Was ist ein IT-Sicherheitskonzept?
Ein IT-Sicherheitskonzept ist ein zentrales Dokument in öffentlichen IT-Ausschreibungen. Es beschreibt die technischen und organisatorischen Maßnahmen (TOMs), die ein Bieter implementiert, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen sicherzustellen. Bei öffentlichen Ausschreibungen ist das IT-Sicherheitskonzept häufig ein zwingendes Eignungs- oder Zuschlagskriterium.
Rechtliche Grundlagen
| Rechtsgrundlage | Relevanz |
|---|---|
| BSI-Grundschutz | Standard-Sicherheitsmethodik des BSI |
| ISO 27001 | Internationaler Standard für Informationssicherheits-Managementsysteme |
| DSGVO Art. 32 | Technische und organisatorische Maßnahmen |
| IT-Sicherheitsgesetz 2.0 | Anforderungen an KRITIS-Betreiber |
| EVB-IT Cloud-AGB | IT-Sicherheitsanforderungen für Cloud-Dienste |
| § 21 VgV | Leistungsbeschreibung mit Verweis auf Standards |
Inhalte eines IT-Sicherheitskonzepts
1. Organisatorische Sicherheit:
- Informationssicherheits-Managementsystem (ISMS)
- Sicherheitsorganisation und Verantwortlichkeiten
- Mitarbeiterschulungen und Awareness-Programme
- Incident-Response-Prozesse
- Business-Continuity-Management
2. Technische Sicherheit:
- Netzwerksicherheit (Firewalls, IDS/IPS, Segmentierung)
- Verschlüsselung (Transportverschlüsselung, Datenverschlüsselung)
- Authentifizierung und Zugriffskontrolle (MFA, RBAC)
- Patch-Management und Vulnerability-Scanning
- Backup- und Recovery-Konzept
3. Physische Sicherheit:
- Rechenzentrumsicherheit (Zutrittskontrollen, Brandschutz)
- Standort und Georedundanz
- Umgebungsüberwachung
4. Datenschutz:
- Verarbeitung personenbezogener Daten
- Auftragsverarbeitungsvertrag (AVV)
- Datenstandort (EU/EWR-Anforderung bei öffentlichen Aufträgen)
- Löschkonzept
Anforderungsstufen in Ausschreibungen
| Stufe | Anforderung | Typische Ausschreibung |
|---|---|---|
| Basis | BSI-Grundschutz Basis-Absicherung | Einfache IT-Dienstleistungen |
| Standard | BSI-Grundschutz Standard-Absicherung | Behörden-IT, Fachverfahren |
| Erhöht | BSI-Grundschutz Kern-Absicherung + ISO 27001 | KRITIS, Verschlusssachen |
| Sehr hoch | BSI C5 / ISO 27017 / SOC 2 | Cloud-Dienste für Behörden |
BSI-Grundschutz vs. ISO 27001
BSI-Grundschutz:
- Deutscher Standard, detaillierte Maßnahmenkataloge
- Bausteine für verschiedene IT-Bereiche
- Häufig bei Bundesbehörden gefordert
- Zertifizierung durch BSI-zertifizierte Auditoren
ISO 27001:
- Internationaler Standard
- Risikomanagement-basierter Ansatz
- ISO 27001 auf Basis BSI-Grundschutz = Kombination beider Welten
- International anerkannte Zertifizierung
IT-Sicherheitskonzept in der Ausschreibung
Als Eignungskriterium:
- Nachweis eines ISMS (z. B. ISO 27001-Zertifikat)
- BSI-Grundschutz-Zertifizierung
- Referenzen mit vergleichbaren Sicherheitsanforderungen
Als Zuschlagskriterium:
- Qualität des eingereichten Sicherheitskonzepts
- Bewertung der vorgeschlagenen Maßnahmen
- Detaillierungsgrad und Nachvollziehbarkeit
Als Vertragsbedingung:
- Einhaltung definierter Sicherheitsstandards während der Laufzeit
- Regelmäßige Sicherheitsaudits und Penetrationstests
- Meldepflichten bei Sicherheitsvorfällen
Typische Fehler in Angeboten
- Zu allgemein: Generische Sicherheitsbeschreibungen ohne Bezug zum konkreten Auftrag
- Fehlende Zertifikate: ISO 27001 oder BSI-Grundschutz fehlt, obwohl gefordert
- Datenstandort unklar: Keine klare Aussage zu EU/EWR-Datenverarbeitung
- Kein Incident-Response: Fehlende Beschreibung der Reaktionsprozesse bei Sicherheitsvorfällen
- Subunternehmer vergessen: Sicherheitsanforderungen gelten auch für Unterauftragnehmer
Patterno hilft
Mit Patterno-HIT finden Sie gezielt IT-Ausschreibungen mit spezifischen Sicherheitsanforderungen. Unsere KI erkennt Anforderungen wie „BSI-Grundschutz", „ISO 27001", „C5-Testat" oder „KRITIS" und filtert Ausschreibungen, die zu Ihrem Sicherheitsprofil passen.