Sicherheitsanforderungen in der Ausschreibung: Was muss rein?

Sicherheit beginnt vor dem Projektstart

Ob IT-System, Industrieanlage oder Softwarelösung – wer Leistungen oder Produkte ausschreibt, legt in der Ausschreibung den Grundstein für die spätere Umsetzung. Dabei wird ein Aspekt regelmäßig unterschätzt: die Sicherheitsanforderungen.

Viele Projekte scheitern bereits in der Ausschreibungsphase, weil Anforderungen zu ungenau, widersprüchlich oder nicht überprüfbar formuliert sind. Vor allem im Bereich Informationssicherheit entstehen daraus hohe Folgekosten, Verzögerungen oder sogar Projektabbrüche.

Ein klarer, realistischer und überprüfbarer Anforderungskatalog zu Sicherheitsaspekten ist daher unverzichtbar.

Typische Fehler bei Sicherheitsanforderungen in Ausschreibungen

  1. Allgemeine Formulierungen ohne Konkretisierung Beispiel: „Das System muss sicher sein“ – ohne Definition von Bedrohungslage, Schutzbedarf oder Sicherheitszielen.
  2. Unvollständige Anforderungen Oft fehlen Vorgaben zu Zugriffskontrollen, Verschlüsselung, Logging, Notfallmanagement oder Datenschutz.
  3. Keine Referenz auf anerkannte Standards Fehlt die Bezugnahme auf Normen wie ISO 27001, BSI-Grundschutz oder OWASP, fehlen auch objektive Kriterien zur Bewertung.
  4. Widersprüche zwischen technischen, rechtlichen und organisatorischen Anforderungen Beispiel: Gewünscht wird maximale Verfügbarkeit bei gleichzeitig minimaler Zugriffsrechtevergabe – ein Widerspruch ohne klare Priorisierung.
  5. Fehlende Bewertungskriterien für Sicherheitsanforderungen Selbst wenn Anforderungen genannt werden, fehlt oft die Angabe, wie deren Erfüllung nachgewiesen oder gewichtet wird.
  6. Nichtberücksichtigung von Betrieb und Wartung Ausschreibungen fokussieren häufig auf die Implementierungsphase. Sicherheitsaspekte wie Patch-Management, Monitoring, Incident Response oder Backup-Verfahren im Betrieb fehlen oft völlig.
  7. Zu hohe oder zu niedrige Anforderungen ohne Schutzbedarfsfeststellung Ohne eine fundierte Schutzbedarfsanalyse kommt es zu übertriebenen oder unzureichenden Anforderungen, die nicht zur Risikolage passen.

Was muss in die Ausschreibung? (konkret und nachvollziehbar)

✔ Beschreibung des Schutzbedarfs (Vertraulichkeit, Integrität, Verfügbarkeit) ✔ Definition sicherheitsrelevanter Funktionen (z. B. Benutzerrollen, Logging, Verschlüsselung) ✔ Klare Referenz auf Standards (z. B. ISO 27001, ISO 22301, ISO 42001, DSGVO, IT-Grundschutz, NIS2) ✔ Vorgaben zur Umsetzung (z. B. 2-Faktor-Authentifizierung, Monitoring, Patchprozesse) ✔ Nachweisanforderungen (z. B. Zertifikate, Auditberichte, Sicherheitskonzepte) ✔ Bewertungskriterien (Gewichtung von Sicherheit im Verhältnis zu Kosten oder Funktionalität) ✔ Anforderungen an die Dokumentation (z. B. Sicherheitskonzept, Risikoanalyse, Betriebsdokumentation) ✔ Rollenverteilung: Wer ist verantwortlich für welche Sicherheitsaspekte im Betrieb? ✔ Anforderungen an Schulungen und Awareness-Maßnahmen ✔ Sicherheitsanforderungen für Dritte, Dienstleister und Subunternehmer ✔ Lifecycle-Anforderungen: Sicherheit im gesamten Lebenszyklus (von Entwicklung bis Außerbetriebnahme) ✔ Interne Sicherheitsprüfungen und geplante Audits vor Projektstart ✔ Anforderungen an Tools zur Sicherheitsüberwachung (z. B. SIEM, Schwachstellenmanagement) ✔ Vorgaben zur Reaktion auf Sicherheitsvorfälle (z. B. Meldung, Fristen, Eskalationspfade) ✔ Datensicherheitsvorgaben wie Verschlüsselung im Ruhezustand und bei Übertragung

Sicherheitsstandards, auf die sich Ausschreibungen stützen können

Einige etablierte Standards eignen sich besonders, um Ausschreibungen fundiert und nachvollziehbar zu gestalten:

  • ISO/IEC 27001: Informationssicherheitsmanagementsystem (ISMS)
  • ISO/IEC 27002: Maßnahmenkatalog zur Umsetzung von ISO 27001
  • ISO/IEC 22301: Business Continuity Management
  • ISO/IEC 42001: KI-Managementsystem (für Ausschreibungen mit KI-Komponenten)
  • BSI IT-Grundschutz-Kompendium
  • EU NIS2-Richtlinie (für kritische Infrastruktur und relevante Einrichtungen)
  • DSGVO (bei Verarbeitung personenbezogener Daten)
  • OWASP ASVS / Top 10 (für Webanwendungen)
  • ISA/IEC 62443 (für industrielle Steuerungs- und Automatisierungssysteme)
  • TISAX (für die Automobilindustrie)

Diese Standards bieten nicht nur Orientierung bei der Ausgestaltung, sondern ermöglichen auch objektive Prüfbarkeit durch Zertifikate oder Auditberichte.

Praxisbeispiel: Sicherheitslücken durch Ausschreibungsfehler

Ein mittelständisches Unternehmen schrieb ein zentrales Kommunikationssystem aus. In der Ausschreibung hieß es: „Das System muss dem Stand der Technik in Bezug auf Informationssicherheit entsprechen.“ Weitere Anforderungen fehlten.

Ergebnis: – Der Anbieter wählte eine veraltete Verschlüsselungsmethode, weil sie einfacher zu integrieren war. Kein Logging der Benutzeraktionen wurde eingerichtet. Notfallkonzepte waren nicht Bestandteil des Angebots.

Erst nach einem Audit durch externe Prüfer wurde deutlich, dass grundlegende Sicherheitsmechanismen fehlten. Die Nachrüstung verursachte erhebliche Zusatzkosten und führte zu einem dreimonatigen Projektverzug.

Fazit: Eine präzise Ausschreibung hätte diese Fehler vermieden.

Tipps für Auftraggeber

  1. Frühzeitig Sicherheitsexpertise einbinden Beziehen Sie Informationssicherheitsbeauftragte oder externe Berater bereits in die Anforderungserhebung ein.
  2. Standardisierte Vorlagen nutzen Nutzen Sie Vorlagen aus anerkannten Standards oder von Branchenverbänden (z. B. BSI-Vergabehilfe, Bitkom-Leitfäden).
  3. Workshops mit IT und Fachabteilungen durchführen Ausschreibungen sind Teamarbeit. Sicherheitsanforderungen sollten zwischen Fachbereich, IT und Einkauf abgestimmt werden.
  4. Referenzprojekte analysieren Was hat in ähnlichen Projekten funktioniert? Wo gab es Schwierigkeiten? Nutzen Sie diese Erkenntnisse.
  5. Kriterien für Angebotsbewertung klar definieren Wie wird Informationssicherheit im Angebotsvergleich gewichtet? Welche Nachweise sind erforderlich? Welche Mindestanforderungen gelten?
  6. Risiken offen benennen Benennen Sie erkennbare Risiken in der Ausschreibung. Transparenz schafft Klarheit und fördert bessere Angebote.

Fazit: Sicherheit ist ausschreibungsrelevant – und prüfbar

Ausschreibungen sind kein formaler Akt, sondern strategisches Werkzeug. Wer Sicherheitsanforderungen zu ungenau formuliert, gefährdet den Erfolg des gesamten Projekts. Wer sie hingegen konkret, prüfbar und realistisch aufsetzt, stärkt Qualität, Verbindlichkeit und Vertrauen.

Bleiben wir in Verbindung

Adinger Newsletter bestellen

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Name
Datenschutz

Adinger bietet Unternehmen im hochregulierten Umfeld methodisches Know-how (strategy), praxisorientierte Schulungen (competence) und operative Projektumsetzung (operations), mit dem Ziel sichere, resiliente und gesetzeskonforme Systeme zu errichten und zu betreiben

Instagram Facebook Linkedin

Trainings

Expertise

Adinger

Newsletter

© Adinger IT Trainings 2025

Newsletter Anmeldung

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Name
Datenschutz