IT-Sicherheitslösungen an den öffentlichen Sektor verkaufen: Compliance und Zertifizierung

Warum Compliance der stärkste Vertriebshebel im Public Sector ist

Warum unterscheidet sich der Vertrieb im öffentlichen Sektor so stark vom klassischen B2B-Geschäft? Wenn Sie IT-Sicherheit an Unternehmen verkaufen, geht es oft um den Schutz von geistigem Eigentum oder die Vermeidung von Produktionsausfällen. In der öffentlichen Verwaltung funktionieren diese Argumente nur bedingt. Hier ist der stärkste Treiber die Vermeidung von Haftung und die Erfüllung gesetzlicher Pflichten. Das BSI formuliert es klar: Die öffentliche Hand trägt die Verantwortung für die Daseinsvorsorge. Laut aktuellen Analysen des eGovernment Monitor ist das Vertrauen der Bürger in digitale Amtsgänge ein hohes Gut, weshalb ein Ausfall von Fachverfahren kein bloßes Ärgernis, sondern ein politisches Risiko darstellt.

Was bedeutet das konkret für Sie als IT-Dienstleister? Es erfordert ein Umdenken in der Ansprache. Wenn Sie nur technische Features („Unsere Firewall hat den höchsten Durchsatz“) präsentieren, erreichen Sie die Entscheider oft nicht. Stattdessen müssen Sie Compliance-Sicherheit verkaufen („Unsere Lösung erfüllt die Anforderungen des BSI-Bausteins NET.3.2“). Ein Positionspapier des Bitkom zeigt, dass Cybersicherheit im Public Sector zur Gewährleistung der staatlichen Handlungsfähigkeit entscheidend ist. Wie Experten für Vergaberecht betonen, suchen Entscheider in Behörden primär nach Partnern, die ihnen die komplexe Last der Nachweispflicht abnehmen.

Was sind die entscheidenden Argumente, die Sie nutzen sollten? Hier ist eine Übersicht:

• Haftungsvermeidung: Behördenleiter haften bei grober Fahrlässigkeit. Wie Berichte der KGSt belegen, minimiert eine nachweislich BSI-konforme Lösung dieses Risiko erheblich.
• Rechtssicherheit: Ausschreibungen fordern oft die Einhaltung spezifischer Standards (z. B. EVB-IT). Wer diese Sprache spricht, gewinnt.
• Budget-Sicherheit: Lösungen, die zertifiziert sind, rechtfertigen höhere Budgets, da sie das Risiko von teuren Neuausschreibungen reduzieren. Informieren Sie sich hier über unsere Preisgestaltung für entsprechende Lösungen.

Sie sehen also: Indem Sie Ihre Kommunikation auf diese regulatorischen „Schmerzen“ ausrichten, verwandeln Sie die bürokratischen Hürden in Ihren Wettbewerbsvorteil. So können Sie nicht mehr nur Software oder Hardware verkaufen, sondern positionieren sich erfolgreich mit „Compliance as a Service“.

Der BSI IT-Grundschutz: Die Bibel der öffentlichen IT-Beschaffung

Wollen Sie an die öffentliche Verwaltung verkaufen? Dann kommen Sie am IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nicht vorbei. Was ist der IT-Grundschutz? Er ist der De-facto-Standard für fast alle Bundes- und Landesbehörden sowie viele Kommunen. Laut dem IT-Grundschutz-Kompendium werden hier detailliert die Sicherheitsmaßnahmen definiert, die für spezifische Komponenten umgesetzt werden müssen. Für Vertriebsteams ist dieses Kompendium eine Goldgrube, wenn man es richtig zu nutzen weiß.

Wie ist das System aufgebaut? Der IT-Grundschutz basiert auf sogenannten „Bausteinen“. Jeder Baustein deckt einen Aspekt der IT ab - von „APP.1.1 Office-Produkte“ bis „OPS.1.1.4 Schutz vor Schadprogrammen“. Wie das BSI berichtet, werden diese Bausteine jährlich aktualisiert, wobei die Edition 2023/2024 aktuell maßgeblich ist. Ein IT-Sicherheitsbeauftragter (ISB) in einer Behörde muss nachweisen, dass er für jedes seiner Systeme die entsprechenden Bausteine umgesetzt hat. Wenn Ihre Lösung ihm diese Arbeit abnimmt, haben Sie den Fuß in der Tür.

Lassen Sie uns ein konkretes Beispiel betrachten: Sie verkaufen eine Mobile Device Management (MDM) Lösung. Anstatt nur über „einfache Verwaltung von Smartphones“ zu sprechen, sollten Sie aufzeigen, wie Ihre Software die Anforderungen des Bausteins SYS.3.2.1 Mobile Endgeräte erfüllt. Was wird gefordert? Nach Angaben des Kompendiums gehören dazu unter anderem:

• Zentrale Verwaltung
• Verschlüsselung
• Fernlöschung

Warum ist das hilfreich? Erstellen Sie ein „Mapping-Dokument“, das Punkt für Punkt zeigt: Anforderung BSI = Feature Ihrer Lösung. Das ist der Moment, in dem Sie dem Kunden Tage an Arbeit bei der Erstellung seines Sicherheitskonzepts sparen.

Der Prozess der „Grundschutz-Modellierung“ ist für Behörden extrem aufwendig. Er besteht aus Strukturanalyse, Schutzbedarfsfeststellung und dem IT-Grundschutz-Check. Gemäß den BSI-Standards 200-1 bis 200-3 wird dieses Vorgehen exakt beschrieben. Wie können Sie hier unterstützen? Wenn Sie als Dienstleister anbieten können, die für Ihre Komponenten relevanten Teile dieser Modellierung vorzubereiten („Wir liefern Ihnen den fertigen Baustein für unser System“), lösen Sie ein massives Ressourcenproblem der Verwaltung. Viele Behörden leiden unter Personalmangel im IT-Bereich und sind dankbar für jede Vorarbeit, die sie direkt in ihr ISMS (Informationssicherheits-Managementsystem) übernehmen können.

Worauf müssen Sie noch achten? Unterscheiden Sie zwischen „Basis-Absicherung“, „Standard-Absicherung“ und „Kern-Absicherung“. Das BSI empfiehlt hierzu oft die Standard-Absicherung als Ziel. Ihre Produkte sollten also idealerweise diesen Standard unterstützen. Für besonders kritische Bereiche (z.B. Polizei, Justiz) kann auch der „Schutzbedarf hoch“ gelten, was zusätzliche Anforderungen an Verschlüsselung und Ausfallsicherheit stellt. Klären Sie im ersten Verkaufsgespräch immer den Schutzbedarf des Kunden („Haben Sie Systeme mit erhöhtem Schutzbedarf?“), um Ihre Expertise zu demonstrieren.

Wie nutzen Sie das zu Ihrem Vorteil? Der IT-Grundschutz ist kein Hindernis, sondern Ihr Produktkatalog. Nutzen Sie die Terminologie des BSI („Bausteine“, „Gefährdungslage“, „Maßnahmen“), um Vertrauen aufzubauen. Wer die Sprache des Kunden spricht, wird als Partner auf Augenhöhe wahrgenommen und nicht nur als Lieferant.

NIS2 und KRITIS: Neue Pflichten schaffen neue Märkte

Wie wirkt sich die NIS2-Umsetzung auf den Markt aus? Die Überführung der Richtlinie in deutsches Recht vergrößert den Markt für IT-Sicherheitsanbieter schlagartig. Experten schätzen, dass statt bisher ca. 4.500 KRITIS-Betreibern nun rund 30.000 Unternehmen und Einrichtungen als „Wichtige“ oder „Besonders wichtige Einrichtungen“ reguliert werden. Laut aktuellen Prognosen von Branchenverbänden gehören dazu auch viele kommunale Versorger, Entsorger und Teile der öffentlichen Verwaltung selbst.

Warum ist die Lieferketten-Sicherheit das Kernstück für Ihren Vertrieb? Gemäß § 30 des neuen BSIG müssen betroffene Einrichtungen Risikomanagementmaßnahmen ergreifen, die explizit die „Sicherheit der Lieferkette“ einschließen. Hier ist der entscheidende Punkt: Eine Behörde oder ein Stadtwerk muss prüfen, ob Sie als IT-Dienstleister sicher sind. Wenn Sie nachweisen, dass Sie NIS2-konform arbeiten - selbst wenn Sie nicht direkt betroffen sind - werden Sie zum bevorzugten Lieferanten.

• Erweiterter Kreis: Abfallwirtschaft, Wasserversorgung und öffentliche Verwaltung sind nun voll im Fokus.
• Persönliche Haftung: Geschäftsführer und Behördenleiter haften persönlich für die Umsetzung der Maßnahmen. Das ist Ihr stärkstes Argument, wenn Sie hochwertige Security-Lösungen anbieten.
• Meldepflichten: Die strengen Meldepflichten (24h Frühwarnung) erfordern automatisierte Systeme zur Angriffserkennung (SzA). Wie können Sie hier unterstützen? Indem Sie Managed SOC oder SIEM-Lösungen bereitstellen.

Das KRITIS-Dachgesetz ergänzt dies um physische Schutzanforderungen. Analysen zeigen, dass hier IT- und physische Sicherheit (Zutrittskontrollen, Videoüberwachung) zusammenwachsen. Untersuchungen von Sicherheitsinstituten bestätigen: Positionieren Sie sich jetzt als ganzheitlicher Resilienz-Partner.

Vergaberecht und EVB-IT: Wie Sie die formale Hürde meistern

Selbst die beste Sicherheitslösung scheitert, wenn sie im Vergabeverfahren formale Fehler macht oder die spezifischen Vertragsbedingungen der öffentlichen Hand nicht akzeptiert. Was sind die EVB-IT? Das zentrale Instrument hierfür sind die EVB-IT (Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen). Der IT-Planungsrat schreibt die Nutzung dieser Musterverträge für Bundesbehörden vor, und auch Länder und Kommunen nutzen sie fast flächendeckend. Wenn Sie Cloud-Anbieter sind, ist besonders der EVB-IT Cloud Vertrag für Sie relevant.

Der EVB-IT Cloud Vertrag enthält harte Nüsse für Anbieter. PwC weist darauf hin, dass hier umfangreiche Mitwirkungspflichten bei Audits und strenge Vorgaben zur Datensicherheit verankert sind. Wie eine Analyse von KPMG zeigt, scheitern viele internationale Anbieter genau an diesen Compliance-Hürden. Sie werden feststellen, dass viele US-Anbieter sich hiermit schwer tun - das ist Ihre Chance als lokaler oder europäischer Anbieter. Wenn Sie in Ihrem Angebot bereits im ersten Satz bestätigen: „Wir akzeptieren die EVB-IT Cloud ohne Einschränkungen“, haben Sie oft schon einen Punktsieg errungen.

Ein weiterer wichtiger Punkt ist die Unterscheidung zwischen Eignungskriterien und Zuschlagskriterien. Was ist der Unterschied? Eignungskriterien sind K.O.-Kriterien (z.B. „Anbieter muss ISO 27001 zertifiziert sein“). Zuschlagskriterien entscheiden über das Ranking. Rechtsexperten empfehlen, schon vor der Ausschreibung im Rahmen einer Markterkundung mit der Behörde zu sprechen. Sie dürfen die Ausschreibung nicht schreiben, aber Sie können die Behörde darauf hinweisen, welche Sicherheitsstandards marktüblich sind. Wenn diese Standards dann in der Ausschreibung landen, haben Sie Ihr Feld bestellt.

Wie kann Automatisierung helfen? Nutzen Sie KI-gestützte Tools wie BidFix, um Ausschreibungen frühzeitig zu identifizieren, die spezifische Security-Keywords enthalten. Laut Gartner ist der Einsatz intelligenter Tools entscheidend, um in der Flut der Veröffentlichungen relevanten Bedarf zu erkennen. Der Bitkom-Leitfaden zur Vergabe zeigt zudem, dass öffentliche Auftraggeber zunehmend „Security by Design“ fordern. Das heißt für Sie: Sie müssen Sicherheit nicht als Add-on, sondern als integralen Bestandteil Ihres Angebots kalkulieren.

Ein oft unterschätzter Aspekt ist die Vergabeunterlage. Warum ist sie so wichtig? Behörden müssen dokumentieren, warum sie sich für ein Produkt entschieden haben. Nach Angaben der Vergabekammer sind Dokumentationsmängel einer der häufigsten Gründe für rechtliche Rügen. Liefern Sie ihnen die Textbausteine dafür! „Unsere Lösung erfüllt Kriterium X durch Technologie Y, was laut BSI-Lagebericht 2024 die empfohlene Abwehrmaßnahme ist.“ Damit machen Sie der Vergabestelle die Arbeit leicht.

Und zuletzt: Achten Sie auf die No-Spy-Klausel bzw. die Erklärung zur digitalen Souveränität. Das BMI fordert zunehmend Garantien, dass keine Daten an ausländische Geheimdienste abfließen. Als deutscher oder europäischer Anbieter sollten Sie dieses Merkmal offensiv als „Alleinstellungsmerkmal für Rechtssicherheit“ vermarkten.

Zertifizierungen: C5, ISO 27001 und Co. im Vergleich

Was sind die wichtigsten Zertifikate im öffentlichen Sektor? Zertifikate sind hier die Währung des Vertrauens. Doch welches Zertifikat öffnet welche Tür? Laut dem BSI unterscheidet man klar zwischen Produktzertifizierungen und Managementsystemen. Hier ist eine Übersicht, die Ihnen hilft:

• ISO 27001 (International): Der internationale Standard. Das ist ein Muss für das Unternehmen selbst. Wie können Sie sicherstellen, dass Sie im Wettbewerb bestehen? Ohne ISO-27001-Zertifikat werden Sie bei vielen Ausschreibungen ab 50.000 € Auftragswert direkt ausgesiebt.
• ISO 27001 auf Basis von IT-Grundschutz: Die „Königsklasse“ in Deutschland. Das BSI bestätigt hier, dass der Grundschutz vollständig umgesetzt ist. Warum ist das so entscheidend? Für Anbieter, die KRITIS-Betreiber oder Sicherheitsbehörden als Kunden wollen, ist dies oft der entscheidende Wettbewerbsvorteil gegenüber internationaler Konkurrenz.
• C5 (Cloud Computing Compliance Criteria Catalogue): Speziell für Cloud-Anbieter. Nach Angaben des BSI wurde der C5-Katalog entwickelt, um eine prüfbare Grundlage für Cloud-Sicherheit zu schaffen. Wenn Sie SaaS-Anbieter im GovTech-Bereich sind, ist ein C5-Testat (Typ 2) heute fast unverzichtbar.

Investieren Sie in diese Zertifikate. Sie sind teuer und aufwendig, aber Sie werden sehen: Sie wirken wie ein „Fast-Track-Ticket“ durch die Eignungsprüfung der Vergabestellen.