Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.
DE EN

Beschaffung von Cyber-Security

29.10.2020
PDF download
Weitere Neuigkeiten

Taming Digital Markets Globally

Gateways, Not Gatekeepers: New Data Access Avenues Under the DMA

Dismantling Digital Walls: The Promise of the DMA

Cyber-Security wird immer wichtiger. Spätestens seit den Attacken auf den deutschen Bundestag, das Auswärtige Amt und zahlreiche Persönlichkeiten des öffentlichen Lebens ist ein verstärktes Bewusstsein dafür entstanden, dass insbesondere die öffentliche Hand und Unternehmen die Integrität der vorhandenen informationstechnischen Systeme schützen müssen. Der folgende Beitrag verschafft einen Überblick darüber, welche Besonderheiten sich bei der Beschaffung von Waren und Dienstleistungen zur Cyber-Security selbst ergeben. Ein weiterer Beitrag erläutert, wie öffentliche Auftraggeber eine erhöhte Cyber-Integrität im Rahmen von Vergabeverfahren sicherstellen können.

Viele Unternehmen bieten bereits jetzt ein breites Spektrum an effektiven Waren und Dienstleistungen zur Erhöhung der Cyber-Security an. Es beginnt bei einfachen, standardisierten Software-Lösungen wie Firewalls oder Virenschutz, geht über besonders geschützte Server-Räume oder Beratungen zur Schaffung einer kohärenten Cyber-Sicherheitsarchitektur hin zu eigens programmierten Programmen der Sicherheitsbehörden, um zu Ermittlungszwecken in Rechensysteme Dritter einzudringen.

Bei der Beschaffung von Waren und Dienstleistungen zur Cyber-Security besteht eine große Spannung zwischen dem vergaberechtlichen Gebot eines diskriminierungsfreien und transparenten Wettbewerbs und dem Interesse öffentlicher Auftraggeber, maßgeschneiderte Lösungen zu erhalten. Auch Fragen der Sicherheit und Vertraulichkeit spielen selbstredend eine große Rolle. Diese Komplexität wird noch weiter durch das industriepolitische Interesse verstärkt, eine deutsche und europäische Expertise auf den betreffenden Gebieten aufzubauen oder fortzuentwickeln. Wie diese Spannungsverhältnisse im Einzelfall aufgelöst werden können, bestimmt sich maßgeblich nach der zur Verfügung stehenden Verfahrensart:

20201029 Spannungsverhältnis

  • Das Verhandlungsverfahren ohne vorgeschalteten Teilnahmewettbewerb eignet sich insbesondere bei der Beschaffung eines schon im Zeitpunkt der Vergabeentscheidung feststehenden Produkts eines bestimmten Unternehmens. Dieses Verfahren ist jedoch nur unter engen Voraussetzungen möglich (vgl. § 14 Abs. 4 VgV, § 13 Abs. 2 SektVO; § 12 VSVgV). Das ist im Kontext der Cyber-Security beispielsweise dann der Fall, wenn nur ein auf dem Markt befindliches Produkt den erforderlichen Mindeststandard an IT-Sicherheit gewährleistet. Das Gleiche gilt, wenn die Migration sensibler Daten auf ein neues System oder die Inkompatibilität verschiedener vom Hoheitsträger genutzter Systeme zu schwerwiegenden Sicherheitslücken führen würden. Auch ist denkbar, dass der öffentliche Auftraggeber im Rahmen des Beschaffungsvorhabens zwingend auf bestimmte Ausschließlichkeitsrechte zurückgreifen muss, die bei nur einem Unternehmen liegen. Dies ist etwa dann geboten, wenn der öffentliche Auftraggeber Updates, Softwarepflegeleistungen oder zusätzliche Lizenzen für bestimmte IT-Sicherheitsprodukte benötigt, die von ihm bereits genutzt werden.

  • Stehen weder der konkrete Beschaffungsgegenstand noch der Auftragnehmer im Vorfeld der Ausschreibung fest, ist bei komplexeren Vorhaben regelmäßig das Verhandlungsverfahren mit Teilnahmewettbewerb vorzugswürdig. Unternehmen können ihre Lösung für die vom öffentlichen Auftraggeber vorgegebenen Anforderungen präsentieren und mit ihm verhandeln. Aus den ihm angebotenen Leistungen kann der Auftraggeber dann die beste Lösung auswählen. Dadurch besteht für den Auftraggeber die Möglichkeit, den Vertragsgegenstand zu modifizieren und konkretisieren, um innovative Lösungen auf dem neuesten Stand der Technik einzukaufen. In der Vergangenheit wurde dieses Verfahren beispielsweise verwendet zur Beschaffung umfangreicher Schwachstellenanalysen der IT-Infrastruktur, bei groß angelegten Projekten zur Mitarbeitersensibilisierung für den Bereich Cyber-Security oder zur Erstellung von Krisenkonzepten für Fälle erfolgreicher Cyber-Attacken.

  • Um in Deutschland oder Europa noch nicht auf dem Markt verfügbare Technologien auf- oder auszubauen, bietet sich die – für Beschaffungen mit Verteidigungs- oder Sicherheitsrelevanz allerdings nicht explizit vorgesehene – Innovationspartnerschaft an. Obwohl ihr in der Praxis noch keine allzu große Bedeutung zukommt, eröffnet sie die Möglichkeit, gemeinsam mit einem oder mehreren vom öffentlichen Auftraggeber zu bestimmenden Unternehmen neue Produkte oder Dienstleistungen zu entwickeln. Derartige Verfahren könnten dazu beitragen, die Abhängigkeit von außereuropäischen Produkten und Systemen im Bereich der Informationssicherheit zu verringern, und so zu einer Stärkung des deutschen und europäischen Standortes auf dem Gebiet der Cyber-Sicherheit führen. Solche Innovationspartnerschaften bieten sich damit insbesondere bei Großprojekten im Bereich der Informationstechnologie an, wie etwa der Entwicklung komplexer Spähsoftware oder entsprechender Abwehrsysteme.

  • Ausschreibungen von standardisierten Waren und Dienstleistungen ohne Sicherheitsrelevanz können im offenen Verfahren durchgeführt werden. Dieses Verfahren eignet sich etwa für die Ausschreibung einfacher Mitarbeiterschulungen zur IT-Sicherheit oder regelmäßiger allgemeiner Analysen zur aktuellen Bedrohungslage in diesem Bereich („Threat Assessments“). Auch für die Beschaffung von Standard-Software oder -Hardware (Bildschirme, Desktop-PCs) ist das offene Verfahren geeignet.

  • In den eng eingegrenzten Fällen des Art. 346 AEUV kann von einer Ausschreibung unter Umständen sogar gänzlich abgesehen werden. Dafür müssten „wesentliche Sicherheitsinteressen“ der Bundesrepublik betroffen sein. Seit Inkrafttreten des § 107 Abs. 2 S. 2 GWB im April 2020 ist dies insbesondere auch dann der Fall, wenn der öffentliche Auftrag verteidigungs- oder sicherheitsindustrielle Schlüsseltechnologien betrifft. Zu diesen Schlüsseltechnologien gehören u.a. auch sicherheitsrelevante IT- und Kommunikationsanlagen, wie Cyber-Abwehrsysteme, sowie Lösungen unter Einsatz Künstlicher Intelligenz (KI).

Wie das Spannungsverhältnis zwischen Wettbewerb und Sicherheitsbedenken in der Praxis bestmöglich austariert werden kann und welche Verfahrensarten sich bei der Beschaffung von Waren und Dienstleistungen im Bereich Cyber-Security künftig durchsetzen werden, wird sich in den kommenden Jahren zeigen.

BLOMSTEIN wird diese Entwicklungen beobachten und darüber informieren. Wenn Sie Fragen zu den potenziellen Auswirkungen der Cyber-Security auf Ihr Unternehmen oder Ihre Branche haben, stehen Ihnen Dr. Roland M. Stein und Dr. Christopher Wolters jederzeit gern zur Verfügung.

zurück zur Übersicht