Wie funktioniert der Auswahlprozess? Er beginnt mit dem Teilnahmewettbewerb. Rechtsexperten von Heuking betonen, dass in dieser Phase oft noch kein Preisangebot abgegeben wird, sondern die Eignung im Vordergrund steht. Sie werden feststellen, dass Referenzen aus dem Sicherheitsbereich hier die harte Währung sind. Fehlen diese, können Bietergemeinschaften eine strategische Lösung sein.

Wie können Sie das Verfahren aktiv beeinflussen? Nach der Auswahl folgt die Verhandlung. Die Kanzlei Blomstein analysiert, dass in VSVgV-Verfahren oft auch über technische Lösungswege verhandelt wird. Das ist Ihre Möglichkeit, Ihre Expertise als Berater einzubringen. Nutzen Sie diese Phase, um auf Sicherheitsrisiken hinzuweisen oder sicherere Architekturen vorzuschlagen. Auftraggeber schätzen diese Mitdenk-Kompetenz.

Wo können Sie Aufträge finden, die nicht öffentlich sind? Beachten Sie die Ausnahmen. Nach § 107 GWB können bestimmte Aufträge komplett freihändig vergeben werden, wenn wesentliche Sicherheitsinteressen dies erfordern. Bitkom empfiehlt daher, sich auf Branchenevents wie der U.T.SEC sichtbar zu machen. Wenn Sie dort präsent sind, rücken Sie in den Fokus der Beschaffer.

Warum ist die Form der E-Vergabe so entscheidend? Weil Fehler tödlich sind. Das Portal evergabe.de weist darauf hin, dass unverschlüsselte E-Mails bei VS-Inhalten zum sofortigen Ausschluss führen. Laut BSI-Mindeststandards sind oft spezifische Übertragungswege zwingend. Sie können das Risiko minimieren, indem Sie die Bewerbungsbedingungen penibel genau lesen.

Was sind die entscheidenden Zuschlagskriterien? PwC-Studien zeigen, dass die „Versorgungssicherheit“ eine immer größere Rolle spielt. Berichte des BMWK bestätigen ebenfalls die Relevanz strategischer Souveränität. Lassen Sie uns diese Punkte prüfen:

• Können Sie garantieren, dass Sie auch in Krisenzeiten lieferfähig bleiben?
• Haben Sie redundante Teams?
• Liegen Ihre Server in Deutschland?

Solche Faktoren können den Ausschlag geben, selbst wenn Sie teurer sind.

Wann sollten Sie Verfahrensfehler rügen? Sofort. Das Forum Vergabe rät, Unklarheiten in den Vergabeunterlagen schriftlich zu rügen, noch bevor Sie ein Angebot abgeben. Rechtliche Analysen von CMS Hasche Sigle bestätigen, dass es nach der Absage oft zu spät ist, Fehler geltend zu machen. Warten Sie nicht.

NATO und internationale Klassifizierungen

Viele IT-Security-Projekte im öffentlichen Sektor haben internationale Bezüge, sei es durch EU-Kooperationen oder NATO-Standards. Laut den Listen, die das BMI führt, gibt es klare Äquivalenzen bei den Geheimhaltungsgraden. Was bedeutet das für deutsche Anbieter? Wenn Sie bereits eine deutsche Ü2-Überprüfung besitzen, werden Sie feststellen, dass diese oft für NATO SECRET anerkannt wird, sofern sie formell bestätigt ist.

Was sind die NATO-Sicherheitsstufen? Die NATO unterscheidet vier Kategorien, die Sie kennen sollten:

• NATO RESTRICTED: Entspricht VS-NfD.
• NATO CONFIDENTIAL: Entspricht VS-VERTRAULICH.
• NATO SECRET: Entspricht GEHEIM.
• COSMIC TOP SECRET: Entspricht STRENG GEHEIM.

Wie können Sie das Zertifikat erhalten? Wenn Sie sich auf NATO-Ausschreibungen bewerben (z. B. über die NCIA), benötigen Sie oft ein „NATO Personnel Security Clearance Certificate“. Wie das BMWK berichtet, wird dieses Zertifikat direkt auf Basis Ihrer nationalen Überprüfung ausgestellt. Hier ist ein wichtiger Rat: Planen Sie hierfür zusätzliche Bearbeitungszeit ein, da internationale Abgleiche oft länger dauern.

Checkliste für IT-Dienstleister: So bereiten Sie sich vor

Wie können Sie sich optimal auf IT-Security-Ausschreibungen vorbereiten? Der Erfolg in der Beschaffung steht und fällt mit der Vorbereitung. Wenn Sie hier proaktiv handeln, müssen Sie nicht erst auf die Ausschreibung warten, um Ihre Hausaufgaben zu machen. Hier ist eine Checkliste, die wir basierend auf Empfehlungen des Bitkom für Sie erstellt haben:

• Sicherheitsbevollmächtigten benennen: Bestimmen Sie eine Person im Unternehmen, die für Geheimschutz verantwortlich ist.
• Mitarbeiter vorprüfen: Nach Angaben des BMWK sollten Sie frühzeitig klären, welche Mitarbeiter für eine SÜG (Ü2/Ü3) in Frage kommen.
• Infrastruktur härten: Sorgen Sie für BSI-konforme IT-Arbeitsplätze (z. B. für VS-NfD).
• Referenzen aufbereiten: Dokumentieren Sie vergleichbare Projekte mit Fokus auf Sicherheitsaspekte.

Warum ist diese Vorbereitung so wichtig? Mit diesen Maßnahmen können Sie auf Ausschreibungen schnell reagieren. Das BSI berichtet zudem, dass organisatorische Reife oft der entscheidende Faktor bei der Vergabe ist.