Ä
Änderung an Vergabeunterlagen
Nimmt ein Auftraggeber nach Veröffentlichung der Vergabeunterlagen inhaltliche Änderungen vor, muss er alle Bieter unverzüglich und gleichzeitig darüber informieren sowie die Angebotsfrist ausreichend verlängern (§20 VgV). Wesentliche Änderungen, die den Auftragsgegenstand oder die Eignungsanforderungen betreffen, können eine erneute Veröffentlichung erfordern. Bieter sollten Vergabeplattformen regelmäßig auf Bieterinformationen prüfen, da verpasste Änderungen zu nicht wertungsfähigen Angeboten führen können.
A
Authentifizierungsprotokoll
Authentifizierungsprotokolle definieren die technischen Verfahren, mit denen Identitäten von Benutzern, Systemen oder Diensten überprüft werden; gängige Protokolle sind OAuth 2.0, OpenID Connect, SAML 2.0, Kerberos und FIDO2/WebAuthn. In IT-Ausschreibungen für Portale, Fachanwendungen oder Cloud-Dienste sollten Auftraggeber konkrete Protokollvorgaben machen, die mit der bestehenden IAM-Infrastruktur kompatibel sind. BSI IT-Grundschutz ORP.4 beschreibt Mindestanforderungen an Authentifizierungsmechanismen für verschiedene Schutzbedarfsklassen.
API-Management
API-Management bezeichnet die zentrale Verwaltung, Absicherung und Überwachung von Programmierschnittstellen (APIs) über ein dediziertes API-Gateway oder eine API-Management-Plattform. Im öffentlichen Sektor gewinnt API-Management durch Interoperabilitätsvorgaben (OZG, NOOTS) und die Vernetzung von Fachverfahren erheblich an Bedeutung. In Ausschreibungen für digitale Verwaltungsdienste sollten API-Sicherheitsanforderungen (OAuth 2.0, Rate Limiting, API-Key-Management, Logging) explizit in der Leistungsbeschreibung enthalten sein.
Auditprotokoll Audit Log / Prüfprotokoll
Ein Auditprotokoll ist eine strukturierte, manipulationsgeschützte Aufzeichnung sicherheitsrelevanter Ereignisse und administrativer Aktionen, die als formaler Nachweis für interne und externe Prüfungen (Audits) dient und Verantwortlichkeiten, Zeitstempel und Ereignisdetails revisionssicher festhält. Im Unterschied zum allgemeinen Systemlog ist das Auditprotokoll auf Prüfzwecke ausgerichtet, enthält normierte Felder und wird nach regulatorisch vorgegebenen Aufbewahrungsfristen archiviert. In IT-Vergaben für Behördenanwendungen und Betriebsleistungen sollten Auftraggeber Format, Inhalt, Aufbewahrungsdauer und Zugriffskontrolle von Auditprotokollen als verbindliche Anforderungen im Leistungsverzeichnis spezifizieren und Übergaberechte für Prüfer sicherstellen.
Audit-Trail
Ein Audit-Trail ist eine chronologische, unveränderliche Aufzeichnung aller sicherheitsrelevanten Ereignisse in einem IT-System, die eine lückenlose Nachvollziehbarkeit von Aktionen und Zugriffen ermöglicht. BSI IT-Grundschutz (OPS.1.1.5) und diverse Compliance-Frameworks (ISO 27001, SOC 2) fordern Audit-Trails als Grundvoraussetzung für die Nachweisbarkeit von Sicherheitsmaßnahmen. In IT-Ausschreibungen sollten Anforderungen an Manipulationsschutz, Aufbewahrungsdauer und Zugriffsschutz explizit im Leistungsverzeichnis verankert werden.
Auditierbarkeit Auditability
Auditierbarkeit bezeichnet die Eigenschaft eines IT-Systems oder eines Prozesses, nachvollziehbar, prüfbar und überprüfbar zu sein, d.h. alle relevanten Aktionen, Konfigurationsänderungen und Zugriffe werden so protokolliert, dass unabhängige Prüfer die Einhaltung von Anforderungen nachvollziehen können. Sie ist eine Grundvoraussetzung für Zertifizierungen nach ISO 27001, BSI IT-Grundschutz und für regulatorische Compliance (DORA, NIS2). In IT-Vergabeverfahren sollten Auftraggeber Auditierbarkeit als technische Anforderung spezifizieren, indem sie Mindestanforderungen an Prüfprotokolle, Manipulationsschutz und Zugänglichkeit für Drittprüfer festlegen.
Aufbewahrungsfrist Archivierungsfrist / Aufbewahrungsdauer
Die Aufbewahrungsfrist legt fest, wie lange Dokumente, Daten und Geschäftsunterlagen gesetzlich oder vertraglich aufzubewahren sind, bevor sie vernichtet werden dürfen. Im Vergaberecht beträgt die Aufbewahrungsfrist für Vergabeakten nach §8 VgV mindestens 5 Jahre ab Vertragsschluss; steuerrelevante Unterlagen unterliegen nach §147 AO einer 10-jährigen Aufbewahrungspflicht. Für IT-Beschaffungen sind dokumentenmanagementseitige Anforderungen an die revisionssichere Archivierung (GoBD-Konformität) und die sichere Löschung nach Fristablauf in Leistungsverzeichnissen zu berücksichtigen.
Aufbewahrungspflicht
Die Aufbewahrungspflicht für Vergabeakten ergibt sich aus §8 VgV und verpflichtet Auftraggeber, alle verfahrensrelevanten Unterlagen mindestens fünf Jahre nach Zuschlagserteilung aufzubewahren; bei EU-kofinanzierten Projekten können verlängerte Fristen gelten. Im IT-Bereich umfasst dies neben Papierunterlagen auch elektronisch geführte Vergabeakten, die revisionssicher und unveränderbar archiviert werden müssen. Die Einhaltung der Aufbewahrungspflicht ist Prüfungsgegenstand bei Rechnungshofprüfungen und Fördermittelverwendungsnachweisen.
Abnahme
Die Abnahme ist die förmliche Bestätigung des Auftraggebers, dass die gelieferte Leistung vertragsgemäß erbracht wurde und angenommen wird; mit ihr geht das Risiko auf den Auftraggeber über und beginnen Gewährleistungsfristen zu laufen. In IT-Projekten wird die Abnahme typischerweise nach einem definierten Abnahmetest (UAT) durchgeführt, bei dem festgelegte Akzeptanzkriterien geprüft werden. Verweigert der Auftraggeber die Abnahme zu Unrecht, riskiert er Verzugszinsen und den Verlust von Gewährleistungsrechten.
Abnahmekriterien Acceptance Criteria / Abnahmebedingungen
Abnahmekriterien legen vorab verbindlich fest, unter welchen Bedingungen ein Auftraggeber eine IT-Leistung als vertragskonform anerkennt und die Abnahme erklärt, z. B. bestandene Lasttest-Schwellenwerte, null kritische Sicherheitslücken im Penetrationstest oder vollständige Dokumentation. Nach §640 BGB ist der Auftraggeber zur Abnahme verpflichtet, sofern keine wesentlichen Mängel vorliegen; klar definierte Abnahmekriterien schützen beide Seiten vor Streitigkeiten über den Erfüllungsgrad. In IT-Vergaben sollten Aufnahmekriterien im Leistungsverzeichnis als messbarer, überprüfbarer und für Dritte nachvollziehbarer Katalog spezifiziert werden.
Abnahmeprotokoll Abnahmedokumentation / Acceptance Protocol
Ein Abnahmeprotokoll dokumentiert formal die Übergabe und Abnahme einer IT-Leistung durch den Auftraggeber, enthält das Ergebnis der Funktionsprüfung, eventuelle Vorbehalte und vereinbarte Nachbesserungsfristen. Es ist Grundlage für die Fälligkeit der Schlussrechnung und markiert den Beginn der Gewährleistungsfrist. In IT-Vergabeverfahren sollten Auftraggeber die Mindestinhalte des Abnahmeprotokolls (Prüfumfang, Testergebnisse, Sicherheitsüberprüfungsergebnis, Annahmevorbehalt) vorab in den Vertrag aufnehmen, um Streitigkeiten über die ordnungsgemäße Leistungserbringung zu vermeiden.
Abrufauftrag Einzelabruf / Call-off Order
Ein Abrufauftrag ist eine Einzelbestellung, die im Rahmen eines bestehenden Rahmenvertrags oder Rahmenvereinbarung ohne erneutes Vergabeverfahren ausgelöst wird. Rahmenvereinbarungen mit einer Laufzeit von bis zu vier Jahren (§21 VgV) erlauben es, wiederkehrende IT-Leistungen wie Softwarelizenzen, Wartung oder Supportleistungen flexibel abzurufen. Voraussetzung ist, dass die wesentlichen Bedingungen bereits im Rahmenvertrag festgelegt wurden; andernfalls droht eine vergaberechtlich unzulässige De-facto-Vergabe.
Abrufbestellung Call-off Order / Einzelabruf im Rahmenvertrag
Eine Abrufbestellung ist der formale Akt, mit dem Auftraggeber eine Einzelleistung aus einem bestehenden Rahmenvertrag oder Rahmenvereinbarung abrufen, ohne ein neues Vergabeverfahren einzuleiten. Die wesentlichen Vertragskonditionen (Preise, Leistungsumfang, Qualitätsstandards) wurden bereits im Rahmenvertrag festgelegt; die Abrufbestellung konkretisiert nur Menge und Lieferzeitpunkt. In IT-Vergaben für wiederkehrende Leistungen wie Lizenzpflege, Schulungen oder Support-Kontingente bietet die Abrufbestellung Flexibilität, setzt aber eine ordnungsgemäß durchgeführte Rahmenvereinbarungsausschreibung voraus, die alle wesentlichen Bedingungen bereits enthält.
Air Gap Luftspalt / Netzwerkisolation
Ein Air Gap ist eine physische Trennung zwischen einem sicherheitskritischen IT-System und anderen Netzwerken oder dem Internet, sodass kein direkter Datenaustausch möglich ist. Die Maßnahme wird eingesetzt, um besonders sensible Systeme wie Steuerungsanlagen in der Produktion (OT), militärische Systeme oder KRITIS-Infrastrukturen gegen Netzwerkangriffe abzuschirmen. In IT-Ausschreibungen für hochsichere Umgebungen sollten Auftraggeber Air-Gap-Anforderungen präzise beschreiben und auch Kompensationsmaßnahmen für unvermeidbare Datenübertragungen (z.B. Datendioden, Einwegverbindungen) spezifizieren.
Alternativposition
Eine Alternativposition im Leistungsverzeichnis wird parallel zu einer Grundposition ausgeschrieben; der Auftraggeber entscheidet erst nach Angebotsöffnung, welche Alternative bezuschlagt wird. In IT-Ausschreibungen eignet sich das Instrument, um etwa verschiedene Lizenzmodelle (perpetual vs. Subscription) oder Leistungsumfänge parallel anzubieten. Alternativpositionen müssen in den Vergabeunterlagen klar als solche gekennzeichnet sein.
Angemessenheit des Angebots
Ein Angebot gilt als angemessen, wenn sein Preis in einem vertretbaren Verhältnis zur ausgeschriebenen Leistung steht und die Ausführung nicht gefährdet. Erscheinen Preise ungewöhnlich niedrig, muss der Auftraggeber nach §60 VgV eine Aufklärung verlangen; kann der Bieter die Preisgestaltung nicht plausibel erläutern, ist das Angebot auszuschließen. In IT-Vergaben ist dies besonders relevant bei Festpreisangeboten für komplexe Softwareprojekte, da Unterpreisangebote oft zu Qualitätseinbußen oder Insolvenz des Auftragnehmers führen.
Anforderungsmanagement Requirements Management / Bedarfsmanagement
Anforderungsmanagement ist der strukturierte Prozess zur Erhebung, Dokumentation, Abstimmung und Verfolgung von Anforderungen an ein IT-System oder eine Dienstleistung über den gesamten Projektzyklus hinweg. Im Vergabekontext bildet es die Grundlage für die Leistungsbeschreibung nach §31 VgV, die funktionale und technische Anforderungen so präzise beschreiben muss, dass Bieter vergleichbare Angebote erstellen können. Unzureichendes Anforderungsmanagement ist eine häufige Ursache für Nachtragsstreitigkeiten, Budget-Überschreitungen und gescheiterte IT-Projekte der öffentlichen Hand.
Angebotsabgabe
Die Angebotsabgabe bezeichnet die fristgerechte Einreichung des Angebots durch den Bieter beim Auftraggeber. Nach §53 VgV sind Angebote im Oberschwellenbereich grundsätzlich elektronisch in Textform über eine Vergabeplattform einzureichen; eine Abgabe per E-Mail oder Papier ist nicht zulässig, sofern der Auftraggeber keine explizite Ausnahme gestattet. Verspätet eingegangene Angebote sind zwingend von der Wertung auszuschließen, unabhängig vom Grund der Verzögerung.
Angebotserstellung Angebotsvorbereitung
Die Angebotserstellung umfasst alle Tätigkeiten, die ein Bieter ab Erhalt der Vergabeunterlagen bis zur fristgerechten Einreichung eines vollständigen Angebots durchführt, einschließlich Kalkulation, Bearbeitung von Eignungsnachweisen und technischer Konzepte. Im IT-Vergabekontext ist die Angebotserstellung besonders aufwändig, da umfangreiche technische Konzepte, Sicherheitskonzepte und Referenznachweise gefordert werden. Auftraggeber sollten bei der Festlegung der Angebotsfrist den realistischen Erstellungsaufwand für IT-Angebote berücksichtigen und ausreichend Zeit einräumen, um qualitativ hochwertige Angebote zu erhalten.
Angebotsfrist
Die Angebotsfrist ist der Zeitraum zwischen Veröffentlichung der Vergabeunterlagen und dem Submissionstermin. Im offenen Verfahren beträgt die Mindestfrist 35 Tage (§15 VgV), reduzierbar auf 30 Tage bei vollständig elektronischer Bereitstellung. Zu kurz bemessene Fristen begründen Rügegründe, da gerade komplexe IT-Vergaben ausreichend Zeit zur Kalkulation erfordern.
Access Control Zugriffskontrolle
Access Control umfasst technische und organisatorische Mechanismen, die sicherstellen, dass nur autorisierte Nutzer und Systeme auf bestimmte Ressourcen zugreifen können; grundlegende Modelle sind DAC (Discretionary), MAC (Mandatory) und RBAC (Role-Based Access Control). BSI IT-Grundschutz ORP.4 (Identitäts- und Berechtigungsmanagement) schreibt Mindestanforderungen vor: Least Privilege, Need-to-Know, regelmäßige Rezertifizierung von Berechtigungen und vollständige Protokollierung privilegierter Zugriffe. In IT-Ausschreibungen für Betriebssysteme, Anwendungen und Cloud-Plattformen sind Access-Control-Konzepte, Berechtigungsmodelle und automatisierte Provisionierung als technische Anforderungen zu spezifizieren.
Angebot Bieterangebot / Submission
Das Angebot ist die verbindliche Erklärung eines Bieters, die ausgeschriebene Leistung zu den im Angebot genannten Bedingungen und Preisen zu erbringen. Es muss fristgerecht, vollständig und formkonform eingereicht werden; fehlende oder widersprüchliche Angaben können zum Ausschluss führen. Im IT-Vergabekontext besteht ein Angebot typischerweise aus Preisblatt, Leistungsbeschreibungsrespons, technischem Konzept und Eignungsnachweisen; der Auftraggeber ist an den Zuschlag gebunden, wenn das Angebot die beste Bewertung erhält.
Abhängigkeitsmanagement Dependency Management / Software Dependencies
Abhängigkeitsmanagement bezeichnet den Prozess, durch den die in einem Softwareprojekt verwendeten Drittbibliotheken, Frameworks und Komponenten systematisch erfasst, auf bekannte Schwachstellen überprüft und auf aktuelle Versionen gehalten werden. Ungepflegte Abhängigkeiten sind eine der häufigsten Ursachen für ausnutzbare Schwachstellen (Log4Shell, Struts); SBOM (Software Bill of Materials) unterstützt die Transparenz. In IT-Vergaben sollten Auftraggeber ein automatisiertes Abhängigkeitsmanagement inklusive SBOM-Lieferung und regelmäßiger SCA-Scans als Bestandteil des Secure-SDLC fordern.
Abhörschutz Eavesdropping Protection / Lauschschutz
Abhörschutz umfasst technische und organisatorische Maßnahmen, die verhindern, dass Kommunikation, gespeicherte Daten oder physische Räumlichkeiten durch unbefugte Dritte abgehört oder mitgelesen werden können. Technisch zählen dazu Ende-zu-Ende-Verschlüsselung, sichere Kommunikationsprotokolle (TLS 1.3, Signal-Protokoll), TEMPEST-Abschirmung für elektromagnetische Abstrahlung sowie Gesprächsraum-Schutzmaßnahmen. In IT-Vergaben für Videokonferenzsysteme, gesicherte Kommunikationsplattformen oder behördliche Besprechungsräume sollten Auftraggeber den geforderten Abhörschutzgrad (z.B. VS-NfD-tauglich) und die einzuhaltenden BSI-Technischen Richtlinien präzise im Leistungsverzeichnis festlegen.
Abschreckungsprinzip Deterrence / Abschreckung in der IT-Sicherheit
Das Abschreckungsprinzip in der IT-Sicherheit beschreibt die Strategie, potenzielle Angreifer durch sichtbare Sicherheitsmaßnahmen, rechtliche Konsequenzen und technische Hürden davon abzuhalten, Angriffe zu initiieren. Es umfasst Maßnahmen wie sichtbare Intrusion-Detection-Systeme, Warnhinweise, Strafverfolgungsankündigungen und die öffentliche Kommunikation über Sicherheitsvorfälle. In IT-Vergaben für Sicherheitskonzepte sollten Auftraggeber präventive und abschreckende Maßnahmen kombinieren, da rein reaktive Sicherheitsansätze oft erst nach bereits eingetretenem Schaden wirken.
Abwehrstrategie Defense Strategy / IT-Sicherheitsstrategie
Eine Abwehrstrategie ist ein strukturierter Plan, der festlegt, wie eine Organisation IT-Bedrohungen erkennt, abwehrt und auf Vorfälle reagiert, abgestimmt auf ihr spezifisches Bedrohungsprofil und Schutzbedarf. Sie kombiniert präventive Maßnahmen (Härtung, Zugangskontrolle), detektive Kontrollen (SIEM, EDR) und reaktive Prozesse (Incident Response Plan) in einem kohärenten Sicherheitsrahmen. In IT-Vergaben sollten Auftraggeber prüfen, ob der Auftragnehmer eine dokumentierte Abwehrstrategie vorlegen kann und ob diese mit den eigenen Sicherheitsanforderungen kompatibel ist.
Abweichungsmanagement Deviation Management / Exception Management
Abweichungsmanagement bezeichnet den formalen Prozess, mit dem Auftraggeber und Auftragnehmer Abweichungen von vereinbarten Leistungsparametern, Sicherheitsanforderungen oder Qualitätsstandards dokumentieren, bewerten, genehmigen oder beheben. In IT-Projekten umfasst er insbesondere Ausnahmen von Sicherheitsrichtlinien (Security Exception Management), bei denen begründete Abweichungen von technischen Mindeststandards befristet und mit Kompensationsmaßnahmen genehmigt werden. Auftraggeber sollten in Vergabeunterlagen einen Abweichungsmanagement-Prozess vorschreiben, der Eskalationspfade, Genehmigungsinstanzen und maximale Ausnahmedauern verbindlich regelt.
Abnahmeverfahren Acceptance Procedure / Abnahmedurchführung
Das Abnahmeverfahren ist der formale Prozess, durch den Auftraggeber prüfen und bestätigen, dass eine IT-Liefer- oder Dienstleistung den vertraglich vereinbarten Anforderungen entspricht. Es umfasst funktionale Tests, Sicherheitsprüfungen, Dokumentenprüfung und bei Bedarf Penetrationstests; mit der förmlichen Abnahme (§640 BGB) beginnen Gewährleistungsfristen und der Auftragnehmer erhält Zahlungsanspruch. Auftraggeber sollten Abnahmekriterien, Testszenarien und Ablehnungsgründe bereits in der Ausschreibung definieren, um Abnahmestreitigkeiten zu vermeiden.
Abnahmetest Acceptance Testing / User Acceptance Test / UAT
Ein Abnahmetest ist die formale Überprüfung einer IT-Leistung durch den Auftraggeber oder beauftragte Dritte, um festzustellen, ob die gelieferte Lösung den vereinbarten Anforderungen entspricht und die Abnahme erteilt werden kann. Er umfasst funktionale, nicht-funktionale (Performance, Sicherheit) und integrative Prüfungen anhand vorab definierter Testfälle und Abnahmekriterien. In IT-Vergabeverfahren sollten Testplan, Testumgebung, beteiligte Rollen und Ablehnungskriterien bereits in den Vergabeunterlagen verbindlich festgeschrieben werden, um späteren Abnahmestreitigkeiten vorzubeugen.
Abschlagszahlung Abschlag / Vorschusszahlung / Progress Payment
Eine Abschlagszahlung ist eine Teilzahlung des Auftraggebers an den Auftragnehmer für bereits erbrachte und nachgewiesene Leistungsanteile, bevor die Gesamtleistung abgeschlossen und abgenommen ist. Sie dient der Liquiditätssicherung des Auftragnehmers bei längeren Projekten und ist in IT-Projekten üblich, wenn Meilensteine oder definierte Teilleistungen die Zahlungsvoraussetzung bilden. Ein klarer Zahlungsplan mit definierten Meilensteinen und Nachweispflichten verhindert Streitigkeiten über die Fälligkeit von Abschlägen.
API-Vertrag API Contract / Interface Agreement
Ein API-Vertrag ist eine formale Spezifikation, die das genaue Verhalten einer Programmierschnittstelle beschreibt, einschließlich Endpunkte, Datenformate, Authentifizierungsverfahren, Versionierung und SLA-Garantien für Verfügbarkeit und Antwortzeiten. In IT-Vergaben mit Systemintegrationsanteilen sollten Auftraggeber API-Verträge als verbindliche technische Anhänge zu Verträgen fordern, da undokumentierte APIs ein erhebliches Integrationsrisiko darstellen. Standards wie OpenAPI (Swagger) und AsyncAPI ermöglichen maschinenlesbare API-Verträge, die für automatisierte Tests und Code-Generierung genutzt werden können.
Agilität Agile IT / Agiles Vorgehen
Agilität im IT-Kontext bezeichnet iterative Entwicklungs- und Liefermodelle (z.B. Scrum, Kanban), bei denen Anforderungen schrittweise verfeinert und Ergebnisse in kurzen Zyklen geliefert werden. Im Vergaberecht stellt agiles Vorgehen besondere Herausforderungen, da klassische Leistungsbeschreibungen vollständige Anforderungen voraussetzen; agile IT-Vergaben nutzen deshalb funktionale Leistungsbeschreibungen, Rahmenvereinbarungen oder Innovationspartnerschaften. Das BMI hat 2023 Leitlinien für die agile IT-Beschaffung beim Bund veröffentlicht, die Hinweise zu Vertragsgestaltung und Akzeptanzkriterien geben.
Anbieterwechsel Vendor Switch / Provider Change
Ein Anbieterwechsel bezeichnet den Prozess, bei dem ein Auftraggeber von einem bestehenden IT-Dienstleister oder Softwareanbieter zu einem anderen wechselt, typischerweise am Ende einer Vertragslaufzeit oder nach einem Vergabeverfahren. Anbieterwechsel sind in IT-Projekten besonders aufwändig, wenn proprietäre Datenformate, Schnittstellen oder Wissensmonopole bestehen; eine sorgfältige Exit-Strategie und Wissenstransfer-Klauseln im Vertrag sind daher essenziell. Auftraggeber sollten bereits bei der Ausschreibung Anforderungen an Übergabeleistungen, Migrationsunterstützung und Datentransparenz formulieren, um einen reibungslosen Anbieterwechsel zu gewährleisten.
Angebotskalkulation Bid Calculation / Preiskalkulation
Die Angebotskalkulation ist der interne Prozess des Bieters, bei dem alle Kosten für die Leistungserbringung (Personal, Lizenzen, Infrastruktur, Overhead, Gewinn) systematisch ermittelt und in die Angebotspreise überführt werden. Eine nachvollziehbare Kalkulation ist Voraussetzung, um im Falle einer Auskömmlichkeitsprüfung durch den Auftraggeber die Preisgestaltung zu belegen. Für IT-Projekte mit variablem Ressourcenbedarf empfiehlt sich eine szenariobasierte Kalkulation, die Best-Case-, Base-Case- und Worst-Case-Annahmen dokumentiert.
Angebotsvergleich Angebotsbewertung / Bid Comparison
Der Angebotsvergleich ist der strukturierte Prozess, bei dem Auftraggeber die eingegangenen Angebote anhand der vorab definierten Zuschlagskriterien und ihrer Gewichtungen gegenüberstellen. Er bildet das Herzstück der Wertungsstufe und muss vollständig im Vergabevermerk dokumentiert sein, damit die Entscheidung im Nachprüfungsverfahren standhält. Für IT-Vergaben mit qualitativen Bewertungskriterien (Konzepte, Präsentationen) empfiehlt sich eine bewertungsunabhängige Anonymisierung der Bieterangaben, um unbewusste Verzerrungen auszuschließen.
Angebotsrücknahme
Bieter können ihr eingereichtes Angebot bis zum Ablauf der Angebotsfrist (Einreichungsfrist) zurückziehen, ohne Angabe von Gründen; nach Ablauf der Frist sind Angebote bindend für die Dauer der Bindefrist. Die Rücknahme ist schriftlich oder über die Vergabeplattform zu erklären und muss vor dem offiziellen Submissionstermin eingehen. In IT-Vergaben über eVergabe-Plattformen wird die Angebotsrücknahme elektronisch abgewickelt; Bieter sollten sicherstellen, dass die Rücknahme protokolliert und bestätigt wird, um spätere Streitigkeiten zu vermeiden.
Angebotsaufklärung Angebotserläuterung / Aufklärungsgespräch
Angebotsaufklärung ist das Verfahren, bei dem der Auftraggeber einen Bieter zur Erläuterung unklarer oder möglicherweise nicht auskömmlicher Preispositionen oder Leistungsangaben in seinem Angebot auffordert, ohne das Angebot inhaltlich zu verändern (§60 VgV). Sie dient der Sachverhaltsaufklärung und nicht der Nachverhandlung; geänderte Preise oder Konditionen aufgrund von Aufklärungsgesprächen sind unzulässig. In IT-Vergaben mit komplexen Kalkulationsstrukturen (z.B. Stundensatzmodelle, Lizenzkostenschlüssel) ist die Angebotsaufklärung ein wichtiges Instrument zur Sicherung der Angebotswertung und zur Vermeidung von Scheinwettbewerb durch zu niedrige Angebote.
Angebotsöffnung
Die Angebotsöffnung bezeichnet den formellen Vorgang, bei dem nach Ablauf der Angebotsfrist die eingereichten Angebote durch mindestens zwei Vertreter des Auftraggebers gemeinsam geöffnet und protokolliert werden (§55 VgV). Bei elektronischer Einreichung entschlüsselt das Vergabeportal die Angebote automatisch; die Protokollierung ersetzt das frühere Submissionsprotokoll. Inhalte der Angebote bleiben bis zur Zuschlagserteilung vertraulich; Bieter haben keinen Anspruch auf Einsicht in Konkurrenzangebote.
Angebotsprüfung
Die Angebotsprüfung ist die erste inhaltliche Wertungsstufe: Der Auftraggeber prüft alle eingereichten Angebote auf formelle Vollständigkeit, zwingend geforderte Nachweise und Einhaltung der Mindestanforderungen. Angebote, die formal unvollständig sind, können unter Wahrung des Gleichbehandlungsgrundsatzes nachgefordert werden (§56 VgV) — jedoch keine leistungsbeschreibenden Dokumente. Unvollständige Pflichtdokumente, die nicht nachgefordert werden können, führen zum zwingenden Angebotsausschluss.
Angebotswertung
Die Angebotswertung ist der mehrstufige Prozess der Bewertung geeigneter Angebote anhand der vorab festgelegten Zuschlagskriterien und ihrer Gewichtung (§58 VgV). Typische Wertungsstufen in IT-Vergaben sind formelle Vollständigkeit, Eignungsprüfung, rechnerische und sachliche Richtigkeit sowie die qualitative Bewertung. Das wirtschaftlichste Angebot erhält den Zuschlag; rein preisbasierte Wertung ist möglich, wenn qualitative Mindestanforderungen vollständig als K.O.-Kriterien definiert wurden.
Anomalieerkennung Anomaly Detection / Verhaltensbasierte Erkennung
Anomalieerkennung ist eine Methode der Cybersicherheit, die normales Systemverhalten durch maschinelles Lernen oder statistische Modelle erlernt und bei Abweichungen Alarm schlägt, um Angriffe, Insider-Bedrohungen oder Systemfehler zu identifizieren, auch wenn keine bekannte Malware-Signatur vorliegt. Im Gegensatz zur signaturbasierten Erkennung kann Anomalieerkennung auch Zero-Day-Angriffe und unbekannte Bedrohungen entdecken, erzeugt jedoch ohne sorgfältige Kalibrierung mehr Fehlalarme (False Positives). In IT-Vergaben für SIEM, EDR und NDR sollten Auftraggeber verhaltensbasierte Erkennungskomponenten neben signaturbasierter Erkennung als Anforderung definieren und Tuning-Pflichten sowie False-Positive-Raten als messbare SLA-Größen festlegen.
Archivierungsfrist
Vergabeakten müssen nach Abschluss des Verfahrens mindestens fünf Jahre aufbewahrt werden (§8 Abs. 4 VgV); bei EU-kofinanzierter Beschaffung gelten je nach Förderprogramm verlängerte Fristen von bis zu zehn Jahren. Die Archivierungspflicht umfasst alle verfahrensrelevanten Unterlagen: Bekanntmachungen, Bieteranfragen, Wertungsprotokolle, Zuschlagskorrespondenz und Verträge. Für IT-Vergaben bedeutet dies, dass auch elektronisch gespeicherte Vergabeakten revisionssicher und manipulationsgeschützt aufbewahrt werden müssen.
Ausschreibung
Die Ausschreibung ist das zentrale Instrument öffentlicher Auftraggeber, um Liefer-, Dienst- oder Bauleistungen im Wettbewerb zu vergeben: Der Bedarf wird in Vergabeunterlagen beschrieben, Interessenten geben Angebote ab, und der Zuschlag erfolgt auf das wirtschaftlichste Angebot. Je nach Auftragswert richtet sich das Verfahren nach UVgO (Unterschwellenvergabe) oder VgV/SektVO/KonzVgV (Oberschwellenvergabe). Für IT-Vorhaben entscheidet die Qualität der Leistungsbeschreibung darüber, ob Angebote vergleichbar und wertbar sind.
Ausschreibungspflicht Vergabepflicht / Pflicht zur Ausschreibung
Die Ausschreibungspflicht bezeichnet die gesetzliche Verpflichtung öffentlicher Auftraggeber, Beschaffungen ab bestimmten Wertgrenzen im Wettbewerb zu vergeben. Unterhalb der EU-Schwellenwerte nach §106 GWB gilt die UVgO mit eigenen Wertgrenzen, oberhalb greifen VgV, SektVO oder KonzVgV mit zwingend europaweiter Bekanntmachung. In der IT-Beschaffung unterschätzen viele Stellen, dass auch Rahmenvereinbarungen und Nachtragsbeauftragungen der Ausschreibungspflicht unterliegen können, wenn der Gesamtauftragswert die Schwelle erreicht.
Ausschreibungsreife
Ausschreibungsreife beschreibt den Zustand, in dem ein Beschaffungsbedarf so vollständig spezifiziert ist, dass die Vergabeunterlagen ohne wesentliche Nacharbeiten veröffentlicht werden können. Fehlt die Ausschreibungsreife, etwa weil technische Anforderungen noch offen sind oder die Kostenschätzung nicht belastbar ist, drohen Aufhebungen oder Nachtragslagen im laufenden Verfahren. In der IT-Beschaffung empfiehlt sich eine Markterkundung nach §28 VgV, um die Leistungsbeschreibung vor Verfahrensstart zu schärfen.
Aufklärungsgespräch
Im Vergabeverfahren kann der Auftraggeber nach §15 VgV von Bietern Aufklärung über ihr Angebot oder ihre Eignung verlangen. Das Aufklärungsgespräch dient der Klärung von Unklarheiten, Widersprüchen oder ungewöhnlich niedrigen Preisen, ohne das Angebot inhaltlich zu verändern. Eine Änderung des Angebotsinhalts ist dabei unzulässig; das Gespräch muss dokumentiert werden, und alle wesentlichen Informationen sind in Textform festzuhalten.
Aufhebung der Ausschreibung
Der Auftraggeber kann ein Vergabeverfahren aufheben, wenn kein wirtschaftliches Angebot vorliegt, alle Angebote die Anforderungen nicht erfüllen, sich der Bedarf wesentlich geändert hat oder ein schwerwiegender Vergabefehler im Verfahren festgestellt wurde (§63 VgV). Bieter haben grundsätzlich keinen Anspruch auf Auftragserteilung, können aber bei missbräuchlicher Aufhebung Schadensersatz für das Vertrauensinteresse geltend machen. Die Aufhebung muss dokumentiert und begründet werden.
Auskömmlichkeit des Angebots
Die Auskömmlichkeit eines Angebots bezeichnet die Eigenschaft, dass der angebotene Preis alle Kosten der Leistungserbringung einschließlich Gemeinkosten und angemessenen Gewinn deckt. Ein unauskömmliches Angebot liegt vor, wenn der Preis so niedrig ist, dass eine ordnungsgemäße Leistungserbringung wirtschaftlich nicht möglich erscheint. Der Auftraggeber muss in diesem Fall nach §60 VgV eine Aufklärung durchführen; erweist sich das Angebot als tatsächlich nicht auskömmlich, ist es auszuschließen.
Angebotsklärung Bid Clarification / Aufklärungsgespräch
Die Angebotsklärung ist ein vom Auftraggeber nach Angebotsöffnung geführtes Gespräch oder eine schriftliche Anfrage, um Unklarheiten im Angebot zu beseitigen, ohne inhaltliche Änderungen zuzulassen. §15 VOB/A und §60 VgV erlauben Aufklärungsgespräche bei ungewöhnlich niedrigen Preisen oder formalen Unklarheiten; eine inhaltliche Nachverhandlung oder Angebotsverbesserung ist dabei unzulässig. Auftraggeber sollten Angebotsklärungen sorgfältig dokumentieren, da sie bei späteren Nachprüfungsverfahren als Beleg dienen, dass das Verfahren ordnungsgemäß durchgeführt wurde.
Auftragsänderung Vertragsänderung / Contract Modification
Eine Auftragsänderung im Sinne von §132 GWB liegt vor, wenn wesentliche Bedingungen eines laufenden Vertrags geändert werden und dies einer Neuausschreibung bedarf. Zulässig ohne neue Vergabe sind Änderungen bis 10 % (Liefer- und Dienstleistungsaufträge) bzw. 15 % (Bauaufträge) des ursprünglichen Auftragswertes sowie klar vorab definierte Optionen und Klauseln in den Vergabeunterlagen. In IT-Projekten mit häufig wechselnden Anforderungen ist eine sorgfältige Nachtragsklausel von Beginn an essenziell, um kostspielige Neuausschreibungen zu vermeiden.
Auftragsbeendigung Contract Termination / Vertragskündigung
Auftragsbeendigung bezeichnet den geplanten oder vorzeitigen Abschluss eines Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer, einschließlich regulärer Vertragserfüllung, einvernehmlicher Aufhebung oder außerordentlicher Kündigung nach §314 BGB aus wichtigem Grund. In IT-Vergaben sind Beendigungsregelungen besonders kritisch, da Übergabepflichten, Datenmigration, Dokumentationsherausgabe und Betrieb in der Übergangsphase vertraglich sichergestellt werden müssen. Die EVB-IT-Vertragswerke enthalten Standardklauseln zur geordneten Beendigung von IT-Serviceverträgen, die Auftraggeber als Mindestbasis verwenden sollten.
Auftragsausführung Contract Execution / Leistungserbringung
Die Auftragsausführung bezeichnet die Phase des Vergabeprozesses, in der der Auftragnehmer die vertraglich vereinbarten Leistungen erbringt und der Auftraggeber diese überwacht, steuert und abnimmt. Während der Ausführung sind Änderungen am Vertragsgegenstand nur unter den engen Bedingungen des §132 GWB zulässig; wesentliche Änderungen erfordern eine Neuausschreibung. In IT-Projekten umfasst das Ausführungsmanagement Projektsteuerung, Meilensteinüberwachung, Qualitätssicherung und kontinuierliche Abstimmung zwischen Auftraggeber und Auftragnehmer.
Ausfallzeit Downtime / Ausfallszeit
Ausfallzeit bezeichnet den Zeitraum, in dem ein IT-System oder eine Dienstleistung aufgrund von Störungen, Wartungsarbeiten oder Fehlfunktionen nicht verfügbar ist, und ist ein zentrales Merkmal für die Bewertung von Verfügbarkeit und Betriebssicherheit. Im Rahmen von SLA-Verhandlungen wird Ausfallzeit durch Kennzahlen wie RTO (Recovery Time Objective) und geplante Wartungsfenster quantifiziert; Auftraggeber sollten zwischen geplanter und ungeplanter Ausfallzeit unterscheiden und Pönaleregelungen entsprechend differenzieren. Der BSI IT-Grundschutz fordert im Baustein SYS.1.1 eine Analyse und Minimierung von Ausfallzeiten als Teil der Verfügbarkeitsstrategie.
Ausführungsbedingungen Contract Performance Conditions / Ausführungsklauseln
Ausführungsbedingungen sind vertragliche Anforderungen, die der Auftraggeber an die Art und Weise der Auftragsausführung stellt, ohne den Leistungsgegenstand selbst zu verändern, z.B. Mindestlohnpflichten, Umweltstandards, soziale Kriterien oder Sicherheitsauflagen. Nach §128 GWB können Auftraggeber Ausführungsbedingungen festlegen, sofern sie im sachlichen Zusammenhang mit dem Auftragsgegenstand stehen und in der Bekanntmachung angekündigt wurden. In IT-Vergaben eignen sich Ausführungsbedingungen, um Anforderungen wie Datenschutz-Zertifizierungen, Sicherheitsüberprüfungen des Personals oder Lieferkettensorgfalt verbindlich zu verankern.
Ausschreibungsunterlagen Tender Documents / Vergabeunterlagen
Ausschreibungsunterlagen sind alle Dokumente, die ein Auftraggeber Bietern zur Verfügung stellt, damit diese ein vollständiges Angebot erstellen können, einschließlich Leistungsbeschreibung, Vertragsentwurf, Bewerbungsbedingungen, Eignungsanforderungen und Preisblatt. Ihre vollständige und widerspruchsfreie Erstellung ist eine der zentralen Sorgfaltspflichten des Auftraggebers; fehlerhafte Unterlagen können zu Rügen, Nachfragen und kostenintensiven Verfahrensverzögerungen führen. Für IT-Vergaben empfiehlt sich ein internes Review der Ausschreibungsunterlagen durch Vergabejuristen, IT-Architekten und Datenschutzbeauftragte vor der Veröffentlichung.
Angebotssicherheit Bid Bond / Bietungssicherheit
Eine Angebotssicherheit ist eine finanzielle Garantie, die Bieter in bestimmten Vergabeverfahren stellen müssen, um ihre Ernsthaftigkeit zu belegen und den Auftraggeber abzusichern, falls ein Bieter sein Angebot zurückzieht oder den Zuschlag nicht annimmt. In deutschen Vergabeverfahren nach VgV ist die Anforderung einer Angebotssicherheit unüblich und wird eher im internationalen Kontext (z.B. GPA-Verfahren) genutzt; das deutsche Recht begrenzt Sicherheitsleistungen auf den Auftragsfall. Auftraggeber sollten Angebotssicherheiten sorgfältig mit Vergaberechtlern abstimmen, da unverhältnismäßige Anforderungen den Wettbewerb einschränken können.
Auftragsbekanntmachung Contract Notice / Vergabebekanntmachung
Die Auftragsbekanntmachung ist die EU-weit veröffentlichte Ankündigung eines Vergabeverfahrens, mit der öffentliche Auftraggeber alle interessierten Unternehmen zur Teilnahme auffordern. Sie enthält wesentliche Informationen wie Auftragsgegenstand, geschätzten Auftragswert, Eignungsanforderungen und Fristen; veröffentlicht wird sie verpflichtend im Supplement des Amtsblatts der EU (TED). In IT-Vergaben muss die Bekanntmachung CPV-Codes, technische Spezifikationen und Zuschlagskriterien so präzise beschreiben, dass Bieter informierte Entscheidungen über eine Teilnahme treffen können.
Auftraggeberpflichten Obligations of the Contracting Authority
Auftraggeberpflichten umfassen alle vergaberechtlichen Verpflichtungen, die öffentliche Auftraggeber bei der Durchführung von Vergabeverfahren einhalten müssen, darunter Dokumentationspflicht, Vertraulichkeit der Angebote, Gleichbehandlung aller Bieter und Pflicht zur Vorabinformation. Ein Verstoß gegen diese Pflichten kann zur Unwirksamkeit des Vertrags führen (§135 GWB) oder Schadensersatzansprüche unterlegener Bieter begründen. Auftraggeber sollten ihre internen Abläufe in Vergabehandbüchern regeln, um sicherzustellen, dass alle Mitarbeiter die einschlägigen Pflichten kennen und einhalten.
Auftraggeber (öffentlicher)
Öffentliche Auftraggeber im Sinne des §98 GWB sind Gebietskörperschaften (Bund, Länder, Kommunen), deren Sondervermögen sowie juristische Personen des öffentlichen oder privaten Rechts, die zu dem besonderen Zweck gegründet wurden, Aufgaben im Allgemeininteresse nicht gewerblicher Art zu erfüllen. Für IT-Beschaffungen bedeutet das: Behörden, Universitäten, öffentliche Krankenhäuser und kommunale IT-Dienstleister fallen in der Regel unter das Vergaberecht und müssen bei Überschreiten der Schwellenwerte EU-weit ausschreiben.
Auftragswert
Der Auftragswert ist die geschätzte Gesamtvergütung ohne Umsatzsteuer, die der Auftraggeber vor Einleitung des Verfahrens ermitteln muss (§3 VgV). Er entscheidet darüber, ob EU-weite Ausschreibungspflicht besteht: 2024 gelten für Liefer- und Dienstleistungsaufträge oberster Bundesbehörden 143.000 Euro, für sonstige öffentliche Auftraggeber 221.000 Euro. Bei IT-Verträgen fließen Verlängerungsoptionen, Rahmenvereinbarungslaufzeiten und alle Nebenleistungen in die Schätzung ein.
Aufwandsschätzung Effort Estimation / Aufwandsplanung
Die Aufwandsschätzung prognostiziert den Zeit-, Ressourcen- und Kostenaufwand für ein IT-Projekt oder einzelne Leistungskomponenten auf Basis von Erfahrungswerten, Schätzmodellen (z. B. Function-Point-Methode, COCOMO) oder Analogievergleichen. In IT-Vergaben ist eine belastbare Aufwandsschätzung Grundlage für die Kostenschätzung gemäß §7 BHO und bestimmt, ob der Schwellenwert für ein europaweites Vergabeverfahren erreicht wird. Auftraggeber sollten Aufwandsschätzungen durch unabhängige Experten validieren lassen, da unrealistische Schätzungen zu unauskömmlichen Angeboten und späteren Projektkonflikten führen.
Attack Surface Management ASM
Attack Surface Management bezeichnet die kontinuierliche Identifizierung, Inventarisierung und Überwachung aller extern erreichbaren Assets einer Organisation (Domains, IP-Adressen, Web-Apps, Cloud-Ressourcen, exponierte Dienste), um ungeplante Angriffsflächen zu erkennen und zu schließen. CISA und ENISA empfehlen ASM als Grundlage für ein proaktives Sicherheitsprogramm; externe ASM-Scans können ungepatchte Systeme, vergessene Test-Server oder Shadow-IT-Dienste aufdecken. In IT-Ausschreibungen für externe Sicherheitsmonitoring-Dienste ist kontinuierliches ASM mit automatischer Erkennung neuer Assets und Integration in das Schwachstellenmanagement als Anforderung zu definieren.
APT Advanced Persistent Threat
Eine Advanced Persistent Threat bezeichnet einen langfristigen, zielgerichteten Cyberangriff durch hochqualifizierte Akteure (staatlich gesponserte Gruppen, organisierte Kriminalität), die über Monate oder Jahre unentdeckt in Netzwerken verbleiben, um Daten zu stehlen, Infrastrukturen zu sabotieren oder sich Zugänge für spätere Angriffe zu sichern. Das BSI dokumentiert APT-Kampagnen gegen Bundesbehörden und kritische Infrastrukturen im jährlichen Lagebericht und empfiehlt ein mehrschichtiges Abwehrkonzept mit EDR, SIEM und Threat Intelligence. In IT-Vergaben für hochschutzbedürftige Umgebungen sind APT-spezifische Erkennungsmaßnahmen (z.B. MITRE ATT&CK-Abdeckung, Deception Technology) als Sicherheitsanforderung zu spezifizieren.
Asset Management IT-Asset-Management
IT-Asset-Management umfasst die vollständige Erfassung, Klassifizierung und Verwaltung aller Hard- und Software-Assets über ihren gesamten Lebenszyklus, von der Beschaffung bis zur Entsorgung. Das BSI betrachtet eine aktuelle Asset-Inventur als unverzichtbare Grundlage jedes Sicherheitsprogramms; ohne Kenntnis aller Systeme kann Schwachstellenmanagement und Patch-Management nicht vollständig umgesetzt werden. In IT-Ausschreibungen für IT-Service-Management-Plattformen und ITSM-Tools ist ein integriertes CMDB-Modul (Configuration Management Database) mit automatischer Discovery als Pflichtanforderung zu spezifizieren.
Ausschlussgründe
Ausschlussgründe berechtigen oder verpflichten Auftraggeber, Unternehmen von Vergabeverfahren auszuschließen. Zwingende Ausschlussgründe (§123 GWB) umfassen rechtskräftige Verurteilungen wegen Korruption, Betrug oder Geldwäsche; fakultative Gründe (§124 GWB) ermöglichen den Ausschluss bei schwerwiegendem Fehlverhalten, Interessenkonflikten oder erheblichen Schlechtleistungen in früheren Aufträgen. Betroffene Unternehmen können durch Selbstreinigung (§125 GWB) die Ausschlusswirkung beseitigen.
Angriffsfläche Attack Surface
Die Angriffsfläche eines IT-Systems umfasst alle potenziellen Einstiegspunkte, über die ein Angreifer unbefugten Zugang erlangen oder Schaden verursachen könnte, darunter exponierte Netzwerkdienste, Benutzerkonten, API-Endpunkte, Webanwendungen und physische Zugangspunkte. Die Minimierung der Angriffsfläche ist ein Grundprinzip der IT-Sicherheit: Nicht benötigte Dienste werden deaktiviert, Zugriffe auf das Notwendige beschränkt und externe Expositionen durch Attack-Surface-Management-Werkzeuge kontinuierlich überwacht. In IT-Ausschreibungen sollten Auftraggeber Anforderungen zur Reduktion der Angriffsfläche (z. B. Deaktivierung nicht benötigter Ports, Hardening Baselines) als messbare Abnahmekriterien aufnehmen.
Angriffsvektor Attack Vector
Ein Angriffsvektor beschreibt den Weg oder die Methode, über die ein Angreifer Zugang zu einem IT-System oder Netzwerk erlangt, z.B. über Phishing-E-Mails, ungepatchte Software-Schwachstellen, kompromittierte Lieferanten oder physischen Zugang. Das CVSS-Bewertungssystem klassifiziert Angriffsvektoren nach ihrer Ausnutzbarkeit, von "Network" (höchste Reichweite) bis "Physical" (niedrigste Reichweite). In IT-Vergabeverfahren für Sicherheitsdienstleistungen sollte die Reduzierung der Angriffsvektoren als strategisches Ziel im Leistungsverzeichnis formuliert werden, z.B. durch Attack Surface Management und Schwachstellen-Scanning.
Angriffserkennung Attack Detection / Intrusion Detection
Angriffserkennung bezeichnet die technische Fähigkeit, laufende oder abgeschlossene Cyberangriffe auf IT-Systeme durch Analyse von Netzwerkverkehr, Systemereignissen und Anwendungsprotokollen zeitnah zu identifizieren. Werkzeuge wie IDS, SIEM und EDR setzen regelbasierte Signaturen, Verhaltensanalyse und Machine Learning ein, um Angriffsmuster von normalem Betrieb zu unterscheiden; die Zeit zwischen Angriffsbeginn und Erkennung (Mean Time to Detect) ist ein zentraler Leistungsindikator. In IT-Vergaben für Security-Operations-Dienste sollten Auftraggeber MTTD-Ziele, einzubindende Datenquellen und Eskalationsprozesse als messbare Leistungskriterien in SLAs verankern.
Anonymisierung
Anonymisierung bezeichnet den unwiderruflichen Prozess, bei dem Daten so verändert werden, dass Personen nicht mehr identifiziert werden können; anonymisierte Daten fallen nicht mehr unter die DSGVO. Im Gegensatz zur Pseudonymisierung ist das Ergebnis irreversibel, was eine strikte technische Umsetzung erfordert. In IT-Vergaben für Analyse- oder KI-Dienste können Anonymisierungspflichten als Datenschutzanforderung aufgenommen werden, um den DSGVO-Anwendungsbereich zu reduzieren.
Ansible IT-Automatisierungsplattform / Configuration Management Tool
Ansible ist ein agentenfreies Open-Source-Automatisierungswerkzeug, das Serverkonfiguration, Application Deployment und Infrastrukturorchestrierung über SSH und deklarative YAML-Playbooks steuert. Es wird in DevOps-Umgebungen zur Automatisierung von Härtungsprozessen, Patch-Deployment und Compliance-Prüfungen eingesetzt. In IT-Vergaben für Betriebsautomatisierung sollten Auftraggeber fordern, dass Ansible-Playbooks unter Versionskontrolle stehen, Idempotenz gewährleisten und regelmäßige Sicherheitsaudits des Automatisierungscodes durchgeführt werden.
API-Dokumentation API Documentation / Schnittstellendokumentation
API-Dokumentation beschreibt alle Endpunkte, Authentifizierungsanforderungen, Datenformate, Fehlercodes und Nutzungsgrenzen einer Schnittstelle so, dass externe Entwickler die API korrekt und sicher integrieren können. Im Vergabekontext sollten Auftraggeber bei IT-Systemen mit externen Schnittstellen vollständige und aktuelle API-Dokumentation als Vertragsbestandteil (z. B. OpenAPI/Swagger-Spezifikation) fordern. Das BSI empfiehlt, API-Dokumentationen als Teil des Sicherheitskonzepts zu behandeln, da unvollständige Dokumentation undokumentierte Angriffsflächen schafft.
API-Gateway
Ein API-Gateway ist ein zentraler Einstiegspunkt für alle API-Anfragen, der Authentifizierung, Autorisierung, Rate-Limiting, SSL-Terminierung und Logging bündelt und Backends vor direktem Zugriff schützt. Es trennt externe Clients von internen Microservices und ermöglicht eine zentrale Durchsetzung von Sicherheitsrichtlinien. In IT-Ausschreibungen für Microservices-Architekturen oder digitale Plattformen sind API-Gateway-Anforderungen hinsichtlich OAuth 2.0-Unterstützung, WAF-Integration und Protokollierung zu spezifizieren.
API-Sicherheit
APIs (Application Programming Interfaces) sind die Schnittstellen moderner IT-Systeme; ihre Absicherung umfasst Authentifizierung (OAuth 2.0, API-Keys), Autorisierung, Rate Limiting und Eingabevalidierung gegen Injection-Angriffe. Das BSI IT-Grundschutz-Kompendium (APP.3.1) adressiert Webanwendungen und Webservices inklusive API-spezifischer Anforderungen. In öffentlichen IT-Ausschreibungen sind API-Sicherheitskonzepte, Penetrationstests auf API-Ebene und OWASP API Security Top 10 zunehmend als Mindestanforderungen zu formulieren.
Auftragsdatenverarbeitung
Auftragsdatenverarbeitung bezeichnet die Verarbeitung personenbezogener Daten durch einen Auftragnehmer im Auftrag und nach Weisung des Verantwortlichen (Art. 28 DSGVO); sie ist von einer gemeinsamen Verantwortlichkeit (Joint Controller) abzugrenzen. Öffentliche Auftraggeber müssen bei IT-Vergaben, die den Zugriff des Auftragnehmers auf personenbezogene Daten beinhalten (z. B. Cloud-Dienste, Helpdesk, IT-Betrieb), einen Auftragsverarbeitungsvertrag (AVV) abschließen. Die technischen und organisatorischen Maßnahmen (TOMs) des Auftragnehmers sind vertraglich festzulegen und regelmäßig zu prüfen.
AVV Auftragsverarbeitungsvertrag
Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist Pflichtbestandteil jeder IT-Beschaffung, bei der der Dienstleister personenbezogene Daten im Auftrag verarbeitet. Er regelt Weisungsbefugnis, technisch-organisatorische Maßnahmen, Unterauftragnehmer-Management und Löschpflichten. In der Praxis empfiehlt sich die frühzeitige AVV-Prüfung bereits in der Angebotsbewertung, da fehlende oder unvollständige AVV-Entwürfe zum Ausschluss führen können.
B
Bewertungskriterien
Bewertungskriterien legen fest, nach welchen inhaltlichen Maßstäben Angebote beurteilt werden; sie sind von den Zuschlagskriterien (Preis, Qualität, Konzept) zu unterscheiden, auf die sie sich methodisch beziehen. Nach §58 VgV müssen Kriterien mit dem Auftragsgegenstand verknüpft, vorab bekanntgemacht und diskriminierungsfrei sein. In IT-Vergaben umfassen typische Bewertungskriterien technische Konzepte, Umsetzungsplanung, Referenzen, Supportqualität und Datenschutzkonzepte.
Bedrohungsmodellierung Threat Modeling / STRIDE / PASTA
Bedrohungsmodellierung ist ein strukturierter Prozess, bei dem ein System oder eine Applikation systematisch auf potenzielle Bedrohungen analysiert wird, um Sicherheitsanforderungen abzuleiten, bevor mit der Implementierung begonnen wird. Methoden wie STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) oder PASTA strukturieren die Analyse aus Angreiferperspektive; Ergebnisse fließen direkt in Architekturentscheidungen und Testpläne ein. In IT-Vergaben für sicherheitskritische Systeme sollten Auftraggeber die Durchführung einer Bedrohungsmodellierung in der Entwurfsphase als Pflichtmeilenstein vorsehen und die Ergebnisse als Bestandteil der Sicherheitsdokumentation fordern.
Bedrohungsanalyse
Eine Bedrohungsanalyse identifiziert systematisch potenzielle Angreifer, deren Motive, Fähigkeiten und mögliche Angriffsvektoren gegenüber einem IT-System oder einer Organisation. Im BSI IT-Grundschutz ist die Bedrohungsanalyse Teil der Risikoanalyse (BSI-Standard 200-3); Methoden wie STRIDE oder PASTA strukturieren die Analyse nach Bedrohungskategorien. In Ausschreibungen für sicherheitskritische IT-Systeme kann der Nachweis einer vorliegenden Bedrohungsanalyse und eines daraus abgeleiteten Sicherheitskonzepts als Eignungsanforderung oder Bewertungskriterium aufgenommen werden.
Beauftragungskette Contracting Chain / Sub-Contracting Chain
Eine Beauftragungskette beschreibt die mehrstufige Struktur von Auftraggeber, Hauptauftragnehmer und Nachunternehmern, die bei komplexen IT-Projekten entsteht und für Auftraggeber besondere Anforderungen an Transparenz, Haftung und Qualitätssicherung mit sich bringt. Öffentliche Auftraggeber müssen nach §36 VgV sicherstellen, dass Nachunternehmer eignungsgeprüft sind und die Eignungsanforderungen des Hauptauftragnehmers spiegeln; unbegrenzte Subvergabe-Kaskaden können vertraglich ausgeschlossen werden. In IT-Sicherheitsvorhaben sollten alle Glieder der Beauftragungskette denselben Sicherheitsanforderungen unterliegen, da ein schwaches Glied die Gesamtsicherheit des Projekts gefährdet.
Bedarfsposition
Eine Bedarfsposition ist eine optionale Leistungsposition im Leistungsverzeichnis, die nur abgerufen wird, wenn ein konkreter Bedarf entsteht, zum Beispiel ein zusätzliches Support-Kontingent oder eine optionale Schulungsleistung. Bieter müssen Bedarfspositionen bepreisen, obwohl die tatsächliche Beauftragung ungewiss ist; der Preis fließt in der Regel nicht in die Gesamtbewertung ein. Für den Auftraggeber schafft die Bedarfsposition Flexibilität im Vertrag, ohne ein gesondertes Vergabeverfahren einleiten zu müssen.
BYOD Bring Your Own Device
BYOD bezeichnet die Richtlinie, private Endgeräte der Mitarbeitenden (Smartphones, Notebooks, Tablets) für dienstliche Zwecke zu nutzen, was Kosten senkt, aber erhebliche Sicherheitsrisiken birgt: Datenlecks, fehlende Gerätekontrolle und Schwierigkeiten bei der Trennung dienstlicher und privater Daten. BSI IT-Grundschutz SYS.3.2.2 beschreibt Mindestanforderungen für die sichere BYOD-Nutzung, darunter Mobile Device Management (MDM), Container-Lösungen und Remote-Wipe-Funktionen. In IT-Ausschreibungen für MDM- und UEM-Systeme (Unified Endpoint Management) ist zu spezifizieren, ob BYOD-Szenarien unterstützt und welche Datentrennung gewährleistet werden soll.
Business Case Wirtschaftlichkeitsnachweis / Geschäftsbegründung
Ein Business Case ist eine strukturierte Begründung für eine Investitionsentscheidung, die Kosten, Nutzen, Risiken und Alternativen einer Maßnahme gegenüberstellt und als Entscheidungsgrundlage für das Management dient. Im öffentlichen IT-Beschaffungskontext ist der Business Case Grundlage für die Wirtschaftlichkeitsuntersuchung nach §7 BHO vor größeren IT-Projekten. Für Digitalisierungs- und Cloud-Vorhaben empfiehlt die KBSt (Koordinierungs- und Beratungsstelle der Bundesregierung für IT) eine strukturierte Wirtschaftlichkeitsbetrachtung, die auch Qualitäts- und Sicherheitsaspekte quantifiziert.
Business Continuity Management BCM
Business Continuity Management umfasst die Planung und Implementierung von Maßnahmen, die sicherstellen, dass kritische Geschäftsprozesse auch bei Störungen, Cyberangriffen oder Katastrophen aufrechterhalten oder schnell wiederhergestellt werden können. ISO 22301 ist der internationale Standard für BCM; das BSI integriert BCM-Anforderungen in IT-Grundschutz-Baustein DER.4 (Notfallmanagement). In IT-Vergaben für KRITIS-Betreiber und Behörden sind BCM-Konzept, Notfallhandbuch, getestete Recovery-Zeiten (RTO/RPO) und regelmäßige Übungen als Eignungsanforderung zu fordern.
Botnetz Botnet / Bot-Netzwerk
Ein Botnetz ist ein Netzwerk aus mit Schadsoftware infizierten Computern (Bots oder Zombies), die von einem Angreifer zentral über einen Command-&-Control-Server ferngesteuert werden und für DDoS-Angriffe, Spam-Versand oder Kryptomining missbraucht werden können. Das BSI verzeichnet Botnetze als eine der häufigsten Bedrohungen für Unternehmen und Behörden. In IT-Vergabeverfahren für Netzwerksicherheit sollten Auftraggeber Anforderungen an die Erkennung und Blockierung von Botnetz-Kommunikation, z.B. über DNS-Sinkholing und Threat-Intelligence-Feeds, als technische Anforderung aufnehmen.
Bundesanzeiger
Der Bundesanzeiger ist das amtliche Pflichtveröffentlichungsblatt der Bundesrepublik Deutschland und dient im Vergaberecht als Publikationsort für nationale Bekanntmachungen unterhalb der EU-Schwellenwerte sowie für die Bekanntgabe aktueller EU-Schwellenwerte durch das Bundesministerium für Wirtschaft. Auftraggeber nationaler Vergaben veröffentlichen Auftragsbekanntmachungen und Vorabinformationen im Bundesanzeiger oder auf einschlägigen Vergabeplattformen. Durch die fortschreitende Digitalisierung nutzen viele Auftraggeber inzwischen ergänzend dedizierte eVergabe-Plattformen.
Bekanntmachung
Die Bekanntmachung ist die Pflichtveröffentlichung eines Vergabeverfahrens, durch die Auftraggeber potenzielle Bieter über eine geplante Beschaffung informieren. Oberhalb der EU-Schwellen erfolgt sie auf TED (Tenders Electronic Daily) via eForms; national auf Vergabeplattformen oder im Bundesanzeiger. Inhalt: Auftragsgegenstand, CPV-Codes, Eignungsanforderungen, Zuschlagskriterien und alle relevanten Fristen.
Beschafferprofil
Das Beschafferprofil ist eine öffentlich zugängliche Internetseite, auf der Auftraggeber Vergabebekanntmachungen, Vergabeunterlagen und Ergebnisse von Verfahren veröffentlichen. Nach §39 VgV kann der Auftraggeber ein Beschafferprofil für Vorabbekanntmachungen nutzen, um potenzielle Bieter frühzeitig über geplante Vergaben zu informieren. In der Praxis werden Beschaffungsprofile auf zentralen Vergabeplattformen (z.B. DTVP, Vergabe24) oder dem Beschaffungsamt des Bundes geführt.
Beschaffungsstrategie Procurement Strategy
Eine Beschaffungsstrategie legt fest, wie eine Organisation ihre Beschaffungsaktivitäten langfristig organisiert, um strategische Ziele wie Kostenoptimierung, Innovationsförderung, Lieferantendiversifikation und Risikominimierung zu erreichen. Im öffentlichen Sektor umfasst die Beschaffungsstrategie die Festlegung von Vergabeverfahren, Rahmenvereinbarungen und Bündelungsmaßnahmen. Für IT-Beschaffungen ist eine klare Beschaffungsstrategie besonders wichtig, um Vendor-Lock-in zu vermeiden, offene Standards zu fördern und Cloud-Dienste unter Berücksichtigung von Datensouveränität und BSI C5-Anforderungen zu steuern.
Beschwerdefrist
Die Beschwerdefrist im Vergaberecht beträgt zwei Wochen ab Zustellung des Beschlusses der Vergabekammer und ist Voraussetzung für eine sofortige Beschwerde beim Oberlandesgericht (§172 GWB). Bei Fristversäumnis wird die Beschwerde als unzulässig verworfen; eine Wiedereinsetzung ist nur in eng begrenzten Ausnahmefällen möglich. Für IT-Vergaben, bei denen komplexe technische Wertungsfragen strittig sind, muss die kurze Frist bei der Rechtsschutzplanung von Beginn an berücksichtigt werden.
Beschwerdebefugnis
Beschwerdebefugnis bezeichnet das Recht eines Unternehmens, einen Nachprüfungsantrag bei der Vergabekammer zu stellen; nach §160 GWB muss das Unternehmen ein Interesse am Auftrag haben, eine Verletzung bieterschützender Vergabevorschriften geltend machen und einen drohenden oder eingetretenen Schaden darlegen. Ohne vorherige Rüge gegenüber dem Auftraggeber ist der Antrag in der Regel unzulässig. Für IT-Bieter ist die Beschwerdebefugnis ein zentrales Instrument, um ungerechtfertigte Ausschlüsse oder fehlerhafte Wertungsentscheidungen anzugreifen.
Beschränkte Ausschreibung
Bei der Beschränkten Ausschreibung fordert der Auftraggeber eine begrenzte Zahl von Unternehmen direkt zur Angebotsabgabe auf, ohne öffentliche Bekanntmachung. Sie ist unterhalb der EU-Schwellenwerte nach §12 UVgO zulässig, wenn die Leistung nicht für den offenen Markt geeignet ist oder Geheimhaltungsinteressen bestehen. Da nur ausgewählte Bieter eingeladen werden, muss der Auftraggeber die Auswahl dokumentieren und eine angemessene Mindestanzahl sicherstellen.
Bewerbungsfrist Teilnahmefrist / Bewerbungsdeadline
Die Bewerbungsfrist ist der Zeitraum, innerhalb dessen Interessenten beim nicht offenen Verfahren oder Verhandlungsverfahren mit Teilnahmewettbewerb einen Teilnahmeantrag einreichen müssen. Nach §16 VgV beträgt die Mindestbewerbungsfrist beim nicht offenen Verfahren 30 Tage; bei begründeter Dringlichkeit sind Unterschreitungen unter strengen Voraussetzungen möglich. Im IT-Vergabekontext sollten Auftraggeber ausreichend Bewerbungsfristen einplanen, da IT-Unternehmen für die Zusammenstellung komplexer Eignungsnachweise oft mehr Zeit benötigen als für klassische Dienstleistungen.
Bedrohungsvektor Threat Vector / Attack Path
Ein Bedrohungsvektor beschreibt den spezifischen Übertragungsweg oder Einfallspfad, über den eine Bedrohung ein Zielobjekt erreicht und ausnutzen kann, etwa E-Mail-Phishing, infizierte USB-Sticks, kompromittierte Webseiten oder Schwachstellen in Netzwerkdiensten. Im Unterschied zum Angriffsvektor, der die technische Ausnutzungsmethode beschreibt, bezieht sich der Bedrohungsvektor auf die Verbreitungsroute einer Bedrohung. In IT-Vergaben für Sicherheitskonzepte und Risikoanalysen sollten Auftraggeber die relevanten Bedrohungsvektoren für das jeweilige System (Netzwerkexponierung, Nutzerinteraktion, Lieferkette) definieren, damit der Auftragnehmer passende Schutzmaßnahmen ableiten kann.
Bewerbungsunterlagen
Bewerbungsunterlagen sind alle im Rahmen eines Teilnahmewettbewerbs einzureichenden Dokumente, mit denen ein Unternehmen seine Eignung (wirtschaftliche, finanzielle und technische Leistungsfähigkeit) nachweist. Typische Bestandteile sind Umsatznachweise, Referenzlisten, Zertifikate und Eigenerklärungen zu Ausschlussgründen. Auftraggeber dürfen nur Unterlagen verlangen, die für die Eignungsprüfung erforderlich und verhältnismäßig sind; übermäßige Anforderungen begründen Rügerechte der Bewerber.
Benutzerauthentifizierung User Authentication
Benutzerauthentifizierung ist der Prozess, durch den ein IT-System die Identität eines Nutzers vor der Zugangsvergabe verifiziert, typischerweise über Passwörter, Sicherheitszertifikate, Hardware-Token oder biometrische Merkmale. Das BSI empfiehlt für schutzbedürftige Systeme grundsätzlich mindestens Zwei-Faktor-Authentifizierung (2FA); für privilegierte Zugänge sind nach IT-Grundschutz-Baustein ORP.4 zusätzliche Anforderungen wie Kurzzeitzertifikate oder PAM-Systeme vorgesehen. In IT-Ausschreibungen sollten Auftraggeber die zulässigen Authentifizierungsverfahren und Mindestanforderungen (z.B. FIDO2, keine alleinige SMS-OTP) verbindlich im Leistungsverzeichnis festlegen.
Bewerbungsbedingungen
Bewerbungsbedingungen sind die vom Auftraggeber festgelegten formellen und inhaltlichen Anforderungen, die Bewerber im Rahmen eines Teilnahmewettbewerbs erfüllen müssen, um zur Angebotsabgabe zugelassen zu werden. Sie umfassen Nachweise zur Eignung (Umsatz, Referenzen, Zertifizierungen) sowie Angaben zur Form und Frist der Bewerbungseinreichung. Überhöhte oder zu eng gefasste Bewerbungsbedingungen können den Bieterkreis unzulässig einschränken und sind damit rügefähig.
Bewertungsmatrix
Eine Bewertungsmatrix ist das formalisierte Instrument zur Angebotswertung, das Zuschlagskriterien, Gewichtungen und Bewertungsstufen in einer tabellarischen Übersicht zusammenfasst. Die UfAB 2018 stellt eine Muster-Bewertungsmatrix für IT-Vergaben bereit, die Preis- und Leistungspunkte in einem Gesamtscore kombiniert. Die Matrix muss vor Eingang der Angebote vollständig festgelegt sein; nachträgliche Änderungen verstoßen gegen das Transparenzgebot und begründen Rügegründe.
Architekturreview Architecture Review / Sicherheitsarchitektur-Prüfung
Ein Architekturreview ist eine strukturierte Überprüfung der IT-Systemarchitektur auf Konformität mit Sicherheitsanforderungen, Architekturprinzipien und Best Practices, typischerweise durch interne oder externe Experten. Es wird sowohl in der Entwurfsphase (Design Review) als auch nach Implementierung als Sicherheitsaudit eingesetzt und deckt Designschwächen auf, die durch Code-Reviews nicht sichtbar wären. In IT-Vergaben für kritische Systeme sollten Auftraggeber Architekturreviews als Abnahmebedingung festlegen und das Recht auf Beauftragung eines unabhängigen Reviewers im Vertrag verankern.
Barrierefreiheit Accessibility / BITV 2.0 / WCAG
Barrierefreiheit in der IT bezeichnet die Gestaltung digitaler Angebote so, dass sie von Menschen mit Behinderungen ohne Einschränkungen genutzt werden können, z.B. durch Screenreader-Kompatibilität, ausreichende Kontrastverhältnisse und Tastaturbedienbarkeit. In Deutschland regelt das Behindertengleichstellungsgesetz (BGG) und die BITV 2.0 die Anforderungen für öffentliche Stellen; der europäische Standard EN 301 549 verweist auf WCAG 2.1. Auftraggeber öffentlicher IT-Leistungen müssen Barrierefreiheitsanforderungen als verbindliche Mindestanforderung in Leistungsbeschreibungen aufnehmen und die Konformität bei der Abnahme prüfen.
Bußgeldrisiko Fine Risk / Sanktionsrisiko
Das Bußgeldrisiko bezeichnet die Gefahr, behördliche Geldbußen infolge von Verstößen gegen datenschutzrechtliche, vergaberechtliche oder informationssicherheitsrelevante Vorschriften zu erhalten. Die DSGVO sieht Bußgelder von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes vor; das GWB ermöglicht bei Kartellverstößen Bußgelder bis zu 10 % des Konzernumsatzes. In IT-Vergaben sind Bußgeldrisiken besonders relevant, wenn Auftragnehmer personenbezogene Daten verarbeiten oder an der Umsetzung von KRITIS-Anforderungen beteiligt sind; Auftraggeber sollten Haftungsklauseln und Regressansprüche klar regeln.
Bietereignung Bidder Suitability / Eignungsprüfung
Die Bietereignung prüft, ob ein Unternehmen die wirtschaftliche, technische und persönliche Eignung besitzt, den ausgeschriebenen Auftrag ordnungsgemäß zu erfüllen. Sie wird auf Basis der geforderten Nachweise (Referenzen, Umsatzzahlen, Zertifikate, Auskünfte aus dem Wettbewerbsregister) bewertet und ist von der inhaltlichen Angebotswertung strikt zu trennen. Auftraggeber müssen Eignungsanforderungen verhältnismäßig festlegen; zu enge Anforderungen können den Wettbewerb unzulässig einschränken und sind vor der Vergabekammer angreifbar.
Bieterkonferenz Bidders Conference / Bietergespräch
Eine Bieterkonferenz ist eine Informationsveranstaltung, bei der Auftraggeber potenzielle Bieter über den Auftragsgegenstand, die Vergabeunterlagen und das Verfahren informieren und Fragen beantworten. Sie ist besonders bei komplexen IT-Vergaben sinnvoll, um Missverständnisse zu reduzieren und das Qualitätsniveau der Angebote zu erhöhen; sämtliche ausgetauschten Informationen müssen jedoch allen Bietern in gleicher Weise zur Verfügung gestellt werden. Bieterkonferenzen sind im offenen und nichtoffenen Verfahren zulässig; die Teilnahme ist freiwillig, kann aber als Voraussetzung für die Angebotsabgabe festgesetzt werden.
BGP Security Border Gateway Protocol Security / BGP Hijacking
BGP (Border Gateway Protocol) ist das zentrale Routing-Protokoll des Internets; Schwachstellen in BGP ermöglichen sogenannte BGP-Hijacking-Angriffe, bei denen Angreifer Datenverkehr auf eigene Systeme umlenken, um Daten abzufangen, Dienste zu stören oder Phishing-Seiten zu hosten. Gegenmaßnahmen umfassen RPKI (Resource Public Key Infrastructure) zur kryptografischen Absicherung von BGP-Routen sowie BGP-Monitoring-Dienste zur Erkennung unautorisierter Route-Announcements. In IT-Vergaben für Internetanbindung und Carrier-Dienste sollten Auftraggeber die RPKI-Implementierung und BGP-Monitoring als Mindestanforderung an den Anbieter fordern.
Bietererklärung Bieterauskunft / Declaration of Bidder
Eine Bietererklärung ist eine förmliche Erklärung des Bieters gegenüber dem Auftraggeber, in der er bestimmte Tatsachen bestätigt oder zusichert, z.B. das Nichtvorliegen von Ausschlussgründen, die Einhaltung von Mindestlohnanforderungen oder die Richtigkeit aller Angaben im Angebot. Sie kann als Eigenauskunft oder in Form der Einheitlichen Europäischen Eigenerklärung (EEE) abgegeben werden. Falsche Angaben in einer Bietererklärung können zum Ausschluss des Angebots und zur Eintragung ins Wettbewerbsregister führen.
Bieteranfragen
Bieteranfragen sind Fragen, die Bieter während der Angebotsfrist zum Inhalt der Vergabeunterlagen an den Auftraggeber richten. Auftraggeber sind verpflichtet, rechtzeitig gestellte Anfragen zu beantworten und die Antworten allen Bietern gleichzeitig zur Verfügung zu stellen (§56 VgV). Bewirken Antworten wesentliche Änderungen, verlängert sich die Angebotsfrist entsprechend. In der Praxis werden Bieteranfragen über das jeweilige Vergabeportal abgewickelt und dokumentiert.
BGP-Sicherheit Border Gateway Protocol Security
BGP (Border Gateway Protocol) ist das zentrale Routing-Protokoll des Internets; BGP-Sicherheitsmaßnahmen wie RPKI (Resource Public Key Infrastructure) verhindern, dass gefälschte Routing-Ankündigungen Datenverkehr umleiten oder abfangen können. Das BSI empfiehlt öffentlichen Einrichtungen und Netzbetreibern die Implementierung von RPKI und BGP Route Origin Validation als Teil ihrer Netzwerksicherheitsstrategie. Bei der Ausschreibung von Internet- oder WAN-Anbindungen sollte die RPKI-Unterstützung des Anbieters als technische Anforderung aufgeführt werden.
Binnenmarktrelevanz
Binnenmarktrelevanz liegt vor, wenn ein Auftrag aufgrund seines Wertes, seiner geografischen Lage oder seines Gegenstands für Unternehmen aus anderen EU-Mitgliedsstaaten von Interesse sein könnte; in diesem Fall gelten EU-Primärrechtspflichten zu Transparenz und Nichtdiskriminierung auch unterhalb der formellen Schwellenwerte. Die Kommission und der EuGH haben die Binnenmarktrelevanz insbesondere bei grenznahen Beschaffungen und IT-Dienstleistungen mit europäischem Marktpotenzial bejaht. Auftraggeber sollten die Binnenmarktrelevanz bei der Wahl des Vergabeverfahrens sorgfältig prüfen, um Vertragsverletzungsverfahren zu vermeiden.
Bietergemeinschaft Bietergemeinschaft / Konsortium
Eine Bietergemeinschaft ist ein Zusammenschluss mehrerer Unternehmen, die gemeinsam ein Angebot abgeben, um Eignungsanforderungen zu erfüllen oder die Leistungserbringung aufzuteilen. Die Mitglieder haften gegenüber dem Auftraggeber gesamtschuldnerisch; ein bevollmächtigter Vertreter übernimmt die Kommunikation mit dem Auftraggeber. Bietergemeinschaften sind vergaberechtlich zulässig (§43 VgV), solange kein wettbewerbsbeschränkender Charakter vorliegt; kartellrechtlich kritisch sind Gemeinschaften, wenn die Mitglieder auch einzeln hätten bieten können.
Bieterportal eVergabe-Plattform / Bieterclient / AnA-Web
Ein Bieterportal ist die digitale Plattform, über die Unternehmen an öffentlichen Vergabeverfahren teilnehmen, Vergabeunterlagen abrufen, Angebote verschlüsselt einreichen und mit der Vergabestelle kommunizieren. Das Beschaffungsamt des Bundes betreibt das Bieterportal evergabe-online.de mit dem Angebotsassistenten AnA-Web; weitere verbreitete Plattformen sind DTVP, cosinex und Vergabe24. Bieter müssen sich auf dem jeweiligen Portal registrieren und sicherstellen, dass Angebote fristgerecht und vollständig in der geforderten elektronischen Form eingereicht werden.
Bieterschutz Bidder Protection / Vergaberechtlicher Schutz
Bieterschutz bezeichnet die Gesamtheit vergaberechtlicher Regelungen, die sicherstellen, dass Bieter im öffentlichen Vergabeverfahren gleichbehandelt werden, diskriminierungsfreien Zugang erhalten und bei Rechtsverletzungen wirksame Rechtsbehelfe einlegen können. Er umfasst das Recht auf Akteneinsicht (§165 GWB), die Vorabinformationspflicht (§134 GWB), das Nachprüfungsverfahren vor der Vergabekammer sowie die sofortige Beschwerde vor dem OLG. In IT-Vergaben ist Bieterschutz besonders relevant, wenn Ausschreibungen technisch so spezifisch formuliert sind, dass faktisch nur ein Anbieter in Betracht kommt.
Beweissicherung Digital Evidence Preservation / Forensische Sicherung
Beweissicherung bezeichnet die gerichtsfeste Erfassung, Sicherung und Dokumentation digitaler Daten und Systemzustände nach einem Sicherheitsvorfall, sodass die Integrität der Beweise für spätere Strafverfolgung oder Zivilrechtsstreitigkeiten nachweisbar ist. Forensische Standards wie ISO/IEC 27037 schreiben vor, dass Beweise mit Werkzeugen gesichert werden, die keine Veränderung am Original verursachen (Write-Blocker, Hash-Verifikation). In IT-Vergaben für SOC-, MSSP- oder Incident-Response-Dienstleistungen sollten Auftraggeber Beweissicherungspflichten, Beweiskette (Chain of Custody) und Übergabeprotokolle als vertraglich verbindliche Leistungsbestandteile definieren.
Beweiswert Evidential Value / Beweissicherheit
Der Beweiswert eines elektronischen Dokuments oder einer digitalen Aufzeichnung beschreibt, in welchem Maß dieses Dokument als verlässlicher Nachweis vor Gericht oder in behördlichen Prüfungen anerkannt wird. Für elektronisch signierte Dokumente regelt eIDAS den Beweiswert qualifizierter elektronischer Signaturen (QES), die handschriftlichen Unterschriften gleichgestellt sind. In IT-Vergaben für Archivsysteme, eAkte oder digitale Signaturdienste sollten Auftraggeber die Anforderungen an Beweiswert, Langzeitarchivierung (LZA) und Nachsignierung als Abnahmekriterien festlegen.
Bring Your Own Key BYOK / Customer-Managed Keys
Bring Your Own Key (BYOK) ist ein Cloud-Verschlüsselungsmodell, bei dem der Auftraggeber eigene kryptografische Schlüssel in ein Cloud-HSM einbringt und damit die Kontrolle über den Datenzugang behält, selbst wenn der Cloud-Anbieter die Infrastruktur betreibt. Im Vergleich zum Standard-Encryption-Modell des Anbieters gibt BYOK Behörden die Sicherheit, dass ein Anbieter oder ein Drittstaaten-Behördenauftrag keinen Zugriff auf unverschlüsselte Daten erhält. In IT-Ausschreibungen für Cloud-Plattformen mit besonders schützenswerten Daten (Verschlusssachen-Ersatzniveau, Gesundheitsdaten) sollte BYOK als Pflichtanforderung definiert werden.
Benutzerrechte User Rights / Nutzerberechtigungen
Benutzerrechte definieren, auf welche Systemfunktionen, Daten und Ressourcen ein Nutzer oder eine Nutzergruppe zugreifen darf, und folgen dem Prinzip der minimalen Rechtevergabe (Least Privilege). Im BSI IT-Grundschutz (ORP.4) sind Benutzerrechte als Teil des Berechtigungsmanagements systematisch zu dokumentieren, regelmäßig zu überprüfen und bei Rollenwechseln oder Vertragsende umgehend zu entziehen. In IT-Vergaben für Betrieb oder Software-Entwicklung sollten Auftraggeber Prozesse zur Rechtevergabe und zum Rechteentzug als Pflichtbestandteil des Sicherheitskonzepts des Auftragnehmers fordern.
Benutzerprofil User Profile / User Account Settings
Ein Benutzerprofil fasst alle benutzerspezifischen Einstellungen, Berechtigungen, Gruppenrollen und Sicherheitsattribute zusammen, die einem Nutzer in einem IT-System zugeordnet sind, und bestimmt seinen Funktionsumfang sowie seine Sicherheitsgrenzen. Bei der Benutzerprofilverwaltung sind Lebenszyklusprozesse (Anlage, Änderung, Sperrung, Löschung) entscheidend, insbesondere um Zugriffsrechte beim Ausscheiden von Mitarbeitern zeitgerecht zu entziehen. In IT-Vergaben für Identity-Management-Systeme oder Cloud-Dienste sollten Auftraggeber die Verwaltungsschnittstellen, Protokollierungsanforderungen und Profilarchivierungsfristen verbindlich spezifizieren.
Berechtigungskonzept Authorization Concept / Access Control Concept
Das Berechtigungskonzept ist ein dokumentiertes Regelwerk, das festlegt, welche Nutzergruppen oder Systeme auf welche Ressourcen, Funktionen und Daten Zugriff erhalten, und wie Berechtigungen beantragt, genehmigt, vergeben und entzogen werden. Es bildet die organisatorische Grundlage für technische Zugriffskontrollen (RBAC, ABAC) und ist nach BSI IT-Grundschutz (ORP.4) und ISO 27001 ein Pflichtelement des Informationssicherheits-Managements. Auftraggeber sollten in IT-Vergaben ein initiales Berechtigungskonzept als Lieferdokument fordern und sicherstellen, dass der Auftragnehmer bei Systemänderungen das Konzept aktuell hält.
Betriebskonzept Operations Concept / Betriebsdokumentation
Das Betriebskonzept beschreibt, wie eine IT-Lösung nach ihrer Inbetriebnahme dauerhaft betrieben, gewartet und weiterentwickelt wird, einschließlich Rollen, Prozesse, Monitoring, Patch-Zyklen und Eskalationswege. In IT-Vergaben wird das Betriebskonzept oft als Teil der Konzeptbewertung gefordert, um zu prüfen, ob Bieter einen realistischen und sicheren Betrieb sicherstellen können. Auftraggeber sollten klare Anforderungen an Inhalt und Detailtiefe des Betriebskonzepts stellen und dessen Qualität in der Bewertungsmatrix gewichten.
Betriebsübernahme IT Transition / Operational Takeover
Betriebsübernahme bezeichnet den strukturierten Prozess, mit dem der Betrieb eines IT-Systems vom bisherigen Auftragnehmer auf einen neuen Auftragnehmer oder den Auftraggeber selbst übertragen wird, inklusive Wissenstransfer, Dokumentationsübergabe und Parallelbetriebsphasen. Das V-Modell XT Bund und die EVB-IT-Pflegevertragsdokumente beschreiben Mindestanforderungen an Übergabeprozesse, Schnittstellendefinitionen und Verantwortlichkeiten. Auftraggeber sollten Betriebsübergabe-Pflichten bereits in den ursprünglichen Ausschreibungsunterlagen vollständig spezifizieren, da fehlende Regelungen später Hebel für unzulässige Abhängigkeiten schaffen.
Betriebssicherheit Operational Security / OPSEC
Betriebssicherheit im IT-Kontext bezeichnet die Gesamtheit aller Maßnahmen, die sicherstellen, dass IT-Systeme und Dienste unter definierten Bedingungen zuverlässig, sicher und resilient betrieben werden, ohne Gefährdung für Daten, Prozesse oder Personen. Sie umfasst Patch-Management, Konfigurationsmanagement, Zugriffskontrolle, Monitoring und Notfallprozesse und bildet einen Kernbestandteil des BSI IT-Grundschutz-Bausteins OPS. In IT-Vergaben sollten Auftraggeber Betriebssicherheitsanforderungen als verbindliche Ausführungsbedingungen formulieren und den Auftragnehmer zur regelmäßigen Berichterstattung über sicherheitsrelevante Betriebsereignisse verpflichten.
Betriebshandbuch Operations Manual / IT-Betriebshandbuch
Ein Betriebshandbuch ist die zentrale Betriebsdokumentation für ein IT-System oder eine IT-Dienstleistung, die Standardbetriebsabläufe (SOPs), Eskalationspfade, Notfallprozeduren, Konfigurationsparameter und Ansprechpartner beschreibt und damit den reibungslosen Betrieb auch bei Personalwechsel oder Anbieterwechsel sicherstellt. BSI IT-Grundschutz (OPS.1.1.2) fordert eine aktuelle und vollständige Betriebsdokumentation als Grundvoraussetzung für ordnungsgemäßen IT-Betrieb. In IT-Vergaben für Outsourcing und Managed Services sollten Auftraggeber Erstellung, Pflege und Übergabe eines Betriebshandbuchs als Pflichtleistung mit definierten Aktualitätsanforderungen (z.B. Update binnen 5 Tagen nach Systemänderung) vereinbaren.
BAS Breach and Attack Simulation
Breach and Attack Simulation (BAS) ist ein automatisiertes Sicherheitstestverfahren, das kontinuierlich reale Angriffstechniken gegen Produktivsysteme simuliert, um Schwachstellen in Erkennung und Abwehr zu identifizieren, ohne dabei tatsächliche Schäden zu verursachen. Im Gegensatz zu periodischen Penetrationstests liefert BAS kontinuierliche Messungen der Sicherheitseffizienz und eignet sich für die Validierung von SIEM-Regeln, EDR-Erkennungsraten und Firewall-Konfigurationen. In IT-Vergaben für Security-Operations-Dienste kann BAS als objektive Leistungsmetrik eingesetzt werden, um vertraglich vereinbarte Sicherheitsniveaus messbar und überprüfbar zu gestalten.
BIA Business Impact Analysis / Geschäftsauswirkungsanalyse
Eine Business Impact Analysis identifiziert und bewertet die Auswirkungen von Ausfällen kritischer IT-Systeme oder Geschäftsprozesse auf den Betrieb einer Organisation, einschließlich finanzieller Schäden, Reputationsverluste und gesetzlicher Konsequenzen. Die BIA ist Grundlage für die Bestimmung von Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) sowie für die Priorisierung von Business-Continuity-Maßnahmen. In IT-Vergaben für Rechenzentrum, Hosting oder kritische Anwendungen sollten Auftraggeber eine BIA als Voraussetzung für die Definition belastbarer SLA-Parameter verlangen.
Backup-Management
Backup-Management umfasst die Planung, Implementierung und Überwachung von Datensicherungsprozessen für IT-Systeme und Anwendungen; BSI IT-Grundschutz (CON.3) beschreibt Anforderungen an Backup-Konzepte nach der 3-2-1-Regel (drei Kopien, zwei Medien, ein externer Standort). In Ausschreibungen für IT-Betrieb oder Cloud-Dienste müssen Auftraggeber RPO und RTO spezifizieren sowie regelmäßige Wiederherstellungstests als Leistungspflicht einfordern. Unverschlüsselte oder nicht getestete Backups sind ein häufiges Einfallstor bei Ransomware-Angriffen und sollten vertraglich ausgeschlossen werden.
Beschaffungsanforderung Procurement Requirement / Bedarfsbeschreibung
Eine Beschaffungsanforderung fasst den definierten Bedarf einer Behörde an IT-Gütern oder -Dienstleistungen in einem strukturierten Dokument zusammen, das Funktionsanforderungen, Qualitätskriterien, Mengen, Lieferfristen und Budgetrahmen beschreibt. Sie ist Ausgangspunkt für die Erstellung der Leistungsbeschreibung und bestimmt die Wahl des Vergabeverfahrens. Eine sorgfältig ausgearbeitete Beschaffungsanforderung verhindert spätere Leistungslücken und Nachtragsstreitigkeiten, weil Auftraggeber und Auftragnehmer von Beginn an das gleiche Leistungsverständnis teilen.
Beschaffungsmarkt Procurement Market / Lieferantenmarkt
Der Beschaffungsmarkt umfasst alle potenziellen Anbieter, Produkte und Dienstleistungen, die für einen Beschaffungsbedarf des Auftraggebers in Betracht kommen. Eine strukturierte Beschaffungsmarktanalyse vor einer IT-Ausschreibung hilft, realistische Leistungsanforderungen zu formulieren, Wettbewerb sicherzustellen und Schwellenwerte korrekt einzuschätzen. Das VgV empfiehlt Markterkundungen (§28 VgV) als legitimes Instrument zur Marktkenntnis, ohne das spätere Vergabeverfahren zu beeinflussen.
Beschaffungsplanung Procurement Planning
Die Beschaffungsplanung ist der vorgelagerte Prozess, in dem ein öffentlicher Auftraggeber Bedarf ermittelt, Budgets festlegt, Vergabeverfahren auswählt und Zeitpläne für Beschaffungsvorhaben erstellt. Eine belastbare Beschaffungsplanung verhindert Zeitdruck beim Vergabeverfahren, der häufig zu handwerklichen Fehlern oder nicht wettbewerbskonformer Direktvergabe führt. Im IT-Umfeld empfehlen sich Marktbeobachtung und eine frühzeitige Markterkundung, um technologische Anforderungen realistisch einzuschätzen und die Ausschreibungsreife rechtzeitig herzustellen.
Biometrische Authentifizierung Biometrie / Biometric Authentication
Biometrische Authentifizierung nutzt physiologische Merkmale wie Fingerabdruck, Iris, Gesicht oder Stimme zur eindeutigen Identifikation von Personen und ersetzt oder ergänzt klassische Passwörter. Im öffentlichen Sektor ist der Einsatz biometrischer Daten datenschutzrechtlich sensibel, da es sich um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO handelt, die nur bei ausreichender Rechtsgrundlage verarbeitet werden dürfen. In IT-Vergabeverfahren für Zutrittskontrolle, Personalausweis-Systeme oder hochsichere Authentifizierungslösungen ist eine DSFA nach Art. 35 DSGVO in der Regel Pflicht, bevor biometrische Verfahren eingesetzt werden.
Blue Team Verteidigungsteam / Defenders
Ein Blue Team ist die defensive Seite in Sicherheitsübungen: Es überwacht, erkennt und reagiert auf Angriffe, die typischerweise von einem Red Team (Angreifer) simuliert werden. Die Qualität eines Blue Teams bemisst sich an Kennzahlen wie Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR). In IT-Vergaben für SOC-Dienstleistungen oder Managed Security Services sollten Auftraggeber konkrete Blue-Team-Fähigkeiten (SIEM-Monitoring, Incident Response Playbooks, Threat Hunting) als Leistungsinhalte und Kapazitätsnachweise einfordern.
Brute Force Brute-Force-Angriff
Ein Brute-Force-Angriff ist eine Methode, bei der Angreifer systematisch alle möglichen Kombinationen von Passwörtern, Schlüsseln oder Anmeldedaten ausprobieren, bis die richtige Kombination gefunden wird. Moderne Varianten nutzen Wörterbücher, Regeln und geleakte Passwortlisten (Credential Stuffing), um die Effizienz erheblich zu steigern. In IT-Vergabeverfahren sollten Anforderungen an Kontosperrrichtlinien, adaptive Authentifizierung und Rate-Limiting verbindlich spezifiziert werden, um Brute-Force-Angriffe auf exponierte Systeme zu erschweren.
Buffer Overflow Pufferüberlauf
Ein Buffer Overflow entsteht, wenn ein Programm mehr Daten in einen Speicherpuffer schreibt, als dieser aufnehmen kann, und dabei angrenzende Speicherbereiche überschreibt. Angreifer nutzen diese Schwachstelle, um eigenen Schadcode einzuschleusen oder Programmabläufe umzuleiten, was im schlimmsten Fall zur vollständigen Systemkompromittierung führt. In IT-Ausschreibungen sollten speichersichere Programmiersprachen (z. B. Rust, Go) oder zwingende Compiler-Flags wie Stack Canaries und ASLR als Anforderung festgeschrieben werden.
Bug Bounty Vulnerability Reward Program / VRP
Ein Bug-Bounty-Programm ist ein strukturiertes Anreizsystem, bei dem Organisationen externe Sicherheitsforscher finanziell belohnen, wenn diese Schwachstellen in IT-Systemen verantwortungsvoll melden, bevor Angreifer sie ausnutzen können. Bug-Bounty-Programme ergänzen professionelle Penetrationstests und interne Sicherheitsüberprüfungen, da sie eine kontinuierliche und breit aufgestellte Suche nach Schwachstellen ermöglichen. Im öffentlichen Sektor setzen erste Behörden in Deutschland derartige Programme ein; für IT-Vergaben empfiehlt das BSI Vulnerability-Disclosure-Policies als Mindestanforderung.
BSI C5 Cloud Computing Compliance Criteria Catalogue
Der BSI C5 ist der maßgebliche deutsche Sicherheitsstandard für Cloud-Anbieter, der Mindestanforderungen an Informationssicherheit definiert und durch unabhängige Wirtschaftsprüfer testiert wird. C5:2026 (veröffentlicht April 2026) umfasst 17 Anforderungsbereiche und ist erstmals auch in maschinenlesbarem YAML-Format verfügbar. Für Bundesbehörden und NIS2-regulierte Einrichtungen ist ein gültiges C5-Testat zunehmend Pflichtvoraussetzung bei Cloud-Ausschreibungen.
BSI IT-Grundschutz
Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur systematischen Absicherung von IT-Systemen. Das IT-Grundschutz-Kompendium enthält über 100 Bausteine mit konkreten Sicherheitsanforderungen für alle Schichten einer IT-Infrastruktur. Für Bundesbehörden und viele Landesbehörden ist die Umsetzung verpflichtend; KRITIS-Betreiber nutzen IT-Grundschutz häufig als Nachweis für die NIS2-Konformität.
Bürgschaft Sicherheitsleistung / Performance Bond
Eine Bürgschaft ist eine Sicherheitsleistung, bei der ein Dritter (typischerweise eine Bank oder Versicherung) gegenüber dem Auftraggeber für die Erfüllung vertraglicher Pflichten des Auftragnehmers einsteht und bei Pflichtverletzung bis zur vereinbarten Bürgschaftssumme haftet. In IT-Vergaben werden Bürgschaften für Vertragserfüllungs- und Gewährleistungspflichten gefordert; das EVB-IT sieht entsprechende Regelungen vor, wobei die Bürgschaftssumme üblicherweise 5 bis 10 Prozent des Auftragswertes beträgt. Auftraggeber sollten Form, Laufzeit und Abrufbedingungen der Bürgschaft präzise in den Vergabeunterlagen festlegen und auf selbstschuldnerische Bürgschaften bestehen, die ohne Vorausklage gegen den Auftragnehmer in Anspruch genommen werden können.
BSIG BSI-Gesetz
Das BSI-Gesetz regelt Aufgaben und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik sowie IT-Sicherheitspflichten für KRITIS-Betreiber. §8a BSIG verpflichtet KRITIS-Betreiber zu angemessenen Sicherheitsmaßnahmen und regelmäßigen Nachweisen beim BSI alle zwei Jahre. Das Gesetz wurde 2021 durch das IT-Sicherheitsgesetz 2.0 erheblich erweitert und 2025 durch das neue BSIG (NIS2-Umsetzung) vollständig neu gefasst.
Bindefrist
Die Bindefrist ist der Zeitraum, in dem ein Bieter rechtlich an sein Angebot gebunden ist und es nicht einseitig zurückziehen kann. Sie beginnt mit dem Submissionstermin und endet mit Zuschlagserteilung oder Fristablauf. Läuft sie ab, ohne dass ein Zuschlag erteilt wurde, müssen Bieter einer Verlängerung aktiv zustimmen oder sind frei, ihr Angebot zurückzuziehen.
C
Change-Management
Change-Management (IT) bezeichnet den strukturierten Prozess zur Beantragung, Bewertung, Genehmigung und Implementierung von Änderungen an IT-Systemen, um unkontrollierte Änderungen und daraus folgende Ausfälle zu verhindern. ITIL unterscheidet normale, Standard- und Notfall-Changes; bei KRITIS-Systemen sind RFC-Prozesse (Request for Change) besonders kritisch, da ungeplante Änderungen NIS2-Meldepflichten auslösen können. In IT-Vergaben für Betriebsdienstleistungen sollten Change-Advisory-Board-Prozesse und Rollback-Pläne als Leistungsanforderungen definiert werden.
CISO Chief Information Security Officer
Der CISO verantwortet die Informationssicherheitsstrategie einer Organisation: ISMS, Risikomanagement, Sicherheitsrichtlinien und Auditkoordination. Das NIS2-Umsetzungsgesetz (BSIG 2025) verpflichtet Leitungsorgane regulierter Einrichtungen explizit zur Cybersicherheitsverantwortung. In der Bundesverwaltung nimmt das BSI selbst die Funktion eines CISO Bund wahr und koordiniert die Informationssicherheit der gesamten Bundesverwaltung.
Code Review Quellcode-Überprüfung / Peer Review
Ein Code Review ist die systematische Durchsicht von Quellcode durch einen oder mehrere Entwickler, um Fehler, Sicherheitslücken, Verletzungen von Coding-Standards und wartbarkeitsreduzierende Muster frühzeitig zu identifizieren. Sicherheitsorientierte Code Reviews (Security Code Reviews) suchen gezielt nach OWASP-Schwachstellen wie SQL Injection, XSS oder Injection-Fehlern. In IT-Vergabeverfahren für Softwareentwicklung sollten Auftraggeber Code Reviews als verpflichtende Qualitätssicherungsmaßnahme im Entwicklungsprozess fordern, inklusive automatisierter SAST-Scans als Ergänzung zu manuellen Reviews.
Codesicherheit Code Security / Secure Code Properties
Codesicherheit bezeichnet die Eigenschaft von Quellcode, keine bekannten Schwachstellenmuster (OWASP Top 10, CWE) zu enthalten und resistent gegen gängige Angriffstechniken wie Injections, Buffer Overflows oder Unsichere Deserialisierung zu sein. Sie wird durch statische Codeanalyse (SAST), manuelle Security Code Reviews und Fuzzing-Tests überprüft. In IT-Vergaben für Individualsoftware sollten Auftraggeber Codesicherheitsanforderungen explizit formulieren: Welche SAST-Tools sind einzusetzen, welche Schweregrad-Thresholds dürfen im Code nicht verletzt werden, und wie werden gefundene Findings vor der Abnahme nachweislich beseitigt.
Compliance-Report Compliance-Bericht / Compliance-Nachweis
Ein Compliance-Report ist ein strukturierter Nachweis, der dokumentiert, ob und in welchem Umfang ein IT-System, eine Organisation oder ein Auftragnehmer die vereinbarten und gesetzlichen Anforderungen erfüllt, typischerweise auf Basis von Audits, automatisierten Scans und Selbstauskunften. In öffentlichen IT-Vergaben werden Compliance-Reports als regelmäßige Liefergegenstände vereinbart, z.B. monatliche SOC-Reports, jährliche ISO-27001-Überwachungsauditberichte oder DSGVO-Verarbeitungsverzeichnisse. Auftraggeber sollten Format, Frequenz, Empfänger und Eskalationspfade bei Compliance-Verstößen bereits in den Vergabeunterlagen und Vertrag präzise definieren.
Cyberangriff Cyber Attack / IT-Angriff
Ein Cyberangriff ist eine absichtliche, schädigende Handlung, die digitale Systeme, Netzwerke oder Daten eines Ziels durch technische Mittel beeinträchtigt, mit dem Ziel Daten zu stehlen, Dienste zu unterbrechen oder Systeme zu manipulieren. Das BSI unterscheidet in seinem jährlichen Lagebericht verschiedene Angriffskategorien wie Ransomware, Spear-Phishing, DDoS und Supply-Chain-Kompromittierungen. In IT-Vergaben sollten Auftraggeber verlangen, dass Auftragnehmer aktuelle Bedrohungslagen in ihrem Sicherheitskonzept berücksichtigen und Maßnahmen gegen die wahrscheinlichsten Angriffsvektoren für den jeweiligen Auftragsgegenstand nachweisen.
Cyberabwehr Cyber Defense / Active Defense
Cyberabwehr bezeichnet alle Maßnahmen eines Unternehmens oder einer Behörde zur proaktiven und reaktiven Abwehr von Cyberangriffen, von der Prävention über die Erkennung bis zur Eindämmung und Wiederherstellung nach einem Sicherheitsvorfall. Sie umfasst technische Kontrollen (Firewalls, EDR, SIEM), organisatorische Strukturen (SOC, CERT) und Prozesse (Incident Response, Threat Intelligence) als integriertes System. In IT-Vergaben für Managed-Security-Dienste sollten Auftraggeber klar definieren, welche Abwehrschichten der Auftragnehmer verantwortet und welche SLAs bei erkannten Angriffen greifen.
Cross-Site Request Forgery CSRF / Session Riding
Cross-Site Request Forgery ist ein Web-Angriff, bei dem ein Angreifer einen authentifizierten Nutzer dazu bringt, unbeabsichtigt eine Aktion in einer Web-Applikation auszuführen, indem er eine präparierte Anfrage in seinem Namen sendet. Schutzmaßnahmen umfassen CSRF-Token, SameSite-Cookie-Attribute und Double-Submit-Cookie-Muster; das OWASP Top-10-Projekt listet CSRF als bekannte Webapplikationsbedrohung. In IT-Vergaben für Web-Anwendungen sollten Auftraggeber CSRF-Schutzmaßnahmen als Mindestanforderung im Sicherheitskonzept festlegen und deren Implementierung durch Penetrationstests nachweisen lassen.
Credentials Management Zugangsdatenverwaltung / Secret Management
Credentials Management bezeichnet den sicheren Lebenszyklusprozess für Zugangsdaten, API-Schlüssel, Zertifikate und Geheimnisse, einschließlich Erstellung, Speicherung, Rotation, Überwachung und Widerruf. Tools wie HashiCorp Vault, AWS Secrets Manager oder Azure Key Vault ermöglichen zentrale, auditierbare und verschlüsselte Verwaltung von Geheimnissen. In IT-Vergaben sollten Auftraggeber verlangen, dass keine hartkodierten Credentials in Code-Repositories vorhanden sind und ein nachgewiesenes Secret-Management-System als Pflichtanforderung implementiert ist.
Container-Orchestrierung Container Orchestration / Kubernetes
Container-Orchestrierung bezeichnet automatisierte Systeme zur Verwaltung, Skalierung und Vernetzung von Container-Workloads über mehrere Hosts hinweg, wobei Kubernetes der De-facto-Standard ist. Aus Sicherheitsperspektive bringt Kubernetes spezifische Anforderungen mit sich: Pod-Security-Standards, RBAC-Konfiguration, Netzwerk-Policies und regelmäßige Aktualisierung der Container-Images. In IT-Vergaben für Cloud-native Anwendungen sollten Auftraggeber Kubernetes-Sicherheitsanforderungen (z.B. CIS Kubernetes Benchmark) als Pflichtstandard und regelmäßige Cluster-Scans als Betriebspflicht festlegen.
Cyber-Resilienz Cyber Resilience / Widerstandsfähigkeit
Cyber-Resilienz bezeichnet die Fähigkeit einer Organisation, Cyberangriffe und IT-Ausfälle zu widerstehen, sich davon zu erholen und den Geschäftsbetrieb aufrechtzuerhalten oder schnell wiederherzustellen. Sie geht über klassische Cybersicherheit hinaus, indem sie auch Angriffe einkalkuliert, die Schutzmaßnahmen überwinden, und Reaktions- sowie Wiederherstellungsfähigkeiten stärkt. Der Cyber Resilience Act (CRA) der EU und DORA für den Finanzsektor verankern Cyber-Resilienz als regulatorische Anforderung; Auftraggeber sollten entsprechende Nachweise in IT-Vergaben fordern.
CI/CD-Sicherheit Continuous Integration / Continuous Delivery Security
CI/CD-Sicherheit bezeichnet die Integration von Sicherheitsprüfungen in automatisierte Build-, Test- und Deployment-Pipelines, sodass Schwachstellen, unsichere Abhängigkeiten und Konfigurationsfehler bereits vor dem Release erkannt werden. Typische Maßnahmen umfassen SAST/DAST-Scans, Secret Detection, Container-Image-Scanning und Infrastructure-as-Code-Prüfungen in jeder Pipeline-Stufe. In IT-Vergaben für Softwareentwicklungsleistungen sollten Auftraggeber nachweisbare CI/CD-Sicherheitspraktiken als Anforderung stellen und sich Einsicht in Pipeline-Konfigurationen und Scan-Berichte vorbehalten.
Compliance-Audit Compliance-Prüfung
Ein Compliance-Audit ist eine unabhängige Prüfung, ob ein Unternehmen oder eine Behörde die einschlägigen gesetzlichen, regulatorischen und internen Anforderungen tatsächlich einhält. Im IT-Umfeld umfasst dies insbesondere die Prüfung von Datenschutzmaßnahmen (DSGVO), Informationssicherheitsstandards (ISO 27001, BSI IT-Grundschutz) und sektorspezifischen Vorgaben (KRITIS, NIS2, DORA). In IT-Vergabeverfahren sollten Auftraggeber das Recht auf Compliance-Audits beim Auftragnehmer vertraglich absichern und Mindestauditfrequenzen sowie Nachweispflichten für Konformitätsbescheinigungen als Teil der SLA-Anforderungen festlegen.
Compliance Management
Compliance Management bezeichnet den systematischen Prozess zur Sicherstellung, dass eine Organisation alle für sie geltenden rechtlichen, regulatorischen und vertraglich vereinbarten Anforderungen erfüllt, darunter DSGVO, NIS2, ISO 27001, BSI IT-Grundschutz und branchenspezifische Normen. In öffentlichen IT-Vergaben muss der Auftraggeber sicherstellen, dass beschaffte Systeme und Dienste die Compliance-Anforderungen der Behörde dauerhaft erfüllen; Bieter werden daher häufig nach eingesetzten Compliance-Management-Systemen und entsprechenden Zertifizierungen befragt. Effektives IT-Compliance-Management umfasst regelmäßige Audits, Risikoanalysen und Nachweisführung gegenüber Prüfbehörden.
Confidential Computing
Confidential Computing ist eine Technologie, die Daten auch während der Verarbeitung (in-use) in einer hardware-basierten Trusted Execution Environment (TEE) schützt, sodass selbst der Cloud-Anbieter oder der Hypervisor keinen Zugriff auf die Daten hat; gängige Implementierungen sind Intel SGX, AMD SEV und ARM TrustZone. Das BSI und die Confidential Computing Consortium (CCC) sehen Confidential Computing als wichtige Technologie für souveräne Cloud-Nutzung sensibler Behördendaten. In IT-Ausschreibungen für Cloud-Dienste mit besonders schutzbedürftigen Daten (Gesundheitsdaten, VS-NfD) ist Confidential Computing als optionale oder Pflichtanforderung zu prüfen.
Containerisierung Containerization / Docker / Kubernetes
Containerisierung bezeichnet die Technologie, Anwendungen und ihre Abhängigkeiten in isolierte, portable Laufzeiteinheiten (Container) zu verpacken, die konsistent auf verschiedenen Infrastrukturen betrieben werden können; Docker ist die verbreitetste Container-Engine, Kubernetes der De-facto-Standard für Orchestrierung. Der BSI IT-Grundschutz beschreibt in den Bausteinen SYS.1.6 (Containerisierung) und APP.4.4 (Kubernetes) spezifische Sicherheitsanforderungen. In IT-Ausschreibungen sollten Auftraggeber explizit fordern, ob und wie Container-Images signiert, auf Schwachstellen gescannt und in registrierten Repositories verwaltet werden.
Container Security
Container Security umfasst alle Maßnahmen zur Absicherung containerisierter Anwendungen und der zugehörigen Orchestrierungsinfrastruktur (z. B. Kubernetes). Der BSI IT-Grundschutz widmet den Bausteinen SYS.1.6 (Containerisierung) und APP.4.4 (Kubernetes) eigene Sicherheitsanforderungen zu Image-Härtung, Netzwerksegmentierung, Zugriffskontrollen und Sicherheitsrichtlinien für Pods. In öffentlichen Ausschreibungen für Cloud-Plattformen oder Microservice-Architekturen sollten Sicherheitsanforderungen an Container-Registries, Admission Controller und Laufzeitschutz explizit im Leistungsverzeichnis beschrieben werden.
Containment Incident Containment / Eingrenzung von Sicherheitsvorfällen
Containment bezeichnet die Phase im Incident-Response-Prozess, in der ein erkannter Sicherheitsvorfall isoliert und eingedämmt wird, um eine weitere Ausbreitung im Netzwerk zu verhindern, bevor die eigentliche Bereinigung und Wiederherstellung beginnt. Typische Containment-Maßnahmen umfassen Netzwerkisolierung betroffener Systeme, Sperrung kompromittierter Konten und Blockierung von Angreifer-IP-Adressen. In IT-Vergaben für SOC- oder MDR-Dienste sollten Auftraggeber klare Containment-Reaktionszeiten und -prozesse als messbare SLA-Parameter verlangen und regelmäßige Übungen (Tabletop Exercises) fordern.
Cloud-First Cloud-First-Strategie / Digitalisierungsstrategie
Cloud-First ist ein strategisches Beschaffungsprinzip, das vorschreibt, Cloud-Lösungen bei jeder neuen Beschaffung vorrangig zu prüfen, bevor On-Premises-Alternativen in Betracht gezogen werden. Die Bundesregierung verfolgt im Rahmen ihrer Digitalisierungsstrategie einen Cloud-First-Ansatz, kombiniert mit Anforderungen an Datensouveränität und BSI C5-Konformität. In der Vergabepraxis bedeutet Cloud-First, dass Auftraggeber cloud-native Architekturen bevorzugen und Bieter mit SaaS- oder IaaS-Angeboten gezielt fördern, sofern Datenschutz, Betriebssouveränität und Ausstiegsmöglichkeiten sichergestellt sind.
Cloud-native Security
Cloud-native Security bezeichnet einen Sicherheitsansatz, der speziell für in der Cloud entwickelte und betriebene Anwendungen konzipiert ist und auf Prinzipien wie Immutable Infrastructure, Infrastructure-as-Code und automatisierter Compliance-Prüfung basiert. Werkzeuge wie CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection Platform) und CIEM (Cloud Infrastructure Entitlement Management) bilden das technische Fundament. In Ausschreibungen für Cloud-Plattformen oder SaaS-Dienste sollten Auftraggeber explizit fordern, welche cloud-nativen Sicherheitskontrollen der Anbieter implementiert und nachweisbar betreibt.
Clickjacking UI Redressing / UI-Täuschungsangriff
Clickjacking ist ein Web-Angriff, bei dem ein Angreifer eine legitime Webseite mit einer unsichtbaren oder transparenten Ebene überlagert, sodass ein Nutzer unbeabsichtigt auf versteckte Schaltflächen oder Links klickt. Typische Schutzmaßnahmen sind der HTTP-Response-Header X-Frame-Options sowie der modernere Content Security Policy (CSP)-Mechanismus frame-ancestors, die das Einbetten der Seite in Iframes fremder Domains verhindern. In IT-Vergaben für Web-Applikationen sollten Auftraggeber diese Header-Konfigurationen als Mindestanforderung in das Sicherheitskonzept aufnehmen und durch Penetrationstests verifizieren lassen.
Cloud-Exit-Strategie
Eine Cloud-Exit-Strategie definiert den Prozess, nach dem ein Auftraggeber Daten, Konfigurationen und Anwendungen von einem Cloud-Anbieter migrieren kann, ohne operativen Schaden oder Datenverlust. Der EU Data Act und die ENISA-Leitlinien empfehlen, Exit-Anforderungen bereits bei der Vertragsgestaltung und Ausschreibung zu berücksichtigen; typische Klauseln regeln Übergabeformate, Migrationszeiträume und Unterstützungspflichten des Anbieters. Fehlende Exit-Klauseln verstärken Vendor-Lock-in und können bei Anbieterwechsel zu erheblichem Mehraufwand führen.
C2 Command & Control / C&C
Command & Control (C2) bezeichnet die Infrastruktur, über die Angreifer kompromittierte Systeme (Bots, implants) fernsteuern, Befehle ausgeben und Daten exfiltrieren. C2-Kanäle werden häufig über legitime Protokolle wie HTTPS, DNS oder Cloud-Dienste verschleiert, um Sicherheitslösungen zu umgehen. In Leistungsverzeichnissen für Netzwerksicherheit und SOC-Dienste sollten Erkennungsanforderungen für C2-Kommunikation explizit aufgenommen werden, etwa durch DNS-Filtering, Proxy-Inspection und Verhaltensanalyse.
CASB Cloud Access Security Broker
Ein Cloud Access Security Broker ist eine Sicherheitsschicht zwischen Nutzern und Cloud-Diensten, die Richtlinien für Datenzugriff, Verschlüsselung, DLP, Bedrohungserkennung und Compliance-Monitoring durchsetzt; CASBs können als Proxy (Inline-Modus) oder API-basiert implementiert werden. ENISA empfiehlt CASBs als wichtigen Baustein für die Sicherheit von Multi-Cloud-Umgebungen, da sie Transparenz über genutzte Schatten-IT-Dienste schaffen. In Ausschreibungen für Cloud-Sicherheitslösungen sind CASB-Anforderungen hinsichtlich API-Integration in bestehende Cloud-Provider, DSGVO-konformer Datenspeicherung und Reporting für Compliancenachweise zu spezifizieren.
CMDB Configuration Management Database
Eine Configuration Management Database ist das zentrale Repository für alle IT-Assets und ihre Beziehungen zueinander (Konfigurationselemente, CIs) sowie ihrer Abhängigkeiten, was sie zur unverzichtbaren Grundlage für Change Management, Incident Management und Vulnerability Management macht. BSI IT-Grundschutz OPS.1.1.3 verweist auf eine aktuelle CMDB als Voraussetzung für effektives Patch- und Änderungsmanagement. In IT-Ausschreibungen für ITSM-Plattformen ist eine automatisch befüllte CMDB mit Discovery-Funktion, ITSM-Integration und Echtzeit-Synchronisierung als Pflichtanforderung zu spezifizieren.
Cloud Native
Cloud-native Architekturen nutzen die nativen Dienste und Muster der Cloud (Container, Orchestrierung via Kubernetes, Serverless, Microservices, CI/CD) anstatt traditioneller On-Premises-Ansätze in die Cloud zu heben (Lift-and-Shift). Sicherheitsprinzipien für Cloud-native Systeme umfassen Immutable Infrastructure, Shift-Left-Security und automatisierte Sicherheitstests in der CI/CD-Pipeline. In öffentlichen IT-Ausschreibungen für Plattformdienste sind Cloud-native Anforderungen hinsichtlich Container-Laufzeitumgebungen, Kubernetes-Konfigurationsstandards (CIS Benchmarks) und BSI C5-Konformität zu spezifizieren.
CIS-Benchmarks Center for Internet Security Benchmarks
Die CIS-Benchmarks sind konsensbasierte Konfigurationsrichtlinien des Center for Internet Security (CIS), die sichere Grundkonfigurationen für Betriebssysteme, Datenbanken, Cloud-Plattformen und Netzwerkkomponenten definieren und weltweit als De-facto-Standard für System-Härtung gelten. Jeder Benchmark unterscheidet zwei Stufen: Level 1 beschreibt minimal invasive Basismaßnahmen, Level 2 umfassendere Härtungsmaßnahmen für besonders schützenswerte Umgebungen. In IT-Vergaben für IT-Betrieb und Betriebsführung können Auftraggeber die Einhaltung relevanter CIS-Benchmarks als verbindliche technische Anforderung fordern und deren Nachweis durch periodische Konfigurationsscans verlangen.
CIS Controls Critical Security Controls / CIS Top 18
Die CIS Controls sind eine priorisierte Sammlung von 18 Sicherheitsmaßnahmen, die das Center for Internet Security (CIS) als wirksamste Abwehr gegen die häufigsten Cyberangriffe empfiehlt. Sie sind in drei Implementierungsgruppen (IG1 bis IG3) unterteilt, wobei IG1 Mindestmaßnahmen für jede Organisation darstellt. In IT-Vergaben für Managed Security Services oder Security-Assessments können Auftraggeber den Reifegrad der CIS Controls als strukturierten Leistungsmaßstab verwenden und die Einhaltung bestimmter Implementierungsgruppen als Mindestanforderung festschreiben.
Cloud-Sicherheit
Cloud-Sicherheit bezeichnet den Schutz von Daten, Anwendungen und Infrastruktur in Cloud-Umgebungen durch technische und organisatorische Maßnahmen wie Verschlüsselung, Identitätsverwaltung, Netzwerksegmentierung und Protokollierung. Das BSI hat einen Mindeststandard zur Nutzung externer Cloud-Dienste für die Bundesverwaltung verabschiedet und die Anforderungen im C5-Katalog operationalisiert. Bei Cloud-Ausschreibungen ist besonderes Augenmerk auf Datenspeicherort (EU/EWR), Zertifizierungen (BSI C5, ISO 27001) und vertragliche Exit-Klauseln zu legen.
Cloud-Migration Cloud Migration / Cloud-Umzug
Cloud-Migration bezeichnet den strukturierten Prozess, bei dem Anwendungen, Daten und IT-Dienste aus lokalen Rechenzentren oder Legacy-Systemen in Cloud-Umgebungen verlagert werden, üblicherweise nach einem der Muster Lift-and-Shift, Re-Platforming oder Rearchitecting. In Behörden und öffentlichen Einrichtungen muss die Cloud-Migration vergaberechtlich vorbereitet werden: Die Migrationsleistung selbst und der spätere Cloud-Betrieb sind in der Regel getrennte Lose oder Leistungsphasen, die separat ausgeschrieben werden können. Auftraggeber sollten Datenmigrationspläne, Rollback-Szenarien, Sicherheitsanforderungen für die Migrationsphase und Testkonzepte für das Go-Live verbindlich als Leistungsbestandteil im Vergabeverfahren fordern.
Cloud-Strategie Cloud Computing Strategie
Eine Cloud-Strategie ist ein strategisches Planungsdokument, das festlegt, welche IT-Dienste und Workloads eines Unternehmens oder einer Behörde in welches Cloud-Modell (Public, Private, Hybrid) migriert werden, unter welchen Sicherheits- und Compliance-Rahmenbedingungen und mit welchem Zeithorizont. Im öffentlichen Sektor bildet die Cloud-Strategie die Grundlage für IT-Beschaffungen von Cloud-Diensten und sollte Anforderungen an BSI C5-Konformität, Datensouveränität und Exit-Szenarien definieren. Die IT-Planungsrat-Strategie für Cloud Computing gibt Orientierung für deutsche Bundesbehörden.
CPV-Codes Common Procurement Vocabulary
Europäisches Klassifikationssystem für öffentliche Beschaffungen. Jeder Ausschreibungsgegenstand wird mit einem achtstelligen CPV-Code versehen, der EU-weit einheitlich ist und im Amtsblatt der EU und auf TED (Tenders Electronic Daily) die Auffindbarkeit sicherstellt. Für IT-Beschaffungen relevante Gruppen: 30000000-9 (Büromaschinen), 48000000-8 (Software), 72000000-5 (IT-Dienstleistungen). Die Wahl des richtigen CPV-Codes beeinflusst, welche Bieter die Ausschreibung finden.
Code Signing Codesignierung
Code Signing ist das kryptografische Signieren von Software, Skripten oder Firmware mit dem privaten Schlüssel des Herausgebers, sodass Empfänger die Authentizität und Integrität des Codes vor der Ausführung prüfen können. BSI empfiehlt Code Signing als Schutzmaßnahme gegen Software-Manipulationen in der Lieferkette (Supply Chain Attacks); für Behörden-Software und Firmware-Updates kritischer Systeme ist Code Signing eine Mindestanforderung. In IT-Ausschreibungen für Software-Entwicklung, CI/CD-Pipelines und Firmware-Updates sind Code-Signing-Anforderungen inklusive Zertifikatsmanagement, Key-Storage (HSM) und Revokationsverfahren zu spezifizieren.
Common Criteria CC / ISO 15408
Common Criteria (ISO/IEC 15408) ist der internationale Standard zur Evaluierung und Zertifizierung der IT-Sicherheit von Produkten und Systemen. Produkte werden anhand von Schutzprofilen und Sicherheitsvorgaben nach Evaluation Assurance Levels (EAL 1-7) bewertet, wobei EAL4 die in Deutschland am häufigsten geforderte Stufe ist. Das BSI akkreditiert Prüflabore und erkennt CC-Zertifikate international an; in Behördenausschreibungen für sicherheitskritische Komponenten (Smart Cards, Kryptografie, Firewalls) ist ein CC-Zertifikat häufig Mindestvoraussetzung.
Content Security Policy CSP
Content Security Policy ist ein HTTP-Sicherheitsheader, der Browser anweist, welche Quellen für Skripte, Stylesheets, Bilder und andere Ressourcen einer Webseite geladen werden dürfen. Durch eine restriktive CSP lassen sich Cross-Site-Scripting-Angriffe (XSS) erheblich erschweren, da eingeschleuster Schadcode nicht aus fremden Quellen nachgeladen werden kann. In IT-Leistungsverzeichnissen für Webanwendungen und Portale im öffentlichen Sektor sollte eine konfigurierte und getestete CSP als technisches Muss-Kriterium aufgenommen werden.
CDN Content Delivery Network / Inhaltsverteilungsnetz
Ein Content Delivery Network ist ein geografisch verteiltes Netzwerk von Servern, das statische und dynamische Inhalte nahe am Endnutzer bereithält, um Ladezeiten zu verkürzen, Bandbreite zu schonen und die Verfügbarkeit durch Lastverteilung zu erhöhen. In der IT-Sicherheit bieten CDNs oft integrierte DDoS-Mitigation, WAF-Funktionen und Zugriffskontrolle. In IT-Vergaben für öffentliche Web-Portale sollten Auftraggeber CDN-Nutzung auf europäische Betreiber mit DSGVO-konformem Serverstandort beschränken und sicherstellen, dass keine personenbezogenen Daten unnötig an Drittländer übertragen werden.
Chancengleichheit
Chancengleichheit im Vergaberecht ist das aus §97 GWB abgeleitete Gebot, alle Bieter in identischer Weise am Wettbewerb zu beteiligen. Sie verbietet nicht nur offene Diskriminierung, sondern auch faktische Bevorzugungen durch einseitig auf bestimmte Anbieter zugeschnittene Anforderungen. In IT-Ausschreibungen manifestiert sich Chancengleichheit darin, dass produktneutrale Spezifikationen formuliert, alle Bieteranfragen öffentlich beantwortet und Wertungsmaßstäbe objektiv und vorab festgelegt werden.
Cyber Resilience Act CRA
Der Cyber Resilience Act (EU-Verordnung 2024/2847) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, die in der EU in Verkehr gebracht werden; er gilt ab Oktober 2027 vollständig. Hersteller müssen Security-by-Design nachweisen, Schwachstellen aktiv melden und Sicherheitsupdates über den gesamten Produktlebenszyklus bereitstellen. Öffentliche Auftraggeber können und sollten CRA-Konformitätsnachweise als Eignungskriterium oder Zuschlagskriterium in IT-Beschaffungen aufnehmen, sobald die Übergangsfrist abgelaufen ist.
CVE Common Vulnerabilities and Exposures
CVE (Common Vulnerabilities and Exposures) ist ein international standardisiertes System zur eindeutigen Identifikation und Benennung öffentlich bekannter IT-Sicherheitslücken, das von der MITRE Corporation verwaltet und von NIST in der National Vulnerability Database (NVD) mit Metadaten und CVSS-Scores angereichert wird. Jede CVE-Kennung folgt dem Schema CVE-JAHR-NUMMER und ermöglicht es, Schwachstellen über verschiedene Sicherheitstools, Patch-Management-Systeme und Meldestellen hinweg eindeutig zu referenzieren. In IT-Vergaben sollten Auftraggeber vom Auftragnehmer einen nachweisbaren Prozess fordern, mit dem CVEs in verwendeten Softwarekomponenten systematisch überwacht und innerhalb definierter Fristen behoben werden.
CVSS Common Vulnerability Scoring System
CVSS ist ein offenes, standardisiertes Bewertungssystem für IT-Schwachstellen, das eine numerische Kritikalitätsbewertung von 0,0 (kein Risiko) bis 10,0 (kritisch) liefert. Die Bewertung setzt sich aus drei Gruppen zusammen: Basis-Score (Ausnutzbarkeit, Auswirkung), Temporal-Score und Umgebungs-Score. CVSS-Werte werden von der NIST National Vulnerability Database (NVD) für alle CVE-Schwachstellen vergeben und sind Grundlage für Patch-Priorisierung und Risikomanagement in öffentlichen IT-Systemen.
Credential Stuffing Zugangsdaten-Missbrauch
Credential Stuffing ist ein automatisierter Angriff, bei dem Angreifer massenhaft gestohlene Benutzername-Passwort-Kombinationen aus früheren Datenlecks gegen andere Online-Dienste ausprobieren, um die weitverbreitete Passwort-Wiederverwendung auszunutzen. Das Angriffsmuster ist besonders effektiv gegen Behörden- und Unternehmensportale mit Standardauthentifizierung und führt ohne wirksame Gegenmaßnahmen zu erheblichem Account-Takeover-Risiko. In IT-Ausschreibungen für Zugangsmanagement sollten Auftraggeber Schutzmaßnahmen wie MFA, Rate-Limiting, anomalie-basierte Anmeldeerkennung und Abgleich gegen bekannte Breach-Datenbanken als Mindestanforderungen fordern.
Cyber Kill Chain Angriffskette
Die Cyber Kill Chain ist ein von Lockheed Martin entwickeltes Modell, das einen Cyberangriff in sieben Phasen unterteilt: Aufklärung, Bewaffnung, Auslieferung, Ausnutzung, Installation, Command & Control und Zielerreichung. Das Modell hilft Verteidigern, Angriffe in frühen Phasen zu unterbrechen und zeigt auf, an welchen Stellen Sicherheitsmaßnahmen ansetzen sollten. In IT-Vergabeverfahren für SOC- und Sicherheitsdienstleistungen kann die Cyber Kill Chain als strukturierendes Framework dienen, um Anforderungen an Erkennungs- und Abwehrmaßnahmen für jede Angriffsphase systematisch zu formulieren.
Cyberversicherung Cyber-Haftpflichtversicherung
Eine Cyberversicherung deckt finanzielle Schäden ab, die durch Cyberangriffe, Datenpannen oder IT-Ausfälle entstehen, darunter Kosten für Incident Response, Betriebsunterbrechung, Benachrichtigung Betroffener und Drittschäden durch Datenschutzverstöße. Für KRITIS-Betreiber und Behörden kann eine Cyberversicherung Teil eines umfassenden Risikomanagements sein; sie ersetzt jedoch keine technischen Sicherheitsmaßnahmen. In IT-Beschaffungen werden Cyberversicherungen seltener als Eignungsnachweis gefordert; relevant ist hingegen, ob ein Bieter im Schadensfall ausreichend handlungsfähig bleibt.
D
Datenschutzklausel Data Protection Clause / Datenschutzvertragsbestimmung
Eine Datenschutzklausel ist eine vertragliche Bestimmung, die regelt, welche personenbezogenen Daten im Rahmen einer IT-Leistung verarbeitet werden dürfen, zu welchem Zweck, mit welchen Schutzmaßnahmen und wie lange. Im Zusammenspiel mit dem Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bildet sie das datenschutzrechtliche Gerüst des IT-Vertrags. Auftraggeber sollten sicherstellen, dass Datenschutzklauseln nicht nur pauschale Verpflichtungen, sondern konkrete technische und organisatorische Maßnahmen, Löschfristen und Nachweispflichten des Auftragnehmers enthalten.
Datenschutzkonzept Privacy Concept / Datenschutzplan
Ein Datenschutzkonzept ist ein strukturiertes Dokument, das beschreibt, wie personenbezogene Daten in einem IT-System oder Projekt erhoben, verarbeitet, gespeichert und gelöscht werden und welche technischen und organisatorischen Maßnahmen (TOM) zum Schutz dieser Daten getroffen werden. Nach Art. 24 und 25 DSGVO sind Verantwortliche verpflichtet, geeignete TOMs zu implementieren und nachzuweisen (Rechenschaftspflicht). In IT-Vergabeverfahren sollten Auftraggeber von Bietern die Vorlage eines datenschutzrechtlichen Konzepts als Teil des technischen Angebots verlangen, insbesondere wenn personenbezogene Daten in die zu liefernde Lösung einfließen.
DevOps
DevOps ist ein Organisationsmodell, das Softwareentwicklung (Development) und IT-Betrieb (Operations) durch gemeinsame Prozesse, Automatisierung und Continuous Integration / Continuous Delivery (CI/CD) eng verzahnt, um Softwarelieferzeiten zu verkürzen und Qualität zu erhöhen. Im öffentlichen Sektor gewinnt DevOps durch die Digitalisierungsagenda an Bedeutung; Behörden beschaffen zunehmend DevOps-Plattformen und entsprechende Dienstleistungen. Vergaben für DevOps-Services erfordern besondere Sorgfalt bei der Leistungsbeschreibung: Metriken wie Deployment-Frequenz, Change-Failure-Rate und Mean Time to Recovery sollten als messbare SLAs definiert werden.
DevSecOps
DevSecOps integriert Sicherheitsanforderungen von Beginn an in den Software-Entwicklungs- und Betriebsprozess (Development, Security, Operations), anstatt Sicherheitstests ans Ende der Entwicklung zu verlagern. NIST SP 800-204D beschreibt Strategien zur Einbindung von Supply-Chain-Security in CI/CD-Pipelines. Für öffentliche IT-Vergaben bedeutet DevSecOps, dass Auftraggeber von Anfang an Sicherheitsanforderungen in Leistungsverzeichnisse einbauen und Nachweise über sichere Entwicklungsprozesse fordern sollten.
Dienstvertrag Service Contract / IT-Dienstleistungsvertrag
Ein Dienstvertrag nach §611 BGB verpflichtet den IT-Auftragnehmer zur Erbringung vereinbarter Leistungen (Tätigkeiten), ohne einen bestimmten Erfolg zu schulden; das Honorar wird in der Regel nach Aufwand (Tagessätze, Stunden) abgerechnet. Die EVB-IT Dienstleistung und EVB-IT Dienstvertrag sind die Standardvertragsmuster für IT-Dienstleistungen der öffentlichen Hand. Im Gegensatz zum Werkvertrag trägt beim Dienstvertrag der Auftraggeber das Ergebnisrisiko; daher empfehlen Praktiker klare Abnahme- und Liefermeilensteine, auch wenn kein Werkvertrag vorliegt, um Verbindlichkeit herzustellen.
Digitale Transformation Digitalisierung
Die Digitale Transformation bezeichnet den tiefgreifenden Wandel von Prozessen, Geschäftsmodellen und Organisationsstrukturen durch den systematischen Einsatz digitaler Technologien. Im öffentlichen Sektor umfasst sie die Digitalisierung von Verwaltungsleistungen (OZG), die Einführung elektronischer Aktenführung (eAkte) und die Nutzung cloudbasierter Plattformen. Für IT-Vergabeverfahren bedeutet Digitale Transformation, dass Auftraggeber Interoperabilität, offene Standards und nachhaltige Architekturentscheidungen als Kriterien bei der Bewertung von IT-Lösungen berücksichtigen sollten, um Abhängigkeiten (Vendor-Lock-in) zu vermeiden.
Digitale Signatur
Eine digitale Signatur ist eine auf asymmetrischer Kryptografie basierende elektronische Signatur, bei der der Unterzeichner einen privaten Schlüssel zur Erzeugung und alle Empfänger den öffentlichen Schlüssel zur Verifikation verwenden. Die eIDAS-Verordnung unterscheidet einfache, fortgeschrittene und qualifizierte elektronische Signaturen; nur die qualifizierte (QES) ist der handschriftlichen Signatur rechtlich gleichgestellt. Das BSI hat Technische Richtlinien für Signaturformate (TR-03125) veröffentlicht, die in Behördenanwendungen verbindlich anzuwenden sind.
Digitales Zertifikat Digital Certificate / PKI-Zertifikat
Ein digitales Zertifikat ist eine von einer Zertifizierungsstelle (CA) ausgestellte elektronische Bescheinigung, die einen kryptografischen öffentlichen Schlüssel mit einer Identität (Person, Organisation, Server) verknüpft und deren Echtheit bestätigt. X.509-Zertifikate bilden die Grundlage für TLS/HTTPS-Verbindungen, S/MIME-E-Mail-Signaturen und die Authentifizierung in PKI-Infrastrukturen; das BSI gibt Technische Richtlinien zu Zertifikatsformaten und Gültigkeitsdauern heraus. In IT-Vergaben für Web-Dienste und sichere Kommunikation sollten Auftraggeber Anforderungen an Zertifikatstypen (DV, OV, EV), Laufzeiten, Erneuerungsprozesse und den Umgang mit Zertifikatsrückrufen verbindlich vorschreiben.
Datenschutz-Audit Datenschutzprüfung
Ein Datenschutz-Audit ist eine systematische Prüfung, ob Datenverarbeitungsprozesse, IT-Systeme und organisatorische Maßnahmen den Anforderungen der DSGVO und des BDSG entsprechen. Öffentliche Auftraggeber sind nach §5 BDSG und einschlägigen Landesgesetzen verpflichtet, ihre Verarbeitungstätigkeiten kontinuierlich zu prüfen; bei der Einbindung externer IT-Dienstleister ist der AVV regelmäßig Bestandteil des Vergabeverfahrens. In IT-Ausschreibungen sollte das Recht des Auftraggebers zur Durchführung von Datenschutz-Audits beim Auftragnehmer ausdrücklich als vertragliche Auditklausel verankert werden.
Datenleck Data Breach
Ein Datenleck (Data Breach) ist eine Sicherheitsverletzung, bei der vertrauliche, geschützte oder personenbezogene Daten ohne Autorisierung eingesehen, gestohlen oder offengelegt werden. Art. 33 DSGVO verpflichtet Verantwortliche, Datenpannen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden; bei Betroffenheit von Personen ist zusätzlich eine Benachrichtigung nach Art. 34 DSGVO erforderlich. In IT-Vergaben sollten Meldepflichten, Reaktionszeiten und Unterstützungspflichten des Auftragnehmers bei Datenschutzverletzungen vertraglich geregelt und mit dem AVV abgestimmt werden.
Datenverlust Data Loss / Datenverlust-Prävention
Datenverlust bezeichnet das unbeabsichtigte oder unbefugte Verschwinden, Löschen oder Unzugänglichwerden von Daten, sei es durch Hardwareausfall, menschliche Fehler, Ransomware oder mangelnde Datensicherung, und ist von einem Datenleck (Data Breach, unberechtigte Offenlegung) zu unterscheiden. Data Loss Prevention (DLP)-Lösungen überwachen Datenflüsse und verhindern die unkontrollierte Übertragung sensibler Daten auf externe Speicher, E-Mails oder Cloud-Dienste. In IT-Vergaben sollten Auftraggeber Anforderungen an Backup-Konzepte (RPO, RTO), DLP-Maßnahmen und Wiederherstellungstests als Pflichtkomponenten in Betriebsverträgen und SLAs festlegen.
Datenbankserver Database Server / DB-Server
Ein Datenbankserver ist eine IT-Komponente, die ein Datenbankmanagementsystem (DBMS) betreibt und Datenspeicherung, -abfrage und -verwaltung für Anwendungssysteme bereitstellt; er bildet das Herzstück von Fachverfahren, ERP-Systemen und Portalen. Datenbankserver sind besonders schützenswert, da sie die gesamten Nutzdaten einer Anwendung konzentrieren und daher bevorzugtes Angriffsziel für Datendiebstahl und Ransomware sind. In IT-Vergaben sollten Auftraggeber für Datenbankserver spezifische Sicherheitsanforderungen definieren: Netzsegmentierung (DB-Server nicht direkt aus dem Internet erreichbar), Verschlüsselung at rest, DB-Activity-Monitoring, regelmäßige Schwachstellenscans und Patch-Management-SLAs.
Datenbankschutz Database Security / DB Security
Datenbankschutz umfasst alle technischen und organisatorischen Maßnahmen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Datenbanksystemen und den darin gespeicherten Daten sicherstellen, einschließlich Zugriffskontrollen, Verschlüsselung gespeicherter und übertragener Daten, Datenbankaktivitätsüberwachung (DAM) und regelmäßige Sicherheitsaudits. Angriffe auf Datenbanken durch SQL-Injection, Privilege Escalation oder direkte Netzwerkverbindungen sind einer der häufigsten Angriffsvektoren; OWASP und NIST SP 800-53 definieren spezifische Datenbankschutz-Kontrollen. In IT-Vergaben für Fachverfahren, CRM- und ERP-Systeme sollten Auftraggeber Datenbankschutz-Anforderungen (Verschlüsselung at rest, Zugriffsprotokollierung, Netzwerksegmentierung des DB-Servers) explizit in Sicherheitsanforderungen und Abnahmekriterien aufführen.
Datenlöschung Data Erasure / Recht auf Vergessenwerden
Datenlöschung bezeichnet die unwiderrufliche Vernichtung oder Unkenntlichmachung personenbezogener oder vertraulicher Daten, sodass eine Wiederherstellung technisch ausgeschlossen ist, und ist nach Art. 17 DSGVO als Recht auf Löschung verankert. Für IT-Systeme im öffentlichen Sektor definiert das BSI Mindeststandards für sichere Löschverfahren, die je nach Schutzbedarfsstufe von einfachem Überschreiben bis zur physischen Vernichtung von Datenträgern reichen. In IT-Vergaben, insbesondere bei Cloud- und Hosting-Dienstleistungen, müssen Auftraggeber vertraglich sicherstellen, dass Daten nach Vertragsende revisionssicher gelöscht und dies dokumentiert nachgewiesen wird.
Docker Security Container-Sicherheit / Docker Hardening
Docker Security umfasst alle Maßnahmen zur Absicherung von Container-Infrastrukturen: Minimierung von Base-Images, Rootless-Container-Betrieb, Image-Scanning auf bekannte Schwachstellen (CVEs) sowie die Isolation zwischen Containern durch Kernel-Namespaces und Cgroups. Das BSI IT-Grundschutz-Kompendium adressiert Container-Betrieb in SYS.1.6; zusätzlich empfiehlt das CIS Docker Benchmark konkrete Konfigurationsregeln. In IT-Vergaben für Container-Betrieb oder DevOps-Plattformen sollten Auftraggeber Docker/Kubernetes-Härtungsmaßnahmen und automatisiertes Image-Scanning als Pflichtanforderungen definieren und durch Compliance-Reports im Betrieb nachweisen lassen.
Domain Spoofing DNS Spoofing / Domain-Fälschung
Domain Spoofing bezeichnet Angriffe, bei denen Täter eine legitime Domain oder E-Mail-Adresse fälschen, um Empfänger zu täuschen und sie zur Preisgabe von Zugangsdaten, Zahlungen oder sensiblen Informationen zu verleiten. Gegenmaßnahmen umfassen DMARC/DKIM/SPF-Konfiguration für E-Mail-Authentifizierung, DNSSEC für DNS-Integrität sowie Brand-Monitoring für lookalike-Domains. Auftraggeber sollten in IT-Vergaben für Mail-Infrastruktur und öffentliche Webdienste vollständige E-Mail-Authentifizierungsstandards als Pflichtanforderung festlegen und durch externe Prüfwerkzeuge verifizieren lassen.
Dokumentenmanagement Document Management System / DMS
Ein Dokumentenmanagementsystem (DMS) ist eine Software-Lösung zur strukturierten Erfassung, Speicherung, Verwaltung und Nachverfolgung von Dokumenten mit Versionierung, Zugriffsrechten und Workflow-Unterstützung. In der öffentlichen Verwaltung ist das DMS oft eng mit der eAkte und dem Geschäftsprozessmanagement verknüpft; nach dem eGovernment-Gesetz des Bundes ist die elektronische Aktenführung für Bundesbehörden verpflichtend. Auftraggeber, die DMS-Systeme ausschreiben, sollten Anforderungen an Revisionssicherheit, DSGVO-Konformität, Schnittstellen zu Fachverfahren und Exportbarkeit der Daten in offene Formate verbindlich festlegen.
DevOps-Sicherheit DevSecOps Pipeline Security
DevOps-Sicherheit bezeichnet die Integration von Sicherheitsprüfungen und -kontrollen in jede Phase der Software-Entwicklungspipeline, sodass Schwachstellen bereits während der Entwicklung erkannt und behoben werden, bevor sie in Produktion gelangen. Typische Werkzeuge sind SAST (statische Codeanalyse), DAST (dynamische Tests), SCA (Abhängigkeitsprüfung) und Secret Scanning in CI/CD-Pipelines. In IT-Vergaben für Softwareentwicklungsleistungen sollten Auftraggeber festlegen, welche Sicherheitsprüfungen in der Lieferpipeline des Auftragnehmers vorhanden sein müssen, und sich Scan-Ergebnisse als Lieferdokument vorbehalten.
Datenvalidierung Data Validation / Input Validation
Datenvalidierung bezeichnet die technische Prüfung von Eingabedaten auf Korrektheit, Vollständigkeit, Format und erlaubten Wertebereich vor ihrer Verarbeitung oder Speicherung, um fehlerhafte Daten auszuschließen und Angriffe wie SQL-Injection oder Pufferüberläufe zu verhindern. Eine wirksame Datenvalidierung erfolgt serverseitig (nicht ausschließlich clientseitig), nutzt Whitelist-Prinzipien und wird durch Ausgabe-Encodierung ergänzt. In IT-Vergaben für webbasierte Anwendungen und APIs sollten Auftraggeber Datenvalidierung nach OWASP-Empfehlungen als Mindestanforderung an sichere Entwicklung sowie als Prüfgegenstand im Sicherheitstest (SAST/DAST) festlegen.
Datenwirtschaft Data Economy / Daten-Ökosystem
Datenwirtschaft bezeichnet die Gesamtheit der wirtschaftlichen Aktivitäten rund um die Erzeugung, Verarbeitung, Weitergabe und Verwertung von Daten als Ressource. Im öffentlichen Sektor gewinnt die Datenwirtschaft durch den europäischen Datenraum (Gaia-X) und den EU Data Act an Bedeutung, der Zugriffsrechte an industriellen Daten neu regelt. In IT-Vergaben spielt Datenwirtschaft vor allem bei der Frage eine Rolle, wer Eigentumsrechte an im Vertragsverhältnis entstehenden Daten hält; Auftraggeber sollten Datenhoheit, Nutzungsrechte und Weitergabeverbote klar im Vertrag regeln.
Datenresidenz Data Residency / Datenlokalisierung
Datenresidenz bezeichnet die Anforderung, dass Daten ausschließlich in einem bestimmten geografischen Gebiet (z.B. Deutschland, EU/EWR) gespeichert und verarbeitet werden dürfen. Sie ist besonders relevant für Behörden mit besonders schützenswerten Daten, KRITIS-Betreiber und Einrichtungen, die unter das Berufsgeheimnis fallen. In IT-Vergaben sollte Datenresidenz als verbindliche Anforderung in Leistungsverzeichnis und Vertrag verankert sein, ergänzt durch das Recht zur Überprüfung der tatsächlichen Speicherorte und Regelungen für Ausfallszenarien (z.B. Replikation in DR-Standort).
Digitale Infrastruktur Digital Infrastructure / Digitale Grundinfrastruktur
Digitale Infrastruktur bezeichnet die grundlegenden technischen Systeme und Dienste, auf denen andere digitale Anwendungen und Geschäftsprozesse aufbauen, einschließlich Rechenzentren, Netzwerkinfrastruktur, Cloud-Plattformen, DNS und Authentifizierungsdienste. Sie gilt zunehmend als kritische Infrastruktur, da ihr Ausfall weitreichende gesellschaftliche und wirtschaftliche Folgen haben kann. In IT-Vergaben für Basisinfrastruktur sollten Auftraggeber besonders hohe Anforderungen an Verfügbarkeit, Redundanz, Sicherheit und Souveränität stellen und die Einhaltung von KRITIS-Standards sowie NIS2-Anforderungen sicherstellen.
Datenintegrität Data Integrity / Unveränderlichkeit
Datenintegrität bezeichnet die Korrektheit, Vollständigkeit und Konsistenz von Daten über ihren gesamten Lebenszyklus, einschließlich Schutz vor unautorisierter Veränderung oder unbeabsichtigter Korruption. Technische Maßnahmen wie kryptographische Prüfsummen (SHA-256), digitale Signaturen und Datenbank-Transaktionen sichern die Integrität; Verletzungen können durch Hardware-Defekte, Übertragungsfehler oder Angriffe entstehen. In IT-Vergaben für Datenbanksysteme, Archivanwendungen und Abrechnungssysteme sollten Auftraggeber Integritätsprüfmechanismen als Pflichtanforderung spezifizieren und in Abnahmetests verifizieren lassen.
Datenrettung Data Recovery / Datenwiederherstellung
Datenrettung bezeichnet den Prozess zur Wiederherstellung verlorener, beschädigter oder verschlüsselter Daten aus Backups, beschädigten Speichermedien oder nach Ransomware-Angriffen. Sie setzt funktionierende Backup-Systeme, regelmäßige Wiederherstellungstests und dokumentierte Recovery-Prozeduren voraus; Backups, die nie getestet wurden, sind kein verlässlicher Schutz. In IT-Vergaben für Backup- und Recovery-Lösungen sollten Auftraggeber regelmäßige Restore-Tests als Vertragspflicht vereinbaren und Recovery-Ziele (RTO, RPO) mit Pönalen bei Nichterreichung koppeln.
Datenschutzmanagement Privacy Management / Datenschutz-Governance
Datenschutzmanagement umfasst alle organisatorischen Maßnahmen, Prozesse und Verantwortlichkeiten, die eine Organisation etabliert, um die DSGVO-Konformität dauerhaft sicherzustellen, einschließlich Datenschutzbeauftragter, Verarbeitungsverzeichnis, DSFA-Prozess und Datenpannenmeldeverfahren. Ein reifes Datenschutzmanagement schafft Rechtssicherheit, reduziert Bußgeldrisiken und stärkt das Vertrauen von Nutzern und Partnern. In IT-Vergaben sollten Auftraggeber nachweisbare Datenschutzmanagementsysteme als Eignungsanforderung oder Zuschlagskriterium berücksichtigen, insbesondere bei Auftragnehmern, die sensible Daten verarbeiten.
Datenzugang Data Access / Datenzugriff
Datenzugang bezeichnet das Recht und die technische Möglichkeit, auf bestimmte Datensätze zuzugreifen, sie zu lesen, zu verwenden oder weiterzuverarbeiten. Im IT-Vergaberecht und Vertragsrecht ist der Datenzugang des Auftraggebers zu seinen eigenen Betriebsdaten, die beim Auftragnehmer gespeichert sind, eine kritische Klausel, die durch den EU Data Act und vertragliche Regelungen abgesichert werden muss. Auftraggeber sollten in IT-Verträgen explizit festlegen, dass sie jederzeit vollständigen Zugang zu ihren Daten in maschinenlesbaren Formaten haben und dieser Zugang beim Vertragsende gewährleistet bleibt.
Datenflussdiagramm DFD / Data Flow Diagram
Ein Datenflussdiagramm visualisiert, wie Daten durch ein System fließen, welche Prozesse sie verarbeiten, wo sie gespeichert werden und welche externen Akteure involviert sind. Es ist ein zentrales Werkzeug im Threat Modeling und bei der Datenschutz-Folgenabschätzung (DSFA), da es Angriffsflächen und datenschutzkritische Datenübertragungen sichtbar macht. In IT-Vergaben für Systeme mit personenbezogenen Daten oder KRITIS-Relevanz sollten Auftraggeber aktuelle Datenflussdiagramme als Pflichtdokument anfordern.
Datenminimierung Data Minimisation / Datensparsamkeit
Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verlangt, dass nur personenbezogene Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck erforderlich, erheblich und auf das notwendige Maß beschränkt sind. In IT-Systemen wird Datenminimierung durch technische Gestaltung umgesetzt, z. B. durch granulare Zugriffsrechte, Felder-Maskierung und die Vermeidung unnötiger Protokollierungen mit Personenbezug. In IT-Vergaben für Systeme, die personenbezogene Daten verarbeiten, sollten Datenminimierungsanforderungen als Privacy-by-Design-Prinzip in das Pflichtenheft aufgenommen werden.
Datenhaltung Data Storage / Data Retention
Datenhaltung umfasst alle technischen und organisatorischen Maßnahmen zur sicheren, gesetzestreuen und langfristigen Aufbewahrung von Daten, einschließlich Speicherort, -format, Verschlüsselung und Löschfristen. Für öffentliche Auftraggeber ergeben sich Datenhaltungsanforderungen aus dem Datenschutzrecht (DSGVO), haushaltsrechtlichen Aufbewahrungsfristen sowie fachrechtlichen Vorgaben. In IT-Vergaben sollten Auftraggeber festlegen, in welchem Land Daten gespeichert werden dürfen (insbesondere EU/Deutschland), welche Verschlüsselung gefordert ist und wie Daten nach Vertragsende sicher gelöscht oder übergeben werden.
Datenmaskierung Data Masking / Data Obfuscation
Datenmaskierung ersetzt echte personenbezogene oder sensible Daten durch realistische, aber fiktive Werte, um Testumgebungen, Entwicklungssysteme oder Schulungsszenarien ohne Datenschutzrisiko betreiben zu können. Im Gegensatz zur Anonymisierung ist die Datenmaskierung reversibel (Pseudonymisierung) oder irreversibel (statische Maskierung); welche Variante zulässig ist, hängt vom Verwendungszweck und den DSGVO-Anforderungen ab. Auftraggeber sollten in Verträgen für Entwicklungs- und Testumgebungen Datenmaskierung oder synthetische Testdaten als Pflicht vorschreiben, um echte Produktionsdaten aus nicht-produktiven Systemen fernzuhalten.
Datenportabilität
Datenportabilität bezeichnet das Recht bzw. die technische Möglichkeit, Daten aus einem System oder Dienst in einem strukturierten, gängigen und maschinenlesbaren Format zu exportieren und zu einem anderen Anbieter zu übertragen. Art. 20 DSGVO gewährt Betroffenen dieses Recht für personenbezogene Daten; der EU Data Act erweitert es auf nicht-personenbezogene Industriedaten und Cloud-Dienste. In IT-Vergaben sollten Auftraggeber Datenportabilität und Exit-Klauseln vertraglich sicherstellen, um Vendor-Lock-in zu vermeiden und einen Anbieterwechsel zu erleichtern.
Datensparsamkeit
Datensparsamkeit (Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass personenbezogene Daten nur in dem Umfang erhoben und verarbeitet werden, der für den jeweiligen Zweck erforderlich ist. Im IT-Beschaffungskontext bedeutet dies, dass Auftraggeber beim Einsatz von Analysewerkzeugen, Monitoring-Systemen oder cloudbasierten Diensten sicherstellen müssen, dass der Anbieter nicht mehr Daten verarbeitet als vertraglich notwendig. Datensparsamkeit ist ein zentrales Designprinzip für Privacy-by-Design-Anforderungen in IT-Leistungsverzeichnissen.
Datensicherung Backup / Data Backup
Datensicherung bezeichnet den Prozess, Kopien von Daten an einem separaten Ort zu erstellen, um im Fall eines Verlustes durch Hardwareausfall, Ransomware oder menschliches Versagen eine Wiederherstellung zu ermöglichen. Die 3-2-1-Backup-Regel (drei Kopien, zwei verschiedene Medien, eine außerhalb des Standorts) gilt als bewährter Mindeststandard; das BSI IT-Grundschutz (CON.3) ergänzt Anforderungen an Verschlüsselung, regelmäßige Wiederherstellungstests und Aufbewahrungsfristen. In IT-Vergaben sollten Auftraggeber Backup-Anforderungen, Recovery Point Objectives (RPO) und Recovery Time Objectives (RTO) verbindlich spezifizieren.
Datensouveränität
Datensouveränität bezeichnet die Fähigkeit eines Unternehmens oder einer Behörde, selbst zu bestimmen, wo, wie und durch wen ihre Daten gespeichert, verarbeitet und weitergegeben werden. Im IT-Vergaberecht gewinnt das Thema durch Cloud-Beschaffungen erheblich an Bedeutung: Auftraggeber müssen sicherstellen, dass ausländische Anbieter keinen unkontrollierten Zugriff auf schutzbedürftige Verwaltungsdaten erhalten. Initiativen wie GAIA-X oder die Anforderungen des BSI C5 unterstützen Auftraggeber dabei, Datensouveränität vertraglich und technisch abzusichern.
Datenschutzfolgenabschätzung DSFA
Eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO ist bei Verarbeitungen mit voraussichtlich hohem Risiko für Rechte und Freiheiten natürlicher Personen zwingend durchzuführen, insbesondere bei umfangreicher Verarbeitung sensibler Daten oder systematischem Monitoring. Im IT-Beschaffungskontext ist die DSFA oft Voraussetzung für die Einführung neuer IT-Systeme (z. B. Cloud-Dienste, Videoüberwachung, KI-Systeme). Auftraggeber sollten die Bereitschaft und Fähigkeit des Anbieters zur Unterstützung der DSFA als Anforderung in die Ausschreibung aufnehmen.
Datentreuhänder Datentreuhandschaft / Data Intermediary
Ein Datentreuhänder ist eine neutrale Stelle, die Daten verschiedener Parteien nach klar definierten Regeln verwaltet, austauscht und schützt, ohne selbst wirtschaftliche Interessen an den Daten zu verfolgen, wie es die EU-Daten-Governance-Verordnung (DGA, Verordnung 2022/868) im EU-Recht verankert. Im öffentlichen IT-Beschaffungskontext sind Datentreuhänder relevant bei sektorübergreifenden Datenaustauschprojekten, etwa im Gesundheits-, Mobilitäts- oder Verwaltungsbereich. Auftraggeber sollten bei der Beschaffung von Datenplattformen prüfen, welche Treuhandmodelle die Datensouveränität der Betroffenen langfristig sichern.
De-minimis-Regel
Die De-minimis-Regelung im EU-Beihilferecht (Verordnung EU 1407/2013) erlaubt öffentlichen Stellen die Vergabe von Zuwendungen bis zu 200.000 Euro je Unternehmen über drei Steuerjahre ohne aufwändige Beihilfegenehmigung; im Vergaberecht selbst gibt es keine De-minimis-Schwelle, aber sie beeinflusst die Beschaffungsstruktur bei Förderprojekten. Auftraggeber müssen sicherstellen, dass subventionierte IT-Beschaffungen, die an private Unternehmen weitergegeben werden, keine unzulässige staatliche Beihilfe darstellen. Der Begriff ist besonders relevant, wenn kommunale IT-Projekte aus EU-Fördermitteln kofinanziert werden.
Defense in Depth Tiefenverteidigung
Defense in Depth ist ein Sicherheitsprinzip, das mehrere unabhängige Schutzschichten (Perimeter, Netzwerk, Host, Anwendung, Daten) kombiniert, sodass das Versagen einer einzelnen Schicht nicht zur vollständigen Kompromittierung führt. Das Konzept stammt aus der militärischen Strategie und wurde durch NIST und NSA als Best Practice für IT-Sicherheitsarchitekturen standardisiert. In IT-Vergabeverfahren ist Defense in Depth ein wichtiges Bewertungskriterium: Angebote sollten eine mehrschichtige Sicherheitsarchitektur nachweisen, nicht lediglich eine einzelne Schutzmaßnahme als alleinige Sicherheitslösung propagieren.
De-facto-Vergabe
Eine De-facto-Vergabe liegt vor, wenn ein öffentlicher Auftraggeber einen Auftrag vergibt, ohne das vorgeschriebene Vergabeverfahren durchzuführen, also ohne Bekanntmachung und Wettbewerb. Dies ist eine schwerwiegende Verletzung des Vergaberechts, die zur Nichtigkeit des Vertrages führen kann. Betroffene Wettbewerber können ohne vorherige Rüge direkt einen Nachprüfungsantrag stellen; die Vergabekammer kann die Aufhebung des Vertrages anordnen.
Dekommissionierung Decommissioning / Außerbetriebnahme
Dekommissionierung bezeichnet den geordneten Prozess zur Außerbetriebnahme eines IT-Systems oder einer IT-Komponente, der sichere Datenlöschung, Dokumentationsübergabe, Lizenzrückgabe und physische Entsorgung von Hardware umfasst. Unsachgemäße Dekommissionierung führt zu Datenschutzrisiken (auf Datenträgern verbleibende Daten), Compliance-Lücken und ungenutzten Lizenzkosten. In IT-Vergaben sollten Auftraggeber Dekommissionierungsanforderungen bereits im Vertrag regeln, insbesondere nachweisliche Datenlöschung nach BSI-Standards (BSI M 2.167) und Übergabe aller Systemdokumentationen und Zugangsdaten.
Darknet Dark Web / Tor-Netzwerk
Das Darknet bezeichnet verschlüsselte Netzwerkbereiche, die nur über Anonymisierungsnetzwerke wie Tor (The Onion Router) oder I2P erreichbar sind und bewusst vor normalen Suchmaschinen und ISPs verborgen bleiben. Obwohl das Darknet legitime Einsatzszenarien hat (Journalisten, Aktivisten in repressiven Ländern), dient es auch als Marktplatz für gestohlene Zugangsdaten, Schadsoftware, Exploits und illegal beschaffte Daten aus Cyberangriffen. Für öffentliche Auftraggeber ist das Darknet relevant als Frühwarnsystem: Leakage von Vergabeunterlagen, Behördendaten oder Mitarbeiterzugangsdaten kann auf einschlägigen Darknet-Foren zuerst auftauchen und durch Monitoring-Dienste erkannt werden.
Dark Web Monitoring
Dark Web Monitoring ist ein Dienst, der automatisch überwacht, ob Zugangsdaten, E-Mail-Adressen, API-Keys oder vertrauliche Dokumente einer Organisation im Darknet oder auf kriminellen Marktplätzen auftauchen, etwa nach einem Datenleck bei einem Drittanbieter. CISA empfiehlt Dark-Web-Monitoring als Teil eines umfassenden Credential-Monitoring-Programms, insbesondere für Behörden mit vielen Mitarbeitern. In IT-Ausschreibungen für Sicherheitsmonitoring-Dienste kann Dark-Web-Monitoring als ergänzender Baustein neben SIEM und Threat Intelligence aufgenommen werden; datenschutzrechtliche Anforderungen (DSGVO) und der Umgang mit gefundenen Daten sind vertraglich zu regeln.
Data Center Security Rechenzentrumssicherheit
Data Center Security umfasst physische (Zutrittskontrolle, Brandschutz, USV), infrastrukturelle (Klimatisierung, Redundanz) und logische Schutzmaßnahmen (Netzsegmentierung, Monitoring), um die Verfügbarkeit, Integrität und Vertraulichkeit der im Rechenzentrum betriebenen Systeme sicherzustellen. BSI IT-Grundschutz INF.2 definiert Anforderungen an Rechenzentren, darunter Mindestanforderungen an physische Sicherheit und Redundanz nach Schutzklassen (SIL/TIER). In öffentlichen IT-Ausschreibungen für Hosting- und Housing-Dienste sind RZ-Standort (Deutschland/EU), Zertifizierungen (ISO 27001, EN 50600), Redundanzlevel und SLAs zur physischen Sicherheit vertraglich zu fixieren.
Data Governance
Data Governance bezeichnet den organisatorischen Rahmen aus Richtlinien, Rollen und Prozessen, der sicherstellt, dass Daten eines Unternehmens oder einer Behörde verfügbar, integer, sicher und compliant sind. Im öffentlichen Sektor umfasst Data Governance die Regelung von Datenzugangsrechten, Datenqualitätsstandards, Aufbewahrungsfristen und die Einhaltung von DSGVO, eGovernment-Gesetz und Datenlizenzrahmen. In IT-Beschaffungen für Datenplattformen, Data Warehouses oder KI-Systeme ist ein Data-Governance-Konzept als Nachweis der ordnungsgemäßen Datenverarbeitung zu fordern.
Datenmigration
Datenmigration bezeichnet den strukturierten Transfer von Daten zwischen Systemen, Formaten oder Standorten, etwa beim Wechsel eines IT-Dienstleisters, der Einführung eines neuen ERP-Systems oder der Migration in die Cloud; kritische Aspekte sind Vollständigkeit, Datenintegrität, Datenschutzkonformität und Vertraulichkeit während des Transports. Das BSI empfiehlt für Datenmigrationen ein dokumentiertes Migrationskonzept mit Testmigrationen, Rollback-Szenarien und abschließender Verifikation. In IT-Ausschreibungen ist das Migrationskonzept als Pflichtbestandteil des Angebots zu fordern; Datenverlust-SLAs und Übergabeformate bei Vertragsende (Exit-Klausel) sind vertraglich zu fixieren.
Datenklassifizierung
Datenklassifizierung ist der Prozess, bei dem Daten einer Organisation nach ihrer Sensitivität und Schutzwürdigkeit kategorisiert werden, typischerweise in Stufen wie öffentlich, intern, vertraulich und streng vertraulich; sie bildet die Grundlage für differenzierte Zugriffssteuerung, Verschlüsselung und DLP-Richtlinien. BSI IT-Grundschutz ORP.1 und der Schutzbedarfsfeststellungsprozess stützen sich auf Klassifizierungsentscheidungen; für Behörden mit Verschlusssachen gilt die VSA (Verschlusssachenanweisung) als verbindlicher Rahmen. In IT-Ausschreibungen für Datenmanagementsysteme und Cloud-Dienste ist ein Datenklassifizierungskonzept als technische Anforderung zu verankern.
Datenpanne Data Breach / Verletzung des Schutzes personenbezogener Daten
Eine Datenpanne nach Art. 4 Nr. 12 DSGVO liegt vor, wenn personenbezogene Daten versehentlich oder unrechtmäßig vernichtet, verloren, verändert oder unbefugt offengelegt werden. Meldepflichtige Datenpannen sind nach Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde zu melden; bei hohem Risiko für Betroffene sind diese zusätzlich direkt zu informieren (Art. 34 DSGVO). In IT-Vergaben für Systeme, die personenbezogene Daten verarbeiten, sind Datenpannenmanagement-Prozesse und Meldeketten als vertragliche Anforderung zu verankern.
DDoS Distributed Denial of Service
Ein DDoS-Angriff überflutet Zielsysteme (Webserver, DNS-Resolver, Netzwerke) mit massivem Datenverkehr aus tausenden koordinierten Quellen, um diese für legitime Nutzer unerreichbar zu machen. Das BSI warnt in seinen Lageberichten vor zunehmenden DDoS-Angriffen gegen Behörden, Verwaltungsportale und kritische Infrastrukturen; Angriffsstärken im Terabit-Bereich sind keine Seltenheit mehr. In IT-Ausschreibungen für Internetanbindung, Webhosting und DNS-Dienste sind DDoS-Schutzmaßnahmen (Scrubbing Center, Rate Limiting, Anycast-Routing) und garantierte Verfügbarkeits-SLAs auch unter Angriffsbedingungen vertraglich zu verankern.
Datenschutzbeauftragter DSB
Öffentliche Stellen und viele private Unternehmen sind nach Art. 37 DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen, der die Einhaltung datenschutzrechtlicher Anforderungen überwacht und als Ansprechpartner für Aufsichtsbehörden und Betroffene fungiert. Bei IT-Beschaffungen ist der DSB frühzeitig in die Anforderungsermittlung einzubinden, insbesondere bei Systemen zur Verarbeitung personenbezogener Daten wie CRM, HR-Software oder Cloud-Diensten. Der DSB prüft Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO und wirkt an der Vertragsgestaltung mit Auftragsverarbeitern mit.
Datenübertragbarkeit Data Portability / Datenportabilität
Datenübertragbarkeit bezeichnet das Recht von Betroffenen, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO). Im IT-Vergabekontext ist Datenübertragbarkeit auch als technische Anforderung an Systeme relevant: Auftraggeber sollten sicherstellen, dass bei einem Anbieterwechsel alle Daten in standardisierten Formaten exportierbar sind, um Vendor-Lock-in zu verhindern. Vertragsklauseln zur Datenmigration bei Vertragsende und die Festlegung offener Exportformate sind wichtige Elemente einer nachhaltigen IT-Beschaffung.
Direktauftrag
Der Direktauftrag ist die einfachste Form der Beschaffung ohne Ausschreibungsverfahren, zulässig bis zu definierten Wertgrenzen. Nach UVgO bis 1.000 EUR netto ohne jeglichen Wettbewerb; zwischen 1.000 EUR und 25.000 EUR als freihändige Vergabe mit mindestens einem Vergleichsangebot. In jedem Fall muss der Direktauftrag im Vergabevermerk dokumentiert werden.
Digitale Souveränität Digital Sovereignty / Technologieunabhängigkeit
Digitale Souveränität bezeichnet die Fähigkeit von Staaten, Behörden und Unternehmen, ihre digitale Infrastruktur, Daten und Technologieentscheidungen eigenständig zu gestalten, ohne unkontrollierte Abhängigkeiten von ausländischen Anbietern oder proprietären Systemen einzugehen. Für die öffentliche Verwaltung ist digitale Souveränität ein zentrales Beschaffungsziel: Open-Source-Lösungen, Interoperabilität, europäische Cloud-Angebote (GAIA-X) und die Vermeidung von Vendor-Lock-in werden in Vergabeverfahren zunehmend berücksichtigt. Das BSI und das Bundesministerium des Innern betonen digitale Souveränität als strategische Anforderung an IT-Beschaffung und IT-Betrieb in der Bundesverwaltung.
Disaster Recovery DR
Disaster Recovery bezeichnet die Gesamtheit der Maßnahmen und Pläne, die nach einem schwerwiegenden IT-Ausfall (Ransomware, Hardwareausfall, Naturkatastrophe) eine schnelle Wiederherstellung kritischer IT-Systeme und Daten ermöglichen. Schlüsselkennzahlen sind RTO (Recovery Time Objective) und RPO (Recovery Point Objective): RTO gibt an, wie lange ein Ausfall toleriert wird, RPO wie viel Datenverlust akzeptiert werden kann. In IT-Ausschreibungen für Rechenzentrumsdienste, Backup-Lösungen und Cloud-Services sind RTO- und RPO-Ziele je Systemklasse verbindlich zu definieren und durch regelmäßige DR-Tests nachzuweisen.
DAST Dynamic Application Security Testing
DAST ist ein Testverfahren, bei dem eine laufende Anwendung von außen auf Sicherheitslücken untersucht wird, ohne Zugriff auf den Quellcode zu haben; DAST-Tools simulieren Angreifer und testen auf OWASP-Top-10-Schwachstellen wie SQL-Injection, XSS und Authentifizierungsprobleme. Im Gegensatz zu SAST (statische Analyse) kann DAST Laufzeitverhalten und Konfigurationsfehler erkennen, die im Code nicht sichtbar sind. In IT-Ausschreibungen für Webanwendungen und APIs sollten DAST-Tests als Bestandteil der Abnahmeprüfung und als regelmäßige Sicherheitsprüfung im Betrieb verpflichtend gefordert werden.
Diskriminierungsverbot
Das Diskriminierungsverbot ist einer der Grundsätze des Vergaberechts nach §97 Abs. 2 GWB und verpflichtet Auftraggeber, alle Bieter gleich zu behandeln, sofern keine gesetzlich zulässige Differenzierung besteht. Es verbietet sowohl offene Diskriminierung (z.B. Bevorzugung inländischer Anbieter) als auch verdeckte Diskriminierung durch technische Spezifikationen, die faktisch nur ein bestimmtes Produkt erfüllen kann. Verstöße begründen Rügegründe und können zur Aufhebung des Verfahrens führen.
DMZ Demilitarisierte Zone / Screened Subnet
Eine DMZ ist ein Netzwerksegment, das zwischen dem öffentlichen Internet und dem internen Netzwerk angesiedelt ist und öffentlich erreichbare Dienste wie Webserver, E-Mail-Gateways oder VPN-Konzentratoren beherbergt. Durch Firewalls auf beiden Seiten wird verhindert, dass ein kompromittierter DMZ-Host direkt auf interne Ressourcen zugreifen kann. In IT-Ausschreibungen für Netzwerkarchitekturen und Rechenzentrumslösungen sollte die DMZ-Konzeption, inkl. Zonenübergänge, Proxy-Dienste und Logging-Anforderungen, als Teil des Sicherheitskonzepts gefordert werden.
DNS Hijacking DNS-Umleitung / Rogue DNS
DNS Hijacking bezeichnet Angriffe, bei denen Angreifer DNS-Anfragen manipulieren, um Nutzer auf betrügerische Server umzuleiten, ohne dass dies für den Nutzer sichtbar ist; Methoden umfassen Kompromittierung von DNS-Resolvern, Router-Firmware-Manipulationen und BGP-Hijacking. Im Gegensatz zu DNS-Spoofing (Cache Poisoning) greift DNS Hijacking tiefer in die DNS-Infrastruktur ein und kann ganze Netzbereiche betreffen. In IT-Ausschreibungen für DNS-Dienste und Netzwerkinfrastruktur sollten Auftraggeber DNS-Monitoring, DNSSEC-Validierung und Schutz des DNS-Resolvers gegen unautorisierte Konfigurationsänderungen als Pflichtanforderungen definieren.
DNSSEC Domain Name System Security Extensions
DNSSEC sind kryptografische Erweiterungen des DNS-Protokolls, die DNS-Antworten digital signieren und so DNS-Spoofing- und Cache-Poisoning-Angriffe verhindern; ein DNSSEC-validierender Resolver kann sicherstellen, dass die erhaltene IP-Adresse tatsächlich vom autoritativen Nameserver stammt. Das BSI empfiehlt in seinen Mindeststandards die Aktivierung von DNSSEC für alle behördlichen Domains; DENIC unterstützt DNSSEC für .de-Domains vollständig. In IT-Ausschreibungen für DNS-Dienste, Domain-Hosting und Internet-Anbindung sind DNSSEC-Signierung und -Validierung als Pflichtanforderungen zu spezifizieren.
Drittanbieterrisiko Third-Party Risk / Vendor Risk
Drittanbieterrisiko bezeichnet die Gefahr, dass Sicherheits-, Datenschutz- oder Verfügbarkeitsprobleme bei externen Dienstleistern oder Lieferanten auf die eigene Organisation durchschlagen. Im IT-Vergabekontext tritt es auf, wenn Auftragnehmer ihrerseits Sub-Dienstleister einsetzen, deren Sicherheitsniveau der Auftraggeber nicht direkt kontrollieren kann. Das BSI und die ENISA empfehlen, Drittanbieterrisiken durch vertragliche Mindestanforderungen, regelmäßige Nachweise (z.B. ISO 27001-Zertifikate) und das Recht zur Auditierung in Ausschreibungsunterlagen abzusichern.
Drittstaaten-Datentransfer Datentransfer in Drittländer
Drittstaaten-Datentransfer bezeichnet die Übermittlung personenbezogener Daten in Länder außerhalb des EWR, die kein der EU vergleichbares Datenschutzniveau aufweisen. Nach Art. 44 ff. DSGVO sind solche Transfers nur unter bestimmten Voraussetzungen zulässig, z.B. auf Basis eines Angemessenheitsbeschlusses der EU-Kommission (wie für das UK) oder durch Standardvertragsklauseln (SCC). Im IT-Vergabekontext ist Drittstaaten-Datentransfer besonders bei Cloud-Diensten US-amerikanischer Hyperscaler relevant: Auftraggeber müssen sicherstellen, dass kein unkontrollierter Zugriff auf Behördendaten durch Drittstaaten-Behörden möglich ist.
DSFA Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist zwingend durchzuführen, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen birgt, etwa bei der Verarbeitung besonderer Datenkategorien, systematischer Videoüberwachung oder Profiling im großen Maßstab. Die DSFA dokumentiert Art, Umfang und Zweck der Verarbeitung, bewertet Risiken und legt Maßnahmen zu ihrer Eindämmung fest; der Datenschutzbeauftragte ist einzubeziehen. In IT-Beschaffungen für Systeme mit signifikanter Datenverarbeitung (HR-Systeme, Gesundheitsdaten, Sicherheitssysteme) ist vom Auftraggeber eine DSFA durchzuführen, bevor der Auftrag erteilt wird.
DKIM/SPF/DMARC E-Mail-Authentifizierungsstandards
SPF (Sender Policy Framework, RFC 7208), DKIM (DomainKeys Identified Mail, RFC 6376) und DMARC (RFC 7489) sind komplementäre E-Mail-Authentifizierungsstandards: SPF prüft, ob der sendende Mailserver für die Absenderdomain autorisiert ist; DKIM signiert Nachrichten kryptografisch; DMARC legt fest, wie empfangende Server mit nicht authentifizierten E-Mails umgehen sollen (Quarantäne oder Ablehnung). Das BSI empfiehlt in seinem Mindeststandard für E-Mail-Sicherheit die kombinierte Implementierung aller drei Standards, um Phishing und Domain-Spoofing zu verhindern. In IT-Ausschreibungen für E-Mail-Dienste und Kommunikationsinfrastruktur sind alle drei Standards als Pflichtanforderung zu definieren.
DLP Data Loss Prevention
DLP-Lösungen erkennen und verhindern die unbefugte Übertragung, Speicherung oder Nutzung sensibler Daten, etwa personenbezogene Daten, Geschäftsgeheimnisse oder Verschlusssachen. Sie klassifizieren Daten automatisch und setzen Richtlinien durch, etwa das Blockieren von E-Mails mit sensiblen Anhängen oder das Verhindern von USB-Exporten. In Ausschreibungen für Behörden-IT, insbesondere mit Verschlusssachenverarbeitung oder DSGVO-Relevanz, ist DLP zunehmend als Pflichtkomponente mit definierten Klassifizierungsschemata auszuschreiben.
Dokumentationspflicht
Auftraggeber sind gesetzlich verpflichtet, alle wesentlichen Vergabeentscheidungen lückenlos in der Vergabeakte zu dokumentieren (§8 VgV, §6 UVgO). Umfasst Bedarfsermittlung, Markterkundung, Verfahrenswahl, Wertungsstufen und Zuschlagsbegründung. Die Akte dient als Grundlage für Nachprüfungsverfahren und Rechnungshofprüfungen; Aufbewahrungspflicht mindestens 4 Jahre.
DORA Digital Operational Resilience Act
DORA (EU-Verordnung 2022/2554) ist seit Januar 2025 in Kraft und legt einheitliche Anforderungen an die digitale operative Resilienz für Finanzunternehmen und ihre IKT-Dienstleister in der EU fest. Sie umfasst ICT-Risikomanagement, Meldepflichten bei schwerwiegenden Vorfällen, Drittparteienrisikomanagement und DORA-spezifische Penetrationstests (TLPT). Für IT-Dienstleister, die Finanzunternehmen beliefern, bedeutet DORA erhöhte vertragliche Anforderungen, die in Ausschreibungsunterlagen zu spezifizieren sind.
Dynamisches Beschaffungssystem
Das dynamische Beschaffungssystem (DBS) nach §120 GWB ist ein vollständig elektronisches, zeitlich befristetes Verfahren für marktübliche IT-Leistungen, das allen geeigneten Unternehmen offensteht und keine feste Bieterzahl begrenzt. Einmal eingerichtete DBS ermöglichen schnelle Einzelabrufe ohne erneutes volles Vergabeverfahren. In der IT-Beschaffung eignet sich das DBS besonders für standardisierte Dienstleistungen wie Cloud-Instanzen, Lizenzen oder IT-Support, bei denen Marktpreise regelmäßig abgerufen werden sollen.
DSGVO Datenschutz-Grundverordnung
EU-Verordnung 2016/679 zum Schutz personenbezogener Daten, seit Mai 2018 in Kraft. In IT-Ausschreibungen relevant für Auftragsverarbeitungsverträge (AVV), Anforderungen an Datenspeicherort (EU/EWR), Löschkonzepte und Datenschutz-Folgeabschätzungen (DSFA). Cloud-Dienste müssen explizit auf DSGVO-Konformität geprüft werden — insbesondere US-Anbieter nach dem Schrems-II-Urteil des EuGH.
E
Edge Computing Security
Edge Computing verlagert Rechen- und Datenspeicherkapazitäten an den Rand des Netzwerks, nahe an Sensoren, Maschinen und Endpunkte, um Latenz zu minimieren und Bandbreite zu schonen; die Sicherheitsherausforderungen umfassen physisch ungeschützte Hardware, eingeschränkte Ressourcen für Sicherheitssoftware und verteiltes Patch-Management. BSI IT-Grundschutz SYS.4.4 (Eingebettete Systeme) und die ENISA-Richtlinien für IoT-Sicherheit geben Orientierung; das BSI betont Verschlüsselung auf dem Datenübertragungsweg und sichere Enclaves (TEE) für sensible Verarbeitungen. In IT-Ausschreibungen für Edge-Infrastruktur sind Hardware-Sicherheitsmodule (HSM), Remote-Attestation und zentrale Management-Konsolen als Anforderungen zu spezifizieren.
EASM External Attack Surface Management
External Attack Surface Management (EASM) bezeichnet den kontinuierlichen Prozess der Identifikation, Überwachung und Verwaltung aller extern erreichbaren IT-Assets einer Organisation, also aller Systeme, Dienste und Schnittstellen, die aus dem Internet sichtbar und potenziell angreifbar sind. EASM-Lösungen liefern ein vollständiges Inventar der öffentlichen Angriffsfläche, erkennen Shadow-IT und nicht verwaltete Assets, und priorisieren Schwachstellen nach tatsächlicher Expositionstiefe. In IT-Vergaben für Sicherheits-Monitoring und KRITIS-Schutz sollten Auftraggeber EASM als ergänzende Lösung zu NDR, EDR und Schwachstellenscannern spezifizieren, um blinde Flecken in der externen Sichtbarkeit zu schließen.
EEE Einheitliche Europäische Eigenerklärung
Die EEE (auch ESPD: European Single Procurement Document) ist eine standardisierte Selbstauskunft, mit der Bieter bei EU-weiten Vergaben vorläufig ihre Eignung erklären, ohne sofort umfangreiche Nachweise vorlegen zu müssen (§50 VgV). Der Auftraggeber fordert die Belege erst vom voraussichtlichen Zuschlagsempfänger an. Das digitale ESPD-Tool der EU ermöglicht die elektronische Erstellung; in Deutschland wird die EEE über die Vergabeplattformen eingereicht.
eAkte
Die elektronische Akte (eAkte) ist die vollständig digitale Verwaltung von Verwaltungsvorgängen und ersetzt papiergebundene Akten in Behörden. Das E-Government-Gesetz des Bundes verpflichtet Bundesbehörden zur schrittweisen Einführung der eAkte. Für IT-Vergaben relevant: Softwaresysteme zur eAktenführung (z.B. DMS/VBS-Systeme) werden häufig ausgeschrieben, mit Anforderungen an Revisionssicherheit, BSI-Zertifizierung und Schnittstellen zu anderen Behördenanwendungen.
eIDAS Electronic IDentification, Authentication and trust Services
Die eIDAS-Verordnung (EU) Nr. 910/2014 schafft den Rechtsrahmen für elektronische Identifizierung und Vertrauensdienste (elektronische Signaturen, Siegel, Zeitstempel, eingeschriebene Zustellung) im EU-Binnenmarkt. Sie verpflichtet Mitgliedstaaten, notifizierte nationale eID-Systeme gegenseitig anzuerkennen. Im Vergabekontext sind qualifizierte elektronische Signaturen nach eIDAS für rechtsverbindliche Angebote zulässig; Bieter und Auftraggeber können mit digitalen Identitäten rechtssicher kommunizieren.
Eignungskriterien
Eignungskriterien prüfen, ob ein Bieter grundsätzlich in der Lage ist, den Auftrag zu erfüllen (§§44-46 VgV). Sie umfassen wirtschaftliche/finanzielle Leistungsfähigkeit (Umsatz, Versicherungen), technische Eignung (Referenzprojekte, Personal) und fachliche Qualifikationen (Zertifizierungen). In IT-Vergaben werden ISO 27001, BSI-Zertifikate oder vergleichbare Referenzprojekte als Nachweis gefordert.
Eignungsleihe
Eignungsleihe nach §47 VgV ermöglicht einem Bieter, der selbst nicht alle Eignungsvoraussetzungen erfüllt, auf die Kapazitäten eines Drittunternehmens zurückzugreifen, um die fehlende Eignung nachzuweisen. Das Drittunternehmen und der Bieter haften in diesem Fall gesamtschuldnerisch für die Vertragserfüllung. In IT-Vergaben ist Eignungsleihe besonders relevant bei spezialisierten Zertifizierungsanforderungen (z.B. ISO 27001, BSI-Zertifikate), die kleinere Bieter allein nicht vorhalten können.
Evil Twin Böser Zwilling / Rogue Access Point
Ein Evil-Twin-Angriff ist eine WLAN-Angriffsmethode, bei der ein Angreifer einen gefälschten Zugangspunkt mit identischem Namen (SSID) eines legitimen Netzwerks betreibt, um Verbindungen abzufangen und Anmeldedaten zu stehlen. Besonders in öffentlichen Gebäuden, Behörden und auf Messen besteht das Risiko, dass Mitarbeiter sich mit dem Schad-Hotspot verbinden und unverschlüsselten Datenverkehr preisgeben. In IT-Leistungsverzeichnissen für WLAN-Infrastrukturen sollten Rogue-AP-Detection und 802.1X-Authentifizierung als Pflichtanforderungen definiert werden.
EDR Endpoint Detection & Response
Sicherheitssoftware-Kategorie zur Erkennung, Analyse und Reaktion auf Bedrohungen auf Endgeräten (Laptops, Server, Workstations). Im Unterschied zu klassischem Antivirenschutz arbeiten EDR-Systeme mit verhaltensbasierter Erkennung, MITRE ATT&CK-Abdeckung und ermöglichen die forensische Auswertung von Sicherheitsvorfällen. Das BSI empfiehlt EDR als Mindeststandard für Behörden und KRITIS-Betreiber.
Eignungsprüfung
Die Eignungsprüfung ist die zweite Wertungsstufe im Vergabeverfahren und prüft, ob Bieter die Mindestanforderungen an Fachkunde, Leistungsfähigkeit und Zuverlässigkeit erfüllen (§§44-48 VgV). Fehlende Eignung führt zum zwingenden Ausschluss des Angebots; die Eignungsanforderungen müssen bereits in der Bekanntmachung vollständig und klar formuliert sein. In IT-Vergaben werden als Eignungsnachweise häufig Referenzprojekte, Umsatzzahlen, Zertifizierungen (ISO 27001) und Personalqualifikationen gefordert.
Einheitspreisvertrag
Beim Einheitspreisvertrag wird die Vergütung durch Multiplikation vertraglich vereinbarter Einheitspreise mit den tatsächlich ausgeführten Mengen ermittelt; das Mengenrisiko trägt damit der Auftraggeber. Im IT-Bereich findet sich dieses Modell bei Zeit- und Materialverträgen, etwa für Bereitschaftsdienst oder abrufbare Entwicklungskapazitäten. Weichen die tatsächlichen Mengen erheblich von den ausgeschriebenen Vordersätzen ab, können Vertragsparteien eine Preisanpassung nach den einschlägigen Vergabe- und Vertragsordnungen verlangen.
Elektronische Auktion
Die elektronische Auktion nach §26 VgV ist ein iteratives Verfahren, bei dem Bieter nach einer ersten vollständigen Angebotsbewertung ihre Preise oder Werte in mehreren elektronischen Runden schrittweise nach unten anpassen können. Sie setzt eine quantitativ vollständig beschreibbare Leistung voraus und kann nur in bestimmten Verfahrensarten eingesetzt werden. In der IT-Beschaffung ist sie für standardisierte Produkte oder Rahmenvereinbarungen geeignet, nicht aber für komplexe Dienstleistungen mit qualitativer Bewertung.
Elektronische Kataloge
Elektronische Kataloge sind strukturierte Angebotsdokumente in maschinenlesbarem Format, die Bieter anstelle oder ergänzend zu einem klassischen Angebot einreichen. Nach §27 VgV kann der Auftraggeber die Angebotsabgabe in Katalogform verlangen, insbesondere bei Rahmenvereinbarungen mit wiederholten Einzelabrufen. Im IT-Beschaffungskontext ermöglichen Kataloglösungen standardisierte Produktlisten für Hardware, Lizenzen oder Cloudleistungen und erleichtern automatisierte Preisvergleiche.
E-Mail-Sicherheit SPF, DKIM, DMARC
SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) sind drei komplementäre DNS-basierte Protokolle, die zusammen E-Mail-Spoofing und Phishing wirksam bekämpfen. Das BSI hat mit der Technischen Richtlinie TR-03182 verbindliche Anforderungen für E-Mail-Authentifizierung formuliert. In IT-Ausschreibungen für Mailserver, Groupware oder E-Mail-Gateways sind SPF, DKIM und DMARC heute als Pflichtanforderungen zu formulieren.
Endpoint Security
Endpoint Security bezeichnet den Schutz von Endgeräten (PCs, Notebooks, Smartphones, Server) vor Schadsoftware, unbefugtem Zugriff und Datenverlust durch eine Kombination aus Antivirus, EDR, Host-basierter Firewall, Verschlüsselung und Geräteverwaltung. BSI IT-Grundschutz SYS.2.1 und SYS.3.1 definieren Mindestschutzanforderungen für Client-Systeme und mobile Geräte. In IT-Ausschreibungen für Endpoint-Protection-Plattformen (EPP) und EDR-Lösungen sind Erkennungsraten, Systemressourcenverbrauch, zentrale Management-Konsole und Integrationsfähigkeit in SIEM/SOAR als Bewertungskriterien zu spezifizieren.
ENISA European Union Agency for Cybersecurity
ENISA ist die EU-Agentur für Cybersicherheit mit Sitz in Athen und Büro in Brüssel, gegründet 2004 und gestärkt durch den EU Cybersecurity Act (2019). Sie entwickelt europäische Cybersicherheitszertifizierungsrahmen (z.B. EUCS für Cloud-Dienste), gibt Leitlinien zur NIS2-Umsetzung heraus und veröffentlicht jährlich den ENISA Threat Landscape Report. Für öffentliche IT-Beschaffungen sind ENISA-Empfehlungen zunehmend Grundlage für technische Mindestanforderungen in Leistungsverzeichnissen.
EPP Endpoint Protection Platform
Eine EPP ist eine integrierte Sicherheitssoftware-Plattform auf Endgeräten, die traditionellen Virenschutz, Host-basierte Intrusion Prevention, persönliche Firewall und Gerätekontrolle kombiniert. Im Unterschied zu EDR liegt der Schwerpunkt auf Prevention, nicht auf Detektion und Response. In der Praxis werden EPP und EDR heute meist als kombinierte Lösungen (EPP+EDR) ausgeschrieben, da EPP allein gegen moderne, dateilose Angriffe ohne verhaltensbasierte Erkennung nicht ausreicht.
E-Procurement
E-Procurement bezeichnet die vollständig elektronische Abwicklung von Beschaffungsprozessen: von der Bedarfsmeldung über Ausschreibung, Angebotsabgabe, Vergabeentscheidung bis zum Vertragsschluss. Nach §97 Abs. 5 GWB sind EU-weite Vergabeverfahren seit 2018 verpflichtend elektronisch abzuwickeln. E-Procurement-Plattformen wie das System des Beschaffungsamts des Bundes, DTVP oder Vergabe24 bieten Auftraggeberseite Workflow-Management und Bietern eine zentrale Einreichungsplattform.
Eröffnungstermin
Der Eröffnungstermin (auch Submissionstermin) ist der Zeitpunkt, zu dem eingereichte Angebote gemeinsam von mindestens zwei Vertretern des Auftraggebers geöffnet werden; §55 VgV schreibt vor, dass dieser unmittelbar nach Ablauf der Angebotsfrist stattfindet. Bei elektronischen Vergabeverfahren erfolgt die Öffnung digital und systemseitig protokolliert; Bieter haben keinen Anspruch auf physische Teilnahme. Das Öffnungsprotokoll ist Bestandteil der Vergabeakte und muss alle eingegangenen Angebote mit Angebotspreisen ausweisen.
eTendering
eTendering bezeichnet den vollständig elektronischen Ablauf eines Ausschreibungsverfahrens von der Bekanntmachung über die elektronische Bereitstellung der Vergabeunterlagen bis zur verschlüsselten Angebotseinreichung über eine Vergabeplattform. Seit Oktober 2018 ist eTendering für EU-weite Verfahren nach §97 Abs. 5 GWB verpflichtend; für nationale Verfahren gilt dies je nach Landesrecht ebenfalls. Im Vergleich zum papierbasierten Verfahren reduziert eTendering Portokosten, verkürzt Bearbeitungszeiten und verbessert die Nachvollziehbarkeit der Angebotsöffnung.
ePrivacy ePrivacy-Verordnung (ePVO)
Die ePrivacy-Verordnung (ePVO) soll als lex specialis zur DSGVO den Datenschutz in der elektronischen Kommunikation (E-Mail, Instant Messaging, IoT, Cookies, Web Analytics) regeln; seit Jahren in EU-Verhandlungen ausstehend, gilt bis zu ihrer Verabschiedung noch die ePrivacy-Richtlinie 2002/58/EG, umgesetzt im TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Für Behörden mit Webauftritten, E-Mail-Diensten und IoT-Einsatz ist das TTDSG bereits heute relevant, etwa für Einwilligungspflichten bei Cookies und Tracking. In IT-Ausschreibungen für Web-Plattformen, Analytics-Dienste und Kommunikationssysteme sind TTDSG/ePrivacy-Anforderungen als Datenschutzanforderungen zu spezifizieren.
eRechnung Elektronische Rechnung / E-Invoice
Die eRechnung ist eine maschinenlesbare, strukturierte elektronische Rechnung im Format XRechnung oder ZUGFeRD, die öffentliche Auftraggeber in Deutschland seit 2020 stufenweise verpflichtend akzeptieren müssen und Lieferanten für Bund und Länder zunehmend einfordern. Im Gegensatz zu einem PDF enthält eine eRechnung standardisierte Datenfelder (nach EN 16931), die eine automatisierte Verarbeitung ohne manuelle Erfassung ermöglichen und Medienbrüche in der Rechnungsbearbeitung eliminieren. In IT-Vergaben für ERP-Systeme, Rechnungseingangsverarbeitung und Beschaffungssoftware sollte die eRechnung-Kompatibilität als technische Mindestanforderung definiert und XRechnung als verbindliches Austauschformat festgelegt werden.
EU-Bekanntmachung
Vergabeverfahren oberhalb der EU-Schwellenwerte müssen im Supplement zum Amtsblatt der EU (TED) veröffentlicht werden. Seit 2023 erfolgt dies ausschließlich über eForms, das standardisierte Meldeformular für EU-weite Vergaben. Die EU-Bekanntmachung enthält verpflichtende Felder wie CPV-Code, Auftragswert, Laufzeit und Zuschlagskriterien und löst die europaweite Angebotsfrist aus.
EUCS EU Cybersecurity Certification Scheme for Cloud Services
Das EUCS ist ein von ENISA entwickeltes europäisches Zertifizierungsschema für Cloud-Dienste auf drei Vertrauensniveaus (Basic, Substantial, High), das bestehende nationale Zertifizierungen wie den deutschen BSI C5 harmonisieren und ablösen soll. Es basiert auf dem Cybersecurity Act (CSA) und legt einheitliche Sicherheitsanforderungen an Anbieter von IaaS, PaaS und SaaS fest. Öffentliche Auftraggeber in KRITIS-nahen Bereichen sollten beim Bezug von Cloud-Diensten EUCS High oder das vergleichbare BSI C5-Testat als Eignungsanforderung in Ausschreibungen verankern.
EVB-IT Ergänzende Vertragsbedingungen für IT
Standardisierte Vertragsbedingungen für die öffentliche IT-Beschaffung in Deutschland, herausgegeben vom Bundesministerium des Innern. EVB-IT-Vertragstypen decken Kauf (EVB-IT Kauf), Dienstleistungen (EVB-IT Dienstleistung), System- und Pflege sowie Überlassung ab. Die EVB-IT sind auf AGB-Ebene verhandelt und verhindern die Einbeziehung nachteiliger Lieferanten-AGBs. Seit 2021 liegt eine überarbeitete Fassung vor.
eVergabe
Seit 2018 müssen EU-weite Vergabeverfahren vollständig elektronisch abgewickelt werden (§97 Abs. 5 GWB). Das Beschaffungsamt des Bundes betreibt die Plattform evergabe-online.de für Bundesbehörden; weitere Plattformen sind DTVP, Vergabe24 und cosinex. Bieter reichen Angebote digital verschlüsselt ein; Kommunikation, Angebotsöffnung und Fristen werden plattformseitig dokumentiert.
Exfiltration Datenexfiltration / Data Exfiltration
Datenexfiltration bezeichnet den unbefugten Transfer sensibler Daten aus einer Organisation nach außen, typischerweise als letzter Schritt eines Cyberangriffs nach der Kompromittierung von Systemen. Angreifer nutzen dabei verschlüsselte Kanäle, legitime Cloud-Dienste oder DNS-Tunneling, um DLP-Systeme zu umgehen. In IT-Vergabeverfahren für Netzwerksicherheit und SOC-Dienste sollten Erkennungsfähigkeiten für Exfiltrationsmuster ausdrücklich gefordert werden, etwa durch DLP-Integration, anomaliebasierte Netzwerkanalyse und User-Behaviour-Analytics.
Exploit-Mitigierung Exploit Mitigation / Exploit Prevention
Exploit-Mitigierung bezeichnet technische Schutzmechanismen, die verhindern oder erschweren, dass Schwachstellen in Software erfolgreich ausgenutzt werden, auch wenn ein Patch noch nicht verfügbar ist. Dazu gehören Maßnahmen wie ASLR (Address Space Layout Randomization), DEP/NX-Bit (Data Execution Prevention), Stack Canaries und Control Flow Integrity (CFI), die in modernen Betriebssystemen und Compilern standardmäßig vorhanden sind. In IT-Vergaben für Betriebssystem-, Middleware- und Anwendungsinfrastrukturen sollten Auftraggeber vorschreiben, dass alle eingesetzten Systeme hardwaregestützte und betriebssystemseitige Exploit-Mitigierungen aktiviert haben und dies regelmäßig durch Systemscans nachgewiesen wird.
Ereigniskorrelation Event Correlation / Log Correlation
Ereigniskorrelation bezeichnet die automatisierte Verknüpfung und Analyse von Sicherheitsereignissen aus unterschiedlichen Quellen (Firewall, IDS, Endpoint, Applikation) mit dem Ziel, zusammenhängende Angriffsmuster zu erkennen, die einzeln betrachtet unauffällig wären. SIEM-Systeme implementieren Korrelationsregeln und Machine-Learning-Modelle, um zeitlich und räumlich verteilte Ereignisse zu Angriffsketten zusammenzufügen und False Positives zu reduzieren. In IT-Vergaben für SOC- und SIEM-Dienste sollten Auftraggeber die Anzahl und Qualität vordefinierter Korrelationsregeln, den Prozess zur Regelanpassung und die Eskalationszeiten bei bestätigten Angriffsketten als messbare Leistungskriterien vertraglich festhalten.
Erweiterbarkeit Extensibility / Scalability
Erweiterbarkeit bezeichnet die Eigenschaft eines IT-Systems, durch Hinzufügen neuer Funktionen, Module oder Schnittstellen ausgebaut werden zu können, ohne bestehende Kernfunktionalitäten zu beeinträchtigen oder umfangreiche Umbauten zu erfordern. In langfristigen IT-Vergaben ist Erweiterbarkeit ein wichtiges Bewertungskriterium, um Vendor-Lock-in zu reduzieren und zukünftige Anforderungen kosteneffizient integrieren zu können. Auftraggeber sollten in Leistungsbeschreibungen offene Schnittstellen (APIs), modulare Architekturen und Kompatibilität mit etablierten Standards fordern und im Zuschlagskriterien-Katalog entsprechend gewichten.
Echtzeit-Monitoring Real-Time Monitoring / Continuous Monitoring
Echtzeit-Monitoring bezeichnet die kontinuierliche, automatisierte Überwachung von IT-Systemen, Netzwerken und Applikationen auf Verfügbarkeit, Performance-Anomalien und Sicherheitsereignisse mit minimaler Latenz zwischen Ereignis und Alarmierung. Im Sicherheitskontext nutzen SIEM-Systeme und SOC-Plattformen Echtzeit-Monitoring-Feeds aus Endpunktschutzsystemen, Firewalls und Netzwerksensoren, um Angriffe in ihrer Frühphase zu erkennen. In IT-Vergaben für Betrieb und Managed Services sollten Auftraggeber Echtzeit-Monitoring-Abdeckung, Alarmierungslatenzen und Dashboards für den Auftraggeber als verbindliche Leistungsmerkmale spezifizieren.
Einwilligungsmanagement Consent Management
Einwilligungsmanagement bezeichnet alle Prozesse und technischen Lösungen, die sicherstellen, dass die Einwilligung von Nutzern zur Datenverarbeitung gemäß Art. 7 DSGVO rechtskonform eingeholt, gespeichert, widerrufen und nachgewiesen werden kann. Im öffentlichen Bereich sind Einwilligungen für Behörden die Ausnahme, da meist gesetzliche Grundlagen (Art. 6 Abs. 1 lit. e DSGVO) die Verarbeitung legitimieren; dennoch sind sie z.B. bei Marketing-Portalen oder optionalen Diensten erforderlich. In IT-Beschaffungen von CRM-, Portal- oder Newsletter-Systemen sollten Auftraggeber Anforderungen an DSGVO-konformes Einwilligungsmanagement und Audit-Protokollierung der Einwilligungen verbindlich vorschreiben.
eGovernment Electronic Government / Digitale Verwaltung
eGovernment bezeichnet die Nutzung digitaler Technologien zur Modernisierung und Vereinfachung von Verwaltungsprozessen, Bürgerdiensten und der Kommunikation zwischen Behörden sowie zwischen Behörden und Wirtschaft. Das Onlinezugangsgesetz (OZG) verpflichtet Bund und Länder, bis 2022 alle wesentlichen Verwaltungsleistungen digital anzubieten; das OZG 2.0 setzt die Modernisierung fort. IT-Vergaben im eGovernment-Kontext müssen Interoperabilität, Barrierefreiheit (BITV 2.0) und Datenschutz als Mindestanforderungen berücksichtigen.
eSignatur Elektronische Signatur / Electronic Signature
Eine elektronische Signatur verknüpft digitale Daten mit der Identität des Unterzeichners und schützt so Integrität und Authentizität von Dokumenten. Die eIDAS-Verordnung unterscheidet drei Stufen: einfache (EES), fortgeschrittene (FES) und qualifizierte (QES) elektronische Signatur, wobei die QES der handschriftlichen Unterschrift rechtlich gleichgestellt ist. In IT-Vergaben und eVergabe-Plattformen werden für verbindliche Angebote und Vertragsunterzeichnungen in der Regel FES oder QES gefordert; Auftraggeber sollten die erforderliche Signaturklasse in den Vergabeunterlagen klar angeben.
Eignungsnachweis Qualification Evidence / Capability Proof
Eignungsnachweise sind die vom Auftraggeber geforderten Dokumente und Erklärungen, mit denen Bieter ihre wirtschaftliche, technische und fachliche Eignung für die Auftragserfüllung belegen. Typische Nachweise in IT-Vergaben sind Referenzlisten, Zertifizierungen (ISO 27001, BSI C5), Umsatznachweise und Qualifikationen des einzusetzenden Personals. Nach §122 GWB dürfen Eignungsanforderungen nur soweit reichen, wie es der Auftragsgegenstand erfordert; unverhältnismäßige oder diskriminierende Anforderungen können zur Rüge oder Nachprüfung führen.
Evil Maid Attack Evil-Maid-Angriff / physischer Angriff auf unbeaufsichtigte Geräte
Ein Evil Maid Attack bezeichnet einen physischen Angriff, bei dem ein Angreifer kurzzeitig unbeaufsichtigten Zugang zu einem Gerät erhält, um Schadsoftware zu installieren, Verschlüsselungsschlüssel auszulesen oder Hardware-Implantate einzubauen. Der Begriff geht auf Reiseszenarien zurück, in denen Dritte kurzzeitig Zugang zum unbeaufsichtigten Laptop erhalten; Cold-Boot-Angriffe und DMA-Angriffe sind verwandte Varianten. In IT-Vergaben für KRITIS-Betrieb, Behördengeräte oder Hochsicherheitslösungen sollten Auftraggeber physische Sicherheitsanforderungen wie Vollverschlüsselung mit Pre-Boot-Authentifizierung, Secure Boot und physische Manipulationserkennung als Pflichtanforderungen vorschreiben.
E-Mail-Archivierung E-Mail Retention / Mailarchiv
E-Mail-Archivierung bezeichnet die revisionssichere, langfristige Aufbewahrung von Geschäfts-E-Mails zur Erfüllung rechtlicher Aufbewahrungspflichten (z.B. 6 oder 10 Jahre nach HGB/AO) und zur Nachvollziehbarkeit von Entscheidungsprozessen. Revisionssicherheit erfordert, dass archivierte E-Mails unveränderbar gespeichert, indiziert und mit Integritätssicherung versehen sind. In IT-Vergaben für Mail-Lösungen und E-Procurement-Systeme sollten Auftraggeber Anforderungen an Archivierungsfunktionen, Exportfähigkeit und Datenschutzkonformität (insb. Löschpflichten personenbezogener Daten) explizit in die Leistungsbeschreibung aufnehmen.
Encrypted DNS DNS-over-HTTPS / DoH / DNS-over-TLS / DoT
Encrypted DNS bezeichnet Protokolle, die DNS-Anfragen verschlüsselt übertragen und damit verhindern, dass Dritte die aufgelösten Domainnamen mitlesen oder manipulieren können. DNS-over-HTTPS (DoH, RFC 8484) und DNS-over-TLS (DoT, RFC 7858) sind die etablierten Standards; das BSI empfiehlt deren Einsatz insbesondere für Behörden und Unternehmen, die sensible Webzugriffe schützen müssen. In IT-Ausschreibungen für Netzwerkinfrastruktur und Managed DNS sollten Auftraggeber die Unterstützung von DoH oder DoT als Mindestanforderung festschreiben.
Eröffnungsprotokoll Submissionsprotokoll
Das Eröffnungsprotokoll (auch Submissionsprotokoll) dokumentiert die formelle Öffnung der eingegangenen Angebote beim Eröffnungstermin und enthält die Namen aller Bieter sowie die Angebotsendpreise. Bei elektronischen Vergabeverfahren tritt an die Stelle des physischen Öffnungstermins die protokollierte Freigabe der verschlüsselten Angebote im System; der Eröffnungstermin ist nach §55 VgV zwingend vorgeschrieben. Das Protokoll ist Bestandteil der Vergabeakte und dient der Nachvollziehbarkeit des Verfahrens sowie als Grundlage für die nachfolgende Angebotsprüfung.
Ex-Ante Veröffentlichung
Eine Ex-Ante Veröffentlichung (auch: freiwillige Transparenzbekanntmachung) ermöglicht Auftraggebern, die beabsichtigte Direktvergabe oder einen ohne Bekanntmachung durchgeführten Auftrag vorab im Amtsblatt der EU zu publizieren und so die Angreifbarkeit nach §135 GWB zu reduzieren. Bieter haben nach Veröffentlichung zehn Tage Zeit, gegen die Vergabeabsicht vorzugehen; verstreicht diese Frist ohne Rüge, entfällt die Unwirksamkeitssanktion. Für IT-Projekte mit besonderen Geheimhaltungsanforderungen oder im Verhandlungsverfahren ohne vorherigen Teilnahmewettbewerb ist dieses Instrument besonders relevant.
Eskalationsmanagement
Eskalationsmanagement definiert die Regeln, nach denen IT-Vorfälle, ungelöste Störungen oder Vertragskonflikte an höhere Instanzen weitergegeben werden, wenn sie nicht auf der ursprünglichen Bearbeitungsebene gelöst werden können. In IT-Verträgen wird zwischen funktionaler Eskalation (andere Spezialisten), hierarchischer Eskalation (Management) und vertraglicher Eskalation (formale Beanstandung, Vertragsstrafe) unterschieden. Auftraggeber sollten Eskalationspfade, Ansprechpartner und maximale Reaktionszeiten je Vorfallsklasse im Leistungsverzeichnis oder SLA-Anhang verbindlich festlegen.
Endbenutzerlizenz EULA / End User License Agreement
Eine Endbenutzerlizenz (EULA) ist der Lizenzvertrag zwischen Software-Hersteller und Endanwender, der die Nutzungsrechte und -einschränkungen für Software definiert, einschließlich erlaubter Installationszahl, Weitergabeverboten, Einschränkungen bei Reverse Engineering und Haftungsausschlüssen. Im öffentlichen Vergaberecht sind EULAs kritisch zu prüfen, da standardmäßige Herstellerklauseln oft unzumutbare Klauseln enthalten, die einer DSGVO-konformen Verarbeitung, Audit-Rechten oder Open-Source-Komponenten widersprechen können. In IT-Ausschreibungen sollten Auftraggeber die Akzeptanz konkreter EULA-Bedingungen nicht unreflektiert voraussetzen, sondern problematische Klauseln im Verhandlungsverfahren anpassen oder als Ausschlussgründe definieren.
Eskalationspfad Escalation Path / Incident Escalation Route
Ein Eskalationspfad definiert die konkrete Abfolge von Ansprechpartnern und Instanzen, die bei einer Störung, einem Sicherheitsvorfall oder einem ungelösten Problem kontaktiert werden, wenn die vorherige Ebene nicht innerhalb einer definierten Zeit reagiert oder das Problem nicht lösen kann. Er unterscheidet typischerweise funktionale Eskalation (weitere Fachspezialisten), hierarchische Eskalation (Teamleitung, Management) und externe Eskalation (Dienstleister, Behörden). In IT-Vergaben für Betrieb und Security-Dienste müssen Eskalationspfade mit Kontaktdaten, Erreichbarkeitszeiten, Reaktionszeitzielen und Dokumentationspflichten im SLA oder Betriebshandbuch verbindlich festgelegt sein.
Ex-Post Veröffentlichung
Eine Ex-Post Veröffentlichung (Bekanntmachung vergebener Aufträge) ist die Pflicht des Auftraggebers, nach Zuschlagserteilung das Ergebnis des Vergabeverfahrens zu veröffentlichen; oberhalb der EU-Schwellenwerte muss dies spätestens 30 Tage nach Zuschlag auf TED erfolgen (§38 VgV). Die Bekanntmachung enthält Angaben zu Auftraggeber, Auftragnehmer, Auftragswert und Laufzeit. Sie dient der Markttransparenz und ermöglicht es unterlegenen Bietern sowie der Öffentlichkeit, das Vergabeergebnis nachzuvollziehen.
F
Gaia-X European Cloud Infrastructure / Europäischer Datenraum
Gaia-X ist eine europäische Initiative zum Aufbau einer föderativen, souveränen Cloud- und Dateninfrastruktur, die Interoperabilität, Datensouveränität und Transparenz als Kernprinzipien verankert und eine Alternative zu US-amerikanischen Hyperscalern bieten soll. Teilnehmende Cloud-Dienste müssen Gaia-X-Compliance-Anforderungen erfüllen und ein Trust Framework einhalten; Zertifizierungen werden durch anerkannte Konformitätsbewertungsstellen ausgestellt. In IT-Vergaben öffentlicher Auftraggeber kann Gaia-X-Konformität als Zuschlagskriterium oder Mindestanforderung für Cloud-Dienste genutzt werden, um digitale Souveränität zu stärken.
Geräteidentität Device Identity / Gerätezertifikat / Device Certificate
Die Geräteidentität ist eine eindeutige kryptografische Kennung eines Endgeräts (Laptop, Smartphone, IoT-Sensor), die in der Regel durch ein gerätespezifisches Zertifikat (z.B. ausgestellt von einer unternehmensinternen PKI) realisiert wird und es ermöglicht, Geräte gegenüber Netzwerkdiensten zu authentifizieren. Konzepte wie Zero Trust Network Access (ZTNA) und IEEE 802.1X nutzen Geräteidentitäten, um sicherzustellen, dass nur autorisierte Geräte auf Unternehmensressourcen zugreifen. In IT-Vergaben für Netzwerksicherheit und Endgerätemanagement sollten Auftraggeber Anforderungen an ein Gerätezertifikatsmanagement (Enrollment, Erneuerung, Widerruf) als integralen Bestandteil der Sicherheitsarchitektur definieren.
Gerätemanagement Device Management / MDM
Gerätemanagement umfasst die zentrale Verwaltung aller Endgeräte (Laptops, Smartphones, Tablets, IoT-Geräte) einer Organisation, einschließlich Provisionierung, Konfigurationsdurchsetzung, Remote-Wipe und Compliance-Monitoring. Mobile Device Management (MDM)- und Unified Endpoint Management (UEM)-Plattformen wie Microsoft Intune, Jamf oder VMware Workspace ONE setzen Sicherheitsrichtlinien automatisiert durch. In IT-Vergaben für Endgeräte-Services sollten Auftraggeber Anforderungen an das MDM-System, unterstützte Betriebssysteme, Enrollment-Prozesse und Datenlöschung bei Geräteverlust verbindlich festlegen.
Geräterichtlinie Device Policy / Endpoint Policy
Eine Geräterichtlinie definiert verbindliche Sicherheits- und Nutzungsanforderungen für alle Endgeräte (Notebooks, Smartphones, Tablets), die auf Unternehmensressourcen zugreifen dürfen, einschließlich Anforderungen an Betriebssystem-Version, Verschlüsselung, Virenschutz, Bildschirmsperre und zulässige Anwendungen. Sie bildet die Policy-Grundlage für die technische Durchsetzung durch MDM/UEM-Systeme und kann BYOD-Regeln für private Geräte einschließen. In IT-Vergaben für Managed Workplace Services sollten Auftraggeber die Geräterichtlinie als Ausführungsgrundlage übergeben und verlangen, dass der Auftragnehmer deren technische Umsetzung und Einhaltung durch regelmäßige Compliance-Reports nachweist.
Fuzzing Fuzz Testing / Robustheitstests
Fuzzing ist eine automatisierte Softwaretestmethode, bei der ein Programm mit zufälligen, unerwarteten oder fehlerhaften Eingabedaten bombardiert wird, um Abstürze, Speicherfehler oder unerwartetes Verhalten aufzudecken, das auf ausnutzbare Schwachstellen hinweist. Es ist besonders effektiv bei der Entdeckung von Buffer-Overflow-, Format-String- und Parser-Schwachstellen, die manuelle Reviews oft übersehen. In IT-Vergaben für sicherheitskritische Software oder Protokollimplementierungen sollten Auftraggeber Fuzzing als Pflichtbestandteil des Sicherheitstestkonzepts fordern und sich Fuzzing-Reports als Lieferdokument vorlegen lassen.
Freigegebene Software Approved Software / Whitelisting
Freigegebene Software bezeichnet eine vom IT-Sicherheitsteam geprüfte und zugelassene Liste von Anwendungen, die auf Endgeräten oder Servern installiert und betrieben werden darf; alle anderen Programme werden geblockt (Application Whitelisting). Diese Maßnahme schützt effektiv gegen ungepatchte Softwarelücken und unautorisierte Tools und ist nach BSI IT-Grundschutz (OPS.1.1.2) empfohlen. In IT-Vergaben für verwaltete Endgeräte oder Serverplattformen sollten Auftraggeber den Freigabeprozess für neue Software, Zuständigkeiten und technische Durchsetzungsmechanismen (z.B. AppLocker, Microsoft WDAC) als Pflichtbestandteil definieren.
Failover Automatischer Systemwechsel / Ausfallübernahme
Failover ist der automatische Wechsel auf ein redundantes Backup-System oder einen alternativen Standort, wenn das primäre System ausfällt, ohne dass Nutzer eine Unterbrechung bemerken. Es ist ein zentrales Element von Hochverfügbarkeitskonzepten und Business-Continuity-Plänen; je nach Konfiguration unterscheidet man Hot Standby (sofortiger Wechsel), Warm Standby (kurze Startzeit) und Cold Standby (manuelle Aktivierung). In IT-Vergaben für kritische Infrastrukturen und Systeme mit SLA-Anforderungen sollten Failover-Zeit (RTO), Datenverlusttoleranz (RPO), Testintervalle und Failback-Szenarien als messbare Vertragsparameter definiert werden.
Fehlkonfiguration Misconfiguration / Security Misconfiguration
Eine Fehlkonfiguration bezeichnet eine sicherheitsrelevante Abweichung von der empfohlenen oder vorgeschriebenen Konfiguration eines IT-Systems, einer Anwendung oder eines Netzwerkdienstes, die Angreifern einen Einstiegspunkt oder erweiterte Rechte verschaffen kann. Typische Beispiele sind offene Cloud-Storage-Buckets, unnötig aktivierte Dienste, Standard-Passwörter oder fehlende Zugriffskontrollen; laut OWASP zählen Fehlkonfigurationen zu den zehn häufigsten Webanwendungsschwachstellen. In IT-Vergaben für Managed Services und Cloud-Plattformen sollten Auftraggeber regelmäßige Konfigurationsaudits nach CIS-Benchmarks, automatisierte Compliance-Scans und ein Konfigurationsmanagement-Werkzeug (CMDB) als Pflichtleistung vorschreiben.
Fehlertoleranz Fault Tolerance / Ausfalltoleranz
Fehlertoleranz beschreibt die Fähigkeit eines IT-Systems, auch beim Ausfall einzelner Komponenten seinen Betrieb ohne Unterbrechung oder Datenverlust fortzusetzen, typischerweise durch automatische Redundanz und Failover-Mechanismen. Sie ist ein höheres Verfügbarkeitsniveau als Hochverfügbarkeit, da keine manuellen Eingriffe oder kurzzeitigen Unterbrechungen akzeptiert werden. In IT-Ausschreibungen für Echtzeitsysteme, Zahlungsinfrastrukturen oder Notrufsysteme sollten Auftraggeber Fehlertoleranz als explizite Anforderung mit messbaren Grenzwerten für RTO (Recovery Time Objective) und RPO (Recovery Point Objective) spezifizieren.
Fachkunde Technical Expertise / Fachliche Eignung
Fachkunde ist eine der drei Eignungsdimensionen im Vergaberecht (neben Leistungsfähigkeit und Zuverlässigkeit) und bezeichnet das für die Auftragserfüllung notwendige fachliche Wissen und die praktische Erfahrung des Bieters. Nachgewiesen wird sie typischerweise durch Referenzprojekte, Qualifikationsnachweise des einzusetzenden Personals und Zertifizierungen. Auftraggeber dürfen Fachkundeanforderungen nur so hoch ansetzen, wie es der konkrete Auftragsgegenstand erfordert; überhöhte Anforderungen verstoßen gegen das Gleichbehandlungsgebot und können Gegenstand von Rügen sein.
FIDO2 Fast Identity Online 2 / Passwortlose Authentifizierung
FIDO2 ist ein offener Authentifizierungsstandard der FIDO Alliance, der passwortlose Anmeldung über kryptografische Hardware-Token (USB-Sicherheitsschlüssel, Smartphone-Biometrie) ermöglicht; technische Basis sind der W3C-Standard WebAuthn und das CTAP2-Protokoll. Da FIDO2-Anmeldungen Phishing-resistent sind, empfiehlt das BSI und CISA FIDO2 als sicherste Form der Multi-Faktor-Authentifizierung für privilegierte Accounts und kritische Behördenanwendungen. In IT-Ausschreibungen für Identity-Plattformen und E-Government-Dienste ist FIDO2-Unterstützung als Anforderung zu spezifizieren, insbesondere für den Zugang zu hochschutzbedürftigen Verwaltungsdaten.
Filterliste Allowlist / Blocklist / Whitelist
Eine Filterliste ist eine kuratierte Liste von zugelassenen (Allowlist) oder gesperrten (Blocklist) Elementen, die zur Zugriffssteuerung in IT-Systemen eingesetzt wird: IP-Adressen, Domains, E-Mail-Absender, Dateitypen oder Anwendungspfade. Allowlists sind im Gegensatz zu Blocklists das sicherere Prinzip, da nur explizit erlaubte Elemente Zugang erhalten; Blocklists ergänzen als schnelle Reaktion auf neue Bedrohungen (z.B. Phishing-Domains). In IT-Vergaben für E-Mail-Security, Web-Filtering und Endpoint-Protection sollten Auftraggeber die Pflege, Aktualität und Koordination von Filterlisten als Betriebspflicht des Auftragnehmers verbindlich festlegen.
FIM File Integrity Monitoring / Dateiintegritätsüberwachung
File Integrity Monitoring (FIM) ist eine Sicherheitstechnik, die Änderungen an kritischen Systemdateien, Konfigurationsdateien und Binärdateien in Echtzeit überwacht und bei unautorisierter Modifikation sofort alarmiert. FIM ist ein Standardbestandteil der PCI DSS-Compliance und wird im BSI IT-Grundschutz als Erkennungsmaßnahme gegen unbemerkte System-Manipulation empfohlen. In IT-Vergaben für Betriebsdienstleistungen auf sicherheitskritischen Servern sollten Auftraggeber FIM als verbindliche Überwachungskomponente fordern und die Integrität von Binärpfaden, Konfigurationsverzeichnissen und Bootloadern in den Schutzbedarf einbeziehen.
Firewall / NGFW Next Generation Firewall
Eine Firewall kontrolliert den Netzwerkverkehr anhand definierter Regeln und trennt Netzsegmente voneinander. Next Generation Firewalls (NGFW) erweitern klassische Paketfilter um Application Awareness, Intrusion Prevention, SSL-Inspektion und Benutzererkennung. Das BSI IT-Grundschutz-Kompendium (Baustein NET.3.2) beschreibt die Anforderungen an Firewalls für Behördennetze. In IT-Ausschreibungen ist die geforderte Firewall-Generation und -Zertifizierung (z.B. CC EAL) ein wesentlicher Leistungsparameter.
Firmware-Sicherheit Firmware Security / Embedded Security
Firmware-Sicherheit bezeichnet Maßnahmen zum Schutz und zur Härtung der auf Hardware-Komponenten gespeicherten Low-Level-Software (BIOS, UEFI, Gerätetreiber), die beim Boot-Prozess ausgeführt wird und privilegierten Systemzugriff hat. Angriffe auf Firmware wie Bootkits sind besonders gefährlich, weil sie unterhalb des Betriebssystems agieren und von herkömmlichen Virenscannern schwer erkannt werden. In IT-Vergaben für Endgeräte, Server und Netzwerkkomponenten sollten Secure Boot, regelmäßige Firmware-Updates und Herstellernachweise über Firmware-Signierung als Pflichtanforderungen aufgenommen werden.
Fernwartung Remote Maintenance / Remote Administration
Fernwartung bezeichnet den Zugriff auf IT-Systeme über ein Netzwerk oder das Internet zum Zweck der Administration, Fehlerbehebung oder Softwareaktualisierung, ohne dass Personal vor Ort sein muss. Fernwartungszugänge sind ein häufig ausgenutztes Einfallstor für Angreifer, da sie bei unzureichender Absicherung (z.B. schwache Passwörter, fehlendes MFA) direkten Systemzugriff bieten. In IT-Vergabeverfahren müssen Auftraggeber Fernwartungszugänge für externe Dienstleister vertraglich regulieren: Mindestanforderungen sind MFA, Zugriffsprotokolle, zeitlich begrenzte Zugangsfenster und ein Vier-Augen-Prinzip für privilegierte Aktionen.
Fernzugriff Remote Access / Remote Connection
Fernzugriff bezeichnet die Möglichkeit, auf IT-Systeme, Anwendungen oder Netzwerkressourcen von einem entfernten Standort aus zuzugreifen, typischerweise über VPN, Remote-Desktop-Protokolle (RDP), SSH oder moderne Zero-Trust-Lösungen (ZTNA). Im Unterschied zur Fernwartung, die sich auf administrative Tätigkeiten bezieht, umfasst Fernzugriff auch den allgemeinen Nutzer-Datenzugriff und Telearbeitsszenarien; beide müssen nach BSI IT-Grundschutz (NET.3.3, INF.9) durch starke Authentifizierung und Verschlüsselung abgesichert werden. In IT-Vergaben für Betrieb und mobile Arbeitsplätze sollten Auftraggeber zulässige Fernzugriffsmethoden, MFA-Pflicht, Protokollierung aller Sitzungen und Sicherheitsanforderungen an die Endgeräte der Zugreifenden verbindlich definieren.
Forensik IT-Forensik
IT-Forensik ist die wissenschaftliche Sicherung, Analyse und Dokumentation digitaler Beweismittel nach Sicherheitsvorfällen mit dem Ziel, Angriffsvektoren zu rekonstruieren, Schäden zu bewerten und Täter zu identifizieren. Der BSI IT-Grundschutz (DER.2.2) beschreibt Anforderungen an forensische Untersuchungen; wichtig ist die gerichtsverwertbare Beweissicherung mittels Write-Blocking, Hash-Werten und Beweisketten-Dokumentation (Chain of Custody). In Ausschreibungen für SOC- oder MDR-Dienste sollte die Forensik-Fähigkeit des Anbieters — inklusive Reaktionszeiten und Berichtspflichten — als Leistungsbestandteil aufgeführt sein.
Forensic Readiness Forensische Vorsorge / Incident-Readiness
Forensic Readiness bezeichnet die proaktive Vorbereitung einer Organisation auf die Durchführung digitaler Forensik im Ernstfall: ausreichende Protokollierung, definierte Beweissicherungsverfahren, geschultes Personal und klare Zuständigkeiten, damit Beweise nach einem Sicherheitsvorfall gerichtsverwertbar gesichert werden können. BSI IT-Grundschutz DER.2.2 und die ISO/IEC 27037 beschreiben Anforderungen an die digitale Beweissicherung. In IT-Vergaben für Betrieb und Managed Security sollten Auftraggeber Forensic-Readiness-Anforderungen (Logging, Aufbewahrung, Chain of Custody) als vertragliche Pflichten des Auftragnehmers festlegen.
Funktionaler Sicherheitstest Security Functional Testing / SFT
Funktionale Sicherheitstests prüfen, ob ein IT-System die spezifizierten Sicherheitsfunktionen korrekt implementiert und unter definierten Bedingungen erwartungsgemäß reagiert, z.B. ob Zugriffskontrollen, Protokollierung und Fehlerbehandlung den Anforderungen entsprechen. Sie unterscheiden sich von Penetrationstests, die auf das Auffinden unbekannter Schwachstellen abzielen; beide Testarten ergänzen sich und sollten Teil des Abnahmeverfahrens sein. In IT-Vergaben sollte Auftraggeber verpflichtende Sicherheitstests als Abnahmekriterium in Leistungsverzeichnis und Vertrag verankern und einen Testreport als Lieferdokument fordern.
Formblatt Vergabeformular / Einheitsformblatt
Formblätter sind standardisierte Vordrucke, die Auftraggeber als verbindliche Bestandteile der Vergabeunterlagen bereitstellen, darunter das Angebotsschreiben, Preisblätter, Verpflichtungserklärungen zu Mindestlohn, Tariftreuepflichten und Bietereignungserklärungen. Die Verwendung einheitlicher Formblätter erleichtert die Vergleichbarkeit von Angeboten und reduziert formelle Fehler; das BMWK und die Auftragsberatungsstellen der Länder stellen standardisierte Formblattsammlungen bereit. Bieter sollten nur die offiziell bereitgestellten Formblätter verwenden, da eigene Formulierungen als formeller Mangel zum Angebotsausschluss führen können.
Formelle Mängel
Formelle Mängel sind Abweichungen eines Angebots von den vorgeschriebenen Formerfordernissen, etwa fehlende Unterschriften, nicht ausgefüllte Preisblätter oder das Einreichen in einem unzulässigen Dateiformat. Je nach Schwere entscheiden Auftraggeber, ob ein Mangel durch Nachforderung heilbar ist oder zwingend zum Angebotsausschluss führt. In elektronischen Vergabeverfahren sollten Bieter die technischen Einreichungsanforderungen der Plattform frühzeitig prüfen, da systemseitige Fehler (z. B. Dateigröße) oft nicht mehr korrigierbar sind.
Freihändige Vergabe
Vergabeverfahren unterhalb der EU-Schwellen, bei dem der Auftraggeber ohne öffentliche Bekanntmachung direkt mit einem oder mehreren Unternehmen verhandelt. Nach UVgO für Liefer-/Dienstleistungen zwischen 1.000 EUR und 25.000 EUR zulässig. Mindestens ein schriftliches Angebot muss eingeholt werden; Verfahren und Entscheidungsgründe müssen dokumentiert werden.
Fakultative Ausschlussgründe
Fakultative Ausschlussgründe sind Tatbestände, bei deren Vorliegen ein öffentlicher Auftraggeber einen Bieter vom Vergabeverfahren ausschließen kann, aber nicht muss, darunter erhebliche Schlechtleistungen aus früheren Aufträgen, schwere Verfehlungen im Beruf oder nachgewiesene Interessenkonflikte (§ 124 GWB). Im Gegensatz zu den zwingenden Ausschlussgründen nach § 123 GWB besteht bei fakultativen Tatbeständen ein Ermessensspielraum, der dokumentiert werden muss. Für IT-Auftragnehmer relevant ist insbesondere der Ausschlussgrund der nicht erfüllten oder mangelhaft erfüllten wesentlichen Anforderungen aus früheren IT-Verträgen.
Federated Identity Föderiertes Identitätsmanagement
Federated Identity ermöglicht Nutzern, sich mit einer einzigen digitalen Identität über Organisationsgrenzen hinweg bei verschiedenen Diensten und Systemen zu authentifizieren, ohne separate Accounts anzulegen; technische Grundlagen sind SAML 2.0, OAuth 2.0 und OpenID Connect. Im öffentlichen Sektor wird föderiertes Identitätsmanagement durch den IT-Planungsrat und die eIDAS-Verordnung gefördert; das Online-Zugangsgesetz (OZG) schreibt föderierte Identitätsdienste (Nutzerkonto Bund) für E-Government-Angebote vor. In Ausschreibungen für Behördenportale und digitale Dienste sind SAML/OIDC-Konformität, Integration in bestehende Identity Provider und DSGVO-konforme Datenhaltung als Anforderungen zu definieren.
Fristen im Vergabeverfahren
Das Vergaberecht legt Mindestfristen für jede Verfahrensphase fest: Im offenen Verfahren beträgt die Angebotsfrist mindestens 35 Tage (§15 VgV), beim nicht offenen Verfahren mindestens 30 Tage für Teilnahmeanträge und 30 Tage für Angebote. Fristen können unter bestimmten Voraussetzungen (vollständig elektronische Bereitstellung, Vorabbekanntmachung) verkürzt werden. Zu kurz bemessene Fristen in IT-Vergaben sind ein häufiger Rügegrund, da Bieter für komplexe Ausschreibungen ausreichend Kalkulationszeit benötigen.
Funktionale Leistungsbeschreibung
Bei der funktionalen Leistungsbeschreibung wird nicht das Wie, sondern das Was und Wozu beschrieben: Auftraggeber formulieren Ziele, Leistungsparameter und Ergebnisse, ohne eine konkrete technische Lösung vorzuschreiben (§31 Abs. 2 VgV). Diese Form eröffnet Bietern Spielraum für innovative Lösungen und vermeidet unbeabsichtigte Produktfestlegungen. Sie empfiehlt sich bei komplexen IT-Projekten, erfordert jedoch klare Mess- und Abnahmekriterien, um spätere Streitigkeiten über die Erfüllung zu vermeiden.
G
Geheimhaltungsgrad Verschlusssachengrad / Classification Level
Der Geheimhaltungsgrad ist die amtlich festgestellte Einstufung eines Dokuments oder einer Information nach der Verschlusssachenanweisung (VSA): VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD), VS-VERTRAULICH, GEHEIM und STRENG GEHEIM. Bei IT-Vergaben mit Zugang zu eingestuften Informationen muss die Geheimhaltungsstufe bereits bei der Erstellung der Vergabeunterlagen und der Eignungsanforderungen berücksichtigt werden; Bieter benötigen eine Sicherheitsermächtigung des Bundesamts für Verfassungsschutz oder des BSI. Das BSI stellt mit dem IT-Grundschutz-Baustein CON.11.1 einen Leitfaden zum Geheimschutz auf Stufe VS-NfD bereit.
Geheimhaltungsvereinbarung NDA
Eine Geheimhaltungsvereinbarung verpflichtet Bieter und Auftraggeber wechselseitig, vertrauliche Informationen aus dem Vergabeverfahren nicht an Dritte weiterzugeben. In IT-Vergaben mit sensiblem Systemwissen (Infrastruktur-Details, Sicherheitskonzepte) ist eine NDA als Anlage zu den Vergabeunterlagen gängige Praxis. Die VgV regelt in §5 den Schutz vertraulicher Informationen; weitergehende Geheimhaltungspflichten können vertraglich vereinbart werden.
Generalunternehmer Generalunternehmerschaft / GU
Ein Generalunternehmer übernimmt die Gesamtverantwortung für ein Projekt und koordiniert alle Subunternehmer, ohne dass der Auftraggeber Einzelverträge mit Nachunternehmern schließen muss. Im IT-Vergaberecht ist das GU-Modell bei komplexen Systemintegrationsprojekten verbreitet, birgt aber das Risiko von Vendor-Lock-in und eingeschränkter Transparenz über eingesetzte Unterauftragnehmer. Auftraggeber müssen gemäß §36 VgV die Nachunternehmerschaft transparent regeln und die Benennung der wesentlichen Subunternehmer verlangen.
Genehmigungsworkflow Approval Workflow / Freigabeprozess
Ein Genehmigungsworkflow ist ein automatisierter oder semi-automatisierter Prozess, der sicherstellt, dass kritische Aktionen (z.B. Zugriffsrechteänderungen, Softwareinstallationen, Finanztransaktionen) vor ihrer Ausführung von autorisierten Personen geprüft und genehmigt werden. Im IT-Sicherheitskontext dienen Genehmigungsworkflows der Umsetzung des Vier-Augen-Prinzips und des Least-Privilege-Grundsatzes; sie sind fester Bestandteil von IAM- und Privileged-Access-Management-Systemen. In IT-Vergaben für IAM, ITSM und Collaboration-Plattformen sollten Auftraggeber die erforderlichen Genehmigungsworkflows für sicherheitskritische Aktionen als funktionale Anforderungen mit konfigurierbaren Genehmigungsstufen und Zeitlimits festlegen.
Gewährleistungspflicht Mängelgewährleistung / Warranty Obligation
Die Gewährleistungspflicht verpflichtet den IT-Auftragnehmer, gelieferte Systeme oder Software für einen definierten Zeitraum frei von Mängeln zu halten und festgestellte Defekte zu beseitigen; die EVB-IT-Systemvertragsbedingungen sehen gesetzliche Mängelansprüche auf Nacherfüllung, Minderung und Rücktritt vor. Für SaaS- und Dienstleistungsverträge gilt ein modifiziertes Regime: Hier greifen qualitative Serviceunterbrechungen statt klassischer Sachmängelhaftung. Auftraggeber sollten Gewährleistungsfristen (mindestens 24 Monate für Software), Reaktionszeiten und Eskalationsprozesse vertraglich präzise regeln und nicht allein auf gesetzliche Regelungen vertrauen.
Gleichbehandlungsgebot
Das Gleichbehandlungsgebot ist ein Grundsatz des Vergaberechts nach §97 Abs. 2 GWB: Alle Bieter sind in identischer Weise zu informieren, Anfragen sind an alle Teilnehmer weiterzuleiten und Wertungskriterien dürfen nachträglich nicht verändert werden. Verstöße begründen Nachprüfungsanträge und können zur Aufhebung oder Wiedereröffnung des Verfahrens führen. Der Grundsatz gilt auch in der Kommunikation, bei der Auskunftserteilung und bei der Ausgestaltung der Mindestanforderungen.
Golden Ticket Kerberos Golden Ticket / Forged TGT
Ein Golden Ticket ist ein gefälschtes Kerberos-Ticket Granting Ticket (TGT), das ein Angreifer erstellen kann, nachdem er den NTLM-Hash des KRBTGT-Kontos eines Active Directory kompromittiert hat, und das ihm dauerhaften und nahezu uneingeschränkten Zugang zur gesamten Active-Directory-Domäne ermöglicht. Das KRBTGT-Konto signiert alle Kerberos-Tickets in der Domäne; wer seinen Hash kennt, kann gültige Tickets für beliebige Benutzer, Ressourcen und Zeiträume ausstellen. In IT-Vergaben für Active-Directory-Betrieb sollten Auftraggeber regelmäßige KRBTGT-Passwortrotation, Tier-Modell-Implementierung und UEBA-basierte Monitoring-Lösungen als Schutzmaßnahmen verbindlich vorschreiben.
Grundsätze der Vergabe
§97 GWB fasst die Grundsätze des Vergaberechts zusammen: Wettbewerb, Transparenz, Gleichbehandlung, Verhältnismäßigkeit und das Gebot wirtschaftlicher Beschaffung. Diese Prinzipien gelten für jede Verfahrensstufe und sind von Vergabestellen bei allen Entscheidungen zu beachten. In der Praxis manifestieren sie sich etwa darin, dass Leistungsbeschreibungen produktneutral formuliert werden müssen, alle Bieteranfragen an alle Teilnehmer weiterzuleiten sind und Zuschlagskriterien vor Angebotseröffnung feststehen müssen.
Governance IT-Governance / Corporate Governance
IT-Governance bezeichnet den Rahmen aus Strukturen, Prozessen und Mechanismen, durch den sichergestellt wird, dass der IT-Einsatz die Unternehmensstrategie unterstützt, Risiken angemessen gesteuert werden und Ressourcen verantwortungsvoll eingesetzt werden. Anerkannte Frameworks sind COBIT (Control Objectives for Information Technologies) und ITIL; für die öffentliche Hand ist IT-Governance auch durch das Onlinezugangsgesetz (OZG) und IT-Planungsratbeschlüsse geregelt. In IT-Vergabeverfahren ist Governance-Kompetenz relevant, wenn Auftraggeber IT-Management-Dienstleistungen oder strategische IT-Beratung beschaffen.
GRC Governance, Risk & Compliance
GRC ist ein integrierter Managementansatz, der Unternehmenssteuerung (Governance), Risikomanagement und Einhaltung regulatorischer Anforderungen (Compliance) in einem koordinierten Rahmenwerk zusammenführt. Im öffentlichen IT-Sektor ermöglicht GRC die strukturierte Steuerung von Informationssicherheitsrisiken, die Sicherstellung der DSGVO- und NIS2-Konformität sowie die Dokumentation gegenüber Aufsichtsbehörden. In Leistungsverzeichnissen für IT-Governance-Dienste oder Compliance-Plattformen sollten Auftraggeber konkrete GRC-Frameworks (z. B. COBIT, ISO 27001) als Referenzrahmen benennen.
gRPC Google Remote Procedure Call / High-Performance RPC Framework
gRPC ist ein modernes, von Google entwickeltes Open-Source-Framework für Remote Procedure Calls, das auf HTTP/2 und Protocol Buffers (protobuf) basiert und hochperformante, bidirektionale Kommunikation zwischen Diensten ermöglicht. Im Vergleich zu REST-APIs bietet gRPC geringere Latenz, binäre Serialisierung und streng typisierte Schnittstellen, ist aber weniger browserkompatibel und erfordert spezifische Bibliotheken. In IT-Vergaben für Microservice-Architekturen und Backend-Integrationen sollten Auftraggeber das Kommunikationsprotokoll und die Schnittstellenbeschreibungssprache (IDL) spezifizieren, da die Wahl erhebliche Auswirkungen auf Interoperabilität und Wartbarkeit hat.
Geschäftskontinuität Business Continuity
Geschäftskontinuität (Business Continuity) bezeichnet die Fähigkeit einer Organisation, kritische Geschäftsprozesse auch im Falle von IT-Ausfällen, Katastrophen oder Sicherheitsvorfällen aufrechtzuerhalten oder schnell wiederherzustellen. BSI IT-Grundschutz (DER.4), ISO 22301 und NIS2 fordern ein dokumentiertes Business Continuity Management (BCM) mit Notfallplänen, regelmäßigen Übungen und definierten Wiederanlaufzeiten (RTO) und Datenverlustgrenzen (RPO). In IT-Ausschreibungen für kritische Infrastruktur oder Managed Services sind BCM-Konzept und Notfallübungsnachweis häufige Eignungsanforderungen.
GAEB-Datenaustausch GAEB DA / Leistungsverzeichnis-Standard
Der GAEB-Datenaustausch ist ein genormtes Format für den elektronischen Austausch von Leistungsverzeichnissen zwischen Auftraggebern, Ausschreibungsplattformen und Bieter-Software. In IT-Vergaben ermöglicht GAEB die fehlerfreie digitale Übertragung von Positionen, Mengen und Preisen ohne manuelle Übertragungs-fehler. eVergabe-Plattformen wie DTVP, Cosinex oder Vergabe24 unterstützen GAEB-Formate; Auftraggeber sollten in der Bekanntmachung angeben, in welchem GAEB-Format die Unterlagen bereitgestellt werden.
GAEB Gemeinsamer Ausschuss Elektronik im Bauwesen
GAEB ist ein standardisiertes Datenaustauschformat für Leistungsverzeichnisse und Ausschreibungsunterlagen, das ursprünglich für das Bauwesen entwickelt wurde, aber auch in IT-Vergaben für strukturierte Leistungsverzeichnisse eingesetzt wird. Das Format ermöglicht den elektronischen Austausch von Leistungspositionen, Mengen und Preisen zwischen Auftraggebern, Bietern und eVergabe-Plattformen ohne Medienbrüche. Auftraggeber, die Leistungsverzeichnisse in GAEB-Format bereitstellen, erleichtern Bietern die elektronische Angebotsbearbeitung und reduzieren Übertragungsfehler bei der Preiserfassung.
Geschäftsprozessanalyse Business Process Analysis / BPA
Die Geschäftsprozessanalyse ist eine strukturierte Untersuchung von Abläufen, Schnittstellen und Abhängigkeiten in einer Organisation, um Optimierungspotenziale, Risiken und Anforderungen für IT-Systeme zu identifizieren und zu dokumentieren. Sie bildet die Grundlage für Business Impact Analysen (BIA), IT-Anforderungsspezifikationen und den Aufbau prozessunterstützender IT-Systeme; Methoden wie BPMN visualisieren Prozesse standardisiert. In IT-Vergaben für ERP-Systeme, Prozessautomatisierung und eGovernment-Plattformen sollten Auftraggeber die Ergebnisse der Geschäftsprozessanalyse als Ist-Zustand-Dokumentation bereitstellen, damit Bieter ihren Lösungsansatz passgenau auf die tatsächlichen Prozessanforderungen ausrichten können.
Gefahrenabwehr Hazard Prevention / Threat Mitigation
Gefahrenabwehr im IT-Kontext umfasst alle vorbeugenden und reaktiven Maßnahmen, die darauf abzielen, Bedrohungen für IT-Systeme, Daten und Betriebsprozesse zu verhindern oder deren Auswirkungen zu begrenzen, bevor ein vollständiger Sicherheitsvorfall eintritt. Sie unterscheidet sich von der reaktiven Incident Response durch ihren präventiven Schwerpunkt: Firewalls, IPS, Antimalware, Patchmanagement und Zugangskontrolle sind klassische Gefahrenabwehr-Instrumente. In IT-Vergaben sollten Auftraggeber die Gefahrenabwehrmaßnahmen des Auftragnehmers im Sicherheitskonzept aufführen lassen und deren Wirksamkeit durch regelmäßige Tests (Vulnerability Scans, Penetrationstests) nachweisbar machen.
Gefährdungskatalog Threat Catalog / BSI-Gefährdungskatalog
Der BSI-Gefährdungskatalog ist eine strukturierte Sammlung typischer Gefährdungen für Informationssicherheit, die im BSI IT-Grundschutz-Kompendium nach Kategorien (höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, vorsätzliche Handlungen) gegliedert wird und als Basis für Gefährdungsanalysen dient. Er ermöglicht es Organisationen, systematisch alle relevanten Bedrohungen für ihre IT-Systeme zu identifizieren und in Schutzbedarfsfeststellungen und Risikoanalysen einfließen zu lassen. In IT-Vergaben sollten Auftraggeber verlangen, dass der Auftragnehmer seinen Sicherheitskonzepten eine strukturierte Gefährdungsanalyse auf Basis anerkannter Kataloge (BSI-Gefährdungskatalog oder ENISA Threat Taxonomy) zugrunde legt.
Gefährdungsbeurteilung Risk Assessment / Threat Assessment
Die Gefährdungsbeurteilung ist eine systematische Analyse, bei der für ein IT-System oder eine Anwendung die relevanten Gefährdungen aus dem BSI-Gefährdungskatalog oder vergleichbaren Quellen identifiziert, nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertet und in einer Risikoübersicht dokumentiert werden. Sie ist zentrales Instrument im BSI IT-Grundschutz-Prozess (BSI-Standard 200-3) und unterscheidet zwischen Basis-, Standard- und erhöhtem Schutzbedarf. In IT-Vergaben für sicherheitskritische Systeme kann der Auftraggeber eine vorläufige Gefährdungsbeurteilung als Kontextdokument bereitstellen oder den Auftragnehmer zur Durchführung und Dokumentation als Lieferdokument verpflichten.
Geheimschutzbetreuung VSA / Verschlusssachen-Anweisung
Geheimschutzbetreuung bezeichnet die staatlichen Maßnahmen, die sicherstellen, dass Unternehmen, die an Aufträgen mit Verschlusssachen arbeiten, den notwendigen organisatorischen und technischen Schutz für diese Informationen gewährleisten. In Deutschland wird die Geheimschutzbetreuung durch das Bundesministerium für Wirtschaft und Energie (BMWi) und die zuständigen Landesbehörden koordiniert; betroffene Auftragnehmer benötigen eine Ermächtigung (Facility Security Clearance). Auftraggeber, die IT-Projekte mit Verschlusssachen-Bezug ausschreiben, müssen die Geheimschutzanforderungen in den Vergabeunterlagen explizit ausweisen.
Geschäftsgeheimnisschutz Know-how-Schutz / GeschGehG
Der Geschäftsgeheimnisschutz nach dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) schützt wirtschaftlich wertvolle, nicht allgemein bekannte Informationen vor unbefugter Offenlegung oder Nutzung durch Dritte. Im Vergabekontext sind Bieter häufig gezwungen, sensible Kalkulationsdaten, technische Konzepte oder proprietäre Verfahren offenzulegen; Auftraggeber müssen sicherstellen, dass diese Informationen vertraulich behandelt werden. In IT-Beschaffungen mit hohem technologischen Know-how-Anteil empfiehlt sich die explizite Aufnahme von Vertraulichkeitsverpflichtungen und Zugriffskontrollen für Vergabeakten in die Ausschreibungsunterlagen.
GoBD Grundsätze ordnungsgemäßer Buchführung und Dokumentation
Die GoBD des Bundesfinanzministeriums regeln die Anforderungen an die IT-gestützte Buchführung und Aufbewahrung steuerrelevanter Dokumente: Unveränderlichkeit, Vollständigkeit, Nachvollziehbarkeit und Lesbarkeit über die gesamte Aufbewahrungsfrist (i.d.R. 10 Jahre). Für öffentliche Auftraggeber und ihre IT-Dienstleister sind die GoBD relevant, sobald Systeme zur Finanzbuchhaltung, zum Dokumentenmanagement oder zur Archivierung beschafft werden. In IT-Ausschreibungen für DMS, ERP oder Cloud-Archivlösungen sollten GoBD-Konformität und nachweisbares Berechtigungskonzept als Eignungsanforderung aufgeführt werden.
GPA Government Procurement Agreement
Das Government Procurement Agreement (GPA) der WTO ist ein plurilaterales Übereinkommen, das den Marktzugang für öffentliche Beschaffungen zwischen den Mitgliedsstaaten gegenseitig öffnet; die EU ist Vertragspartei und gewährt GPA-Ländern (u. a. USA, Kanada, Südkorea, Japan) gleichberechtigten Zugang zu EU-Ausschreibungen. Für IT-Vergaben bedeutet dies, dass Auftraggeber bei EU-weiten Verfahren auch Angebote aus GPA-Ländern berücksichtigen müssen und nicht auf EU-Unternehmen beschränken dürfen. Das GPA stärkt den internationalen Wettbewerb und gilt besonders im Bereich standardisierter Hard- und Software.
GWB Gesetz gegen Wettbewerbsbeschränkungen
Das zentrale Vergaberechtsgesetz für öffentliche Aufträge oberhalb der EU-Schwellenwerte in Deutschland. Teil 4 GWB (§97–§184) regelt das öffentliche Vergaberecht: Grundsätze (Wettbewerb, Transparenz, Gleichbehandlung), Verfahrensarten, Bieterrechte und Nachprüfungsverfahren. Unterhalb der EU-Schwellen gilt für Bund und Kommunen die UVgO, die jedoch denselben Grundprinzipien folgt. Das GWB wurde zuletzt durch die GWB-Digitalisierungsnovelle 2021 umfassend reformiert.
Grundschutzkompendium BSI IT-Grundschutz-Kompendium / IT-GS-Kompendium
Das BSI IT-Grundschutz-Kompendium ist das zentrale Regelwerk des Bundesamts für Sicherheit in der Informationstechnik, das in über 100 Bausteinen konkrete Sicherheitsanforderungen und Maßnahmen für typische Komponenten und Prozesse von IT-Infrastrukturen beschreibt, von Webservern über Notebooks bis zu Notfallmanagement. Jeder Baustein enthält Basis-, Standard- und erhöhte Anforderungen, die an den jeweiligen Schutzbedarf angepasst werden können und als Grundlage für ISO-27001-Zertifizierungen auf Basis des IT-Grundschutzes dienen. In IT-Vergaben für Betrieb und Managed Services sollten Auftraggeber auf relevante Grundschutzkompendium-Bausteine verweisen und deren Erfüllung durch den Auftragnehmer als Eignungsnachweis oder Abnahmekriterium fordern.
H
HSTS HTTP Strict Transport Security
HTTP Strict Transport Security ist ein Sicherheitsmechanismus für Webserver, der Browser anweist, eine Webseite ausschließlich über verschlüsselte HTTPS-Verbindungen aufzurufen und HTTP-Verbindungen oder ungültige Zertifikate abzulehnen. Ein korrekt konfiguriertes HSTS-Header mit langem max-age-Wert und includeSubDomains verhindert Downgrade-Angriffe und SSL-Stripping. Das BSI empfiehlt HSTS als Pflichtmaßnahme für alle Webanwendungen öffentlicher Stellen; Auftraggeber sollten dies als Mindestsicherheitsanforderung in Leistungsverzeichnisse aufnehmen.
Härtungsprozess Hardening Process / System Hardening Workflow
Der Härtungsprozess beschreibt die strukturierte Abfolge von Schritten, mit denen ein IT-System ausgehend von einer Standardinstallation in einen sicheren Betriebszustand überführt wird: Ausgangsbewertung, Anwendung des Härtungsleitfadens, Verifikation durch Compliance-Scan, Ausnahme-Genehmigung und Freigabe. Er stellt sicher, dass Härtung nicht nur einmalig beim Aufbau erfolgt, sondern bei jedem System-Update und nach sicherheitsrelevanten Ereignissen wiederholt und dokumentiert wird. In IT-Vergaben für Managed Services und Cloud-Betrieb sollten Auftraggeber den Härtungsprozess inklusive Zuständigkeiten, Werkzeugen und Nachweis-Dokumentation als beschreibungspflichtiges Leistungselement in die Ausschreibung aufnehmen.
Härtungsleitfaden Hardening Guide / Security Baseline
Ein Härtungsleitfaden ist ein dokumentierter Katalog von Konfigurationsempfehlungen und Mindestanforderungen, durch deren Umsetzung ein IT-System oder eine Software-Plattform sicherer gegen Angriffe gemacht wird. Bekannte Quellen sind die BSI-Sicherheitsempfehlungen, CIS Benchmarks (Center for Internet Security) und die DISA STIGs (Security Technical Implementation Guides). In IT-Vergaben sollten Auftraggeber festlegen, nach welchen Härtungsleitfäden gelieferte Systeme konfiguriert sein müssen, und die Compliance im Abnahmeverfahren durch Scan-Reports (z.B. OpenSCAP) nachweisen lassen.
Hardware Security Module HSM
Ein Hardware Security Module ist ein physisches Sicherheitsgerät, das kryptografische Schlüssel sicher erzeugt, speichert und verwaltet und dabei sicherstellt, dass private Schlüssel das Gerät niemals im Klartext verlassen. HSMs sind nach FIPS 140-2/3 oder Common Criteria evaluiert und werden für hochsensible Anwendungen wie Root-CAs, digitale Signaturen im Rechtsverkehr oder sichere Authentifizierungsinfrastrukturen eingesetzt. In IT-Ausschreibungen für PKI-Infrastrukturen oder eIDAS-konforme Dienste sollten Auftraggeber den Einsatz zertifizierter HSMs als Pflichtanforderung definieren.
Hashwert Hash Value / Kryptografischer Fingerabdruck
Ein Hashwert ist das Ergebnis einer kryptografischen Einwegfunktion (z.B. SHA-256, SHA-3), die eine Eingabe beliebiger Länge auf eine Ausgabe fester Länge abbildet, wobei kleinste Eingabeänderungen zu völlig anderen Hashwerten führen und eine Rückrechnung praktisch unmöglich ist. Hashwerte werden eingesetzt zur Integritätsprüfung von Software-Downloads, zur passwortlosen Speicherung von Zugangsdaten (gesalzene Hashes), in digitalen Signaturen sowie in der forensischen Beweissicherung zur Verifikation von Datei-Unverändertheit. In IT-Vergaben für Softwarelieferungen, Patches und Archivsysteme sollten Auftraggeber die Lieferung von Hashwerten (SHA-256 oder besser) als Pflichtbestandteil jeder Lieferung und Abnahme vorsehen.
Host-based IDS HIDS / Host Intrusion Detection System
Ein Host-based Intrusion Detection System überwacht die Aktivitäten auf einem einzelnen Endgerät oder Server, z.B. Dateisystemveränderungen, Prozessaktivitäten und Systemaufrufmuster, um Angriffe oder Policy-Verstöße zu erkennen. Im Unterschied zu netzwerkbasierten IDS (NIDS) kann HIDS auch verschlüsselten lokalen Datenverkehr und applikationsinterne Vorgänge überwachen. In IT-Vergaben für Server-Infrastruktur und Endpoint-Schutz sollten Auftraggeber HIDS-Anforderungen (Agenten, Integritätsprüfungen, zentrale Log-Auswertung) als Pflichtkomponente des Sicherheitskonzepts festlegen.
Hybrider Angriff Hybrid Attack / Kombinierter Angriff
Ein hybrider Angriff kombiniert verschiedene Angriffstechniken, z.B. Social Engineering, technische Exploits und physische Zugriffsversuche, um die Stärken jeder Methode zu nutzen und Detektionssysteme zu umgehen. Staatliche Akteure (APT-Gruppen) setzen hybride Angriffe besonders bei Angriffen auf kritische Infrastrukturen ein, indem sie Cyberangriffe mit Desinformation und physischer Sabotage kombinieren. In IT-Vergaben für Sicherheitsdienstleistungen sollten Auftraggeber sicherstellen, dass Bedrohungsmodelle und Incident-Response-Pläne hybride Szenarien explizit berücksichtigen.
Honeypot Deception Technology
Ein Honeypot ist ein absichtlich exponiertes, scheinbar wertvolles IT-System oder ein Datei-Köder (Honeyfile), das Angreifer anlockt und deren Techniken, Werkzeuge und Bewegungsmuster aufzeichnet, ohne dass ein realer Schaden entsteht. Moderne Deception-Technologie skaliert dieses Konzept auf Netzwerkebene mit verteilten Honeytokens und täuschend echten virtuellen Systemen (Deception Fabric). In IT-Ausschreibungen für hochschutzbedürftige Umgebungen kann Deception Technology als zusätzliche Erkennungsschicht neben SIEM und EDR gefordert werden; ihr Einsatz erfordert sorgfältige rechtliche Prüfung (Nachweisführung, Verarbeitungsgrundlage nach DSGVO).
Härtungsmaßnahmen System Hardening
Härtungsmaßnahmen umfassen die Gesamtheit technischer und organisatorischer Schritte, die die Angriffsfläche eines IT-Systems durch Deaktivierung nicht benötigter Dienste, sichere Standardkonfigurationen, Patch-Management und restriktive Berechtigungen minimieren. Grundlage sind etablierte Härtungsleitfäden wie die CIS Benchmarks, BSI IT-Grundschutz-Bausteine oder DISA STIGs. In IT-Vergabeverfahren sollten Auftraggeber konkrete Härtungsanforderungen (z.B. "Konformität mit CIS Benchmark Level 1 für alle Server") als messbare technische Leistungsanforderungen in das Leistungsverzeichnis aufnehmen.
Härtungsrichtlinie Hardening Policy / Security Baseline Policy
Eine Härtungsrichtlinie ist ein verbindliches internes Regelwerk, das für alle IT-Systeme einer Organisation definiert, welche Härtungsmaßnahmen mindestens umgesetzt sein müssen, bevor ein System in den Produktivbetrieb geht. Sie konkretisiert allgemeine Standards (CIS Benchmarks, BSI IT-Grundschutz) für die spezifischen IT-Systemtypen der Organisation (Webserver, Datenbankserver, Endpoints) und legt Ausnahmeprozesse fest. In IT-Vergaben für IT-Betrieb und Managed Services sollten Auftraggeber verlangen, dass der Auftragnehmer eine dokumentierte Härtungsrichtlinie vorlegt, regelmäßige Compliance-Scans durchführt und Ausnahmen formell genehmigt und dokumentiert.
Härtungsziel Hardening Target / Security Baseline Target
Ein Härtungsziel beschreibt den definierten Sicherheitsstatus, den ein IT-System nach Abschluss der Härtungsmaßnahmen erreichen soll, typischerweise ausgedrückt als Konformitätsgrad zu einem Härtungsstandard (z.B. 90 % CIS-Benchmark-Konformität) oder als Liste zwingend umzusetzender Maßnahmen. Es bildet die messbare Zielgröße für Härtungsprojekte und ermöglicht eine objektive Abnahme und wiederkehrende Überprüfung des Sicherheitsstatus. In IT-Vergaben für Systemmigration, Betriebsübernahme und Lieferung vorkonfigurierter Systeme sollten Auftraggeber Härtungsziele und den Nachweis durch automatisierte Compliance-Scans (z.B. OpenSCAP, Nessus Compliance) als Abnahmekriterium festschreiben.
Hochverfügbarkeit High Availability / HA
Hochverfügbarkeit bezeichnet die Eigenschaft eines IT-Systems, trotz Ausfällen einzelner Komponenten kontinuierlich verfügbar zu bleiben, üblicherweise definiert als Verfügbarkeit von 99,9 % ("drei Neunen") bis 99,999 % ("fünf Neunen"). Sie wird durch Redundanz (Hardware, Netzwerkpfade, Rechenzentrumsstandorte), automatische Failover-Mechanismen und aktives Monitoring erreicht. In IT-Vergaben sind Verfügbarkeitsziele und die zugehörige Architektur (Active-Active, Active-Passive, Geo-Redundanz) präzise zu spezifizieren und durch Pönalen für Nichteinhaltung der SLA-Werte zu hinterlegen.
Hauptangebot
Das Hauptangebot ist das reguläre Angebot eines Bieters, das die Ausschreibungsanforderungen ohne Abweichungen erfüllt. Es bildet die Grundlage der Wertung; Nebenangebote werden nur zusätzlich gewertet, wenn die Vergabeunterlagen dies ausdrücklich zulassen. In IT-Vergaben mit komplexen Leistungsbildern empfiehlt es sich, das Hauptangebot klar von optionalen Modulen und Nebenangeboten zu trennen, um Wertungsfehler zu vermeiden.
Haushaltsvorbehalt Haushaltsbeschränkung / Genehmigungsvorbehalt
Ein Haushaltsvorbehalt in öffentlichen Verträgen bewirkt, dass die Verpflichtungserklärung des Auftraggebers unter dem Vorbehalt der Bereitstellung der notwendigen Haushaltsmittel durch den Haushaltsgesetzgeber steht, sodass der Vertrag nicht vollumfänglich wirksam wird, bevor die entsprechenden Mittel bewilligt sind. Nach §34 BHO ist die Eingehung von Verpflichtungen grundsätzlich nur zulässig, wenn die Ausgaben im Haushaltsplan ausgewiesen oder bewilligt sind; Ausnahmen bedürfen ausdrücklicher Ermächtigung. In IT-Vergaben mit langen Laufzeiten oder hohem Auftragsvolumen sollten Bieter den Haushaltsvorbehalt in ihre Risikokalkulation einbeziehen, da er die Zahlungssicherheit des öffentlichen Auftraggebers beeinflusst.
Herstellerneutralität
Das Gebot der Herstellerneutralität verbietet Auftraggebern, in Leistungsbeschreibungen bestimmte Produkte, Marken oder Hersteller zu bevorzugen oder auszuschließen (§31 Abs. 6 VgV). Technische Anforderungen müssen produktunabhängig formuliert werden; wo ein Herstellerbezug unvermeidbar ist, muss der Zusatz "oder gleichwertig" ergänzt werden. In IT-Vergaben ist die Herstellerneutralität besonders relevant bei Softwarelizenzen, Hardwarespezifikationen und Cloud-Plattformen.
Herstellerverantwortung Manufacturer Responsibility / Product Liability
Herstellerverantwortung bezeichnet die rechtliche und ethische Pflicht von IT-Herstellern und Softwareentwicklern, für die Sicherheit und Verlässlichkeit ihrer Produkte einzustehen, Schwachstellen zeitnah zu beheben und Nutzern transparente Informationen über Risiken bereitzustellen. Der EU Cyber Resilience Act (CRA) kodifiziert diese Verantwortung erstmals für digitale Produkte in der EU, indem er Hersteller zu Security-by-Design, Schwachstellenmanagement und langfristigem Support verpflichtet. In IT-Vergaben sollten Auftraggeber Nachweise zur Herstellerverantwortung fordern: Support-Zusagen, Patching-SLAs und Transparenzberichte zu Schwachstellen als Vertragspflicht.
Haftungsbeschränkung
Haftungsbeschränkungen in IT-Verträgen begrenzen die Schadensersatzpflicht des Auftragnehmers auf einen bestimmten Höchstbetrag, typischerweise ein Vielfaches des Jahresauftragswertes, oder schließen bestimmte Schadensarten (Folgeschäden, entgangener Gewinn) aus. Öffentliche Auftraggeber müssen darauf achten, dass Haftungsbeschränkungen nicht zu weitgehend sind und insbesondere bei Datenpannen oder KRITIS-Ausfällen ausreichend Deckung bieten. EVB-IT-Verträge enthalten standardisierte Haftungsregelungen, die als Ausgangspunkt für Vertragsverhandlungen dienen.
I
IaaS Infrastructure as a Service
IaaS ist ein Cloud-Liefermodell, bei dem Anbieter virtuelle Rechenleistung, Speicher und Netzwerkressourcen on-demand bereitstellen, während Kunden Betriebssysteme, Middleware und Anwendungen selbst verwalten. Im öffentlichen Beschaffungsrecht fallen IaaS-Dienste unter die Dienstleistungsbeschaffung; Auftraggeber müssen Datenschutz, Verfügbarkeit, Exit-Strategie und gemeinsame Verantwortlichkeiten (Shared Responsibility Model) vertraglich absichern. Der BSI C5 bietet den anerkannten Prüfrahmen für IaaS-Anbieter, die öffentliche Auftraggeber bedienen.
IAM Identity & Access Management
Systeme zur Verwaltung digitaler Identitäten und Zugriffsrechte. IAM umfasst Benutzerkonten-Lifecycle (Provisionierung, Deprovisionierung), rollenbasierte Zugriffskontrolle (RBAC), Single Sign-On (SSO) sowie Privileged Access Management (PAM) für administrative Konten. In öffentlichen Einrichtungen ist IAM zunehmend Pflichtbestandteil des IT-Sicherheitskonzepts nach BSI IT-Grundschutz.
Indexanpassung Preisgleitklausel / Lohngleitklausel
Eine Indexanpassungsklausel ermöglicht es, Vertragspreise automatisch an Kostenentwicklungen (z.B. Tariflohnsteigerungen, Hardwarepreise, Verbraucherpreisindex) anzupassen und schützt beide Vertragsparteien vor unvorhersehbaren Kostenschwankungen bei langfristigen IT-Verträgen. §10 Abs. 3 GWB ermöglicht derartige Preisanpassungsklauseln, wenn sie transparent, objektivierbar und an anerkannte Indizes (z.B. Statistisches Bundesamt, Tarifabschlüsse) geknüpft sind. In IT-Vergaben für mehrjährigen IT-Betrieb, Managed Services oder Softwarepflege sollten Auftraggeber realistische Indexanpassungsklauseln aufnehmen, da starre Preisbindung bei Unterernährung des Auftragnehmers zu Qualitätsproblemen oder Insolvenz führen kann.
ISMS Informationssicherheits-Managementsystem
Strukturiertes Rahmenwerk zur systematischen Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit in einer Organisation. Die internationale Norm ISO/IEC 27001:2022 definiert die Anforderungen an ein ISMS; das BSI IT-Grundschutz-Kompendium bietet eine deutschsprachige, auf Behörden ausgerichtete Umsetzungshilfe. Für KRITIS-Betreiber ist ein nachgewiesenes ISMS nach §8a BSIG gesetzlich vorgeschrieben.
Incident-Klassifikation Incident Classification / Vorfallklassifikation
Incident-Klassifikation ist der Prozess, bei dem ein erkannter IT-Sicherheitsvorfall nach Schwere, Auswirkung, betroffenen Systemen und Vertraulichkeitsstufe in Kategorien eingeteilt wird, um prioritätsgerechte Reaktionsmaßnahmen, Eskalationspfade und Meldepflichten auszulösen. Typische Klassifikationsebenen reichen von P1 (kritisch, produktionsstoppend) bis P4 (niedrig, kosmetisch); NIS2 verknüpft Klassifikationsergebnisse mit gesetzlichen Meldefristen (24 Stunden Erstmeldung für erhebliche Vorfälle). In IT-Vergaben für SOC und Managed Security sollten Auftraggeber eine verbindliche Klassifikationsmatrix mit definierten Kriterien und zugehörigen Reaktionszeiten als Vertragsbestandteil festlegen.
Incident Response
Incident Response bezeichnet den strukturierten Prozess zur Erkennung, Analyse, Eindämmung und Nachbereitung von IT-Sicherheitsvorfällen. Der NIST SP 800-61 definiert vier Phasen: Vorbereitung, Erkennung/Analyse, Eindämmung/Beseitigung und Nachbereitung. In öffentlichen IT-Ausschreibungen wird Incident Response zunehmend als Vertragsbestandteil gefordert, inklusive definierter Reaktionszeiten (SLA), Eskalationspfade und forensischer Dokumentationspflichten.
Identitätsprüfung Identity Verification / Identitätsfeststellung
Identitätsprüfung bezeichnet den Prozess, mit dem die behauptete Identität eines Nutzers, Geräts oder Dienstes vor der Gewährung von Zugang oder Berechtigungen überprüft und bestätigt wird; sie unterscheidet sich von Authentifizierung, die das Prüfen von Zugangsnachweisen beschreibt. In höheren Vertrauensstufen umfasst sie die Validierung von Ausweisinformationen, biometrischen Merkmalen oder Zertifikaten. In IT-Vergaben für Identitätsmanagementsysteme, eGovernment-Portale und Fernarbeitslösungen sollten Auftraggeber die erforderliche Vertrauensstufe (nach eIDAS Level of Assurance) und die akzeptierten Identitätsnachweise (ePA, Bankausweis, Video-Ident) im Leistungsverzeichnis präzise spezifizieren.
Identitätsdiebstahl Identity Theft / Account Takeover
Identitätsdiebstahl bezeichnet die missbräuchliche Aneignung und Nutzung der Identität oder personenbezogenen Daten einer anderen Person, um sich Vorteile zu verschaffen, Betrug zu begehen oder im Namen des Opfers zu handeln. Im digitalen Kontext erfolgt Identitätsdiebstahl häufig durch Phishing, Credential Stuffing, Datenlecks oder Social Engineering; gestohlene Identitäten werden in Darknet-Marktplätzen gehandelt und für Account-Takeover, Kreditbetrug oder CEO-Fraud eingesetzt. In IT-Vergaben für Identitätsmanagementsysteme und Portallösungen sollten Auftraggeber Schutzmaßnahmen wie Multi-Faktor-Authentifizierung, anomaliebasierte Zugriffserkennung und kontinuierliche Monitoring-Dienste als Pflichtanforderung festlegen.
IT-Notfallplan IT Emergency Plan / Business Continuity Plan
Der IT-Notfallplan ist ein dokumentiertes Verfahrenswerk, das Maßnahmen zur Aufrechterhaltung oder Wiederherstellung kritischer IT-Dienste bei unvorhergesehenen Ausfällen oder Sicherheitsvorfällen festlegt. Er enthält Eskalationspfade, Rollen und Verantwortlichkeiten, Kommunikationspläne sowie priorisierte Wiederanlaufsequenzen für die wichtigsten Systeme. Nach BSI IT-Grundschutz (DER.4) und dem KRITIS-Recht müssen Betreiber kritischer Infrastrukturen IT-Notfallpläne regelmäßig aktualisieren und durch Übungen validieren.
Identity Provider IdP
Ein Identity Provider ist ein vertrauenswürdiger Dienst, der Nutzeridentitäten verwaltet, Authentifizierungen durchführt und Identitätsaussagen (Assertions) in standardisierten Formaten (SAML 2.0, OpenID Connect) an Serviceprovider weitergibt. Öffentliche Einrichtungen nutzen IdPs wie Microsoft Entra ID (Azure AD), Keycloak oder das Nutzerkonto Bund; die eIDAS-Verordnung definiert Anforderungen an qualifizierte IdPs für grenzüberschreitende Behördendienste. In IT-Ausschreibungen für E-Government-Portale und Fachanwendungen ist die Integration in bestehende IdP-Infrastrukturen, Federation-Protokolle und Anforderungen an Identity Governance und Administration (IGA) zu spezifizieren.
Inhouse-Vergabe
Eine Inhouse-Vergabe liegt vor, wenn ein Auftraggeber einen Auftrag an eine rechtlich selbständige Einheit vergibt, über die er eine Kontrolle wie über eine eigene Dienststelle ausübt und die mindestens 80 % ihrer Tätigkeit für ihn erbringt (§108 GWB). Das klassische Beispiel sind kommunale IT-Dienstleister, die vollständig im Eigentum einer oder mehrerer Kommunen stehen. Bei Erfüllen aller Voraussetzungen entfällt die Ausschreibungspflicht, was Behörden erhebliche Verfahrenskosten spart.
Intrusion Prevention System IPS / Eindringungsabwehrsystem
Ein Intrusion Prevention System (IPS) ist ein Sicherheitssystem, das Netzwerkverkehr in Echtzeit analysiert und erkannte Angriffsmuster nicht nur meldet (wie ein IDS), sondern aktiv blockiert, indem es bösartige Pakete verwirft, Verbindungen abbricht oder Firewall-Regeln dynamisch anpasst. BSI IT-Grundschutz (NET.3.4) beschreibt den Einsatz von IPS als Bestandteil einer Defense-in-Depth-Strategie, insbesondere zur Absicherung von Perimetern und kritischen Segmenten. In IT-Vergaben für Netzwerksicherheits-Infrastrukturen sollten Auftraggeber IPS-Erkennungsraten, False-Positive-Quoten, Update-Intervalle für Signaturen und Integrationsfähigkeit in bestehende SIEM-Lösungen als messbare Leistungsanforderungen spezifizieren.
Informationspflichten
Informationspflichten verpflichten den Auftraggeber, unterlegene Bieter nach §134 GWB unverzüglich über die Zuschlagsentscheidung und den beabsichtigten Vertragsschluss zu informieren; der Zuschlag darf frühestens 15 Tage nach Absenden dieser Information erteilt werden. Bieter haben darüber hinaus ein Anrecht auf Auskunft über die wesentlichen Gründe für die Nichtberücksichtigung ihres Angebots. Die Einhaltung dieser Pflichten ist Voraussetzung für die Wirksamkeit des Zuschlags und schützt das Bieterrecht auf effektiven Rechtsschutz.
IP-Spoofing IP Address Spoofing / Adressfälschung
IP-Spoofing bezeichnet die Manipulation von Netzwerkpaketen, bei der ein Angreifer die Absender-IP-Adresse fälscht, um seine wahre Identität zu verschleiern, Angriffe auf andere Systeme zu reflektieren oder Zugangskontrolllisten zu umgehen, die auf IP-Adressbasis arbeiten. IP-Spoofing ist eine Kerntechnik bei DDoS-Verstärkungsangriffen (z.B. DNS-Amplification, NTP-Reflection) und wird im Netzwerkforensik-Kontext durch Anti-Spoofing-Filter (BCP38) an Netzwerkgrenzen bekämpft. In IT-Vergaben für Netzwerkinfrastruktur und Internet-Anbindungen sollten Auftraggeber uRPF (Unicast Reverse Path Forwarding) und BCP38-konforme Konfigurationen als technische Anforderung festschreiben.
Innovationspartnerschaft
Die Innovationspartnerschaft ist ein spezielles Vergabeverfahren nach §19 VgV für Fälle, in denen eine innovative Leistung, die am Markt noch nicht verfügbar ist, erst entwickelt und anschließend beschafft werden soll. Auftraggeber wählen einen oder mehrere Partner aus und strukturieren das Verfahren in Forschungs- und Entwicklungsphasen mit definierten Zwischenzielen. Besonders relevant für IT-Beschaffungen mit hohem Innovationsanteil, bei denen weder eine klassische noch eine funktionale Leistungsbeschreibung ausreicht.
Input-Validierung Input Validation / Eingabeprüfung
Input-Validierung bezeichnet die Überprüfung aller vom Nutzer oder externen Systemen eingehenden Daten auf Typ, Format, Länge und erlaubte Wertemuster, bevor sie in einem IT-System verarbeitet oder gespeichert werden. Unzureichende Input-Validierung ist die Hauptursache für Injection-Schwachstellen (SQL Injection, Command Injection, XSS) und rangiert dauerhaft unter den OWASP Top 10. In IT-Vergaben für webbasierte Anwendungen und APIs sollten Auftraggeber Input-Validierung als explizite Sicherheitsanforderung definieren und durch statische Codeanalyse (SAST) und DAST-Tests im Abnahmeprozess nachprüfen lassen.
Interkommunale Kooperation
Interkommunale Kooperation bezeichnet die gemeinsame Aufgabenwahrnehmung mehrerer Kommunen, etwa beim gemeinschaftlichen Betrieb einer IT-Infrastruktur oder dem Bezug von Cloudleistungen über einen gemeinsamen Rahmenvertrag. Vergaberechtlich ist zu prüfen, ob die Zusammenarbeit als Inhouse-Vergabe, als interkommunale Zusammenarbeit nach §108 GWB oder als reguläre Beschaffung zu qualifizieren ist. Eine sorgfältig strukturierte interkommunale IT-Kooperation kann Skaleneffekte heben und den Vergabeaufwand für jede beteiligte Kommune erheblich reduzieren.
Interessensbekundung
Eine Interessensbekundung (Letter of Intent) ist die unverbindliche Erklärung eines Unternehmens gegenüber dem Auftraggeber, Interesse an einem geplanten Auftrag zu haben. Im Vergaberecht dient sie als Instrument der Markterkundung, bevor die eigentlichen Vergabeunterlagen veröffentlicht werden; sie begründet keinen Anspruch auf Teilnahme oder Zuschlag. Bei öffentlichen Aufträgen muss der Auftraggeber darauf achten, dass aus einer Interessensbekundung keine unzulässige Vorabinformation einzelner Unternehmen entsteht.
Insider Threat
Insider-Bedrohungen entstehen durch Mitarbeitende, Auftragnehmer oder privilegierte Nutzer, die absichtlich (Sabotage, Datendiebstahl) oder unabsichtlich (Fehlkonfiguration, Phishing-Opfer) Sicherheitsvorfälle verursachen; sie sind besonders schwer zu erkennen, da die Täter legitime Zugänge nutzen. Das BSI empfiehlt als Gegenmaßnahmen das Prinzip der minimalen Rechte (Least Privilege), Aufgabentrennung (Separation of Duties), User-Entity Behavior Analytics (UEBA) und ein vertrauliches Meldekanal für verdächtiges Verhalten. In IT-Ausschreibungen für SIEM- und UEBA-Lösungen sind Insider-Threat-Erkennungsszenarien (z.B. massenhafte Downloads, ungewöhnliche Anmeldezeiten) als Testfälle für die Abnahme zu spezifizieren.
IoT-Sicherheit Internet of Things Security
IoT-Sicherheit umfasst den Schutz vernetzter Geräte (Sensoren, Kameras, industrielle Steuerungen, Smart Building-Komponenten) vor Angriffen, da diese häufig schwache Passwörter, fehlende Verschlüsselung und seltene Updates aufweisen. Das BSI hat die Technische Richtlinie TR-03148 für sichere Breitbandrouter sowie spezifische Empfehlungen für Industrie-IoT (IIoT) veröffentlicht; der EU Cyber Resilience Act (CRA) verpflichtet Hersteller vernetzter Produkte zu Sicherheitsanforderungen und Update-Verpflichtungen bis 2027. In Ausschreibungen für IoT-Geräte und Smart-Campus-Lösungen sind Mindestanforderungen an Authentifizierung, Verschlüsselung, Netzwerksegmentierung und automatische Sicherheitsupdates verbindlich zu spezifizieren.
Integrität Datensintegrität / Schutzziel Integrität
Integrität ist eines der drei klassischen Schutzziele der Informationssicherheit und bezeichnet die Eigenschaft, dass Daten, Systeme und Prozesse vollständig, korrekt und unverfälscht sind, das heißt nicht unberechtigt verändert wurden. Integritätsverletzungen können durch Angriffe (z.B. Man-in-the-Middle, Ransomware), Softwarefehler oder Übertragungsfehler entstehen. In IT-Vergabeverfahren sollten Auftraggeber Integritätsanforderungen durch konkrete Maßnahmen operationalisieren, z.B. kryptografische Prüfsummen für Software-Updates, digitale Signaturen für Dokumente und Änderungsnachweise in Datenbanken.
Integritätsprüfung Integrity Check / Hash-Verifizierung
Eine Integritätsprüfung stellt sicher, dass Daten, Software oder Systemkomponenten seit ihrer Erstellung oder letzten autorisierten Änderung nicht manipuliert wurden, typischerweise mittels kryptografischer Hash-Funktionen (SHA-256 oder SHA-3). Im BSI IT-Grundschutz ist die Integritätsprüfung ein Kernelement des sicheren Betriebs und der sicheren Softwareverteilung. In IT-Vergaben sollten Auftraggeber verbindlich festlegen, dass gelieferte Software-Artefakte mit signierten Hash-Werten ausgeliefert werden und automatische Integritätsprüfungen im Deployment-Prozess verankert sind.
Integritätsschutz Integrity Protection / Data Integrity Controls
Integritätsschutz umfasst alle technischen Maßnahmen, die sicherstellen, dass Daten, Software und Systemkonfigurationen nur durch autorisierte Akteure in autorisierter Weise verändert werden können und jede unbefugte Modifikation erkannt wird. Gängige Mechanismen sind digitale Signaturen, kryptografische MACs (Message Authentication Codes), datenbankbasierte Audit-Trails und File-Integrity-Monitoring (FIM). In IT-Vergaben für kritische Fachverfahren, Finanzsysteme und eGovernment-Plattformen sollten Auftraggeber Integritätsschutzanforderungen für gespeicherte Daten, Übertragungen und gelieferte Software als Pflichtanforderung mit messbaren Nachweisen (Signatur-Verifikationsprozesse, FIM-Berichte) formulieren.
Integrationstest Integration Testing / Schnittstellentest
Integrationstests prüfen das Zusammenspiel mehrerer Komponenten, Module oder Systeme und stellen sicher, dass Schnittstellen korrekt implementiert sind und Daten zwischen den Systemen erwartungsgemäß fließen. Sie werden nach Unit-Tests und vor Systemtests durchgeführt und sind bei komplexen IT-Projekten mit vielen Subsystemen besonders kritisch. In IT-Vergaben für Systemintegrationsleistungen sollten Auftraggeber Integrationstestpläne, Testdatenkonzepte und Schnittstellendokumentationen als Pflichtliefergegenstände einfordern, damit das Zusammenspiel mit bestehenden Systemen frühzeitig nachgewiesen werden kann.
Interoperabilität
Interoperabilität bezeichnet die Fähigkeit von IT-Systemen, Daten und Dienste nahtlos miteinander auszutauschen und gemeinsam zu nutzen. Im öffentlichen Sektor fordert das E-Government-Gesetz den Einsatz offener Standards, um Vendor-Lock-in zu vermeiden und behördenübergreifende Prozesse zu ermöglichen. Bei IT-Vergaben wird Interoperabilität oft als technische Mindestanforderung formuliert, z.B. Unterstützung bestimmter offener Formate oder Schnittstellen.
IDS Intrusion Detection System
Ein Intrusion Detection System überwacht Netzwerkverkehr oder Systemaktivitäten auf Anzeichen bekannter Angriffsmuster und Anomalien; netzwerkbasierte IDS (NIDS) analysieren den Datenstrom, hostbasierte IDS (HIDS) prüfen lokale Systemereignisse. Im Gegensatz zu IPS (Intrusion Prevention Systems) blockiert ein reines IDS Angriffe nicht, sondern meldet sie für spätere Analyse. Das BSI nennt IDS als Bestandteil eines vollständigen Netzwerk-Monitorings; in Ausschreibungen sind Erkennungsraten, False-Positive-Quote und Integration in SIEM als messbare Leistungsparameter zu definieren.
IPS Intrusion Prevention System
Ein Intrusion Prevention System kombiniert die Erkennungsfunktionen eines IDS mit der Fähigkeit, erkannte Angriffe in Echtzeit zu blockieren, indem es verdächtige Pakete verwirft oder Verbindungen trennt. Netzwerkbasierte IPS (NIPS) sind typischerweise inline im Datenpfad positioniert und können bei hohem Durchsatz zum Engpass werden, weshalb Skalierbarkeit und Fail-Open-Verhalten in Ausschreibungen zu spezifizieren sind. Das BSI empfiehlt IPS als ergänzende Schutzschicht für exponierte Netzwerksegmente; False-Positive-Raten und Update-Zyklen für Signaturen sind als Serviceparameter vertraglich festzuhalten.
ISO 27001
ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert Anforderungen an Aufbau, Betrieb, Überwachung und Verbesserung eines ISMS. Eine Zertifizierung nach ISO 27001 wird in IT-Vergaben häufig als Eignungsnachweis gefordert oder als Zuschlagskriterium bewertet. In Deutschland bietet das BSI eine ISO-27001-Zertifizierung auf Basis des IT-Grundschutzes an, die beide Normenwelten verbindet.
Informationsschutz Information Protection / Data Protection Controls
Informationsschutz umfasst alle Maßnahmen, durch die schutzwürdige Informationen gegen unbefugten Zugriff, Verlust, Manipulation oder Offenbarung gesichert werden, und geht über den technischen IT-Schutz hinaus, indem er organisatorische, physische und personelle Schutzmaßnahmen einschließt. Das BSI IT-Grundschutz-Kompendium strukturiert den Informationsschutz nach Schutzbedarfskategorien (normal, hoch, sehr hoch) und leitet daraus passende Maßnahmen ab. In IT-Vergaben sollten Auftraggeber den für das Vorhaben geltenden Informationsschutzgrad definieren, entsprechende Sicherheitsanforderungen ableiten und vom Auftragnehmer den Nachweis verlangen, dass Informationen nur mit den erforderlichen Schutzmaßnahmen verarbeitet werden.
Informationsfreiheit Freedom of Information / IFG
Das Informationsfreiheitsgesetz (IFG des Bundes) gewährt jedem Bürger einen voraussetzungslosen Anspruch auf Zugang zu amtlichen Informationen von Bundesbehörden, sofern keine Ausnahmetatbestände (Datenschutz, Betriebs- und Geschäftsgeheimnisse, Sicherheitsbelange) greifen. In IT-Vergaben ist Informationsfreiheit relevant, da Vergabeunterlagen, Verträge und Evaluationsergebnisse potenziell IFG-pflichtig sind; Behörden müssen Vertraulichkeitsklauseln in IT-Verträgen sorgfältig mit IFG-Anforderungen abwägen. Auftraggeber sollten Auftragnehmer darauf hinweisen, dass eingereichte Unterlagen im Rahmen von IFG-Anfragen offenzulegen sind, sofern kein berechtigter Schutzinteressen dagegen steht.
Informationssicherheitsleitlinie Information Security Policy / IS-Leitlinie
Die Informationssicherheitsleitlinie ist ein von der Leitungsebene verabschiedetes Dokument, das Ziele, Verantwortlichkeiten und Grundprinzipien der Informationssicherheit einer Organisation verbindlich festschreibt und damit die Basis für das gesamte ISMS nach ISO 27001 oder BSI IT-Grundschutz bildet. Sie legt den Stellenwert der Informationssicherheit im Unternehmen fest und verpflichtet das Management zur Bereitstellung notwendiger Ressourcen. In IT-Vergaben für sicherheitskritische Dienstleistungen kann der Auftraggeber das Vorhandensein einer aktuellen, unterzeichneten Sicherheitsleitlinie als Eignungsnachweis des Bieters fordern.
Informationssicherheitsstrategie
Eine Informationssicherheitsstrategie legt die übergeordneten Ziele, Grundsätze und Maßnahmen einer Organisation zum Schutz ihrer Informationen und IT-Systeme fest und ist Basis für ein ISMS nach ISO 27001 oder BSI IT-Grundschutz. Sie definiert Schutzbedarfe, Verantwortlichkeiten, Ressourcenzuordnung und den Umgang mit Restrisiken auf Leitungsebene. In IT-Vergaben für strategische Beratungs- oder Betriebsdienstleistungen kann das Vorhandensein einer verabschiedeten Informationssicherheitsstrategie beim Bieter als Eignungsnachweis gefordert werden.
Informationsklassifizierung Information Classification / Datenkategorisierung
Informationsklassifizierung ist der Prozess, bei dem Daten und Informationen anhand ihrer Sensitivität und des erforderlichen Schutzbedarfs in Kategorien eingeteilt werden, z. B. öffentlich, intern, vertraulich oder geheim, um angemessene Schutzmaßnahmen zuordnen zu können. In Behörden orientiert sich die Klassifizierung an der Verschlusssachenordnung; für personenbezogene Daten gelten die Datenschutzkategorien nach DSGVO. In IT-Vergaben sollte das Klassifizierungsschema des Auftraggebers in den Vergabeunterlagen beschrieben werden, damit Auftragnehmer die erforderlichen Schutzmaßnahmen für die zu verarbeitenden Daten korrekt einkalkulieren können.
IT-Strategie IT Strategy / Digitalisierungsstrategie
Eine IT-Strategie definiert die mittel- bis langfristigen Ziele und den Handlungsrahmen für die IT-Entwicklung einer Organisation in Abstimmung mit den Geschäftszielen, einschließlich Investitionsprioritäten, Technologieentscheidungen und Sourcing-Ansätzen. Für öffentliche Auftraggeber bildet die IT-Strategie den Rahmen, innerhalb dessen einzelne IT-Vergaben stattfinden; eine fehlende Strategie führt zu unkoordinierten Einzelbeschaffungen und Inkompatibilitäten. In IT-Vergaben sollten Bieter erkennen können, in welchen strategischen Kontext ihr Angebot eingebettet ist; Auftraggeber sollten relevante IT-Strategieaspekte in den Vergabeunterlagen transparent machen.
IT-Servicemanagement ITSM / IT Service Management
IT-Servicemanagement bezeichnet alle Prozesse, Methoden und Werkzeuge, mit denen IT-Dienstleistungen geplant, geliefert, kontrolliert und verbessert werden, typischerweise auf Basis des ITIL-Frameworks. Es strukturiert Kernprozesse wie Incident Management, Problem Management, Change Management und Service-Level-Management in einem kohärenten Rahmen. In IT-Vergaben für Managed Services sollten Auftraggeber ITIL-Zertifizierungen des Anbieterpersonals und den Nachweis etablierter ITSM-Prozesse als Eignungsnachweis fordern, da diese unmittelbar die Qualität der täglichen Serviceerbringung beeinflussen.
IT-Sicherheitsbeauftragter ISB / Informationssicherheitsbeauftragter
Der IT-Sicherheitsbeauftragte (ISB) ist eine vom Management bestellte Person oder Rolle, die das Informationssicherheits-Managementsystem (ISMS) koordiniert, Sicherheitsrichtlinien fortschreibt und als zentrale Ansprechperson für alle sicherheitsrelevanten Fragen fungiert. Im BSI IT-Grundschutz ist der ISB ein Pflichtrolle; für KRITIS-Betreiber schreibt §8a BSIG zudem eine angemessene Personalausstattung vor. In IT-Vergaben für kritische Systeme sollten Auftraggeber fordern, dass beim Auftragnehmer ein benannter ISB vorhanden ist und als direkter Kommunikationspartner zur Verfügung steht.
Infrastruktur als Code IaC / Infrastructure as Code
Infrastructure as Code beschreibt den Ansatz, IT-Infrastruktur (Server, Netzwerke, Sicherheitsgruppen) durch maschinenlesbare Konfigurationsdateien zu definieren und per Versionskontrollsystem zu verwalten, statt sie manuell zu konfigurieren. Werkzeuge wie Terraform, Ansible und AWS CloudFormation ermöglichen reproduzierbare, auditierbare Infrastruktur-Deployments und senken das Risiko manueller Konfigurationsfehler. In IT-Vergaben für Cloud-Projekte sollten Auftraggeber IaC als Pflichtanforderung festlegen, da es Transparenz, Revisionssicherheit und einfache Disaster-Recovery-Tests ermöglicht.
IT-Betrieb IT Operations / IT-Betriebsführung
IT-Betrieb umfasst alle laufenden Prozesse, die notwendig sind, um IT-Systeme und Dienste im definierten Soll-Zustand zu halten, darunter Monitoring, Patch-Management, Benutzerverwaltung, Incident-Bearbeitung und Kapazitätsplanung. Er wird häufig nach ITIL-Framework strukturiert und bildet das operative Fundament für alle übergeordneten IT-Sicherheitsmaßnahmen. In IT-Vergaben für Managed Services oder Outsourcing-Verträge sollten Auftraggeber IT-Betriebsprozesse klar definieren, Service-Levels festlegen und Übergabepunkte zum eigenen Betrieb abgrenzen.
IT-Architektur IT Architecture / Enterprise Architecture
IT-Architektur beschreibt die strukturierte Gesamtheit aller IT-Systeme, Anwendungen, Schnittstellen und Technologien einer Organisation sowie die Prinzipien, nach denen sie aufgebaut, betrieben und weiterentwickelt werden. Eine dokumentierte IT-Architektur ist Voraussetzung für informierte Beschaffungsentscheidungen, Interoperabilitätsplanung und IT-Sicherheitskonzepte. In IT-Vergaben sollten Auftraggeber ihre Zielarchitektur und Architekturprinzipien (z.B. Cloud-First, Open Standards, API-first) in den Vergabeunterlagen beschreiben, damit Bieter passfähige Lösungen anbieten können.
IT-Compliance IT-Regelkonformität / Compliance Management
IT-Compliance bezeichnet die Einhaltung aller rechtlichen, regulatorischen und vertraglichen Anforderungen, die für den IT-Betrieb einer Organisation relevant sind, darunter DSGVO, BSIG, Branchenstandards wie PCI-DSS und interne Richtlinien. Ein IT-Compliance-Management-System identifiziert relevante Anforderungen, prüft deren Einhaltung kontinuierlich und dokumentiert Maßnahmen bei Abweichungen. In IT-Vergaben sollten Auftraggeber prüfen, welche Compliance-Anforderungen der Auftragnehmer für sie erfüllen muss, und Nachweispflichten sowie Auditrechte vertraglich vereinbaren.
IT-Grundschutz-Profil BSI Community Draft Profil
Ein IT-Grundschutz-Profil ist eine vorab ausgearbeitete, branchenspezifische Zusammenstellung relevanter BSI IT-Grundschutz-Bausteine, Anforderungen und Umsetzungshinweise für eine bestimmte Zielgruppe wie Kommunen, Kliniken oder kleine Behörden. Profiler ermöglichen es Organisationen, den BSI IT-Grundschutz ohne aufwändige Individualanpassung einzuführen, indem sie auf bewährten Vorlagen aufbauen. In IT-Beschaffungsverfahren können Auftraggeber auf IT-Grundschutz-Profile verweisen, um die Mindest-Sicherheitsanforderungen an IT-Dienstleister ohne vollständige eigene BSI-Konzepterstellung zu beschreiben.
IT-Risikomanagement IT Risk Management
IT-Risikomanagement ist ein systematischer Prozess zur Identifikation, Bewertung, Behandlung und Überwachung von Risiken, die aus dem Einsatz von IT-Systemen entstehen können. Anerkannte Frameworks sind ISO/IEC 27005 (Informationssicherheitsrisikomanagement), NIST RMF (Risk Management Framework) und BSI IT-Grundschutz. Im Vergabekontext ist IT-Risikomanagement relevant, wenn Auftraggeber IT-Dienstleistungen beschaffen und sicherstellen müssen, dass der Auftragnehmer eigene Risikomanagementprozesse betreibt und die Risikoverteilung zwischen Auftraggeber und Auftragnehmer vertraglich klar geregelt ist.
IT-Sicherheitsaudit
Ein IT-Sicherheitsaudit ist eine systematische, dokumentierte Überprüfung der Informationssicherheitsmaßnahmen einer Organisation anhand definierter Standards (z. B. ISO 27001, BSI IT-Grundschutz) oder vertraglicher Anforderungen. Auftraggeber können IT-Sicherheitsaudits als Leistungsbestandteil in Verträge aufnehmen oder das Recht auf eigene oder beauftragte Audits beim Dienstleister vertraglich verankern. Für KRITIS-Betreiber und NIS2-verpflichtete Einrichtungen sind regelmäßige externe Audits gesetzlich vorgeschrieben und sollten als Anforderung in Ausschreibungen abgebildet werden.
IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz (IT-SiG) regelt in Deutschland die Mindestanforderungen an die IT-Sicherheit für KRITIS-Betreiber und Bundesbehörden. Die zweite Fassung (IT-SiG 2.0, 2021) erweiterte den KRITIS-Kreis, stärkte die BSI-Befugnisse und führte neue Meldepflichten ein; 2025 folgte das BSIG 2025, das NIS2 umsetzt. Für öffentliche Auftraggeber relevant: Beschaffungen in regulierten Bereichen müssen Dienstleister nach IT-SiG-Anforderungen qualifizieren und nachweislich zertifizierte Komponenten einsetzen.
IT-Rahmenvertrag Framework Agreement / Dauervertrag IT
Ein IT-Rahmenvertrag ist ein öffentlicher Vertrag, der die grundlegenden Bedingungen für künftige Einzelabrufe (z.B. Preise, Qualitätsanforderungen, Lieferbedingungen) mit einem oder mehreren Auftragnehmern über einen definierten Zeitraum festlegt und somit wiederholte Einzelausschreibungen für gleichartige Leistungen ersetzt. §21 VgV erlaubt Rahmenvereinbarungen mit einer Laufzeit von bis zu vier Jahren; für KRITIS-relevante IT-Dienstleistungen kann eine längere Laufzeit sachlich begründet werden. Auftraggeber müssen bei Rahmenverträgen sicherstellen, dass der Wettbewerb unter den vertragsgebundenen Bietern durch Mini-Wettbewerbe (Second-Stage-Competition) erhalten bleibt.
IT-Revision IT Audit / Interne IT-Prüfung
Die IT-Revision ist eine systematische, unabhängige Prüfung von IT-Systemen, -Prozessen und -Kontrollen auf Ordnungsmäßigkeit, Sicherheit, Effizienz und Einhaltung regulatorischer Anforderungen. Sie unterscheidet sich vom Penetrationstest durch ihren prozessorientierten Ansatz: statt technischer Angriffssimulation prüft die IT-Revision Governance, Zugriffskontrollen, Änderungsmanagement und Protokollierungspflichten. In öffentlichen Aufträgen für IT-Betrieb oder RZ-Dienstleistungen sollten Auftraggeber das Recht auf jährliche IT-Revisionen durch eigene oder externe Prüfer sowie die Bereitstellung aller relevanten Dokumentationen als Vertragsbedingung verankern.
J
Jurisdiktion Gerichtsbarkeit / Anwendbares Recht
Jurisdiktion bezeichnet die gesetzliche Zuständigkeit einer staatlichen Stelle (Gericht, Datenschutzbehörde, Regulierer) für Personen, Unternehmen oder IT-Systeme, die von zentraler Bedeutung ist, wenn Cloud-Anbieter Daten in verschiedenen Ländern speichern oder verarbeiten. US-amerikanische Anbieter unterliegen dem CLOUD Act, der US-Behörden den Zugriff auf Daten auch außerhalb der USA ermöglicht; DSGVO-Konformität und EU-Gerichtsbarkeit werden daher in öffentlichen IT-Vergaben häufig gefordert. In Ausschreibungen für Cloud- und SaaS-Dienste sollten Auftraggeber Datenspeicherort, anwendbares Recht und Gerichtsstand explizit im Vertrag fixieren und US-CLOUD-Act-Risiken durch entsprechende Vertragsklauseln oder EU-lokale Anbieter mitigieren.
Jahresgespräch Annual Review Meeting / IT-Vertragsreview
Ein Jahresgespräch im IT-Vertragsmanagement ist ein regelmäßiges, formales Review-Meeting zwischen Auftraggeber und Auftragnehmer, in dem SLA-Performance, offene Issues, Vertragsänderungsbedarfe, Sicherheitslage und strategische Weiterentwicklung besprochen und dokumentiert werden. Es dient als Governance-Instrument, um Vertragsbeziehungen proaktiv zu steuern, statt nur reaktiv auf Störungen zu reagieren; gute Vertragsdesigns schreiben mindestens ein solches Gespräch pro Jahr vor. In IT-Vergaben für mehrjährige Managed Services oder Outsourcing-Verträge sollten Auftraggeber Jahresgespräche mit definierten Tagesordnungspunkten, Teilnehmern und dokumentierten Beschlüssen als Vertragspflicht verankern.
K
Keylogger Tastenanschlag-Aufzeichner / Keystroke Logger
Ein Keylogger ist Hard- oder Software, die alle Tastatureingaben eines Nutzers heimlich aufzeichnet und an Angreifer übermittelt, darunter Passwörter, PIN-Nummern, Korrespondenz und Zugangsdaten. Hardware-Keylogger werden physisch zwischen Tastatur und Computer gesteckt; Software-Keylogger werden oft als Teil von Trojanern installiert und sind schwer ohne spezialisierte Endpoint-Sicherheitslösungen zu erkennen. In IT-Vergaben für Behörden und KRITIS-Betrieb sollten Auftraggeber Schutzmaßnahmen gegen Keylogger wie Anti-Keylogger-Software, physische USB-Port-Beschränkungen und regelmäßige Hardware-Audits als Teil des Endpunktschutzkonzepts fordern.
Kritikalität Systemkritikalität / IT-Kritikalität
Kritikalität beschreibt, wie wichtig ein IT-System, ein Geschäftsprozess oder eine Information für das Funktionieren einer Organisation ist und welche Auswirkungen ein Ausfall hätte. Im BSI IT-Grundschutz wird Kritikalität im Rahmen der Schutzbedarfsfeststellung bewertet: Systeme mit hohem oder sehr hohem Schutzbedarf erfordern intensivere Sicherheitsmaßnahmen. In IT-Vergabeverfahren beeinflusst die Kritikalität direkt die Ausgestaltung von Sicherheitsanforderungen, SLA-Werten und Notfallplänen: Hochkritische Systeme erfordern höhere Verfügbarkeitsgarantien, kürzere Reaktionszeiten und erweiterte Backup-Strategien.
KRITIS Kritische Infrastrukturen
Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen entstehen würden. Nach BSIKritisV zählen dazu neun Sektoren: Energie, Wasser, Ernährung, IT/TK, Transport, Gesundheit, Finanz/Versicherung, Staat/Verwaltung, Medien/Kultur. KRITIS-Betreiber unterliegen erhöhten IT-Sicherheitspflichten (§8a BSIG) und müssen erhebliche Sicherheitsvorfälle beim BSI melden.
Kartellrecht Wettbewerbsrecht / Antitrust
Das Kartellrecht umfasst Rechtsnormen, die wettbewerbsbeschränkende Verhaltensweisen wie Preisabsprachen, Marktaufteilung und Missbrauch marktbeherrschender Stellungen untersagen. Im Vergaberecht ist Kartellrecht relevant, weil Submissionsabsprachen zwischen Bietern strafbar sind (§298 StGB) und das Kartellvergaberecht (4. Teil GWB) bei Oberschwellenvergaben angewendet wird. Das Bundeskartellamt überwacht als zuständige Behörde sowohl das Vergabe- als auch das Kartellrecht und kann bei Wettbewerbsverstößen im Vergabekontext ermitteln.
Kaskadenprinzip
Das Kaskadenprinzip im Vergaberecht beschreibt die hierarchische Anwendung von Vergabevorschriften: Primär gelten die EU-Richtlinien, dann das GWB, dann die VgV/UVgO/SektVO und schließlich landesspezifische Erlasse. Unterhalb der EU-Schwellen kaskadiert das Regelwerk von GWB-Grundsätzen über UVgO zu länderspezifischen Ausführungsbestimmungen. Auftraggeber müssen bei jeder Beschaffungsentscheidung prüfen, welche Ebene der Kaskade Anwendung findet.
Kartellvergaberecht
Kartellvergaberecht bezeichnet das öffentliche Beschaffungsrecht, das auf das Kartellrecht (GWB) gestützt ist und dem Schutz des Wettbewerbs bei der Vergabe öffentlicher Aufträge dient. Es umfasst die Vorschriften über Vergabekammern, Beschwerdeverfahren und Rechtsschutzinstrumente (§§97 ff. GWB) sowie das Verbot wettbewerbsbeschränkender Absprachen. Die Bezeichnung grenzt das GWB-basierte Oberschwellenrecht von den haushaltsrechtlich fundierten Unterschwellenvorschriften (UVgO) ab.
Kapazitätsplanung Capacity Planning / IT-Kapazitätsmanagement
Kapazitätsplanung ist der Prozess, durch den sichergestellt wird, dass IT-Ressourcen wie Rechenleistung, Speicher, Netzwerkbandbreite und Lizenzen den aktuellen und zukünftigen Anforderungen entsprechen, ohne unnötig hohe Kosten zu verursachen. In Cloud-Umgebungen wird sie durch Auto-Scaling und elastische Dienste erleichtert, erfordert aber präzise Auslastungsmetriken und Kostenüberwachung. In IT-Vergaben für Betriebsdienstleistungen oder Hosting sollten Auftraggeber Kapazitätsgrenzen, Skalierungsverfahren und Reaktionszeiten bei Kapazitätsengpässen als Service-Level-Parameter verbindlich festlegen.
Kapselung Encapsulation / Data Encapsulation
Kapselung ist ein grundlegendes Prinzip der Software-Architektur und Netzwerkkommunikation, das interne Implementierungsdetails eines Moduls oder Systems vor äußerem Zugriff verbirgt und nur über definierte Schnittstellen (APIs) zugänglich macht. In der Netzwerksicherheit bezeichnet Kapselung auch das Einpacken von Protokolldaten in Transportprotokolle (z.B. IP-in-IP-Tunneling, VPN) zur sicheren Übertragung. In IT-Vergaben ist Kapselung ein Qualitätsmerkmal für Systemarchitekturen: Auftraggeber sollten klare API-Definitionen, Schnittstellenstabilität und die Möglichkeit zum Austausch von Modulen ohne Systemumbauten als Architekturanforderung festschreiben.
Kerberoasting Kerberos Ticket Angriff / Active Directory Angriff
Kerberoasting ist ein Angriff auf Active Directory-Umgebungen, bei dem ein authentifizierter Benutzer Kerberos-Service-Tickets für Dienstkonten anfordert und diese offline mit Brute-Force-Methoden auf schwache Passwörter analysiert, um Dienstkonto-Zugangsdaten zu kompromittieren. Das Angriffsmuster nutzt aus, dass Kerberos-Tickets mit dem Passwort-Hash des Dienstkontos verschlüsselt sind und offline ohne Netzwerkkontakt geknackt werden können. In IT-Vergaben für Active-Directory-Betrieb und privilegiertes Zugriffsmanagement sollten Auftraggeber Schutzmaßnahmen wie Managed Service Accounts, lange zufällige Passwörter für Dienstkonten und AES-256-Kerberos-Verschlüsselung als technische Mindestanforderungen fordern.
Kill Chain
Das Kill-Chain-Modell beschreibt die typischen Angriffsphasen eines Cyberangriffs in sequenzieller Abfolge: Aufklärung, Bewaffnung, Auslieferung, Ausnutzung, Installation, Befehls- und Kontrollkommunikation sowie Ausführung der eigentlichen Aktion. Das Konzept wurde von Lockheed Martin geprägt und später durch das MITRE ATT&CK-Framework mit detaillierteren Techniken und Taktiken erweitert. In Sicherheitskonzepten für Behörden dient das Modell als Grundlage für die Planung von Erkennungs- und Reaktionsmaßnahmen auf jeder Phase.
Kubernetes-Sicherheit K8s Security / Container Orchestration Security
Kubernetes-Sicherheit umfasst die spezifischen Härtungs- und Schutzmaßnahmen für Kubernetes-Cluster, die Container-Orchestrierung in öffentlichen und privaten Cloud-Umgebungen absichern, darunter RBAC-Konfiguration, Network Policies, Pod Security Standards, sichere etcd-Verschlüsselung und Secret-Management. Der BSI IT-Grundschutz widmet Kubernetes einen eigenen Baustein (APP.4.4) mit konkreten Anforderungen für produktive Cluster-Deployments. In IT-Vergaben für DevSecOps-Plattformen und Managed-Kubernetes-Dienste sollten Auftraggeber die CIS-Benchmarks für Kubernetes als Mindestanforderung und automatisierte Konfigurationsprüfungen als vertraglich geforderte Betriebspflicht verankern.
Kündigung Außerordentliche Kündigung / Termination for Cause
Die Kündigung aus wichtigem Grund nach §314 BGB ermöglicht es dem Auftraggeber, einen IT-Dauerschuldvertrag (SaaS, Managed Service, Wartung) fristlos zu beenden, wenn der Auftragnehmer schwerwiegende Pflichtverletzungen begeht und eine Nachfristsetzung erfolglos geblieben ist. In IT-Vergabeverträgen sollten Auftraggeber konkrete Kündigungstatbestände und deren Rechtsfolgen (Datenmigration, Kostenerstattung, Schutzpflichten) vertraglich regeln, um im Ernstfall handlungsfähig zu bleiben. Das BSI empfiehlt, Kündigungsklauseln mit Exit-Managementpflichten zu verbinden, damit der Auftragnehmer bei Kündigung die ordnungsgemäße Datenübergabe und Betriebsübernahme sicherstellt.
Künstliche Intelligenz im Vergaberecht KI
Der Einsatz Künstlicher Intelligenz bei der Vorbereitung und Durchführung von Vergabeverfahren wirft neuartige Rechtsfragen auf: Darf eine KI Angebote vorwerten oder Ausschlussentscheidungen treffen? Der KI-Act der EU (VO 2024/1689) stuft KI-Systeme zur Bewertung von Personen oder Unternehmen in Behördenverfahren als Hochrisiko-KI ein und fordert menschliche Aufsicht. Auftraggeber, die KI-gestützte Vergabetools einsetzen, müssen Transparenz, Nachvollziehbarkeit und die abschließende menschliche Entscheidungsverantwortung sicherstellen.
Klassifizierungsschema Classification Scheme / Schutzklassen
Ein Klassifizierungsschema legt fest, nach welchen Kriterien Informationen und IT-Assets in Schutzklassen (z. B. öffentlich, intern, vertraulich, streng vertraulich) eingeteilt werden, um angemessene Schutzmaßnahmen abzuleiten. Das BSI IT-Grundschutz empfiehlt eine Schutzbedarfsanalyse als Basis, aus der die Schutzklasse für jede Informationsart resultiert. In IT-Vergaben sollten Auftraggeber von Bietern ein dokumentiertes Klassifizierungsschema und dessen konsequente Anwendung auf alle im Vertrag verarbeiteten Daten einfordern.
Kommunikationssicherheit Communication Security / COMSEC
Kommunikationssicherheit umfasst alle Maßnahmen zum Schutz von Informationen während ihrer Übertragung über Netzwerke oder andere Kommunikationskanäle, einschließlich Vertraulichkeit (Verschlüsselung), Integrität (Prüfsummen, MACs) und Verfügbarkeit (Redundanz). Das BSI IT-Grundschutz-Kompendium widmet mehrere Bausteine der Netz- und Kommunikationssicherheit (NET.x); für öffentliche Behörden gelten zusätzlich die BSI-Richtlinien für sichere Behördenkommunikation. In IT-Vergaben für Kommunikationsinfrastruktur sollten Auftraggeber konkrete Protokollanforderungen (TLS-Version, Cipher-Suiten), Zertifikatanforderungen und Monitoring-Anforderungen spezifizieren.
Konformitätsbescheinigung Certificate of Conformity / Declaration of Conformity
Eine Konformitätsbescheinigung ist ein formales Dokument, das bescheinigt, dass ein Produkt, Dienst oder Prozess die Anforderungen eines definierten Standards (z.B. ISO 27001, BSI C5, DSGVO-Anforderungen) erfüllt, und dient Auftraggebern als Nachweis ohne eigene Prüfung. Im Vergaberecht können Konformitätsbescheinigungen akkreditierter Zertifizierungsstellen als Eignungsnachweise akzeptiert werden; Selbsterklärungen ohne Drittprüfung haben demgegenüber einen niedrigeren Beweiswert. Auftraggeber sollten bei sicherheitskritischen IT-Vergaben definieren, welche Konformitätsbescheinigungen sie akzeptieren und welche Prüfstellen als akkreditiert anerkannt werden, um eine einheitliche Auswertung zu ermöglichen.
Konfigurationsmanagement
Konfigurationsmanagement bezeichnet die systematische Erfassung, Versionierung und Verwaltung aller IT-Komponenten (Hardware, Software, Netzwerk) und ihrer Konfigurationen in einer Configuration Management Database (CMDB). BSI IT-Grundschutz (OPS.1.2.6) und ITIL definieren Konfigurationsmanagement als Grundlage für Change Management, Incident Management und die Bewertung von Sicherheitsrisiken. In Ausschreibungen für IT-Betrieb oder ITSM-Plattformen sollten Auftraggeber Art und Aktualität der CMDB sowie automatisierte Konfigurationsprüfung als verbindliche Leistungsanforderung aufnehmen.
Kompromittierung Compromise / Security Breach
Kompromittierung bezeichnet den Zustand, in dem ein IT-System, ein Benutzerkonto, ein kryptografischer Schlüssel oder eine Identität durch einen Angriff oder eine Schwachstelle unbefugt unter die Kontrolle eines Angreifers geraten ist, ohne dass dies zwingend sofort erkennbar sein muss. Die Entdeckung einer Kompromittierung löst typischerweise einen Incident-Response-Prozess aus, der Eindämmung, forensische Analyse, Bereinigung und Nachbereitung umfasst; im Behördenumfeld bestehen zusätzlich Meldepflichten nach NIS2 und BSIG. In IT-Vergaben für Sicherheitsleistungen sollten Auftraggeber klären, wie der Dienstleister im Verdachtsfall einer Kompromittierung vorgeht, welche Nachweispflichten bestehen und wie lange forensische Beweise aufbewahrt werden.
KI-Sicherheit Künstliche Intelligenz / AI Security
KI-Sicherheit umfasst sowohl den Schutz KI-Systeme vor Angriffen (Adversarial ML, Model Poisoning, Data Poisoning) als auch die sichere Nutzung von KI in sicherheitsrelevanten Anwendungen (KI-basierte Anomalieerkennung, automatisierte Bedrohungsabwehr). Die EU AI Act (2024) klassifiziert KI-Anwendungen in Sicherheitssystemen als Hochrisiko-KI mit umfangreichen Konformitätspflichten; das BSI veröffentlicht Leitfäden für vertrauenswürdige KI. In IT-Ausschreibungen für KI-gestützte Sicherheitslösungen (UEBA, ML-basierte SIEM, automatisiertes Incident Response) sind Anforderungen an Modell-Transparenz, Bias-Minimierung, Erklärbarkeit (XAI) und regelmäßige Modell-Audits zu definieren.
Krisenübung Tabletop Exercise / IT-Notfallübung
Eine Krisenübung (Tabletop Exercise) ist ein simulationsbasiertes Training, bei dem ein Führungsteam einen Krisenfall (z.B. Ransomware-Angriff, Systemausfall) ohne reale Systemeingriffe durchspielt, um Kommunikationswege, Entscheidungsprozesse und Eskalationsketten zu testen und Schwächen im Notfallkonzept zu identifizieren. BSI IT-Grundschutz DER.4 (Notfallmanagement) schreibt regelmäßige Übungen als Pflichtanforderung vor; NIS2 verlangt von regulierten Einrichtungen nachweisliche Tests der Notfallpläne. In IT-Ausschreibungen für Notfallmanagement-Dienstleistungen sind regelmäßige Tabletop Exercises als Pflichtleistung zu definieren, inklusive Dokumentation der Übungsergebnisse und Maßnahmenpläne.
Kryptografiemanagement Cryptography Management / Key Management
Kryptografiemanagement umfasst die organisatorischen und technischen Prozesse zur Auswahl, Implementierung, Pflege und sicheren Außerbetriebnahme kryptografischer Verfahren, Schlüssel und Zertifikate über ihren gesamten Lebenszyklus. Es definiert, welche Algorithmen und Schlüssellängen zugelassen sind (nach BSI-Algorithmenkatalog), wie Schlüssel sicher erzeugt, gespeichert, verteilt und rotiert werden und wann veraltete Verfahren abzulösen sind. In IT-Vergaben für Verschlüsselungslösungen, PKI-Systeme und sichere Kommunikationsinfrastrukturen sollten Auftraggeber ein Kryptografiemanagement-Konzept des Auftragnehmers als Pflichtlieferdokument fordern und die Einhaltung des BSI-Algorithmenkatalogs als Mindeststandard vereinbaren.
Kryptografiestandard Cryptographic Standard / Kryptostandard
Kryptografiestandards legen fest, welche kryptografischen Algorithmen, Protokolle und Schlüssellängen als sicher gelten und in IT-Systemen eingesetzt werden dürfen; das BSI veröffentlicht dazu regelmäßig seinen Algorithmenkatalog, das NIST gibt FIPS-Standards und SP-Dokumente heraus. Veraltete Standards wie MD5, SHA-1, DES oder RSA mit Schlüsseln unter 2048 Bit gelten als kryptografisch unsicher und dürfen in neuen Systemen nicht mehr eingesetzt werden. In IT-Vergaben für sichere Kommunikation, Signatur-Systeme und Verschlüsselungslösungen sollten Auftraggeber die Einhaltung aktueller Kryptografiestandards (z.B. BSI-Algorithmenkatalog, NIST FIPS 140-3) als zwingend vorschreiben und deren Aktualität durch regelmäßige Nachweise sicherstellen.
Kryptoagilität Crypto Agility
Kryptoagilität bezeichnet die Fähigkeit von IT-Systemen und Protokollen, kryptografische Algorithmen ohne aufwändige Systemänderungen auszutauschen; sie ist angesichts des bevorstehenden Quantencomputer-Zeitalters und regelmäßiger Kryptoanalyse-Erkenntnisse unverzichtbar. BSI und NIST empfehlen Kryptoagilität als Designprinzip, damit zukünftige Algorithmen-Migrationen (z.B. von RSA auf Post-Quanten-Algorithmen) schrittweise und ohne Systemausfälle durchführbar sind. In IT-Ausschreibungen für PKI-Systeme, Verschlüsselungslösungen und langlebige IT-Infrastrukturen ist Kryptoagilität als Architekturanforderung zu spezifizieren, inklusive des Nachweises durch konfigurierbare Algorithmenauswahl.
Konfigurationssicherheit Secure Configuration Management
Konfigurationssicherheit bezeichnet die systematische Verwaltung und Überwachung von IT-Systemkonfigurationen mit dem Ziel, unsichere Standardeinstellungen zu vermeiden und Konfigurationsabweichungen (Drifts) frühzeitig zu erkennen. Fehlkonfigurationen sind laut BSI und ENISA eine der häufigsten Ursachen für erfolgreiche Cyberangriffe, besonders in Cloud-Umgebungen. In IT-Vergabeunterlagen sollten Auftraggeber Anforderungen an automatisiertes Konfigurationsmanagement (z.B. via Ansible, Terraform, CIS-konformer Baseline) und kontinuierliches Compliance-Scanning als Teil des Betriebs verbindlich vorschreiben.
Kontinuitätsplan Business Continuity Plan / BCP
Ein Kontinuitätsplan (Business Continuity Plan) dokumentiert, wie eine Organisation ihren Geschäftsbetrieb während und nach schwerwiegenden Störungen oder Katastrophen aufrechterhalten oder schnellstmöglich wiederherstellen wird, einschließlich Ausweichprozesse, Notfallressourcen und Kommunikationsstrategien. Er geht über den IT-Notfallplan hinaus und berücksichtigt auch personalbedingte, infrastrukturelle und externe Ausfälle. NIS2 und BSI IT-Grundschutz (DER.4) verpflichten betroffene Einrichtungen zur Erstellung und regelmäßigen Testung von Kontinuitätsplänen; in IT-Vergaben sollten Auftraggeber den Nachweis eines geprüften BCP als Eignungsanforderung für kritische Dienstleister einfordern.
Konventionalstrafe Vertragliche Pönale / Vertragsstrafe
Eine Konventionalstrafe ist eine im IT-Vertrag vorab vereinbarte Geldsumme, die der Auftragnehmer bei bestimmten Pflichtverletzungen (z.B. Überschreitung von Lieferfristen, Nichterreichung vereinbarter SLA-Werte) zahlen muss, ohne dass der Auftraggeber einen konkreten Schaden nachweisen muss. Im deutschen Recht ist die Konventionalstrafe in §§339-345 BGB geregelt; übermäßig hohe Vertragsstrafen können nach §343 BGB auf einen angemessenen Betrag herabgesetzt werden. In IT-Vergaben für Software-Entwicklung und IT-Betrieb sind Konventionalstrafen ein wichtiges Instrument zur Qualitätssicherung, sollten aber in Relation zum Auftragsvolumen und zu den tatsächlichen Schadensrisiken formuliert werden.
Konvergenz IT/OT Convergence / Network Convergence
Konvergenz im IT-Kontext bezeichnet die zunehmende Verschmelzung von IT-Netzwerken (Büro- und Verwaltungs-IT) mit OT-Netzwerken (Steuerungs- und Automatisierungstechnik) sowie die Integration von Sprach-, Video- und Datenkommunikation in einheitliche Netzwerkinfrastrukturen. Diese Konvergenz erhöht die Angriffsfläche, da OT-Systeme mit langen Lebenszyklen und eingeschränkter Patch-Fähigkeit nun mit dem Internet verbunden sind und IT-Angriffe direkte physische Auswirkungen haben können. In IT-Vergaben für Netzwerkinfrastruktur in Behörden mit KRITIS-Bezug sollten Auftraggeber Segmentierungskonzepte, Übergangssicherung zwischen IT- und OT-Zonen sowie klare Sicherheitsverantwortlichkeiten für konvergierte Netze fordern.
Konzession
Eine Konzession ist ein Vertrag, bei dem der Auftraggeber dem Auftragnehmer das Recht zur Nutzung einer Leistung oder Infrastruktur gegen Entgelt überträgt, wobei das Betriebsrisiko ganz oder teilweise beim Auftragnehmer verbleibt. Die Konzessionsvergabeverordnung (KonzVgV) und §105 GWB regeln die vergaberechtlichen Anforderungen. Im IT-Kontext relevant bei Konzessionen für Rechenzentrumsbetrieb oder digitale Infrastruktur, bei denen der Betreiber Einnahmen direkt von Nutzern generiert.
KonzVgV Konzessionsvergabeverordnung
Die KonzVgV regelt die Vergabe von Konzessionen oberhalb des EU-Schwellenwerts (5,538 Mio. EUR) und setzt die EU-Konzessionsrichtlinie 2014/23/EU um. Sie enthält Vorschriften zu Verfahrensarten, Bekanntmachung im TED, Fristen und Ausschlussgründen. Im IT-Kontext relevant bei der Vergabe von Betreiberkonzessionen für digitale Infrastruktur, Datenplattformen oder öffentliche WLAN-Netze, bei denen der Konzessionsnehmer das wirtschaftliche Betriebsrisiko trägt.
Kostenschätzung
Vor Einleitung eines Vergabeverfahrens ist der Auftraggeber nach §3 VgV verpflichtet, den voraussichtlichen Auftragswert realistisch zu schätzen. Die Kostenschätzung bestimmt, welche Vergabeordnung und welches Verfahren anwendbar ist. Für IT-Leistungen empfiehlt sich die Einbeziehung aller Vertragslaufzeiten, Verlängerungsoptionen und Nebenleistungen; eine zu niedrige Schätzung kann zur Nichtigkeit des Verfahrens führen, eine zu hohe unnötige Dokumentationslast erzeugen.
L
Löschkonzept Deletion Concept / Data Erasure Policy
Ein Löschkonzept legt verbindlich fest, welche Datenbestände wann, durch wen und mit welcher Methode datenschutzkonform zu löschen oder zu vernichten sind, und erfüllt damit die Anforderungen aus Art. 5 Abs. 1 e DSGVO (Speicherbegrenzung). Es muss alle Datenarten, Systeme und Speicherorte berücksichtigen, einschließlich Backups, Archiven und Cloud-Umgebungen; zertifizierte Löschmethoden (z.B. nach BSI TL-03423 oder DIN 66399) sichern die Unwiederbringlichkeit. In IT-Vergaben sollten Auftraggeber das Löschkonzept des Auftragnehmers als Pflichtdokument anfordern und Löschfristen sowie Nachweispflichten im AVV verankern.
Log-Analyse Log Analysis / Security Log Analysis
Log-Analyse bezeichnet die systematische Auswertung von Systemprotokollen, Ereignisprotokollen und Netzwerkdaten zur Erkennung sicherheitsrelevanter Ereignisse, Anomalien oder Compliance-Verstöße. Im Unterschied zur reinen Log-Sammlung (Log-Management) zielt Log-Analyse auf die Korrelation und Interpretation von Ereignissen, um Angriffsmuster zu erkennen, z.B. Brute-Force-Versuche, ungewöhnliche Anmeldezeitpunkte oder Datenexfiltration. In IT-Vergabeverfahren für SIEM- und SOC-Dienste sollten Auftraggeber konkrete Anforderungen an Log-Analyse-Kapazitäten spezifizieren, z.B. Anzahl Events per Second (EPS), Correlationsregeln und False-Positive-Rate.
Least Privilege Prinzip der minimalen Rechte
Das Least-Privilege-Prinzip verlangt, dass jeder Benutzer, Prozess und jede Anwendung nur die Zugriffsrechte erhält, die für die jeweilige Aufgabe tatsächlich erforderlich sind, nicht mehr. Es ist ein Kernprinzip sicherer IT-Architektur und in Standards wie ISO 27001 und BSI IT-Grundschutz verankert. In IT-Vergabeverfahren sollten Auftraggeber Least Privilege als verbindliche Anforderung in Berechtigungskonzepten, PAM-Lösungen und Cloud-IAM-Konfigurationen spezifizieren, um die Angriffsfläche bei kompromittierten Konten zu minimieren.
Lateral Movement Seitliche Bewegung im Netzwerk
Lateral Movement beschreibt die Phase eines Cyberangriffs, in der sich ein Angreifer nach dem initialen Zugang systematisch durch das Netzwerk bewegt, um weitere Systeme zu kompromittieren und Zugang zu sensiblen Daten oder privilegierten Konten zu erlangen. Angreifer nutzen dabei legitime Protokolle wie RDP, SMB oder WMI, um Sicherheitslösungen zu umgehen. In IT-Vergabeverfahren sind Maßnahmen zur Erkennung von Lateral Movement, etwa durch NDR oder UEBA, als technische Anforderung in Leistungsverzeichnissen für SOC- und Managed-Security-Dienste zu spezifizieren.
Lebenszykluskosten LCC / Life Cycle Costs
Lebenszykluskosten umfassen alle über die gesamte Nutzungsdauer eines Produkts oder einer Dienstleistung anfallenden Kosten: Anschaffung, Betrieb, Wartung, Entsorgung und ggf. externe Kosten (Umweltauswirkungen). Nach §59 VgV dürfen Auftraggeber Lebenszykluskosten als Zuschlagskriterium festlegen, um wirtschaftlich vorteilhafte Angebote gegenüber günstigen, aber langfristig teuren Lösungen zu bevorzugen. In der IT-Beschaffung sind Total Cost of Ownership (TCO) Berechnungen für Hardwareinfrastruktur, Software-as-a-Service oder Rechenzentrumslösungen ein zentrales Instrument nachhaltiger Beschaffung.
Leistungsbeschreibung
Die Leistungsbeschreibung definiert den Auftragsgegenstand vollständig, eindeutig und erschöpfend (§31 VgV). Sie kann als konstruktive Leistungsbeschreibung (mit genauen technischen Spezifikationen) oder als funktionale Leistungsbeschreibung (Beschreibung von Zweck und Ergebnis) gestaltet werden. In IT-Vergaben empfiehlt sich häufig eine Mischform: technische Mindestanforderungen als Ausschlusskriterien kombiniert mit funktionalen Anforderungen als Bewertungsgrundlage.
Leistungsnachweis Proof of Performance / Leistungserbringungsnachweis
Der Leistungsnachweis ist die formelle Dokumentation, mit der ein Auftragnehmer gegenüber dem Auftraggeber belegt, dass vereinbarte Leistungen vollständig und ordnungsgemäß erbracht wurden, und die Grundlage für die Abnahme und Rechnungslegung bildet. In IT-Projekten umfasst das typischerweise Abnahmedokumentationen, Testprotokolle, Lieferverzeichnisse und SLA-Berichte. §46 VgV erlaubt es Auftraggebern, bereits im Vergabeverfahren Referenznachweise über vergleichbare erbrachte Leistungen einzufordern, um die technische Leistungsfähigkeit der Bieter zu bewerten.
Leitungsschutz Line Protection / Network Cable Security
Leitungsschutz bezeichnet Maßnahmen zum Schutz physischer Netzwerk- und Kommunikationsleitungen vor unbefugtem Zugriff, Abhören, Manipulation oder Beschädigung, einschließlich der Absicherung von Verteilerkästen, Leitungskanälen und Netzwerkknoten. Das BSI IT-Grundschutz-Kompendium (INF.12) definiert Anforderungen an die physische Sicherheit von Verkabelung in Rechenzentren und Gebäuden, von der Trassensicherung bis zur Leitungsdokumentation. In IT-Vergaben für Netzwerkverkabelung und Rechenzentrumsinfrastruktur sollten Auftraggeber Anforderungen an Leitungsschutz und -dokumentation, Zugangskontrolle zu Technikräumen und Schutzmaßnahmen gegen elektromagnetische Abstrahlung (TEMPEST) verbindlich spezifizieren.
Leistungsphase Projektphase / Projektstadium
Eine Leistungsphase (auch Projektstadium) bezeichnet in IT-Projekten einen definierten Abschnitt des Projektverlaufs mit klar beschriebenen Zielen, Deliverables und Abnahmekriterien, z.B. Konzeptionsphase, Realisierungsphase, Pilotphase und Rollout. In Vergabeverfahren strukturieren Leistungsphasen das beauftragte Projekt und ermöglichen phasenweise Abnahmen und Zahlungsfreigaben, was das Risiko für Auftraggeber reduziert. Klare Leistungsphasenbeschreibungen im Leistungsverzeichnis sind besonders bei agilen Entwicklungsprojekten eine Herausforderung und erfordern angepasste Abnahmeregeln.
Leistungsverzeichnis (LV)
Strukturiertes Dokument, das den Auftragsgegenstand einer öffentlichen Ausschreibung vollständig und eindeutig beschreibt. Rechtliche Grundlage: §31 VgV, §28 UVgO. Ein LV besteht aus Leistungspositionen (je mit Mengenangabe, Einheit und Kurzbeschreibung) sowie technischen Anforderungen, Nachweispflichten und ggf. optionalen Positionen. Das LV ist Bestandteil der Vergabeunterlagen und nach Zuschlag Teil des Vertrages — Unklarheiten darin führen zu Nachtragsforderungen.
Leistungsposition Auftragsposition / LV-Position
Eine Leistungsposition ist die kleinste Einheit eines Leistungsverzeichnisses und beschreibt eine abgrenzbare Teilleistung mit Mengenansatz, Maßeinheit und Leistungstext, aus der Bieter ihren Einheitspreis ableiten. Positionen können als Hauptpositionen, optionale Positionen (Eventualpositionen) oder Alternativpositionen ausgestaltet werden. In IT-Leistungsverzeichnissen ist eine präzise Positionsgliederung entscheidend für die Vergleichbarkeit der Angebote und erleichtert die spätere Rechnungsprüfung, da Mehrmengen und Nachträge auf Positionsebene nachvollziehbar werden.
Lösungsarchitektur Solution Architecture / IT Solution Design
Eine Lösungsarchitektur beschreibt den strukturellen Aufbau einer IT-Lösung, einschließlich ihrer Komponenten, Schnittstellen, Datenflüsse, Sicherheitsmechanismen und technologischen Abhängigkeiten, und dient als verbindliches Referenzdokument für Entwicklung, Betrieb und Weiterentwicklung. Sie konkretisiert die Unternehmens- oder Bebehördenarchitektur für einen spezifischen Auftrag und bildet die Basis für Aufwandsschätzungen, Risikoanalysen und Abnahmeprüfungen. In IT-Vergaben sollten Auftraggeber eine Ziel-Lösungsarchitektur als Lieferdokument fordern und sicherstellen, dass sie mit bestehenden Unternehmensarchitekturstandards (z.B. TOGAF, SAGA) kompatibel ist.
Lieferantenbewertung Vendor Evaluation / Supplier Assessment
Die Lieferantenbewertung ist ein strukturierter Prozess, mit dem Auftraggeber die Sicherheits- und Qualitätsreife von IT-Dienstleistern und Produktlieferanten regelmäßig beurteilen, etwa anhand von Fragebögen, Audits oder Zertifikatnachweisen. Das BSI empfiehlt im Rahmen der UP KRITIS Best-Practice-Empfehlungen, Lieferanten zum Nachweis eines ISMS (ISO 27001 oder BSI IT-Grundschutz) zu verpflichten und Sicherheitsanforderungen vertraglich und durch regelmäßige Audits zu verifizieren. In der Vergabepraxis sollten Auftraggeber die Lieferantenbewertung als laufende Pflicht über die gesamte Vertragslaufzeit anlegen, nicht nur als einmalige Eignungsprüfung bei Vertragsschluss.
Lieferkettenangriff Supply Chain Attack
Bei einem Lieferkettenangriff kompromittieren Angreifer nicht das Zielunternehmen direkt, sondern einen vorgelagerten Dienstleister oder Softwareanbieter, dessen Produkte oder Updates dann als Angriffsvektor dienen. Der SolarWinds-Vorfall 2020 hat diesen Angriffspfad in das Bewusstsein öffentlicher Auftraggeber gebracht. NIS2 und BSI-Leitlinien verpflichten KRITIS-Betreiber, Lieferkettensicherheit in ihre Risikoanalyse einzubeziehen und Anforderungen per Vertragsklausel an Auftragnehmer weiterzugeben.
Lieferkettensicherheit Supply Chain Security
Lieferkettensicherheit bezeichnet Maßnahmen, die sicherstellen, dass Hardware, Software und Dienstleistungen auf dem gesamten Weg vom Hersteller zum Betrieb nicht kompromittiert werden. Das NIST Cybersecurity Framework und das BSI betonen, dass öffentliche Auftraggeber die Sicherheit ihrer gesamten IT-Lieferkette in Beschaffungsprozesse integrieren müssen, einschließlich der Unterauftragnehmer von Dienstleistern. In IT-Ausschreibungen sollten Lieferkettensicherheitsanforderungen explizit formuliert werden, z.B. Nachweise über sichere Entwicklungsprozesse (Secure SDLC), SBOM-Pflicht und Sicherheitsüberprüfungen von Sublieferanten.
Lieferumfang Leistungsumfang / Scope of Delivery
Der Lieferumfang beschreibt verbindlich, welche Hard- und Softwarekomponenten, Dokumentationen, Schulungsleistungen und Nebenleistungen ein Auftragnehmer im Rahmen eines IT-Vertrags bereitzustellen hat. Eine präzise Abgrenzung des Lieferumfangs ist Voraussetzung für eine rechtssichere Abnahme und verhindert spätere Streitigkeiten über Mehr- oder Minderleistungen. Auftraggeber sollten den Lieferumfang in der Leistungsbeschreibung erschöpfend und eindeutig definieren, da Unklarheiten nach §133 BGB zu Lasten des Auftraggebers interpretiert werden können.
Living-off-the-Land LotL
Living-off-the-Land bezeichnet eine Angriffstechnik, bei der Angreifer ausschließlich legitime Systembefehle und vorinstallierte Tools (z.B. PowerShell, WMI, certutil) nutzen, um ihre Aktivitäten in normalem Betriebsverhalten zu verschleiern. Da keine externe Malware eingebracht wird, versagen dateibasierte Erkennungsverfahren. CISA und NSA haben diesen Angriffsstil als Haupttechnik staatlicher Akteure dokumentiert; Gegenmaßnahmen umfassen Kommandozeilen-Protokollierung, EDR mit Verhaltensanalyse und das Prinzip geringstmöglicher Berechtigungen.
Lieferauftrag
Ein Lieferauftrag im Sinne von §103 Abs. 2 GWB ist ein öffentlicher Auftrag, der den Kauf, das Leasing, die Miete oder die Pacht von Waren betrifft; im IT-Bereich fallen darunter insbesondere Hardwarebeschaffungen, Softwarelizenzen und Cloudabonnements. Lieferaufträge unterliegen der VgV, wenn der Auftragswert die EU-Schwellenwerte erreicht; unterhalb kommen UVgO und Landesvergaberecht zur Anwendung. Die Abgrenzung zu Dienstleistungsaufträgen kann bei gemischten IT-Verträgen (Hardware plus Installation plus Support) komplex sein und bestimmt das anzuwendende Vergaberegime.
Log Management
Log Management bezeichnet die zentrale Sammlung, Speicherung, Aufbewahrung und Auswertung von System-, Anwendungs- und Sicherheitslogs aus allen IT-Systemen. BSI IT-Grundschutz OPS.1.1.5 schreibt vor, dass Protokolldaten integer, vollständig und vor Manipulation geschützt gespeichert werden müssen; Mindestaufbewahrungsfristen liegen je nach Datenkategorie zwischen 90 Tagen und 3 Jahren. In Ausschreibungen für IT-Betriebsservices und SOC-Dienste sind Log-Quellen, Datenvolumen (EPS), Aufbewahrungszeitraum und Übergabeformat bei Vertragsende als Anforderungen zu definieren.
Lizenzbeschaffung License Procurement / Software-Lizenzierung
Lizenzbeschaffung bezeichnet den Prozess der rechtmäßigen Erwerbung von Nutzungsrechten an Software, digitalen Inhalten oder Technologieplattformen im Rahmen öffentlicher Beschaffungsverfahren. Da Software urheberrechtlich nach §69a UrhG geschützt ist, erwerben öffentliche Auftraggeber bei der Beschaffung nicht das Eigentum, sondern ein beschränktes Nutzungsrecht, das Umfang, Nutzerzahl, Installationsorte und Weitergaberechte regelt. Besondere Sorgfalt ist bei Cloud-Lizenzen und SaaS-Modellen geboten, da Vendor-Lock-in, Datenportabilität und Beendigungsrechte in den Lizenz- und Servicebedingungen vertraglich abgesichert werden müssen.
Lizenzverwaltung License Management / Software Asset Management / SAM
Lizenzverwaltung bezeichnet den systematischen Prozess der Erfassung, Überwachung und Optimierung aller erworbenen Softwarelizenzen in einer Organisation, um Compliance mit Lizenzverträgen sicherzustellen, Über- und Unterlizenzierung zu vermeiden und Lizenzkosten transparent zu steuern. Im öffentlichen Bereich bildet die Lizenzverwaltung die Grundlage für Haushaltstransparenz und ist Voraussetzung für valide Kostenschätzungen in Folgeprojekten; Tools wie Software Asset Management-Lösungen automatisieren die Inventarisierung und Compliance-Prüfung. In IT-Vergaben für Enterprise-Software und Cloud-Dienste sollten Auftraggeber eine vertraglich zugesicherte Unterstützung bei der Lizenzoptimierung und ein regelmäßiges Lizenz-Reporting als Leistungsbestandteil festschreiben.
Lizenzkontrolle License Compliance / Software License Audit
Lizenzkontrolle bezeichnet die systematische Überprüfung, ob die tatsächliche Nutzung von Software, Cloud-Diensten und digitalen Inhalten mit den erworbenen Lizenzen übereinstimmt und keine unzulässige Unterlizenzierung (Compliance-Risiko) oder kostenpflichtige Überlizenzierung vorliegt. Softwarehersteller führen regelmäßig Lizenzaudits durch, bei denen Nachzahlungen in erheblichem Umfang drohen; öffentliche Auftraggeber sind zudem haushaltsrechtlich zur Wirtschaftlichkeit verpflichtet. In IT-Vergaben für Software und Cloud-Dienste sollten Auftraggeber vertragliche Audit-Rechte gegenüber dem Auftragnehmer vereinbaren und regelmäßige Lizenzberichte als Nachweis korrekter Nutzung fordern.
Lernende Systeme Machine Learning Systems / ML-basierte Systeme
Lernende Systeme sind IT-Anwendungen, die auf Basis von Machine-Learning-Algorithmen aus Trainingsdaten Muster ableiten und eigenständig Entscheidungen oder Vorhersagen treffen, ohne explizit für jedes Szenario programmiert worden zu sein. Im IT-Sicherheitskontext werden lernende Systeme für Anomalieerkennung, Spam-Filterung, Malware-Erkennung und Verhaltensanalysen eingesetzt; der EU AI Act klassifiziert Hochrisiko-KI in sicherheits- und Grundrechte-relevanten Bereichen mit strengen Konformitätspflichten. In IT-Vergaben für KI-gestützte Sicherheitslösungen sollten Auftraggeber Anforderungen an Modell-Transparenz, Bias-Erkennung, regelmäßiges Re-Training und Erklärbarkeit von Entscheidungen als verbindliche Leistungsparameter definieren.
Lasttest Load Test / Last- und Stresstest
Ein Lasttest prüft das Verhalten eines IT-Systems unter definierter Last, um sicherzustellen, dass Performance-Anforderungen wie Antwortzeiten, Durchsatz und Fehlerquoten auch unter Spitzenlast eingehalten werden. Varianten sind Stresstests (Überlastungsszenarien), Ausdauertests (Langzeitbetrieb) und Spike-Tests (plötzliche Lastspitzen). In IT-Vergaben für öffentlich zugängliche Portale oder betriebskritische Systeme sollten Auftraggeber maximale Nutzerzahlen, Antwortzeitgrenzen und Auslastungsszenarien als Testziele für den Abnahmelasttest vorab definieren.
Lastenheft Anforderungsspezifikation
Das Lastenheft beschreibt aus Auftraggeber-Sicht alle Anforderungen und Erwartungen an ein IT-System oder eine Dienstleistung, ohne die technische Umsetzung festzulegen. Es bildet die Grundlage für das Pflichtenheft des Auftragnehmers und ist zentrales Dokument bei IT-Ausschreibungen nach EVB-IT und UfAB. Ein präzises Lastenheft reduziert Missverständnisse, verhindert Scope-Creep und erleichtert die spätere Abnahme durch klar messbare Akzeptanzkriterien.
Load Balancer Lastenverteilung / Traffic Load Balancing
Ein Load Balancer verteilt eingehende Netzwerk- oder Anwendungsanfragen auf mehrere Server oder Instanzen, um Auslastung zu optimieren, Engpässe zu vermeiden und Hochverfügbarkeit sicherzustellen. Moderne Application-Layer-Load-Balancer (Layer 7) können zusätzlich SSL-Terminierung, Web-Application-Firewall-Funktionen und Health-Checking übernehmen. In IT-Vergaben für Webanwendungen und APIs sollten Auftraggeber Anforderungen an Lastverteilungsalgorithmen, SSL-Offloading, Session-Persistenz und Failover-Verhalten als technische Parameter spezifizieren.
Lose
Auftraggeber können einen Auftrag in Fach- oder Teillose aufteilen, um mittelständischen Unternehmen die Teilnahme zu ermöglichen (§97 Abs. 4 GWB). Bei einer Losaufteilung werden Lose getrennt ausgeschrieben und bewertet; Bieter können sich auf einzelne oder mehrere Lose bewerben, sofern keine Loseigenbewerbungspflicht besteht. Entscheidet der Auftraggeber gegen eine Losaufteilung, muss er dies im Vergabevermerk begründen.
Losausnahme Ausnahme von der Losaufteilungspflicht
Die Losaufteilungspflicht nach §97 Abs. 4 GWB kann entfallen, wenn eine Aufteilung wirtschaftlich oder technisch nicht sinnvoll ist, z. B. bei hochintegrierten IT-Systemen, bei denen eine losweise Vergabe die Systemintegration gefährdet oder unverhältnismäßige Koordinationsaufwände erzeugt. Der Auftraggeber muss die Losausnahme im Vergabevermerk nachvollziehbar begründen; pauschale Begründungen werden von Vergabekammern regelmäßig beanstandet. In der Praxis ist Generalunternehmerschaft bei komplexen IT-Projekten ein häufig genutzter, aber sorgfältig zu dokumentierender Ausnahmetatbestand.
M
Man-in-the-Middle MitM / Adversary-in-the-Middle
Bei einem Man-in-the-Middle-Angriff positioniert sich der Angreifer unbemerkt zwischen zwei kommunizierenden Parteien, um den Datenverkehr abzuhören, zu manipulieren oder umzuleiten. Moderne Varianten wie SSL-Stripping oder BGP-Hijacking können selbst verschlüsselte Verbindungen kompromittieren, wenn Zertifikatsprüfungen oder HSTS nicht konsequent erzwungen werden. In IT-Leistungsverzeichnissen für Netzwerkinfrastrukturen sollten mutual TLS (mTLS), Certificate Pinning und HSTS Preloading als verbindliche Sicherheitsanforderungen festgeschrieben werden.
Maßnahmenplan Aktionsplan / Remediation Plan
Ein Maßnahmenplan (Remediation Plan) ist ein strukturiertes Dokument, das festlegt, welche konkreten Schritte unternommen werden, um identifizierte Sicherheitslücken, Compliance-Mängel oder technische Defizite zu beheben, inklusive Verantwortlichkeiten, Fristen und Erfolgskriterien. Im IT-Sicherheitskontext wird ein Maßnahmenplan typischerweise nach einem Penetrationstest, einer Sicherheitsprüfung oder einem Audit erstellt. In IT-Vergabeverfahren sollten Auftraggeber vertraglich festschreiben, dass Auftragnehmer bei festgestellten Sicherheitsmängeln innerhalb definierter Fristen einen nachvollziehbaren Maßnahmenplan vorlegen und dessen Umsetzung nachweisen müssen.
Mängelbeseitigung Nachbesserung / Mangelbeseitigung
Die Mängelbeseitigung bezeichnet die Pflicht des Auftragnehmers, Mängel an der erbrachten Leistung auf eigene Kosten zu beseitigen, wenn die gelieferte Leistung nicht der vertraglich vereinbarten Beschaffenheit entspricht. Im IT-Vertragsrecht gelten Softwarefehler als Sach- oder Rechtsmängel, die zur Nachbesserung oder Minderung berechtigen; kritische Sicherheitslücken in gelieferten Systemen sind typischerweise Mängel der vereinbarten Sicherheitsanforderungen. EVB-IT-Verträge regeln Mängelbeseitigungsfristen und das Recht auf Ersatzvornahme bei fruchtlosem Fristablauf detailliert.
Meldepflicht Incident Reporting Obligation
Die Meldepflicht verpflichtet Betreiber kritischer Infrastrukturen und bestimmter IT-Dienstleister, erhebliche Sicherheitsvorfälle innerhalb festgelegter Fristen an das BSI und ggf. die zuständige Aufsichtsbehörde zu melden. Nach §8b BSIG gilt dies für KRITIS-Betreiber; NIS2 und der IT-SiG 2.0 weiten diesen Kreis erheblich aus und verkürzen die Erstmeldefrist auf 24 Stunden. Auftraggeber sollten in IT-Verträgen sicherstellen, dass Auftragnehmer eigene Meldepflichten kennen und den Auftraggeber unverzüglich über vertragsrelevante Vorfälle informieren.
Memory Forensics RAM-Forensik / Volatile Memory Analysis
Memory Forensics bezeichnet die Analyse des flüchtigen Arbeitsspeichers (RAM) eines Computersystems nach einem Sicherheitsvorfall, um dort hinterlassene Spuren von Schadsoftware, Verschlüsselungsschlüssel, Prozessstrukturen und Netzwerkverbindungen zu sichern. Da RAM-Inhalte beim Ausschalten verloren gehen, muss die Sicherung unmittelbar nach Entdeckung des Vorfalls erfolgen; spezialisierte Tools wie Volatility oder Rekall ermöglichen die Analyse von Speicherabbildern. In IT-Vergaben für SOC- und Incident-Response-Dienste sollten Auftraggeber Memory-Forensik-Fähigkeiten und die Durchführung von RAM-Dumps als Teil der Incident-Response-Prozesse fordern.
Migrationsplan Migration Plan / Migrationskonzept
Ein Migrationsplan ist ein strukturiertes Dokument, das Schritte, Zeitplan, Ressourcen, Risiken und Rollback-Verfahren für die Übertragung von Daten, Anwendungen oder IT-Systemen von einer bestehenden in eine neue Umgebung beschreibt. Bei IT-Migrationen in der öffentlichen Verwaltung (z.B. Rechenzentrumsverlagerung, Cloud-Migration) sind Datensicherheit, Verfügbarkeitsfenster und Datenschutzanforderungen besonders zu berücksichtigen. In IT-Vergaben sollten Auftraggeber einen detaillierten Migrationsplan als Pflichtlieferdokument fordern und Abnahmekriterien für erfolgreiche Migrationsphasen inklusive Rückfalloption vertraglich festlegen.
Mischkalkulation
Eine Mischkalkulation liegt vor, wenn ein Bieter Verluste bei einzelnen Leistungspositionen durch überhöhte Preise bei anderen Positionen ausgleicht, um einen wettbewerblich attraktiven Gesamtpreis anzubieten. Mischkalkulationen sind in bestimmten Grenzen zulässig; sie werden problematisch, wenn die Auftragsstruktur absehbar so verändert wird, dass die günstigen Positionen wegfallen und die teuren überwiegen. Auftraggeber prüfen bei auffälligen Angeboten die Plausibilität der Einzelpreise im Rahmen der Auskömmlichkeitsprüfung.
Mitteilungspflicht
Öffentliche Auftraggeber haben gegenüber Bietern umfangreiche Mitteilungspflichten: Sie müssen über die Zuschlagsentscheidung informieren (§134 GWB), auf Anfrage Gründe für die Nichtberücksichtigung nennen (§62 VgV) und bei Verfahrensaufhebung alle Beteiligten benachrichtigen. Verstöße gegen Mitteilungspflichten können die Vorabinformationsfrist neu in Gang setzen oder Schadensersatzansprüche begründen. Die fristgerechte Mitteilung ist auch aus praktischen Gründen wichtig, da sie die Wartezeit für den Auftraggeber definiert.
Mängelrüge
Die Mängelrüge ist die formelle Beanstandung von Leistungsmängeln durch den Auftraggeber gegenüber dem Auftragnehmer; sie ist Voraussetzung für die Geltendmachung von Gewährleistungsansprüchen und ggf. für die Verhängung von Vertragsstrafen. Im IT-Bereich erfolgt die Mängelrüge typischerweise schriftlich mit genauer Fehlerbeschreibung, Fehlerklasse und Behebungsfristen gemäß SLA-Definitionen. Der Auftragnehmer hat das Recht, Mängel zu untersuchen und zu beheben; verweigert er dies, kann der Auftraggeber Nacherfüllung, Minderung oder Schadensersatz geltend machen.
Mindestsicherheitsanforderung Minimum Security Requirement / Baseline Security Requirement
Eine Mindestsicherheitsanforderung definiert das nicht unterschreitbare Niveau technischer und organisatorischer Sicherheitsmaßnahmen, das ein IT-System oder ein Auftragnehmer unabhängig vom konkreten Schutzbedarf erfüllen muss, typischerweise als zwingend umzusetzende Kontrollen aus Standards wie BSI IT-Grundschutz-Basis-Anforderungen oder dem NIST Cybersecurity Framework Core. Im Vergabekontext bildet die Mindestsicherheitsanforderung die unterste Schwelle der technischen Anforderungen, unterhalb derer ein Angebot ausgeschlossen werden kann (Ausschlusskriterium), während darüber hinausgehende Maßnahmen als qualitative Zuschlagskriterien gewertet werden können. In IT-Ausschreibungen empfiehlt sich eine klare Trennung zwischen Mindestanforderungen (Pass/Fail) und weitergehenden Qualitätskriterien (Punkte), um Klarheit im Wertungsprozess zu schaffen.
Markterkundung
Die Markterkundung ist ein zulässiges Instrument zur Bedarfsermittlung vor Beginn eines Vergabeverfahrens (§28 VgV). Auftraggeber können potenzielle Anbieter befragen, Informationen zu Marktpreisen und technischen Möglichkeiten einholen und Referenzprodukte prüfen. Wichtig: An der Markterkundung beteiligte Unternehmen dürfen nicht automatisch vom späteren Vergabeverfahren ausgeschlossen werden, solange wettbewerbsverfälschende Vorteile aktiv ausgeglichen werden.
Mehrwertsteuer MwSt / USt / Value Added Tax
In öffentlichen Vergabeverfahren sind Preisangaben grundsätzlich netto ohne Umsatzsteuer zu machen, wobei die Umsatzsteuer separat ausgewiesen wird; der Zuschlag und die Haushaltsmittelberechnung beziehen sich auf den Bruttopreis. Öffentliche Auftraggeber wie Bundesbehörden sind zwar nicht vorsteuerabzugsberechtigt, sodass die Mehrwertsteuer eine echte Kostenbelastung darstellt, während bestimmte Einrichtungen (z.B. gemeinnützige Träger) unterschiedliche Mehrwertsteuersätze oder Steuerbefreiungen genießen können. In IT-Vergaben ist die korrekte Berechnung und Ausweisung der Umsatzsteuer bei Softwarelizenzen, Cloud-Diensten und internationalen Leistungen besonders relevant, da unterschiedliche Steuersätze (19% oder 7%) und Reverse-Charge-Mechanismen zur Anwendung kommen können.
Mengengerüst Quantity Framework / Bill of Quantities
Ein Mengengerüst ist die strukturierte Aufstellung aller zu erbringenden Leistungsmengen in einem Leistungsverzeichnis, das Bieter als Grundlage für ihre Kalkulation der Einheitspreise verwenden. Fehler oder Unvollständigkeiten im Mengengerüst können zu Nachträgen, Meinungsverschiedenheiten und Preissteigerungen führen; Auftraggeber haften nach BGH-Rechtsprechung für falsche Mengenangaben. In IT-Vergaben umfasst das Mengengerüst Anzahl der Lizenzen, Nutzerstunden, Support-Vorfälle, Trainingsstunden oder Transaktionen, die sorgfältig aus Bedarfsanalysen abgeleitet werden sollten.
MDR Managed Detection & Response
MDR ist ein ausgelagerter Sicherheitsdienst, bei dem ein externer Anbieter rund um die Uhr Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle übernimmt. Im Unterschied zum klassischen MSSP greift MDR aktiv in den Incident-Response-Prozess ein, isoliert kompromittierte Systeme und koordiniert die Eindämmung. Für Behörden und KRITIS-Betreiber ohne eigenen SOC ist MDR eine praktikable Alternative, die vertraglich klare SLAs für Reaktionszeiten und forensische Dokumentation erfordert.
MFA Multi-Faktor-Authentifizierung
Authentifizierungsverfahren, das mindestens zwei voneinander unabhängige Faktoren verlangt (Wissen, Besitz, Biometrie). Das BSI empfiehlt MFA für alle administrativen und privilegierten Zugänge; NIS2 macht MFA für KRITIS-Betreiber und wesentliche Einrichtungen zur Pflichtmaßnahme. In Ausschreibungen wird MFA häufig als technische Mindestanforderung für Fernzugriffs- und Cloud-Dienste verankert.
MFA-Bombing MFA Fatigue / Push-Bombing
MFA-Bombing (auch MFA Fatigue oder Push-Bombing) ist ein Angriff, bei dem Angreifer nach Erlangung von Zugangsdaten wiederholt Push-Authentifizierungsanfragen an das Mobilgerät des Opfers senden, um es durch anhaltende Benachrichtigungen zur unbeabsichtigten Bestätigung zu verleiten. CISA stuft MFA-Bombing als reale Bedrohung gegen Push-basierte MFA ein, die durch phishing-resistente Authentifizierungsmethoden wie FIDO2/Passkeys oder zahlenbasiertes Number-Matching wirksam verhindert werden kann. In IT-Ausschreibungen für Identitäts- und Zugangsmanagement sollten Auftraggeber explizit phishing-resistente MFA-Methoden nach NIST SP 800-63B als technische Mindestanforderung fordern und Push-only-MFA ausschließen.
Mindestanforderungen Minimum Requirements / Eignungsschwelle
Mindestanforderungen sind nicht verhandelbare Kriterien in Vergabeverfahren, die Bieter zwingend erfüllen müssen, um als geeignet zu gelten oder um nicht vom Verfahren ausgeschlossen zu werden. §46 VgV erlaubt Auftraggebern, technische und fachliche Mindeststandards festzulegen, z.B. Zertifizierungen, Referenzprojekte oder personelle Kapazitäten. Im Verhandlungsverfahren sind Mindestanforderungen und Zuschlagskriterien der Verhandlung grundsätzlich entzogen und müssen vorab klar und nachvollziehbar in den Vergabeunterlagen definiert werden.
MITRE ATT&CK
MITRE ATT&CK ist eine öffentlich zugängliche Wissensdatenbank mit dokumentierten Taktiken, Techniken und Prozeduren (TTPs) realer Angreifer, strukturiert nach Angriffsphasen wie Initial Access, Execution, Persistence und Exfiltration. Version 19 (April 2026) umfasst über 600 Techniken für Enterprise-, Mobile- und ICS-Umgebungen. In öffentlichen IT-Sicherheitsausschreibungen dient ATT&CK als gemeinsame Sprache zwischen Auftraggeber und Bieter, etwa wenn EDR-, NDR- oder SOC-Leistungen mit konkreter ATT&CK-Abdeckung nachgewiesen werden sollen.
Mitwirkungsverbote
Mitwirkungsverbote nach §6 VgV schließen Personen vom Vergabeverfahren aus, die befangen sind oder ein eigenes Interesse am Ausgang haben, etwa weil sie gleichzeitig für einen Bieter tätig sind. Die Pflicht zur Selbstauskunft und zur Offenlegung von Interessenkonflikten trifft alle an der Vorbereitung und Durchführung mitwirkenden Personen auf Auftraggeberseite. Verstöße können zur Anfechtbarkeit der Zuschlagsentscheidung und zu dienstrechtlichen Konsequenzen führen.
Micro-Segmentation
Micro-Segmentation unterteilt ein Netzwerk in kleine, isolierte Zonen bis hinunter auf die Workload-Ebene und erzwingt für jede Kommunikationsbeziehung eine explizite Freigabe, was die laterale Bewegung von Angreifern nach einer Kompromittierung verhindert. Im Gegensatz zur klassischen VLAN-Segmentierung kann Micro-Segmentation auch ost-west gerichteten Traffic innerhalb des Rechenzentrums kontrollieren und ist damit ein Kernprinzip des Zero-Trust-Modells. In IT-Ausschreibungen für Netzwerkinfrastruktur, Software-Defined Networking (SDN) und Cloud-Umgebungen ist Micro-Segmentation als Sicherheitsarchitekturanforderung zu spezifizieren, inklusive Policy-Management und Durchsetzung auf Hypervisor- oder Container-Ebene.
Mobile Security Mobile Device Security
Mobile Security umfasst Maßnahmen zum Schutz von Smartphones, Tablets und anderen mobilen Endgeräten sowie der darauf verarbeiteten Daten vor unbefugtem Zugriff, Malware und Datenverlust. Mobile Device Management (MDM) und Enterprise Mobility Management (EMM) sind typische technische Lösungen, die öffentliche Auftraggeber in BYOD- oder CYOD-Szenarien einsetzen. In IT-Ausschreibungen für Mobilgeräteverwaltung sollten Anforderungen an Geräteverschlüsselung, Remote-Wipe-Fähigkeit, App-Whitelisting und Konformität mit BSI-Grundschutz-Bausteinen zur mobilen Kommunikation explizit formuliert werden.
Monitoring IT-Sicherheitsmonitoring
Kontinuierliches IT-Sicherheitsmonitoring erfasst Sicherheitsereignisse, Systemzustände und Netzwerkanomalien in Echtzeit und bildet die Grundlage für eine wirksame Angriffserkennung. BSI IT-Grundschutz OPS.1.1.5 definiert Mindestanforderungen an das Protokollieren und Monitoring, darunter Retentionzeiträume, Integritätsschutz der Log-Daten und Eskalationspfade. In IT-Vergaben werden Monitoring-Dienste häufig gemeinsam mit SIEM und SOC ausgeschrieben; SLAs müssen Abdeckungsgrad (24/7), Log-Quellen und Reaktionszeiten je Schweregrad verbindlich festlegen.
Microservices-Sicherheit Microservices Security
Microservices-Sicherheit bezeichnet Maßnahmen und Architekturprinzipien, die sicherstellen, dass einzelne, lose gekoppelte Dienste in einer Microservices-Architektur gegen Angriffe geschützt sind, ohne dabei die Agilität und Skalierbarkeit einzuschränken. Besondere Herausforderungen sind die Absicherung der Service-zu-Service-Kommunikation (Zero Trust, mTLS), die Verwaltung von API-Zugangsdaten und die Überwachung eines verteilten Systems. In IT-Vergabeverfahren für moderne Anwendungsplattformen (Kubernetes, Cloud-native) sollten Auftraggeber Anforderungen an Service-Mesh, API-Gateway-Sicherheit und Container-Image-Scanning explizit in die Leistungsbeschreibung aufnehmen.
Multi-Cloud
Eine Multi-Cloud-Strategie bezeichnet den gleichzeitigen Einsatz mehrerer Cloud-Anbieter (z. B. AWS, Azure, Google Cloud) für verschiedene Workloads, um Vendor-Lock-in zu vermeiden und Ausfallsicherheit zu erhöhen. Für öffentliche Auftraggeber stellt die Multi-Cloud-Beschaffung vergaberechtliche Herausforderungen dar, da Einzelabrufe aus Rahmenverträgen verschiedener Anbieter sorgfältig auf Auftragswert und Diskriminierungsverbot geprüft werden müssen. Interoperabilitäts- und Portabilitätspflichten nach DORA und dem Data Act sind bei der Vertragsgestaltung zu berücksichtigen.
Mittelstandsförderung SME Promotion / KMU-Förderung
Mittelstandsförderung im Vergaberecht bezeichnet die Gesamtheit der Vorschriften und Praktiken, die sicherstellen, dass kleine und mittlere Unternehmen (KMU) an öffentlichen Vergabeverfahren gleichberechtigt teilnehmen können. §97 Abs. 4 GWB verpflichtet öffentliche Auftraggeber zur Losaufteilung, damit KMU Teilleistungen eigenständig anbieten können; Zusammenfassungen zu einem Gesamtlos bedürfen einer schriftlichen Begründung. In IT-Vergaben sind angemessene Umsatzgrenzen, gezielte Losbildung und Erleichterungen bei Eignungsnachweisen zentrale Instrumente, um den Marktzugang für IT-KMU zu sichern.
MSSP Managed Security Service Provider
Ein MSSP erbringt dauerhaft ausgelagerte IT-Sicherheitsdienstleistungen: Firewall-Management, Intrusion Detection, Log-Monitoring und Schwachstellenscanning. Im Unterschied zu MDR liegt der Fokus klassischer MSSPs auf Überwachung und Berichterstattung, ohne direkte Reaktion auf Vorfälle. Beim Einkauf von MSSP-Leistungen über öffentliche Vergaben sind klare SLAs, Datenschutzanforderungen (Datenspeicherort EU) und Meldepflichten bei Sicherheitsvorfällen vertraglich zu verankern.
MTTD Mean Time to Detect
MTTD misst die durchschnittliche Zeitspanne vom Eintritt eines Sicherheitsvorfalls bis zu seiner Erkennung. Nach NIST ist MTTD eine Kernkennzahl zur Bewertung der Detektionsfähigkeiten eines SOC oder MDR-Dienstleisters. In Ausschreibungen für Security-Monitoring-Dienste wird MTTD häufig als messbares SLA-Kriterium definiert, da kürzere Erkennungszeiten direkt die Schadenshöhe bei erfolgreichen Angriffen reduzieren.
MTTR Mean Time to Respond
MTTR bezeichnet die durchschnittliche Zeit vom Erkennen eines Sicherheitsvorfalls bis zur vollständigen Eindämmung und Wiederherstellung normaler Betriebszustände. Zusammen mit MTTD bildet MTTR das zentrale Kennzahlenpaar für die Wirksamkeit von Incident-Response-Prozessen. In Leistungsverzeichnissen für SOC- und MDR-Dienste sollten MTTR-Ziele nach Schweregrad gestaffelt werden, etwa unter 4 Stunden für kritische KRITIS-Systeme.
N
Netzwerkdiagramm Network Diagram / Netzwerktopologieplan
Ein Netzwerkdiagramm visualisiert die physische und logische Struktur einer IT-Netzwerkinfrastruktur mit allen Komponenten, Verbindungen, IP-Adressbereichen und Sicherheitszonen. Es ist ein Pflichtbestandteil der technischen Systemdokumentation nach BSI IT-Grundschutz und unverzichtbar für Sicherheitsanalysen, Firewall-Regelmanagement und Notfallplanung. In IT-Vergaben für Netzwerkinfrastruktur sollten Auftraggeber aktuelle Netzwerkdiagramme als Ist-Zustand-Dokumentation fordern und klären, wer für deren Aktualisierung bei Änderungen verantwortlich ist.
Netzwerkanalyse Network Analysis / Traffic Analysis
Netzwerkanalyse bezeichnet die systematische Untersuchung des Datenverkehrs und der Kommunikationsbeziehungen in einem IT-Netzwerk, um Leistungsengpässe, Fehlkonfigurationen, unerwünschte Verbindungen und Angriffsmuster zu erkennen. Werkzeuge wie Wireshark, NetFlow-Kollektoren oder SIEM-Systeme sammeln und korrelieren Netzwerkdaten; im Sicherheitskontext unterscheidet man passive Analyse (ohne Eingriff) von aktiver Analyse (mit Probe-Traffic). In IT-Vergaben für Netzwerkbetrieb und SOC-Dienste sollten Auftraggeber regelmäßige Netzwerkanalysen, Baselining normaler Kommunikationsmuster und automatisierte Anomalieerkennung als Pflichtleistungen mit definierten Berichtsrhythmen vereinbaren.
Netzwerkzugriffskontrolle NAC / Network Access Control
Netzwerkzugriffskontrolle stellt sicher, dass nur authentifizierte, autorisierte und sicherheitskonform konfigurierte Geräte Zugang zum Unternehmensnetzwerk erhalten, und isoliert nicht konforme Geräte automatisch in Quarantäne-Segmente. Sie wird typischerweise über IEEE 802.1X-Standard in Kombination mit einem RADIUS-Server und Endpoint-Compliance-Prüfungen implementiert. In IT-Vergaben für Netzwerkinfrastruktur sollten Auftraggeber NAC-Anforderungen inklusive Gast-Netz-Management, BYOD-Richtlinien und automatischer Quarantänisierung nicht konformer Geräte verbindlich spezifizieren.
Notfallübung Emergency Drill / Tabletop Exercise
Eine Notfallübung ist eine geplante Simulation eines IT-Ausfalls oder Sicherheitsvorfalls, um die Wirksamkeit von Notfallplänen, Kommunikationswegen und Wiederherstellungsverfahren in einer kontrollierten Umgebung zu testen. Tabletop-Übungen simulieren Szenarien in Diskussionsformat; technische Übungen wie DR-Tests oder Red-Team-Planspiele testen Systeme und Prozesse praktisch. In IT-Vergaben für KRITIS-nahe Dienste sollten Auftraggeber regelmäßige Notfallübungen (mindestens jährlich) als Vertragspflicht verankern und sich Übungsberichte und Verbesserungsmaßnahmen vorlegen lassen.
Notfallkommunikation Emergency Communication / Crisis Communication
Notfallkommunikation bezeichnet alle vorbereiteten Prozesse und Kanäle zur Kommunikation mit internen und externen Stakeholdern während eines IT-Sicherheitsvorfalls oder Systemausfalls, einschließlich Eskalationsketten, Statusmeldungen und Pressekommunikation. Ein fehlender Notfallkommunikationsplan führt in Krisenzeiten zu Verwirrung, Vertrauensverlust und erschwerter Koordination der Reaktion. In IT-Vergaben für MSSP- oder SOC-Dienste sollten Auftraggeber konkrete Kommunikationspflichten, Meldewege und Reaktionszeiten für die Notfallkommunikation als SLA-Bestandteil festlegen.
Netzwerkhärtung Network Hardening / Network Security Hardening
Netzwerkhärtung bezeichnet die systematische Konfiguration von Netzwerkkomponenten (Router, Switches, Firewalls, Load Balancer) nach Sicherheitsprinzipien wie Least Privilege, Deaktivierung ungenutzter Dienste und Ports, Einsatz sicherer Protokolle (TLS 1.3 statt SSLv3) und Segmentierung, um die Angriffsfläche des Netzwerks zu minimieren. BSI IT-Grundschutz (NET.1.1, NET.3) und CIS Benchmarks definieren spezifische Härtungsanforderungen für gängige Netzwerkgeräte. In IT-Vergaben für Netzwerkinfrastruktur sollten Auftraggeber Netzwerkhärtung nach einem benannten Standard als Abnahmekriterium festschreiben und sich regelmäßige Konfigurationsaudits vorbehalten.
Netzwerkmonitoring Network Monitoring / Netzwerküberwachung
Netzwerkmonitoring bezeichnet die kontinuierliche Überwachung von Netzwerkkomponenten, Verbindungen und Datenflüssen auf Verfügbarkeit, Performance und Sicherheitsanomalien in Echtzeit. Tools wie Nagios, Zabbix, PRTG oder Cisco DNA Center erfassen Metriken wie Latenz, Paketverlust, Bandbreitenauslastung und Gerätestatus; Alarmschwellen lösen automatisch Benachrichtigungen aus. In IT-Vergaben für Netzwerkinfrastruktur sollten Auftraggeber Anforderungen an das Monitoring-System, Dashboards, Alerting-Kanäle und die Aufbewahrung von Performance-Daten als Bestandteil der Betriebsleistung definieren.
Netzwerkverfügbarkeit Network Availability / Hochverfügbarkeit
Netzwerkverfügbarkeit bezeichnet den Prozentsatz der Zeit, in der ein Netzwerk oder eine Netzwerkkomponente betriebsbereit und für Nutzer erreichbar ist, typischerweise ausgedrückt als SLA-Kennzahl (z.B. 99,9% oder 99,99% Verfügbarkeit). Hochverfügbarkeitsarchitekturen setzen auf Redundanz (doppelte Leitungen, mehrere Carrier, redundante Core-Switches) und automatisches Failover, um Single Points of Failure zu eliminieren. In IT-Vergaben für Netzwerkinfrastruktur und WAN-Dienste sollten Auftraggeber Verfügbarkeitsziele, Messmethoden, Wartungsfenster und Pönalen bei SLA-Verletzungen präzise spezifizieren.
Netzsegmentierung Network Segmentation / Netzwerksegmentierung
Netzsegmentierung teilt ein IT-Netzwerk in logische oder physische Zonen (Segmente) auf, um seitliche Bewegungen von Angreifern zu erschweren und den Schadenumfang bei Kompromittierungen zu begrenzen. Typische Segmente sind Produktionsnetz, Entwicklungsumgebung, Management-Netz, Gastnetz und DMZ; Firewalls und Access Control Lists (ACLs) kontrollieren den Datenverkehr zwischen den Segmenten. Das BSI IT-Grundschutz (NET.1.1) und die CISA empfehlen Netzsegmentierung als fundamentale Schutzmaßnahme insbesondere für OT/IT-Netzwerke und kritische Infrastrukturen.
Netzwerkprotokoll Network Protocol / Kommunikationsprotokoll
Ein Netzwerkprotokoll ist ein Regelwerk, das festlegt, wie Daten zwischen Systemen in einem Netzwerk formatiert, übertragen, empfangen und interpretiert werden, einschließlich Fehlerbehandlung und Sicherheitsmechanismen. In IT-Vergaben für Netzwerkinfrastruktur ist die Auswahl sicherer Protokollversionen (z.B. TLS 1.3 statt TLS 1.0/1.1, SNMPv3 statt v1/v2, SSHv2) und das Deaktivieren unsicherer Altprotokolle als Anforderung festzulegen. Das BSI veröffentlicht regelmäßig aktualisierte Technische Richtlinien zu empfohlenen Protokollen und Algorithmen (BSI TR-02102).
Netzwerksicherheit Network Security / IT-Netzwerksicherheit
Netzwerksicherheit umfasst alle technischen und organisatorischen Maßnahmen zum Schutz der Verfügbarkeit, Vertraulichkeit und Integrität von Netzwerkinfrastrukturen, einschließlich Firewalls, IDS/IPS, VPN, Segmentierung und Netzwerkmonitoring. Der BSI IT-Grundschutz beschreibt im Bereich NET.1 umfassende Anforderungen an Netzarchitektur, -management und -überwachung. In IT-Ausschreibungen für Netzwerklösungen, Managed-Service-Provider oder Cloud-Anbindungen sollten Auftraggeber konkrete Sicherheitsarchitekturvorgaben, Protokollierungsanforderungen und SLA-Metriken für Netzwerksicherheitsvorfälle definieren.
Netzwerktrennung Network Separation / Netzwerkisolation
Netzwerktrennung bezeichnet die physische oder logische Separierung von Netzwerksegmenten mit unterschiedlichem Schutzbedarf, um laterale Bewegungen von Angreifern zu verhindern und Kompromittierungen auf einzelne Segmente zu begrenzen. Im BSI IT-Grundschutz (NET.1.1) ist die Trennung von produktiven Netzen, Management-Netzen und Wartungszugängen als grundlegende Anforderung formuliert. In IT-Vergaben für Netzwerkinfrastrukturen sollten Auftraggeber das Zonenkonzept des Auftraggebers beschreiben und klare Anforderungen an die Umsetzung der Netzwerktrennung (VLANs, physische Trennung, Firewall-Regeln) als Leistungsbestandteile definieren.
Netzwerktopologie Network Topology / Netzwerkarchitektur
Die Netzwerktopologie beschreibt die physische und logische Anordnung von Netzwerkkomponenten und -verbindungen, einschließlich Segmentierung, Redundanzpfade und Sicherheitszonen (DMZ, Intranet, Management-Netz). Eine sicherheitsorientierte Topologie mit Mikrosegmentierung, Next-Generation-Firewalls an Zonenübergängen und separaten Out-of-Band-Management-Netzen ist zentraler Bestandteil einer Defense-in-Depth-Architektur. In IT-Vergaben für Netzwerkinfrastruktur oder Rechenzentrumslösungen sollten Auftraggeber Anforderungen an Topologie, Redundanz und Segmentierung in der Leistungsbeschreibung als Mindeststandards definieren.
Nachhaltigkeit in der IT Green IT / Sustainable IT
Nachhaltigkeit in der IT umfasst Maßnahmen zur Reduzierung des Energieverbrauchs, der CO2-Emissionen und des Ressourceneinsatzes im gesamten IT-Lebenszyklus, von der Herstellung über den Betrieb bis zur Entsorgung. Das Kreislaufwirtschaftsgesetz, die EU-Ökodesign-Verordnung und der Nationale Aktionsplan Wirtschaft und Menschenrechte prägen zunehmend die Anforderungen an nachhaltige IT-Beschaffung. Öffentliche Auftraggeber können und sollen nach §67 VgV Umweltanforderungen als Zuschlagskriterien oder Ausführungsbedingungen in IT-Vergaben einfließen lassen, z.B. Energieeffizienzklassen, Reparierbarkeit oder Herstellernachweise zum CO2-Fußabdruck.
Nachtragsprüfung Änderungsbegehren / Nachtragsmanagement
Die Nachtragsprüfung ist die systematische Überprüfung von Nachtragsbegehren eines Auftragnehmers auf ihre vergabe- und vertragsrechtliche Zulässigkeit sowie auf die Angemessenheit der geforderten Mehrvergütung. Nach §132 GWB sind wesentliche Vertragsänderungen grundsätzlich neu auszuschreiben; zulässige Änderungen ohne erneute Ausschreibung sind in §132 Abs. 2 GWB eng begrenzt. Im IT-Umfeld entstehen Nachträge häufig durch geänderte Anforderungen, technische Zusatzleistungen oder nicht vorhersehbare Schnittstellenprobleme; Auftraggeber sollten klare Nachtragsprozesse und Änderungsmanagement-Klauseln in Verträgen verankern.
Nachtrag
Ein Nachtrag ist eine nachträgliche Vertragsänderung, die über den ursprünglichen Leistungsumfang hinausgeht und zusätzliche Vergütung auslöst. Nach §132 GWB sind wesentliche Auftragsänderungen während der Laufzeit grundsätzlich als neue Vergabe zu behandeln und neu auszuschreiben. Nicht-wesentliche Änderungen oder solche im Rahmen klarer Vertragssklauseln sind zulässig. In IT-Projekten sind Nachträge häufig Folge unvollständiger Leistungsbeschreibungen; eine präzise Anforderungsdefinition reduziert das Nachtragsrisiko erheblich.
Nachforderungen
Nach §56 VgV kann der Auftraggeber Bieter auffordern, fehlende, unvollständige oder fehlerhafte unternehmensbezogene Unterlagen (Eigenerklärungen, Nachweise, Zertifikate) nachzureichen oder zu ergänzen. Leistungsbezogene Unterlagen, die die wirtschaftliche Angebotsbewertung betreffen, dürfen grundsätzlich nicht nachgefordert werden. Der Auftraggeber kann in den Vergabeunterlagen festlegen, dass er keine Nachforderungen vornimmt; in diesem Fall ist das Angebot bei Unvollständigkeit zwingend auszuschließen.
Nachhaltige Beschaffung
Nachhaltige Beschaffung berücksichtigt bei der Vergabe öffentlicher Aufträge neben Preis und Qualität auch Umwelt-, Sozial- und Governance-Kriterien. Das GWB §97 Abs. 3 ermöglicht die Einbeziehung von Nachhaltigkeitsaspekten in Zuschlagskriterien. In IT-Vergaben fließen zunehmend Energieeffizienz (z.B. PUE-Werte bei Rechenzentren), Lebenszykluskosten und faire Lieferketten in die Bewertungsmatrix ein, unterstützt durch die Allianz für nachhaltige Beschaffung von Bund, Ländern und Kommunen.
NAC Network Access Control
Network Access Control prüft Endgeräte vor dem Netzwerkzugang auf Compliance mit Sicherheitsrichtlinien (aktueller Patch-Stand, aktiver Virenschutz, verschlüsselte Festplatte) und gewährt nur konformen Geräten Zugang zum internen Netz; nicht-konforme Geräte werden in ein Quarantäne-VLAN umgeleitet. BSI IT-Grundschutz NET.1.1 empfiehlt NAC als Schutzmechanismus gegen unautorisierte Netzwerkteilnehmer. In Ausschreibungen für Netzwerkinfrastruktur und Campus-Netzwerke sind NAC-Anforderungen hinsichtlich 802.1X-Unterstützung, Integration in MDM/CMDB und Behandlung von IoT-Geräten zu spezifizieren.
Nachbesserung Mangelbeseitigung / Nacherfüllung
Nachbesserung bezeichnet die Pflicht und das Recht des Auftragnehmers, eine mangelbehaftete Leistung auf eigene Kosten so zu überarbeiten, dass sie den vertraglich vereinbarten Anforderungen entspricht. Im IT-Vertragsrecht (EVB-IT) ist Nachbesserung die primäre Rechtsfolge bei Mängeln; erst nach Scheitern der Nachbesserung haben Auftraggeber das Recht auf Minderung, Rücktritt oder Schadensersatz. Bei kritischen IT-Sicherheitsmängeln sollten Auftraggeber vertraglich kurze Nachbesserungsfristen vereinbaren, z.B. 48 Stunden für kritische CVEs und 14 Tage für mittlere Schwachstellen.
Nachprüfungsverfahren
Das Nachprüfungsverfahren ist der primäre Rechtsschutzweg für Bieter, die Verstöße gegen Vergaberecht geltend machen. Nach erfolgloser Rüge beim Auftraggeber stellt der Bieter einen Nachprüfungsantrag bei der Vergabekammer (§160 GWB), die das Verfahren automatisch bis zur Entscheidung aussetzt. Voraussetzung ist, dass der Bieter ein Interesse am Auftrag hat, eine Rechtsverletzung schlüssig darlegt und die Rügeobliegenheit beachtet hat.
Nachunternehmer
Nachunternehmer sind Dritte, auf deren Kapazitäten ein Bieter für die Auftragserfüllung zurückgreift (§36 VgV). Der Auftraggeber kann verlangen, dass Bieter vor Zuschlag Nachunternehmer benennen und deren Verfügbarkeit nachweisen. Entscheidend: Der Hauptauftragnehmer bleibt gegenüber dem Auftraggeber vollumfänglich verantwortlich; bei KRITIS-Projekten sind Sicherheitsanforderungen explizit auf Nachunternehmer zu erstrecken.
NDA Non-Disclosure Agreement / Geheimhaltungsvereinbarung
Ein NDA verpflichtet die Vertragsparteien zur vertraulichen Behandlung ausgetauschter Informationen und zur Unterlassung unbefugter Weitergabe an Dritte. Im Vergaberecht sind einseitige NDAs als Bedingung für die Teilnahme an einem Vergabeverfahren grundsätzlich unzulässig, da sie den Bieterwettbewerb einschränken und mit dem Gleichbehandlungsgebot kollidieren; zulässig und üblich ist hingegen die Vertraulichkeitsvereinbarung nach Zuschlagserteilung im Rahmen des Hauptvertrages. Bei komplexen IT-Projekten mit Einblick in kritische Behördeninfrastruktur werden NDAs im Verhandlungsverfahren von Auftraggebern jedoch oft eingesetzt und sind vergaberechtlich zulässiger, wenn sie nicht als Auswahlhürde wirken.
NDR Network Detection & Response
NDR-Systeme überwachen den Netzwerkverkehr kontinuierlich auf anomale Muster und potenzielle Angriffe, ohne auf Agenten auf Endgeräten angewiesen zu sein. Durch Deep Packet Inspection und Machine Learning erkennen sie laterale Bewegungen, Command-and-Control-Kommunikation und Datenexfiltration auch in segmentierten OT/IT-Umgebungen. In Ausschreibungen für KRITIS-Schutz wird NDR zunehmend als Pflichtkomponente neben EDR gefordert, da es blinde Flecken im netzwerkbasierten Angriffsbereich schließt.
NIST CSF NIST Cybersecurity Framework
Das NIST Cybersecurity Framework (CSF) ist ein weit verbreitetes Rahmenwerk zur Steuerung von Cybersicherheitsrisiken, strukturiert in fünf Kernfunktionen: Identify, Protect, Detect, Respond und Recover; Version 2.0 ergänzt die Funktion Govern. Obwohl primär für US-Behörden entwickelt, gilt das CSF als international anerkanntes Werkzeug und wird auch von deutschen Behörden und Unternehmen komplementär zu BSI IT-Grundschutz und ISO 27001 eingesetzt. In IT-Vergaben mit internationalem Bezug kann das NIST CSF als gemeinsame Sprache für Sicherheitsanforderungen und Reifegradmessungen dienen und den Vergleich von Angeboten unterschiedlicher Bieter strukturieren.
Nebenangebot
Ein Nebenangebot ist eine vom Leistungsverzeichnis abweichende Lösung, die ein Bieter ergänzend zum Hauptangebot einreicht (§35 VgV). Nebenangebote sind nur zulässig, wenn der Auftraggeber dies in den Vergabeunterlagen ausdrücklich erlaubt hat, und müssen Mindestanforderungen erfüllen. In IT-Vergaben bieten Nebenangebote Bietern die Möglichkeit, innovative Alternativen vorzuschlagen, etwa eine andere Architektur oder ein effizienteres Lizenzmodell.
Netzwerksegmentierung
Netzwerksegmentierung ist die Aufteilung eines IT-Netzwerks in logisch getrennte Zonen (Segmente), um die Ausbreitung von Angriffen zu begrenzen und den Datenverkehr zwischen Zonen zu kontrollieren. Der BSI IT-Grundschutz (NET.1.1) und das Zero-Trust-Prinzip fordern eine konsequente Segmentierung nach Schutzbedarf; kritische Systeme wie OT-Netzwerke, Verwaltungsnetze und Büronetzwerke sollen strikt getrennt werden. In Ausschreibungen für Netzwerkinfrastruktur oder Managed-Network-Dienste sollten Segmentierungskonzept und Firewall-Regeln als Leistungsmerkmal aufgenommen werden.
Nichtoffenes Verfahren
Beim nichtoffenen Verfahren nach §16 VgV schreibt der Auftraggeber nicht öffentlich aus, sondern fordert nach einem vorgeschalteten Teilnahmewettbewerb nur geeignete Unternehmen zur Angebotsabgabe auf; mindestens fünf Bieter müssen eingeladen werden. Das Verfahren eignet sich für komplexe IT-Beschaffungen, bei denen ein breiter Bietermarkt existiert, aber eine Vorauswahl geeigneter Unternehmen sinnvoll ist. Gegenüber dem offenen Verfahren reduziert es den Prüfaufwand auf Auftraggeberseite, da nur geeignete Bieter vollständige Angebote einreichen.
NIS2 Network and Information Security Directive 2
EU-Richtlinie 2022/2555 zur Cybersicherheit, seit Oktober 2024 in deutsches Recht (NIS2UmsuCG) umgesetzt. NIS2 erweitert den Kreis der betroffenen Einrichtungen erheblich: Neben KRITIS-Betreibern fallen auch viele mittelgroße Behörden, Kommunen und Gesundheitseinrichtungen unter die Pflichten. Wesentliche Anforderungen: Risikomanagement, Meldepflichten bei Vorfällen, Sicherheit der Lieferkette und Maßnahmen zur Geschäftskontinuität.
Netzzugangskontrolle NAC / Network Access Control
Netzzugangskontrolle (NAC) bezeichnet Mechanismen, die sicherstellen, dass nur autorisierte und richtlinienkonforme Geräte und Benutzer Zugang zu einem Netzwerk erhalten. NAC-Lösungen prüfen Geräte vor dem Netzwerkeintritt auf aktuelle Patches, installierten Virenschutz und Konfigurationskonformität und weisen nicht-konforme Geräte in eine Quarantäne-VLAN ein. In IT-Vergabeverfahren für Netzwerksicherheit sollten Auftraggeber NAC-Anforderungen spezifizieren, insbesondere bei Vorhaben, bei denen externe Geräte (Auftragnehmer, Gäste, BYOD) in behördliche Netzwerke eingebunden werden sollen.
Netzwerkforensik Network Forensics
Netzwerkforensik ist die systematische Erfassung, Aufzeichnung und Analyse von Netzwerkverkehr zum Zweck der Beweissicherung und Aufklärung von Sicherheitsvorfällen. Sie ergänzt die Endpunktforensik (Host Forensics) und ermöglicht die Rekonstruktion von Angriffsabläufen, selbst wenn ein Angreifer Spuren auf kompromittierten Systemen beseitigt hat. In IT-Vergabeverfahren für Netzwerksicherheits- und SOC-Dienste sollten Auftraggeber Anforderungen an Paketaufzeichnung (PCAP), Netzwerkflusskollektoren (NetFlow/IPFIX) und forensische Auswertungskapazitäten als Teil des Incident-Response-Servicekatalogs spezifizieren.
Notfallkontakt Emergency Contact / Incident Contact
Ein Notfallkontakt ist die vertraglich benannte Person oder Organisationseinheit, die im Falle eines sicherheitskritischen Vorfalls oder IT-Ausfalls als erste Anlaufstelle erreichbar sein muss, typischerweise mit definierten Reaktionszeiten rund um die Uhr. Die Benennung eines Notfallkontakts ist Bestandteil professioneller Incident-Response-Pläne und wird vom BSI im Rahmen des IT-Grundschutzes als organisatorische Anforderung an den IT-Betrieb gefordert. In IT-Vergaben sollten Auftraggeber Erreichbarkeit, Eskalationswege, Sprache und Qualifikation des Notfallkontakts verbindlich in der SLA-Matrix verankern.
Notfallmanagement
Notfallmanagement umfasst alle Prozesse und Maßnahmen, die eine Organisation in die Lage versetzen, auf schwerwiegende IT-Ausfälle, Cyberangriffe oder Katastrophen geordnet zu reagieren und den Betrieb schnellstmöglich wiederherzustellen. BSI IT-Grundschutz (DER.4) definiert konkrete Anforderungen an Notfallplanung, Alarmierungsketten, Übungen und Dokumentation. In Vergaben für Rechenzentrumsdienste, kritische IT-Infrastruktur oder Managed Services sollten Notfallpläne, RTO/RPO-Ziele und Übungsprotokolle als Eignungsnachweis oder Leistungsanforderung aufgeführt werden.
Nutzerverwaltung User Management / User Provisioning
Nutzerverwaltung umfasst alle Prozesse zur Anlage, Änderung und Löschung von Benutzerkonten sowie zur Zuweisung und Überprüfung von Zugriffsrechten in IT-Systemen. Sie ist ein zentrales Element des Identity and Access Management (IAM) und muss nach BSI IT-Grundschutz (ORP.4) einen nachvollziehbaren Antragsprozess, regelmäßige Rezertifizierungen bestehender Berechtigungen und eine automatisierte Deprovisionierung beim Ausscheiden von Mitarbeitern gewährleisten. In Ausschreibungen von Software-as-a-Service-Lösungen sollten Auftraggeber SCIM-Schnittstellen (System for Cross-domain Identity Management) als Standard für automatisierte Nutzerverwaltung fordern.
Nutzungsrecht Usage Rights / Softwarelizenz / License Grant
Nutzungsrechte regeln im IT-Vergabevertrag, in welchem Umfang der Auftraggeber die beschaffte Software, Dokumentation oder Daten verwenden darf, z. B. zeitlich unbegrenzt oder auf Vertragslaufzeit begrenzt, für eine bestimmte Nutzeranzahl oder einen bestimmten Zweck. Die EVB-IT Überlassung Typ A und B unterscheiden zwischen dauerhafter Rechteübertragung und befristeter Nutzungsüberlassung. Auftraggeber müssen sicherstellen, dass Nutzungsrechte auch Unterauftragnehmer und Nachfolgeanbieter umfassen und Backup- sowie Archivierungsrechte vertraglich abgedeckt sind, um Lock-in-Effekte nach Vertragsende zu vermeiden.
Nutzwertanalyse
Die Nutzwertanalyse (NWA) ist eine Methode zur Bewertung von Angeboten nach mehreren gewichteten Kriterien, bei der qualitative und quantitative Faktoren in einem Punktesystem zusammengeführt werden. Sie bildet häufig die methodische Grundlage der Bewertungsmatrix in IT-Vergaben, etwa für die Gewichtung von Preis, Qualität, Referenzen und Datenschutzkonzept. Die gewählte Bewertungsmethode muss vorab in den Vergabeunterlagen transparent und vollständig beschrieben sein, damit Bieter ihre Angebote darauf ausrichten können.
NUTS-Code
NUTS (Nomenclature des Unités Territoriales Statistiques) ist die europäische Systematik zur Klassifizierung geografischer Gebiete; im Vergaberecht wird der NUTS-Code in EU-weiten Bekanntmachungen auf TED verwendet, um den Erfüllungsort eines Auftrags zu kennzeichnen. Bundesländer erhalten dreistellige Codes (z. B. DE1 für Baden-Württemberg, DE3 für Berlin); Vergabestellen tragen den zutreffenden Code in die Bekanntmachungsformulare ein, damit Bieter geografisch relevante Aufträge filtern können. Der Code ist Pflichtfeld in allen eForms-Bekanntmachungen seit Oktober 2023.
O
Offenes Verfahren
Das offene Verfahren ist das Regelverfahren für öffentliche Aufträge oberhalb der EU-Schwellenwerte (§15 VgV): Der Auftraggeber veröffentlicht die Ausschreibungsunterlagen öffentlich, und jedes interessierte Unternehmen kann ein Angebot einreichen. Die Mindestfrist beträgt 35 Tage ab Versand der Bekanntmachung, verkürzbar auf 30 Tage bei vollständig elektronischer Bereitstellung. In der IT-Beschaffung ist das offene Verfahren die häufigste Wahl, da es maximalen Wettbewerb sicherstellt.
Offensive Security Offensiver Sicherheitsansatz / Red Team Operations
Offensive Security bezeichnet den proaktiven Ansatz der IT-Sicherheit, bei dem Sicherheitsexperten aktiv Angriffstechniken anwenden, um Schwachstellen in Systemen, Anwendungen und Prozessen zu identifizieren, bevor echte Angreifer dies tun. Dazu gehören Penetrationstests, Red-Team-Operationen, Purple Teaming und Bug-Bounty-Programme; die Erkenntnisse fließen direkt in die Verbesserung der defensiven Maßnahmen ein. In IT-Vergaben für Sicherheitsdienstleistungen sollten Auftraggeber zwischen defensiven (Blue Team) und offensiven (Red Team) Sicherheitsleistungen unterscheiden und beide Rollen klar im Leistungsverzeichnis definieren, um Interessenkonflikte zu vermeiden.
OpenAPI OpenAPI Specification / OAS / Swagger
Die OpenAPI Specification (ehemals Swagger) ist ein offener Standard zur maschinell lesbaren Beschreibung von REST-APIs, der Endpunkte, Parameter, Datenmodelle, Authentifizierungsverfahren und Fehlerreaktionen formal definiert. Auf Basis von OpenAPI-Dokumenten lassen sich automatisch Client-SDKs, Testsuiten und API-Portale generieren, was Integrationsaufwände erheblich reduziert. In IT-Vergaben für APIs und Schnittstellenleistungen sollten Auftraggeber die Bereitstellung einer validen OpenAPI-Spezifikation als Pflichtliefergegenstand fordern, da sie die Grundlage für neutrale Integrationstests und spätere Drittanbieterschnittstellen bildet.
Open Standards Offene Standards / Offene Schnittstellen
Open Standards sind technische Spezifikationen und Protokolle, die offen dokumentiert, lizenzfrei nutzbar und von unabhängigen Gremien (z.B. IETF, ISO, W3C) standardisiert wurden, so dass jeder Anbieter interoperable Produkte entwickeln kann. Im öffentlichen Vergaberecht fördert das Prinzip der Herstellerneutralität den Einsatz offener Standards, da sie Vendor-Lock-in verhindern und Wettbewerb ermöglichen. In IT-Ausschreibungen sollten Auftraggeber offene Standards für Schnittstellen, Datenformate und Protokolle bevorzugen und proprietäre Lösungen nur dann zulassen, wenn ein vergleichbarer offener Standard nicht verfügbar ist.
Open-Source-Software OSS
Open-Source-Software wird unter freien Lizenzen (z. B. GPL, MIT, Apache) bereitgestellt, die Nutzung, Weitergabe und Modifikation des Quellcodes erlauben. Im öffentlichen Sektor gewinnt OSS durch den Grundsatz "Public Money, Public Code" an Bedeutung; das Onlinezugangsgesetz und die FITKO fördern quelloffene Lösungen für die öffentliche Verwaltung. In IT-Vergaben müssen Auftraggeber bei OSS-Einsatz Lizenzkompatibilität, langfristigen Support und die Sicherstellung von Sicherheitsupdates (SBOM, VDP des Anbieters) in der Leistungsbeschreibung adressieren.
Open Source License Compliance Open-Source-Lizenz-Compliance
Open Source License Compliance bezeichnet die Pflicht, bei der Nutzung und Weitergabe von Open-Source-Software die jeweiligen Lizenzbedingungen (GPL, LGPL, MIT, Apache etc.) einzuhalten, etwa durch Quelltextoffenlegung, Lizenznennungen oder Copyleft-Einhaltung. Im öffentlichen Beschaffungskontext sind Auftraggeber und Auftragnehmer gleichermaßen betroffen: Wird Open-Source-Software in einer zu liefernden Lösung eingesetzt, muss die Lizenzkette nachvollziehbar und compliant sein. Tools zur Software Composition Analysis (SCA) und ein SBOM helfen, Lizenzrisiken frühzeitig zu identifizieren und vertraglich abzusichern.
Option
Eine Option ist ein einseitiges Recht des Auftraggebers, den Vertragsumfang innerhalb vorab definierter Grenzen zu erweitern, etwa Verlängerungen der Vertragslaufzeit oder zusätzliche Leistungsmengen. Optionen müssen bereits in der Bekanntmachung und den Vergabeunterlagen transparent ausgewiesen werden, damit ihr Wert in den geschätzten Gesamtauftragswert einfließt und Bieter entsprechend kalkulieren können. In IT-Verträgen werden Optionen häufig für Wartungsverlängerungen, Lizenzaufstockungen oder Softwarepflegeleistungen genutzt.
OAuth 2.0 Open Authorization 2.0
OAuth 2.0 ist ein offenes Autorisierungsprotokoll, das Anwendungen erlaubt, im Namen eines Benutzers auf Ressourcen eines Drittanbieters zuzugreifen, ohne das Benutzerpasswort preiszugeben. Es wird in API-Integrationen, Single-Sign-On-Lösungen und Cloud-Diensten eingesetzt und bildet zusammen mit OpenID Connect die technische Grundlage für moderne föderierte Identitätssysteme. In IT-Ausschreibungen für Portale und API-Plattformen sollten OAuth-2.0-Implementierungen nach RFC 6749 und die Nutzung von PKCE für öffentliche Clients als Mindestanforderung spezifiziert werden.
OpenID Connect OIDC
OpenID Connect ist eine Identitätsschicht auf Basis von OAuth 2.0, die Anwendungen ermöglicht, die Identität von Nutzern sicher zu verifizieren, ohne selbst Passwörter verwalten zu müssen. Es liefert nach erfolgreicher Authentifizierung ein ID-Token im JWT-Format, das Nutzerinformationen (Claims) wie Benutzername, E-Mail und Rollen enthält. In IT-Vergaben für Behördenportale und SSO-Lösungen sollte OIDC als bevorzugtes Protokoll für die Anbindung an den Bundes-IdP oder Unternehmensverzeichnisse (z. B. Microsoft Entra ID) spezifiziert werden.
OSINT Open Source Intelligence
OSINT bezeichnet die systematische Erhebung und Auswertung von Informationen aus öffentlich zugänglichen Quellen, etwa Domains, WHOIS-Daten, Social-Media-Profilen und Sicherheitsberichten, zum Zweck der Bedrohungsaufklärung. In der Angriffsvorbereitung nutzen Angreifer OSINT zur Aufklärung (Reconnaissance-Phase nach MITRE ATT&CK); Verteidiger setzen OSINT ein, um die eigene Außenwahrnehmung zu bewerten und exponierte Assets zu identifizieren. Für Behörden empfiehlt das BSI regelmäßige OSINT-gestützte Schwachstellenanalysen.
OT-Sicherheit Operational Technology Security
OT-Sicherheit umfasst den Schutz industrieller Steuerungs- und Automatisierungssysteme (ICS/SCADA), die physikalische Prozesse in Energie, Wasser, Produktion und Transport steuern. Im Unterschied zur IT haben OT-Systeme oft sehr lange Lebenszyklen und können nicht einfach gepatcht werden; Sicherheitsmaßnahmen müssen daher netzwerkbasiert, nicht-invasiv und ohne Produktionsunterbrechung greifen. Das BSI hat 2025 einen Leitfaden zur OT-Sicherheit über den gesamten Lebenszyklus veröffentlicht.
OWASP Open Worldwide Application Security Project
OWASP ist eine gemeinnützige Organisation, die offene Standards und Ressourcen zur Verbesserung der Anwendungssicherheit bereitstellt. Die OWASP Top 10 ist die bekannteste Publikation und listet die zehn kritischsten Webanwendungsschwachstellen (u.a. Broken Access Control, Injection, Insecure Design). In IT-Vergaben werden OWASP Top 10 oder OWASP ASVS (Application Security Verification Standard) zunehmend als Anforderungsreferenz in Leistungsverzeichnissen für webbasierte Anwendungen genutzt.
Outsourcing IT-Outsourcing / Auslagerung
IT-Outsourcing bezeichnet die vollständige oder teilweise Übertragung von IT-Funktionen, Prozessen oder Infrastrukturen an einen externen Dienstleister, verbunden mit einem Dienstleistungsvertrag und klaren SLAs. Im öffentlichen Bereich muss Outsourcing vergaberechtlich korrekt ausgeschrieben werden; zudem erfordern datenschutzrechtliche Anforderungen (DSGVO Art. 28) eine Auftragsverarbeitungsvereinbarung und regelmäßige Überprüfung des Auftragnehmers. Auftraggeber sollten bei IT-Outsourcing-Projekten Exit-Strategien, Datenmigrationspläne und Mindeststandards für die Informationssicherheit des Dienstleisters von Beginn an vertraglich festlegen.
P
Parallelausschreibung
Bei einer Parallelausschreibung schreibt der Auftraggeber mehrere funktional ähnliche oder alternative Lösungen gleichzeitig aus, um den Wettbewerb zu stärken oder Alternativen zu evaluieren. Im IT-Bereich kann dies sinnvoll sein, wenn sowohl eine On-Premises- als auch eine Cloud-Lösung in Betracht kommen und der Markt befragt werden soll. Die Parallelausschreibung ist zulässig, solange die Auftragswerte korrekt einzeln berechnet und alle Verfahrensgrundsätze eingehalten werden.
Passwortmanager Password Manager / Passworttresor
Ein Passwortmanager ist eine Softwarelösung, die Passwörter verschlüsselt speichert, starke und einzigartige Passwörter generiert und bei der Anmeldung automatisch ausfüllt, sodass Benutzer sich nur noch ein Master-Passwort merken müssen. Das BSI empfiehlt den Einsatz von Passwortmanagern als Best Practice, da er die Nutzung starker, einzigartiger Passwörter für jeden Dienst ermöglicht. In IT-Ausschreibungen für Enterprise-Sicherheitslösungen sollten Auftraggeber den Einsatz von Enterprise-Passwortmanagern mit zentralem Management, Audit-Protokollierung und LDAP/SSO-Integration als Anforderung aufnehmen.
Passwortsicherheit
Das BSI empfiehlt lange, einzigartige Passphrasen statt häufigem Passwortwechsel ohne konkreten Anlass, da erzwungene Wechsel erfahrungsgemäß zu schwächeren Passwörtern führen. Passwörter sollten mindestens 12 Zeichen umfassen, einzigartig je Konto sein und idealerweise in einem Passwortmanager gespeichert werden. In Ausschreibungen für IT-Systeme sind Passwortrichtlinien (Mindestkomplexität, Wiederverwendungsverbot, Speicherung als gehashter Wert) als technische Mindestanforderungen zu formulieren.
Patchmanagement Patch Management / Vulnerability Remediation
Patchmanagement ist der systematische Prozess zur Identifikation, Beschaffung, Prüfung, Genehmigung und Einspielung von Software-Updates und Sicherheits-Patches, um bekannte Schwachstellen in IT-Systemen zeitgerecht zu schließen. Das BSI IT-Grundschutz-Kompendium (OPS.1.1.3) definiert Patchmanagement als Kernprozess des IT-Betriebs; nach NIS2 sind Betreiber wesentlicher Dienste verpflichtet, ein dokumentiertes Patchmanagement-Verfahren vorzuhalten. In IT-Vergaben für Managed Services oder Software-Pflege sollten Auftraggeber Patch-SLAs (z.B. kritische Patches innerhalb 72 Stunden, High innerhalb 7 Tagen), Test- und Rollback-Verfahren sowie Reporting-Pflichten vertraglich verankern.
Pretexting Vorwand-Angriff / Social Engineering
Pretexting ist eine Social-Engineering-Technik, bei der Angreifer eine glaubwürdige Legende oder Rolle erfinden (z.B. als IT-Support, Wirtschaftsprüfer oder Behördenmitarbeiter auftreten), um Vertrauen zu gewinnen und Zielpersonen zur Preisgabe vertraulicher Informationen oder zur Ausführung schädlicher Aktionen zu verleiten. Pretexting ist ein wesentlicher Bestandteil von Business Email Compromise (BEC) und Spear-Phishing-Kampagnen gegen Behörden und ist oft der erste Schritt komplexer APT-Angriffe. In IT-Vergaben für Security-Awareness-Trainings sollten Auftraggeber explizit Pretexting-Szenarien in simulierten Angriffstrainings fordern, da diese besonders wirksam für die Sensibilisierung von Schlüsselpersonal sind.
PaaS Platform as a Service
PaaS ist ein Cloud-Liefermodell, bei dem Anbieter eine vollständige Entwicklungs- und Laufzeitumgebung bereitstellen, sodass Kunden Anwendungen entwickeln und betreiben können, ohne sich um die zugrundeliegende Infrastruktur zu kümmern. Im Vergabekontext sind PaaS-Beschaffungen besonders relevant für Software-Entwicklungsprojekte der öffentlichen Hand, da Fragen zur Portabilität, Herstellerabhängigkeit (Vendor-Lock-in) und Datensouveränität sorgfältig geprüft werden müssen. Neben BSI C5 sind bei EU-Behörden auch ENISA-Leitfäden zur sicheren Cloud-Nutzung einschlägig.
PAM Privileged Access Management
Teilbereich des IAM speziell für privilegierte Konten (Administratoren, Service-Accounts, Root-Zugänge). PAM-Systeme stellen sicher, dass privilegierte Zugänge nur nach Genehmigung, zeitlich begrenzt und vollständig protokolliert genutzt werden. Session Recording, Just-in-Time Access und Passwort-Tresore sind typische PAM-Funktionen. Das BSI ORP.4 und CIS Controls empfehlen PAM als prioritäre Schutzmaßnahme.
Patch-Zyklus Patch Cycle / Patch-Rhythmus
Der Patch-Zyklus definiert die zeitlichen Intervalle und Fristen, innerhalb derer Sicherheits- und Funktions-Updates auf IT-Systeme eingespielt werden müssen, differenziert nach Schweregrad der Schwachstelle (z.B. kritisch: 24h, hoch: 72h, mittel: 30 Tage). Hersteller wie Microsoft veröffentlichen Patches im monatlichen "Patch Tuesday"-Rhythmus; für kritische Infrastrukturen können kürzere Reaktionszeiten regulatorisch vorgeschrieben sein. In IT-Leistungsverzeichnissen für Managed Services oder IT-Betrieb sind konkrete Patch-Zyklen nach CVSS-Score-Klassen als messbare SLA-Parameter zu vereinbaren und durch automatisiertes Reporting nachzuweisen.
Pauschalpreisangebot
Ein Pauschalpreisangebot beinhaltet einen festen Gesamtpreis für die vollständig beschriebene Leistung, unabhängig vom tatsächlich anfallenden Aufwand; das Mengen- und Aufwandsrisiko trägt damit der Auftragnehmer. Im IT-Bereich eignet sich das Modell für klar spezifizierte Projekte mit stabilen Anforderungen, etwa Software-Releases mit definierten Lieferobjekten. Unklare oder wachsende Anforderungen machen Pauschalpreisverträge riskant und führen regelmäßig zu Nachtragsverhandlungen.
Penetrationstest
Ein Penetrationstest ist eine autorisierte Angriffssimulation auf ein IT-System, um Schwachstellen vor einem echten Angreifer zu identifizieren. Das BSI unterscheidet Black-Box (ohne Vorwissen), Grey-Box und White-Box-Tests; für Bundesbehörden bietet das BSI selbst IS-Penetrationstests an. In der öffentlichen IT-Vergabe wird der Penetrationstest häufig als Abnahmekriterium oder als regelmäßig wiederkehrende Prüfpflicht im Leistungsverzeichnis verankert.
Passkey FIDO2 Passkey / Gerätegebundener Schlüssel
Ein Passkey ist ein kryptografischer Anmeldeschlüssel, der auf Basis des FIDO2/WebAuthn-Standards erzeugt wird und passwortlose Authentifizierung ohne wiederverwendbare Geheimnisse ermöglicht. Der private Schlüssel verbleibt auf dem Gerät des Nutzers und wird nie an den Server übertragen; die Authentifizierung erfolgt durch biometrische Freigabe oder Geräte-PIN. In IT-Vergaben für Behördenportale und Login-Systeme sollten Auftraggeber Passkey-Unterstützung als zukunftssichere Alternative zu klassischen Passwörtern in die Anforderungen aufnehmen, da Passkeys phishing-resistent sind und gleichzeitig die Nutzerfreundlichkeit verbessern.
Pass-the-Hash Credential-Reuse-Angriff / PtH
Pass-the-Hash (PtH) ist ein Angriff, bei dem ein Angreifer den gespeicherten NTLM-Passwort-Hash eines Windows-Benutzers stiehlt und direkt zur Authentifizierung gegen andere Systeme verwendet, ohne das Klartextpasswort zu kennen. Die Technik ist besonders in Active-Directory-Umgebungen wirksam und ermöglicht laterale Bewegung und Privilege Escalation, wenn Administratorkonten mit denselben Zugangsdaten auf mehreren Systemen konfiguriert sind. In IT-Vergaben für Windows-Infrastrukturen sollten Auftraggeber als Schutzmaßnahmen Credential Guard, Local Administrator Password Solution (LAPS), und PAM-Implementierungen als verbindliche Systemkonfiguration vorschreiben.
Phishing
Phishing ist eine Form des Social Engineering, bei der Angreifer gefälschte E-Mails, Webseiten oder Nachrichten einsetzen, um Zugangsdaten, Zahlungsinformationen oder schädliche Dateianhänge zu erbeuteten. Spear-Phishing zielt auf bestimmte Personen oder Organisationen, oft mit personalisierten Inhalten aus OSINT-Recherchen. In IT-Ausschreibungen für Security-Awareness-Trainings sind simulierte Phishing-Kampagnen häufiges Leistungsmerkmal, das mit messbaren Click-Rate-Zielen zu hinterlegen ist.
PKI Public Key Infrastructure
Eine Public Key Infrastructure umfasst Zertifizierungsstellen (CA), Registrierungsstellen, Zertifikate und Protokolle zur Verwaltung asymmetrischer Schlüsselpaare und bildet die kryptografische Vertrauensbasis für TLS/HTTPS, S/MIME, Codesigning und Smartcard-Authentifizierung. Das BSI gibt in der Technischen Richtlinie TR-03116 konkrete Vorgaben zu zulässigen Algorithmen, Schlüssellängen und Zertifikatsprofilen für Bundesbehörden. In IT-Ausschreibungen sind PKI-Anforderungen klar zu spezifizieren: welche CA akzeptiert wird, ob eine eigene Behörden-PKI genutzt werden soll und wie Zertifikatssperrung (CRL/OCSP) sicherzustellen ist.
Planungswettbewerb
Ein Planungswettbewerb nach §§69 ff. VgV ist ein Verfahren, bei dem Auftraggeber einen Wettbewerb um Pläne oder Entwürfe auf den Gebieten der Raumplanung, des Städtebaus, der Architektur oder der Datenverarbeitung durchführen. Ein unabhängiges Preisgericht bewertet die Einsendungen anhand vorab veröffentlichter Kriterien; der Gewinner erhält einen Preis und in der Regel den Folgeauftrag. Im IT-Bereich kommt das Instrument bei der Konzeption komplexer Systemarchitekturen oder digitaler Infrastrukturen zum Einsatz.
Performanztest Performance Test / Leistungstest
Ein Performanztest misst und bewertet die Leistungseigenschaften eines IT-Systems unter definierten Bedingungen, darunter Antwortzeiten, Durchsatz, Ressourcenverbrauch und Skalierungsverhalten. Er umfasst Lasttests, Stresstests, Spike-Tests und Ausdauertests und ist ein Pflichtbestandteil der Qualitätssicherung für Produktivsysteme mit messbaren SLA-Anforderungen. In IT-Vergaben sollten Auftraggeber konkrete Performanzziele (z. B. 95. Perzentil der Antwortzeit unter 2 Sekunden bei 1000 gleichzeitigen Nutzern) als Abnahmekriterien und als messbare SLA-Parameter in die Leistungsbeschreibung aufnehmen.
Preisabsprache
Preisabsprachen zwischen Bietern sind kartellrechtlich verbotene Abstimmungen über Angebotspreise, Losaufteilungen oder Gebietszuweisungen; sie verstoßen gegen §1 GWB und Art. 101 AEUV und können zu Bußgeldern sowie Schadensersatzansprüchen führen. Im Vergabeverfahren sind betroffene Unternehmen nach §124 GWB fakultativ auszuschließen. Auftraggeber sind verpflichtet, Hinweise auf Submissionsabsprachen an das Bundeskartellamt oder die Staatsanwaltschaft weiterzuleiten.
Präqualifizierung
Präqualifizierung ist ein vorgelagerter Eignungsnachweis, bei dem Unternehmen ihre wirtschaftliche, technische und fachliche Leistungsfähigkeit einmalig gegenüber einer zugelassenen Stelle (z.B. AVPQ für IT-Dienstleistungen) belegen und das Zertifikat dann in Vergabeverfahren einreichen können. Das spart Bietern wiederholten Nachweisaufwand und Auftraggebern Prüfungszeit. Im IT-Bereich werden Präqualifizierungsnachweise für Standardleistungen wie Netzwerkbetrieb oder IT-Support zunehmend akzeptiert.
Preismodell Vergütungsmodell / Pricing Model
Das Preismodell legt fest, nach welchem Muster ein IT-Auftragnehmer vergütet wird: Festpreis (EVB-IT System, garantiertes Gesamtentgelt), Zeit- und Materialbasis (Tagessätze), nutzungsbasierte Abrechnung (SaaS, Lizenzgebühren) oder gemischte Modelle. Gemäß §7 Abs. 1 BHO gilt der Grundsatz der Wirtschaftlichkeit: Auftraggeber müssen das Preismodell wählen, das bei gegebenem Leistungsumfang das beste Kosten-Nutzen-Verhältnis bietet. Fest- und Einheitspreise bieten Planungssicherheit, während nutzungsbasierte Modelle bei stark schwankendem Bedarf wirtschaftlicher sein können, jedoch schwerer zu prüfen und zu vergleichen sind.
Preisblatt Leistungspreisblatt / Preisverzeichnis
Ein Preisblatt (Preisverzeichnis) ist ein standardisiertes Formular im Vergabeverfahren, in dem Bieter ihre Preise für alle ausgeschriebenen Positionen eintragen. Im IT-Vergaberecht müssen Bieter alle preisrelevanten Angaben vollständig und widerspruchsfrei ausfüllen; unvollständige Preisblätter führen zum Ausschluss des Angebots. Bei IT-Dienstleistungsverträgen mit variablen Leistungsbestandteilen sind häufig Einheitspreise und optionale Positionen getrennt auszuweisen, damit Auftraggeber im Rahmen der Angebotsprüfung eine belastbare Preisvergleichsbasis haben.
Preisanpassung Price Adjustment / Preisgleitklausel
Preisanpassungsklauseln regeln, unter welchen Voraussetzungen und nach welchem Mechanismus Vertragspreise während der Laufzeit an veränderte Marktbedingungen (Lohnkosten, Lizenzpreise, Inflationsrate) angepasst werden können. Im öffentlichen Vergaberecht sind Preisanpassungen nur zulässig, wenn sie vorab in den Vergabeunterlagen transparent beschrieben sind (§132 GWB, keine wesentliche Vertragsänderung). In IT-Langzeitverträgen mit personalintensiven Leistungen oder SaaS-Diensten empfehlen sich indexgebundene Preisgleitklauseln auf Basis des Verbraucherpreisindex oder branchenspezifischer IT-Lohnindizes.
Pönale Vertragsstrafe / Penalty Clause
Eine Pönale ist eine vertraglich vereinbarte Geldstrafe, die automatisch fällig wird, wenn der Auftragnehmer definierte Leistungskennzahlen unterschreitet oder Fristen verletzt, ohne dass der Auftraggeber einen konkreten Schaden nachweisen muss. In IT-Verträgen werden Pönalen typischerweise für SLA-Verletzungen (Reaktionszeiten, Verfügbarkeit), Verzug bei Meilensteinen oder Datenschutzvorfälle vereinbart. Auftraggeber sollten Pönalen so bemessen, dass sie wirtschaftlichen Anreiz zur Vertragserfüllung schaffen, ohne unangemessen hoch zu sein; zu hohe Pönalen können Bieter abschrecken oder zum Vertragsrücktritt des Auftragnehmers führen.
Preisoffenlegung Cost Transparency / Preistransparenz
Preisoffenlegung bezeichnet die Anforderung an Bieter, ihre Kalkulationsgrundlagen offen zu legen, um dem Auftraggeber eine Prüfung der Auskömmlichkeit und Plausibilität des Angebots zu ermöglichen. Sie ist bei öffentlichen Aufträgen im Bereich IT-Dienstleistungen besonders relevant, wenn Einheitspreise stark von Marktpreisen abweichen oder der Gesamtpreis erheblich unter dem nächstniedrigen Angebot liegt. §60 VgV ermächtigt Auftraggeber zur Aufklärung ungewöhnlich niedriger Angebote; verweigert der Bieter die Auskunft, kann das Angebot ausgeschlossen werden.
Preisprüfung
Die Preisprüfung ist die Überprüfung der Angemessenheit und Auskömmlichkeit von Angebotspreisen durch den Auftraggeber, bevor der Zuschlag erteilt wird; Rechtsgrundlagen sind §60 VgV (Aufklärung bei ungewöhnlich niedrigen Preisen) und die Vergabe- und Vertragsordnung für Leistungen. Bei öffentlichen IT-Aufträgen mit Preisen unterhalb der Markvergleichswerte oder bei deutlichen Abweichungen vom nächstniedrigen Angebot muss der Auftraggeber den Bieter zur Aufklärung auffordern. Ergibt die Preisprüfung, dass der Preis trotz Aufklärung nicht erklärbar ist, darf das Angebot ausgeschlossen werden.
Pflichtenheft Lastenheft / Requirements Specification
Das Pflichtenheft beschreibt, wie ein Auftragnehmer die im Lastenheft festgelegten Anforderungen des Auftraggebers technisch und organisatorisch umsetzen wird; es ist die verbindliche Grundlage für die Umsetzung eines IT-Projekts. Im Vergaberecht bildet das Pflichtenheft häufig einen Teil der Leistungsbeschreibung oder wird als Bestandteil des Vertrags nach Zuschlag übergeben. Für IT-Projekte in der öffentlichen Hand sollte das Pflichtenheft Sicherheitskonzept, Datenschutzkonzept, Teststrategie und Abnahmekriterien umfassen, um im Streitfall eine klare Vertragsgrundlage zu haben.
Post-Quantum-Kryptografie PQC
Post-Quantum-Kryptografie bezeichnet kryptografische Verfahren, die auch gegenüber Angriffen durch leistungsfähige Quantencomputer sicher sind; klassische Verfahren wie RSA und ECDSA sind durch den Shor-Algorithmus theoretisch brechbar. Das NIST hat 2024 die ersten PQC-Standards finalisiert (FIPS 203 ML-KEM, FIPS 204 ML-DSA, FIPS 205 SLH-DSA); das BSI empfiehlt den schrittweisen Übergang zu PQC-Hybrid-Verfahren. In IT-Ausschreibungen für langlebige Sicherheitsinfrastruktur (PKI, Verschlüsselungssysteme) und KRITIS-Schutz ist Krypto-Agilität als Anforderung zu formulieren, um einen zukünftigen Wechsel auf PQC-Verfahren zu ermöglichen.
Privacy by Design
Privacy by Design bezeichnet das Prinzip, Datenschutzanforderungen von Beginn an in das Design von Systemen und Prozessen zu integrieren, statt sie nachträglich hinzuzufügen; Art. 25 DSGVO schreibt es als "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" für alle verantwortlichen Stellen verbindlich vor. Kernprinzipien sind Datensparsamkeit, Zweckbindung, Transparenz und sichere Voreinstellungen (Privacy by Default). In IT-Ausschreibungen für datenverarbeitende Systeme sind Privacy-by-Design-Nachweise (Datenschutzkonzept, DSFA, datenschutzfreundliche Voreinstellungen) als technische und organisatorische Anforderungen zu fordern.
Privacy by Default Datenschutzfreundliche Voreinstellungen / Art. 25 Abs. 2 DSGVO
Privacy by Default nach Art. 25 Abs. 2 DSGVO verlangt, dass Systeme und Dienste standardmäßig auf die datenschutzfreundlichste Einstellung voreingestellt sind, ohne dass Nutzer aktiv eingreifen müssen. In der Praxis bedeutet das, dass beispielsweise Tracking, unnötige Datenerhebung und Datenweitergaben an Dritte in den Standardeinstellungen deaktiviert sein müssen. In IT-Vergaben für datenverarbeitende Anwendungen oder Plattformen sind Privacy-by-Default-Anforderungen als technische Muss-Kriterien aufzunehmen und durch Konzeptnachweise und Akzeptanztests zu verifizieren.
Privilege Escalation Rechteausweitung
Privilege Escalation bezeichnet den Versuch eines Angreifers, nach der initialen Kompromittierung eines Systems höhere Zugriffsrechte zu erlangen, etwa von einem normalen Benutzerkonto zu Administrator- oder SYSTEM-Rechten. Angreifer nutzen dafür ungepatchte Schwachstellen, Fehlkonfigurationen oder schwache Passwörter. Im Vergabekontext sollten IT-Sicherheitsdienstleistungen ausdrücklich Anforderungen zur Erkennung und Verhinderung von Privilege Escalation enthalten, zum Beispiel durch PAM-Lösungen, regelmäßige Berechtigungsreviews und Endpoint-Detection-Mechanismen.
Produkthaftung Product Liability / ProdHaftG
Die Produkthaftung nach dem Produkthaftungsgesetz (ProdHaftG) verpflichtet Hersteller von fehlerhaften Produkten zum Schadensersatz ohne Verschuldensnachweis; im IT-Kontext ist die Anwendbarkeit auf Software traditionell umstritten, wird aber durch den Cyber Resilience Act (CRA) für Produkte mit digitalen Elementen neu definiert. Für IT-Ausschreibungen bedeutet das: Auftraggeber müssen bei der Beschaffung von Standardsoftware prüfen, inwieweit Produkthaftungsansprüche vertraglich ausgeschlossen oder begrenzt sind und ob der CRA ab 2027 zusätzliche Hersteller-Pflichten zur Schwachstellenbehebung begründet. Die neue EU-Produkthaftungsrichtlinie 2024/2853 erstreckt ausdrücklich auch auf Software.
Produktneutralität
Der Grundsatz der Produktneutralität verpflichtet Auftraggeber, in Leistungsbeschreibungen keine herstellerspezifischen Produkte oder Marken zu benennen, es sei denn, der Auftragsgegenstand lässt sich nicht ausreichend genau und verständlich anders beschreiben. Ist ein Produktbezug unvermeidbar, muss der Zusatz "oder gleichwertig" aufgenommen werden. In der IT-Praxis entstehen Konflikte häufig bei Software-Migrationen (bestehende Herstellerumgebung) und proprietären Schnittstellenstandards, wo Auftraggeber die sachliche Rechtfertigung sorgfältig dokumentieren müssen.
Prüfprotokoll Audit Log / Prüfspur
Ein Prüfprotokoll (Audit Log) ist eine chronologische, manipulationssichere Aufzeichnung sicherheitsrelevanter Ereignisse in IT-Systemen, die Aktionen von Benutzern, Anwendungen und Systemen nachvollziehbar dokumentiert. Prüfprotokolle sind eine Grundanforderung der ISO 27001, des BSI IT-Grundschutzes (OPS.1.1.5) und der DSGVO (Art. 5 Abs. 2 Rechenschaftspflicht) sowie essenziell für die Aufklärung von Sicherheitsvorfällen. In IT-Vergabeverfahren sollten Auftraggeber Mindestanforderungen an Protokolltiefe, Aufbewahrungsfristen, Schutz vor Manipulation und Zentralisierung der Protokolle in einem SIEM als technische Leistungsanforderungen festlegen.
Pseudonymisierung
Pseudonymisierung ersetzt direkte Identifikatoren (Name, Adresse, Kennnummer) durch Pseudonyme, sodass ein Personenbezug nur mit Kenntnis eines zusätzlichen Schlüssels wiederherstellbar ist (Art. 4 Nr. 5 DSGVO). Im Gegensatz zur Anonymisierung bleibt der Personenbezug potenziell rekonstruierbar; pseudonymisierte Daten bleiben daher personenbezogene Daten und unterliegen weiterhin der DSGVO. In IT-Vergaben für Testumgebungen, Analytics-Plattformen und Forschungsdatenbanken ist Pseudonymisierung als Datenschutzmaßnahme vertraglich zu verankern und die Schlüsselverwaltung klar zu regeln.
Purple Teaming
Purple Teaming ist eine Methode, bei der Red Team (Angreifer) und Blue Team (Verteidiger) kollaborativ vorgehen, statt isoliert voneinander zu operieren: Angriffe werden gemeinsam durchgeführt, Erkennungslücken werden sofort identifiziert und behoben. Das Ziel ist ein beschleunigter Lerneffekt gegenüber klassischen separaten Red-Team-Übungen. In IT-Sicherheitsausschreibungen werden Purple-Team-Exercises zunehmend als ergänzende Maßnahme neben Penetrationstests gefordert, besonders für KRITIS-Betreiber mit eigenem SOC.
Q
Qualifizierte elektronische Signatur QES
Die qualifizierte elektronische Signatur (QES) ist die höchste Sicherheitsstufe elektronischer Signaturen nach der eIDAS-Verordnung und dem deutschen Vertrauensdienstegesetz (VDG); sie hat die gleiche Rechtswirkung wie eine eigenhändige Unterschrift. Im Vergaberecht wird die QES für bestimmte formgebundene Erklärungen verlangt, etwa für die Einreichung von Nachprüfungsanträgen bei Vergabekammern oder für Vertragsabschlüsse in Schriftform. Für die elektronische Angebotsabgabe ist in der Regel keine QES erforderlich; hier genügt die Textform mit sicherer Übertragung über die Vergabeplattform.
Qualitätssicherung QA / Quality Assurance
Qualitätssicherung umfasst alle geplanten und systematischen Aktivitäten, die sicherstellen, dass ein IT-Produkt oder eine Dienstleistung die definierten Qualitäts- und Sicherheitsanforderungen erfüllt, darunter Reviews, Tests, Audits und Prozesskontrollen. Sie unterscheidet sich von Qualitätsprüfung, da QA präventiv (Prozessoptimierung) und nicht nur reaktiv (Fehlererkennung) wirkt. In IT-Vergaben sollten Auftraggeber ein Qualitätssicherungskonzept als Pflichtdokument verlangen, das definiert, welche Testarten (Unit-, Integrations-, Abnahmetests), Reviews und Metriken der Auftragnehmer im Projekt anwendet und wie Ergebnisse berichtet werden.
R
Provenienznachweis Provenance / Herkunftsnachweis
Ein Provenienznachweis dokumentiert die Herkunft und Lieferkette von IT-Komponenten oder Software-Modulen und belegt, dass diese aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. Im IT-Vergaberecht gewinnt der Provenienznachweis insbesondere bei sicherheitskritischen Beschaffungen an Bedeutung, etwa wenn das BMI oder BSI Anforderungen an vertrauenswürdige Zulieferer aufstellt. Software Bill of Materials (SBOM) und SLSA-Framework (Supply-chain Levels for Software Artifacts) sind technische Standards, die Provenienz automatisiert nachvollziehbar machen.
Proof of Concept PoC / Machbarkeitsnachweis
Ein Proof of Concept (PoC) ist eine begrenzte praktische Umsetzung, die prüft, ob eine technische Lösung für einen bestimmten Anwendungsfall grundsätzlich funktioniert, bevor in eine vollständige Entwicklung oder Beschaffung investiert wird. Im Vergabekontext können PoCs im Rahmen von Markterkundungen (§28 VgV) oder Verhandlungsverfahren durchgeführt werden; sie sind kein eigenständiges Vergabeverfahren. Auftraggeber sollten PoC-Leistungen vergaberechtlich sorgfältig einordnen und sicherstellen, dass aus einem PoC kein De-facto-Auftrag entsteht.
Projektsteuerung Project Control / IT-Projektmanagement
Projektsteuerung umfasst die laufende Überwachung und Anpassung von Zeitplan, Budget, Ressourcen und Qualität in IT-Projekten mit dem Ziel, Abweichungen frühzeitig zu erkennen und gegenzusteuern. Typische Steuerungsinstrumente sind Earned-Value-Analysen, Meilenstein-Trendanalysen und Risikologs. Für Auftraggeber öffentlicher IT-Projekte regeln die HERMES-Methode (Schweiz) oder V-Modell XT (Deutschland) ein strukturiertes Projektsteuerungsrahmenwerk; die Vergabe von Projektsteuerungsleistungen unterliegt selbst den Vergaberegeln und muss nach VgV ausgeschrieben werden.
Protokollanalyse Log Analysis / Security Event Analysis
Protokollanalyse bezeichnet die systematische Auswertung von Systemprotokollen, Anwendungslogs und Sicherheitsereignissen mit dem Ziel, Anomalien, Angriffsmuster, Compliance-Verstöße oder Betriebsprobleme frühzeitig zu erkennen. Während Protokollierung die Erfassung beschreibt, umfasst die Protokollanalyse die Korrelation, Filterung und Interpretation der gesammelten Ereignisse, typischerweise durch SIEM-Systeme oder spezialisierte Log-Analyse-Werkzeuge wie Splunk oder Elastic SIEM. In IT-Vergaben für Betrieb und Managed Security Services sollten Auftraggeber definieren, welche Protokollquellen in die Analyse einzubeziehen sind, in welchem Zeitrahmen Anomalien eskaliert werden müssen und wie Analyseberichte zu dokumentieren sind.
Protokollierung Security Logging / Audit Log
Protokollierung bezeichnet die systematische, revisionssichere Aufzeichnung sicherheitsrelevanter Ereignisse in IT-Systemen, wie Anmeldeversuche, Konfigurationsänderungen, Datenbankzugriffe und administrative Aktionen, die als Grundlage für Forensik und Compliance-Nachweise dienen. BSI IT-Grundschutz OPS.1.1.5 und ISO 27001 fordern eine angemessene Protokollierung mit definierten Aufbewahrungsfristen und Integritätsschutz der Logs (z.B. durch zentrale SIEM-Weiterleitungssignierung). In IT-Vergaben für Betrieb und Managed Services sollten Auftraggeber spezifizieren, welche Ereignisse zu protokollieren sind, wie lange Logs aufbewahrt werden müssen und in welchem Format sie für eigene Analysen oder Revisionen bereitzustellen sind.
Reaktionsplan Incident Response Plan / IRP
Der Reaktionsplan (Incident Response Plan) legt fest, wie eine Organisation auf IT-Sicherheitsvorfälle reagiert: von der Erkennung und Klassifizierung über Eindämmung, Analyse und Behebung bis zur Nachbereitung und Berichterstattung. Nach BSI IT-Grundschutz (DER.2) und ISO/IEC 27035 sind Reaktionspläne regelmäßig zu testen, zu aktualisieren und auf konkrete Angriffsszenariotypen (Ransomware, Datenleck, DDoS) auszurichten. In IT-Vergaben für MSSP- oder SOC-Leistungen sollten Auftraggeber verlangen, dass der Auftragnehmer einen dokumentierten und getesteten Reaktionsplan vorlegt und Anpassungen an kundenspezifische Kritikalitäten ermöglicht.
Rechnungsprüfung Invoice Verification / Rechnungskontrolle
Die Rechnungsprüfung ist die sachliche und rechnerische Überprüfung eingehender Rechnungen auf Übereinstimmung mit den vertraglichen Vereinbarungen, erbrachten Leistungen und geltenden Preisen. Im öffentlichen Sektor schreibt die Bundeshaushaltsordnung (BHO §70 ff.) eine förmliche sachliche und rechnerische Richtigzeichnung vor der Zahlungsanweisung vor. Für IT-Abrechnungsmodelle mit nutzungsabhängigen Preisen (z.B. Cloud, SaaS) empfiehlt sich eine automatisierte Rechnungsprüfung, die Verbrauchsdaten mit den Vertragskonditionierungen abgleicht.
Rahmenvereinbarung
Eine Rahmenvereinbarung legt Bedingungen für zukünftige Einzelabrufe fest, ohne sofort eine Lieferpflicht zu begründen. Die maximale Laufzeit beträgt vier Jahre (§21 VgV). Auftraggeber schätzen Rahmenvereinbarungen besonders bei wiederkehrenden IT-Beschaffungen (z.B. Lizenzen, Wartung), da Einzelabrufe ohne erneutes Vergabeverfahren möglich sind, solange die vereinbarten Konditionen und Höchstmengen eingehalten werden.
Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigibt. Moderne Ransomware-Gruppen kombinieren Verschlüsselung mit Datenexfiltration ("Double Extortion") und drohen zusätzlich mit Veröffentlichung sensibler Informationen. Das BSI und CISA empfehlen als Schutzmaßnahmen offline Backups, Patch-Management, MFA und regelmäßige Incident-Response-Übungen; Lösegeldzahlungen werden von beiden Behörden ausdrücklich abgeraten.
RBAC Role-Based Access Control
RBAC ist ein Zugriffskontrollmodell, das Berechtigungen nicht direkt Nutzern, sondern Rollen zuweist; Nutzer erhalten Rechte durch Rollenzugehörigkeit. Das Modell wurde 1992 von Ferraiolo und Kuhn geprägt und als ANSI-Standard 359 formalisiert. In öffentlichen IT-Systemen gilt RBAC als Best Practice zur Umsetzung des Prinzips der minimalen Rechtevergabe (Least Privilege); in Leistungsverzeichnissen ist ein nachweisbares RBAC-Konzept häufig Mindestanforderung.
Rootkit Rootkit / Persistent Backdoor
Ein Rootkit ist eine Klasse von Schadsoftware, die sich tief in das Betriebssystem einbettet, um sich selbst und andere Malware vor dem Benutzer, Antivirenprogrammen und Sicherheitstools zu verbergen, häufig durch Manipulation des Betriebssystemkernels (Kernel-Mode Rootkit) oder des Bootvorgangs (Bootkit). Rootkits sind schwer zu entdecken, weil sie die Systemaufrufe kompromittieren, mit denen Sicherheitssoftware nach Schadsoftware sucht. In IT-Vergaben für Endpoint-Detection und KRITIS-Schutz sollten Auftraggeber explizit Rootkit-Erkennungsfähigkeiten und Secure Boot als Mindestanforderungen fordern sowie regelmäßige Integritätsprüfungen als SLA-Pflicht definieren.
Red Teaming
Red Teaming ist die autorisierte Simulation realer Angriffe auf IT-Infrastrukturen und Organisationsprozesse, um Schutzlücken zu identifizieren, die klassische Prüfverfahren nicht aufdecken. Ein Red Team agiert mit denselben Taktiken, Techniken und Prozeduren (TTPs) echter Angreifer und emuliert typischerweise APT-Gruppen auf Basis von MITRE ATT&CK. In KRITIS-Sicherheitsausschreibungen werden Red-Team-Assessments zunehmend als jährliche Pflichtübung gefordert, mit definiertem Scoping, Eskalationspfaden und Abschlussbericht.
Reaktionszeit Response Time / MTTR
Die Reaktionszeit (Response Time) bezeichnet im IT-Sicherheitskontext die Zeit zwischen dem Erkennen eines Sicherheitsvorfalls und dem Beginn aktiver Gegenmaßnahmen. Sie ist ein Schlüsselindikator für die Effizienz eines SOC oder Incident-Response-Teams und wird häufig als KPI neben MTTD (Mean Time to Detect) und MTTR (Mean Time to Respond) vereinbart. In IT-Vergabeverfahren für Managed Security Services sollten Auftraggeber klare SLA-Vorgaben für Reaktionszeiten nach Schweregrad definieren, beispielsweise 15 Minuten für kritische Vorfälle und 4 Stunden für mittelschwere Ereignisse, und die Messung und Berichterstattung als vertragliche Pflicht verankern.
REST-Sicherheit REST API Security / RESTful Web Services Security
REST-Sicherheit umfasst alle Maßnahmen zum Schutz von RESTful APIs gegen unbefugten Zugriff, Datenlecks und Angriffe wie SQL Injection, BOLA (Broken Object Level Authorization) und Denial of Service. Die OWASP API Security Top 10 nennt die häufigsten Schwachstellen; grundlegende Maßnahmen sind OAuth 2.0/OpenID Connect für Authentifizierung, TLS für Transportverschlüsselung, Rate-Limiting und Input-Validierung. In IT-Ausschreibungen für API-Plattformen und Backend-Dienste sollten REST-Sicherheitsanforderungen nach OWASP API Security als technische Muss-Kriterien mit messbaren Nachweispflichten aufgenommen werden.
Restrisiko Residual Risk
Das Restrisiko ist das Risiko, das nach Anwendung aller geplanten Sicherheitsmaßnahmen verbleibt und weder vollständig eliminiert noch auf Dritte übertragen werden kann. Es muss vom verantwortlichen Risikoinhaber (z.B. dem CISO oder der Behördenleitung) bewusst akzeptiert und dokumentiert werden. Im IT-Grundschutz nach BSI wird ein Restrisiko als tragbar eingestuft, wenn das Schadenspotenzial im Verhältnis zu weiteren Schutzmaßnahmen unverhältnismäßig hoch wäre; bei kritischen Systemen kann eine Restrisiko-Freigabe durch das Management gefordert werden.
Restrisikobewertung Residual Risk Assessment / Restrisiko-Analyse
Die Restrisikobewertung ist der formale Prozess, in dem nach Anwendung aller geplanten Sicherheitsmaßnahmen das verbleibende Restrisiko quantifiziert oder qualitativ eingestuft und bewertet wird, ob dieses für die Organisation tragbar ist oder ob weitere Maßnahmen erforderlich sind. ISO 27001 und BSI IT-Grundschutz fordern eine explizite Restrisikobewertung und die formale Akzeptanz durch das Management; das Ergebnis wird im Risikoregister dokumentiert. In IT-Vergaben sollten Auftraggeber bei Cloud- und SaaS-Beschaffungen eine Restrisikobewertung durchführen, die datenschutzrechtliche, verfügbarkeits- und sicherheitsbezogene Restrisiken systematisch erfasst und Maßnahmen zur Risikominimierung oder -akzeptanz nachweisbar begründet.
Risikoakzeptanz
Risikoakzeptanz ist eine bewusste Entscheidung des Managements, ein identifiziertes Risiko ohne weitere Maßnahmen zu tragen, weil der Aufwand zur Risikominderung den erwarteten Schaden übersteigt oder weil das Restrisiko unterhalb eines definierten Schwellenwerts liegt. Im IT-Sicherheitsmanagement nach ISO 27001 und BSI IT-Grundschutz muss die Akzeptanzentscheidung dokumentiert und vom verantwortlichen Risikoinhaber formal bestätigt werden. In Vergabeverfahren sollten Auftraggeber bei Cloud- und SaaS-Beschaffungen explizite Risikoakzeptanzentscheidungen für datenschutzrechtliche und verfügbarkeitsbezogene Restrisiken nachweisbar treffen.
Risikobehandlung Risk Treatment / Risikomaßnahme
Risikobehandlung bezeichnet den Prozess, bei dem eine Organisation nach der Risikoidentifikation und -bewertung entscheidet, wie mit jedem Risiko umzugehen ist: durch Vermeidung (Risikovermeidung), Reduktion durch Schutzmaßnahmen (Risikominderung), Übertragung auf Dritte (z.B. Cyberversicherung) oder bewusste Akzeptanz des Restrisikos. ISO 27001 und BSI IT-Grundschutz fordern eine dokumentierte Risikobehandlungsentscheidung für jedes identifizierte Risiko mit Zuweisung von Verantwortlichkeiten und Umsetzungsfristen. In IT-Vergaben für sicherheitskritische Systeme sollten Auftraggeber verlangen, dass der Auftragnehmer einen Risikobehandlungsplan vorlegt, der zeigt, wie er wesentliche Risiken auf ein für den Auftraggeber akzeptables Niveau reduziert.
Risikoappetit Risk Appetite / Risikobereitschaft
Risikoappetit bezeichnet das Ausmaß an Risiken, das eine Organisation bereit ist einzugehen, um ihre strategischen Ziele zu erreichen; er wird vom Management explizit festgelegt und bildet den Rahmen für alle Risikoentscheidungen. Im IT-Sicherheitsmanagement nach ISO 27001 und NIST CSF bestimmt der Risikoappetit, welche Restrisiken nach Implementierung von Sicherheitsmaßnahmen akzeptiert werden. In öffentlichen IT-Vergaben ist der Risikoappetit indirekt relevant: Er steuert, wie strenge Sicherheitsanforderungen formuliert werden und welche Risiken durch vertragliche Klauseln auf den Auftragnehmer übertragen werden.
Richtlinienkonformität Policy Compliance / Guideline Conformance
Richtlinienkonformität bezeichnet den Nachweis, dass IT-Systeme, Prozesse und Verhaltensweisen die intern festgelegten oder von Auftraggebern vorgeschriebenen Richtlinien und Vorgaben einhalten, beispielsweise IT-Sicherheitsrichtlinien, Datenschutzrichtlinien oder Konfigurationsrichtlinien. In IT-Vergaben und SLA-Verträgen wird Richtlinienkonformität durch regelmäßige Compliance-Scans, Konfigurationsaudits und dokumentierte Ausnahmen nachgewiesen. Automatisierte Compliance-Tools (z.B. CIS Benchmarks, BSI IT-Grundschutz-Check) ermöglichen eine kontinuierliche Überwachung der Richtlinienkonformität über die gesamte Vertragslaufzeit.
Rechtskonformität Legal Compliance / Rechtskonformitätsprüfung
Rechtskonformität bezeichnet die Anforderung, dass IT-Systeme, Prozesse und Verträge alle einschlägigen gesetzlichen und regulatorischen Vorschriften einhalten, z. B. DSGVO, BSIG, NIS2, Vergaberecht und branchenspezifische Normen. In IT-Ausschreibungen sollten Auftraggeber von Bietern eine Rechtskonformitätserklärung verlangen und die Systeme auf Einhaltung relevanter Vorschriften prüfen lassen. Da sich die Rechtsgrundlagen im IT- und Datenschutzbereich laufend weiterentwickeln (CRA, AI Act, DORA), ist Rechtskonformität kein einmaliger Status, sondern ein kontinuierlicher Prozess.
Referenzprojekt Referenz / Referenznachweis
Ein Referenzprojekt ist ein abgeschlossenes Projekt vergleichbarer Art und Größenordnung, das ein Bieter als Nachweis seiner technischen und beruflichen Leistungsfähigkeit im Vergabeverfahren vorweist. In IT-Beschaffungen dienen Referenzprojekte als zentrales Eignungskriterium, da sie belegen, dass der Bieter komplexe IT-Vorhaben mit ähnlichen Technologien, Skalierung und Sicherheitsanforderungen erfolgreich abgeschlossen hat. Auftraggeber sollten bei der Formulierung der Referenzanforderungen auf Verhältnismäßigkeit achten und nicht so enge Kriterien wählen, dass faktisch nur ein oder wenige Bieter die Anforderungen erfüllen können.
Risikobewertung Risk Assessment / Risikoanalyse
Die Risikobewertung ist ein systematischer Prozess zur Identifikation, Analyse und Priorisierung von Risiken, bei dem Eintrittswahrscheinlichkeit und potentieller Schaden gegeneinander abgewogen werden. Im IT-Sicherheitsmanagement nach ISO 27001 und BSI IT-Grundschutz ist die Risikobewertung eine Pflichtaufgabe und Grundlage für die Auswahl angemessener Schutzmaßnahmen. In IT-Vergabeverfahren sollten Auftraggeber eine Risikobewertung für jedes Beschaffungsvorhaben durchführen, um Sicherheitsanforderungen dem tatsächlichen Schutzbedarf anzupassen und keine over- oder under-engineerten Sicherheitslösungen zu beschaffen.
Risikoklasse Risk Category / Risikostufe
Eine Risikoklasse kategorisiert IT-Systeme, Daten oder Prozesse nach dem Schutzbedarf und der potenziellen Schadenshöhe in definierte Stufen (z.B. niedrig, mittel, hoch, sehr hoch), was die Auswahl proportionaler Sicherheitsmaßnahmen erleichtert. BSI IT-Grundschutz unterscheidet in der Schutzbedarfsfeststellung die Kategorien "normal", "hoch" und "sehr hoch"; der AI Act der EU führt eigene Risikoklassen für KI-Systeme ein (minimal, begrenzt, hoch, inakzeptabel). In IT-Vergaben sollte die Risikoklasse des beschafften Systems die Tiefe der geforderten Sicherheitsnachweise bestimmen: hohe Risikoklassen erfordern ISO-27001-Zertifizierung, Penetrationstests und DSGVO-Folgeabschätzungen als Pflicht.
Regelkonformitätsprüfung Compliance Check / Policy Enforcement
Eine Regelkonformitätsprüfung stellt sicher, dass IT-Systeme, Konfigurationen und Prozesse kontinuierlich den definierten Sicherheits- und Unternehmensrichtlinien entsprechen, typischerweise durch automatisierte Scans und Policy-Enforcement-Tools. Tools wie Azure Policy, AWS Config oder Open Policy Agent ermöglichen Infrastructure-as-Code-basierte Compliance-Prüfungen in Echtzeit. In IT-Vergaben für Cloud- oder Rechenzentrumslösungen sollten Auftraggeber verlangen, dass der Auftragnehmer nachweisbare Regelkonformitätsprüfungen implementiert und regelmäßige Compliance-Reports bereitstellt.
Regressionstest Regression Testing / Rückfalltest
Ein Regressionstest prüft, ob Änderungen, Patches oder neue Funktionen in einer Software bestehende, zuvor korrekte Funktionen unbeabsichtigt beeinträchtigt oder fehlerhaft gemacht haben. Automatisierte Regressionstests sind zentraler Bestandteil von CI/CD-Pipelines und ermöglichen kontinuierliche Qualitätssicherung bei agiler Entwicklung. In IT-Vergaben für Softwareentwicklung und -pflege sollten Auftraggeber eine automatisierte Regressionstest-Suite als Pflichtliefergegenstand fordern, da manuelle Regressionstests bei größeren Codebasen keine wirtschaftliche Dauerlösung sind.
Release Management Release-Prozess / Software Release
Release Management bezeichnet den geplanten, kontrollierten Prozess zur Vorbereitung, Freigabe, Verteilung und Inbetriebnahme von Software-Updates, Patches oder neuen Systemversionen in produktiven IT-Umgebungen. Es umfasst Versionskontrolle, Testfreigabe, Change-Management-Abstimmung und Rollback-Pläne für den Fall fehlgeschlagener Deployments. In IT-Vergaben für Softwareentwicklung und -betrieb sollten Auftraggeber klare Release-Management-Prozesse als Leistungsbestandteil fordern, inklusive Dokumentation, Testberichte vor jedem Release und definierten Rollback-Fristen.
Redundanz Redundancy / Ausfallsicherheit
Redundanz bezeichnet die mehrfache Auslegung kritischer Systemkomponenten oder -pfade, sodass bei Ausfall eines Elements ein anderes die Funktion nahtlos übernimmt und die Gesamtverfügbarkeit gewährleistet bleibt. Sie ist ein grundlegendes Prinzip der Hochverfügbarkeitsarchitektur und reicht von RAID-Festplattenverbünden über redundante Netzteile bis hin zu geografisch verteilten Rechenzentren. In IT-Ausschreibungen für KRITIS-relevante oder betriebskritische Systeme sollten Auftraggeber den geforderten Redundanzgrad explizit spezifizieren und durch Belastungstests im Abnahmeverfahren nachweisen lassen.
Risikoregister Risk Register / Risikoliste
Ein Risikoregister ist eine strukturierte Dokumentation aller identifizierten Risiken eines Projekts oder IT-Systems mit Angaben zu Eintrittswahrscheinlichkeit, potenziellem Schaden, Risikoverantwortlichen und geplanten Gegenmaßnahmen. Es ist ein zentrales Steuerungsinstrument im Risikomanagement nach ISO 31000 und BSI IT-Grundschutz und muss regelmäßig aktualisiert werden. In IT-Vergaben für komplexe Systemintegrationsprojekte sollten Auftraggeber ein gemeinsam gepflegtes Risikoregister als Vertragsbestandteil vereinbaren und klare Eskalationsregeln bei neuen oder eskalierten Risiken festlegen.
Risikomanagement
Risikomanagement im IT-Sicherheitskontext bezeichnet den systematischen Prozess zur Identifikation, Bewertung und Behandlung von Risiken für Informationssysteme und Daten; ISO/IEC 27005 und BSI IT-Grundschutz beschreiben anerkannte Vorgehensweisen. NIS2 und DORA verpflichten betroffene Einrichtungen ausdrücklich zur Implementierung eines dokumentierten Risikomanagementprozesses. In IT-Vergaben ist das Risikomanagementkonzept des Bieters häufig ein qualitatives Bewertungskriterium, insbesondere bei sicherheitskritischen Infrastrukturen oder Cloud-Diensten.
Risikomatrix Risk Matrix / Risikobewertungsmatrix
Eine Risikomatrix ist ein visuelles Werkzeug zur Bewertung und Darstellung von Risiken anhand zweier Achsen: Eintrittswahrscheinlichkeit und Schadenshöhe. Durch die Positionierung von Risiken in der Matrix können Prioritäten für Gegenmaßnahmen gesetzt und Restrisiken auf einen Blick kommuniziert werden. In IT-Vergaben für komplexe Projekte oder sicherheitskritische Systeme kann eine ausgefüllte Risikomatrix als Bestandteil des Sicherheitskonzepts gefordert werden, um das Risikobewusstsein des Bieters und die Reife seines Risikomanagements zu beurteilen.
Risikoverteilung Risk Allocation / Risikoverteilung im Vertrag
Risikoverteilung regelt, welche Vertragspartei welche Risiken des IT-Projekts trägt, z. B. Projektverzögerungen durch technische Komplexität, Anforderungsänderungen oder externe Ereignisse wie Cyberangriffe. Die BHO verlangt von Auftraggebern, dass Verträge wirtschaftlich und risikoadäquat gestaltet werden; nach allgemeinen AGB-Recht darf kein Vertragspartner mit atypischen Risiken überlastet werden. Praktiker empfehlen, Risikomatrizen als Vertragsanlage zu vereinbaren, in denen Risikoträger, Eintrittswahrscheinlichkeit und Gegenmaßnahmen klar geregelt sind, um Nachtragsstreitigkeiten zu vermeiden.
Remote Access
Remote Access bezeichnet technische Lösungen, die autorisierten Nutzern von externen Standorten aus sicheren Zugang zu internen IT-Systemen und Daten ermöglichen, typischerweise über VPN, Citrix/RDP-Gateways oder Zero-Trust-Network-Access (ZTNA)-Lösungen. BSI IT-Grundschutz INF.10 und OPS.1.2.5 definieren Anforderungen für Telearbeit und Fernwartung, darunter Pflicht zur Verschlüsselung, Multi-Faktor-Authentifizierung und Protokollierung aller Fernzugriffe. In IT-Ausschreibungen für Remote-Work-Infrastruktur sind Concurrent-User-Kapazitäten, Latenzanforderungen, Geräteprüfung (Device Posture Check) und Session-Timeout-Regelungen vertraglich zu definieren.
RTO Recovery Time Objective / Wiederherstellungszeitvorgabe
Das Recovery Time Objective gibt an, wie lange ein IT-System oder ein Geschäftsprozess nach einem Ausfall maximal nicht verfügbar sein darf, bevor der Schaden für die Organisation inakzeptabel wird. Es wird im Rahmen der Business Impact Analysis (BIA) festgelegt und ist zusammen mit dem RPO (Recovery Point Objective) die wichtigste Kenngröße für IT-Notfallpläne und Business-Continuity-Konzepte. In IT-Ausschreibungen für betriebskritische Systeme sollte der Auftraggeber konkrete RTO-Werte für verschiedene Ausfallszenarien in der Leistungsbeschreibung vorgeben und als SLA-Parameter mit Pönalen hinterlegen.
Rügeobliegenheit
Die Rügeobliegenheit nach §160 Abs. 3 GWB verpflichtet Bieter, erkannte Vergabeverstöße unverzüglich beim Auftraggeber zu rügen, bevor ein Nachprüfungsantrag gestellt werden kann. Nicht gerügte Verstöße aus den Vergabeunterlagen werden präkludiert; Verstöße, die erst bei Lektüre der Unterlagen erkennbar waren, müssen vor Ablauf der Angebotsfrist gerügt werden. Die Rüge muss konkret und schriftlich erfolgen; pauschale Rügen ohne Begründung reichen nicht aus.
Rüge
Die Rüge ist die notwendige Vorstufe zum Nachprüfungsverfahren: Ein Bieter muss einen erkannten Vergaberechtsfehler zunächst unverzüglich, spätestens innerhalb von 10 Tagen schriftlich beim Auftraggeber rügen (§160 Abs. 3 GWB). Kommt der Auftraggeber der Rüge nicht innerhalb von 15 Tagen nach, kann der Bieter die Vergabekammer anrufen. Wer eine Rüge versäumt, verwirkt sein Nachprüfungsrecht; rechtzeitig gerügte Verstöße binden den Auftraggeber zur Abhilfe oder Begründung.
S
Schwellenwertberechnung Threshold Calculation / Auftragswertschätzung
Die Schwellenwertberechnung ermittelt, ob der geschätzte Auftragswert die EU-Schwellenwerte überschreitet und damit das EU-weite Vergabeverfahren ausgelöst wird. Maßgebend sind die geschätzten Gesamtkosten der Leistung ohne Umsatzsteuer, einschließlich aller Optionen und Verlängerungsrechte (§3 VgV); eine bewusste Stückelung zur Schwellenwertunterschreitung ist unzulässig. Für IT-Vergaben ist die korrekte Schätzung besonders anspruchsvoll, wenn Lizenz-, Betriebs- und Integrationskosten über mehrere Jahre anfallen und Cloud-Verträge nutzungsabhängige Preise haben.
Sinkhole DNS Sinkhole / Sinkholing
Ein DNS-Sinkhole ist eine Technik, bei der Anfragen an bekannte Malware-Domänen auf eine kontrollierte IP-Adresse umgeleitet werden, sodass Botnet-Kommunikation unterbrochen und infizierte Hosts identifiziert werden können. Es ist ein wirksames Werkzeug für SOC-Teams und Threat-Intelligence-Dienste, um Schadsoftware-Aktivitäten im Netzwerk sichtbar zu machen, ohne die Malware direkt zu entfernen. In IT-Ausschreibungen für Netzwerksicherheit und Managed Security Services sollten Sinkholing-Fähigkeiten und Threat-Feed-Aktualität als Leistungsmerkmal spezifiziert und durch SLA-Metriken abgebildet werden.
Social Engineering
Social Engineering bezeichnet Angriffstechniken, bei denen Täter psychologische Manipulation statt technischer Methoden einsetzen, um Menschen zur Preisgabe vertraulicher Informationen oder zur Ausführung sicherheitskritischer Handlungen zu verleiten; häufige Formen sind Phishing, Vishing (Voice Phishing), Pretexting und Baiting. Das BSI stuft Social Engineering als eine der häufigsten Einfallstore für Ransomware-Angriffe auf Behörden und Unternehmen ein. In IT-Ausschreibungen für Security-Awareness-Programme sind simulierte Social-Engineering-Angriffe (Phishing-Simulationen, Vishing-Tests) als messbare Leistungsbestandteile zu fordern.
Sollkonzept Soll-Konzept / Target Architecture
Das Sollkonzept beschreibt den angestrebten Zielzustand eines IT-Systems oder einer IT-Infrastruktur nach Abschluss eines Projekts oder einer Umstellung und dient als verbindliche Grundlage für Entwicklung, Beschaffung und Abnahme. Es umfasst Funktionsanforderungen, Sicherheitsanforderungen, Schnittstellendefinitionen und Betriebsparameter, die aus dem Lastenheft des Auftraggebers abgeleitet werden. In IT-Vergabeverfahren mit umfangreichen Systemmigrationen oder Neuaufbauten fordern Auftraggeber das Sollkonzept häufig als verbindliches Lieferobjekt, das vor Projektbeginn gemeinsam abgenommen wird, um Missverständnisse über den Projektumfang zu vermeiden.
SCA Software Composition Analysis
Software Composition Analysis (SCA) ist ein Verfahren zur automatischen Identifizierung und Bewertung von Open-Source- und Drittbibliotheken, die in einem Softwareprojekt verwendet werden, einschließlich ihrer bekannten Sicherheitslücken (CVEs) und Lizenzkonflikte. SCA-Tools erzeugen eine Software Bill of Materials (SBOM) und gleichen die Komponenten kontinuierlich mit Schwachstellendatenbanken (NVD, OSV) ab. In IT-Ausschreibungen für Software-Entwicklungsdienstleistungen und Software-Produkte sind SCA als Pflichtbestandteil des Secure SDLC sowie der Nachweis eines aktuellen SBOM als Liefergegenstand zu fordern, insbesondere für Open-Source-intensive Projekte.
Supply Chain Risk Management SCRM
Supply Chain Risk Management umfasst die systematische Identifizierung, Bewertung und Beherrschung von Risiken, die durch Lieferanten, Subunternehmer und Softwarekomponenten in die eigene IT-Infrastruktur eingetragen werden können, darunter kompromittierte Updates (SolarWinds-Typ), unsichere Open-Source-Abhängigkeiten und Lieferantenausfälle. NIST SP 800-161r1 definiert einen umfassenden SCRM-Rahmen; das BSI fordert im IT-Grundschutz Anforderungsmanagement für Dienstleister (OPS.2.3) und empfiehlt SBOM-Nutzung. In IT-Ausschreibungen für kritische Systeme sind Lieferkettenanforderungen (Code-Herkunft, Subunternehmer-Transparenz, Notfallkonzepte bei Lieferantenausfall) als Eignungskriterien zu verankern.
Spear Phishing Gezieltes Phishing / Targeted Phishing
Spear Phishing ist eine gezielte Form des Phishings, bei der Angreifer vorab Informationen über das Opfer recherchieren, um täuschend echte, personalisierte Angriffsnachrichten zu erstellen, die von legitimen E-Mails von bekannten Absendern kaum zu unterscheiden sind. Im Gegensatz zu breitflächigen Phishing-Kampagnen zielt Spear Phishing typischerweise auf Schlüsselpersonen wie Behördenleiter, IT-Administratoren oder Finanzverantwortliche ab und ist eine der häufigsten Einstiegsvektoren für APT-Gruppen. In IT-Vergaben für Sicherheitsbewusstsein und E-Mail-Sicherheit sollten Auftraggeber sowohl technische Abwehrmaßnahmen (DKIM/SPF/DMARC, E-Mail-Gateway, Sandboxing) als auch regelmäßige Spear-Phishing-Simulationen als trainings- und nachweispflichtige Anforderungen fordern.
SQL Injection SQLi
SQL Injection ist eine der verbreitetsten und gefährlichsten Web-Schwachstellen, bei der ein Angreifer manipulierte SQL-Befehle über Eingabefelder einschleust und so unbefugten Zugriff auf Datenbanken erlangt. Erfolgreiche Angriffe können zur Offenlegung sensibler Daten, zur Umgehung von Authentifizierung oder zur vollständigen Übernahme des Datenbank-Servers führen. In IT-Ausschreibungen sollten Prepared Statements, parametrisierte Abfragen und ein regelmäßiges SAST/DAST-Testing als Pflichtanforderungen im Leistungsverzeichnis stehen.
Submissionsabsprache
Submissionsabsprachen sind verbotene Absprachen zwischen Bietern, die den Wettbewerb im Vergabeverfahren verzerren, z.B. durch abgestimmte Angebotspreise oder vereinbarte Schutzangebote. §298 StGB stellt Submissionsabsprachen unter Strafe (bis zu 5 Jahre Freiheitsstrafe); nach §124 GWB können betroffene Unternehmen vom Vergabeverfahren ausgeschlossen werden. Das Bundeskartellamt verfolgt Submissionsabsprachen parallel als Kartellrechtsverstoß und kann Bußgelder bis 10% des Jahresumsatzes verhängen.
SBOM Software Bill of Materials
Eine SBOM ist eine maschinenlesbare Komponentenliste, die alle in einem Softwareprodukt enthaltenen Bibliotheken, Abhängigkeiten und Versionen transparent auflistet. CISA und internationale Partner haben 2025 Mindestanforderungen für SBOMs veröffentlicht. In der öffentlichen IT-Beschaffung ermöglicht die SBOM-Pflicht, bekannte Schwachstellen (CVEs) in eingekaufter Software systematisch zu identifizieren und zu bewerten, bevor der Auftrag erteilt wird.
Schutzziel Schutzziele der Informationssicherheit
Die drei klassischen Schutzziele der Informationssicherheit sind Vertraulichkeit (nur Berechtigte dürfen Informationen einsehen), Integrität (Informationen sind korrekt und unverfälscht) und Verfügbarkeit (Informationen und Systeme sind bei Bedarf zugänglich). In manchen Kontexten werden Authentizität und Nicht-Abstreitbarkeit als weitere Schutzziele ergänzt. In IT-Vergabeverfahren dienen die Schutzziele als strukturierendes Prinzip bei der Erstellung von Sicherheitsanforderungen: Auftraggeber beschreiben für jedes relevante Schutzziel konkrete Maßnahmen und Messkriterien, die Auftragnehmer erfüllen müssen.
Servicedesk
Der Servicedesk ist die zentrale Anlaufstelle für IT-Nutzer bei Störungen, Serviceanfragen und Informationsbedarf; er erfüllt gemäß ITIL-Rahmenwerk die Rolle des Single Point of Contact (SPOC) zwischen Nutzern und dem IT-Betrieb. In IT-Vergaben für Managed Services oder IT-Betrieb werden Servicedesk-Erreichbarkeit (Betriebszeiten, Kanäle), Annahme- und Lösungszeiten nach Priorität sowie Ticketsysteme als messbare SLA-Kriterien definiert. Auftraggeber sollten First-Level-Lösungsquote und Eskalationszeiten als Qualitätsindikatoren vertraglich verankern.
Sicherheitsarchitektur Security Architecture / IT-Sicherheitsdesign
Die Sicherheitsarchitektur beschreibt das strukturierte Gesamtbild aller Sicherheitskomponenten, Kontrollmechanismen, Zonenmodelle und Designprinzipien eines IT-Systems, etwa nach BSI IT-Grundschutz (NET.1.1 Netzarchitektur) oder der Zero-Trust-Philosophie. In IT-Ausschreibungen fordern Auftraggeber zunehmend ein dediziertes Sicherheitsarchitektur-Konzept als Teil der technischen Konzeptbewertung, um sicherzustellen, dass Bieter Sicherheit als integralen Bestandteil ihrer Lösung verstehen. Das BSI empfiehlt, Sicherheitsanforderungen bereits in der Konzeptionsphase zu verankern und nicht nachträglich hinzuzufügen.
Sicherheitsüberprüfung SÜ
Eine Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz (SÜG) ist die behördliche Prüfung der Zuverlässigkeit von Personen, die Zugang zu Verschlusssachen erhalten sollen; Stufen sind einfache SÜ1, erweiterte SÜ2 und erweiterte SÜ3 mit Sicherheitsermittlungen im Ausland. In IT-Vergaben für sicherheitskritische Projekte bei Bundesbehörden und Sicherheitsbehörden ist eine VS-NfD-Ermächtigung oder höher häufig für eingesetztes Auftragnehmer-Personal erforderlich. Bieter müssen bei der Angebotserstellung sicherstellen, dass Schlüsselpersonal die geforderte SÜ-Stufe besitzt oder innerhalb der Anlaufzeit erwerben kann.
Sicherheitsbewertung Security Assessment / IT-Sicherheitsanalyse
Eine Sicherheitsbewertung ist eine strukturierte Analyse des Sicherheitsstatus eines IT-Systems, einer Anwendung oder einer Organisation, die Schwachstellen, Risiken und Handlungsbedarf identifiziert und Maßnahmenempfehlungen ableitet. Sie kann in Form von Pentests, Sicherheitsaudits, Risikoanalysen oder Zertifizierungsprüfungen durchgeführt werden. In IT-Ausschreibungen fordert das BSI für Bundesbehörden Sicherheitsbewertungen vor dem produktiven Einsatz neuer Systeme; Auftraggeber sollten Sicherheitsbewertungen als regulären Bestandteil von Wartungs- und Betriebsverträgen verankern.
Sicherheitsbewusstsein Security Awareness / IT-Sicherheitssensibilisierung
Sicherheitsbewusstsein bezeichnet das Wissen und die Einstellung von Mitarbeitern, Auftragnehmern und Nutzern gegenüber IT-Sicherheitsrisiken sowie ihre Bereitschaft, sicheres Verhalten aktiv zu praktizieren, etwa durch kritisches Hinterfragen unbekannter E-Mails, sicheres Passwortverhalten und Meldung verdächtiger Vorfälle. BSI und ENISA betonen, dass Sicherheitsbewusstsein eine der wirksamsten Maßnahmen gegen Social Engineering und Phishing ist, da die meisten Sicherheitsvorfälle menschliche Fehler als Ursache haben. In IT-Vergaben für Sicherheitsschulungen und Security-Awareness-Programme sollten Auftraggeber messbare Ziele (Phishing-Simulationsraten, Schulungsquoten), Zielgruppenspezifik und Wirksamkeitsnachweise als Pflichtbestandteil definieren.
Sicherheitskonzept
Ein Sicherheitskonzept dokumentiert für ein IT-System oder eine Anwendung alle identifizierten Bedrohungen, daraus abgeleiteten Schutzmaßnahmen und die Restrisiken nach Implementierung der Maßnahmen. BSI IT-Grundschutz und BSI-Standard 200-2 definieren den Aufbau von Sicherheitskonzepten für behördliche IT-Systeme; bei besonders schutzbedürftigen Systemen ist das Konzept Grundlage für die Zulassung oder Akkreditierung. In IT-Vergaben kann das Sicherheitskonzept des Anbieters für sein Angebot als qualitatives Bewertungskriterium oder als Vertragspflicht (Vorlage bis zur Inbetriebnahme) gefordert werden.
Secure by Design Security by Design / Sicherheit durch Konstruktion
Secure by Design bezeichnet das Prinzip, Sicherheitsanforderungen bereits in der Planungs- und Architekturphase von IT-Systemen zu verankern, anstatt Sicherheitsmaßnahmen nachträglich anzufügen, was typischerweise teurer und weniger wirksam ist. CISA und ENISA propagieren das Konzept als grundlegende Gestaltungsphilosophie für Software- und Systemhersteller; der EU Cyber Resilience Act macht Secure by Design für vernetzte Produkte zur regulatorischen Anforderung. In IT-Vergaben sollten Auftraggeber fordern, dass Bieter Secure-by-Design-Prinzipien im Rahmen ihres Software Development Life Cycle (SDLC) nachweisen und durch Threat Modeling, Code Reviews und automatisierte Sicherheitstests belegen können.
Secure Coding Sicheres Programmieren / Secure Software Development
Secure Coding bezeichnet die Anwendung von Programmierpraktiken und Leitlinien, die darauf ausgerichtet sind, Sicherheitslücken bereits im Entwicklungsprozess zu vermeiden, darunter Input-Validierung, korrekte Speicherverwaltung, sichere Kryptografie und die Vermeidung bekannter OWASP-Top-10-Schwachstellen. Standards wie OWASP Secure Coding Practices, SEI CERT Coding Standards und ISO/IEC 27002 definieren konkrete Anforderungen an sichere Entwicklungsumgebungen. In IT-Vergaben für Software-Entwicklungsdienstleistungen sollten Auftraggeber Secure Coding als vertragliche Anforderung festschreiben und die Einhaltung durch Code Reviews, SAST-Scans und Bug-Bounty-Programme sicherstellen.
Security Governance IT-Sicherheits-Governance / Cyber Governance
Security Governance bezeichnet das Rahmenwerk aus Strukturen, Prozessen, Verantwortlichkeiten und Kontrollen, mit dem eine Organisation sicherstellt, dass Informationssicherheit strategisch gesteuert, mit Unternehmenszielen abgestimmt und kontinuierlich überwacht wird. Es umfasst Rollen wie CISO und IT-Sicherheitsbeauftragter, Richtlinien, Berichtslinien und Kontrollmechanismen. Das NIS2-Umsetzungsgesetz (BSIG 2025) verankert Security Governance explizit als Leitungsverantwortung in wesentlichen und wichtigen Einrichtungen; für IT-Vergaben bedeutet dies, dass Auftraggeber bei Dienstleistern nachgewiesene Security-Governance-Strukturen als Eignungsnachweis fordern können.
Session Hijacking Session-Übernahme / Cookie Theft
Session Hijacking bezeichnet den Angriff, bei dem ein Angreifer ein gültiges Sitzungstoken eines authentifizierten Benutzers stiehlt und damit dessen aktive Sitzung übernimmt, ohne Benutzername und Passwort zu kennen. Typische Methoden sind Cross-Site Scripting (XSS), Man-in-the-Middle-Angriffe oder Diebstahl von Cookies; moderne Angriffs-Toolkits ermöglichen Session Hijacking selbst bei MFA-geschützten Zugängen durch Abfangen von Post-Authentication-Tokens. In IT-Ausschreibungen für Webanwendungen sollten Auftraggeber Session-Schutzmaßnahmen wie HttpOnly/Secure Cookie-Flags, kurze Sitzungslaufzeiten, Token-Binding und kontinuierliches Anomalie-Monitoring als technische Mindestanforderungen definieren.
Schutzbedarfsfeststellung
Die Schutzbedarfsfeststellung ist ein zentraler Schritt im BSI IT-Grundschutz-Prozess: Für jedes Informationsobjekt (System, Anwendung, Datensatz) wird der Schutzbedarf hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit in den Kategorien normal, hoch und sehr hoch eingestuft. Das Ergebnis bestimmt, welche Sicherheitsmaßnahmen zu implementieren sind und beeinflusst direkt die Anforderungen in IT-Leistungsverzeichnissen. Auftraggeber sollten die Schutzbedarfsklasse des zu beschaffenden Systems bereits in der Bedarfsanalyse festlegen, um daraus die technischen Mindestanforderungen für die Ausschreibung ableiten zu können.
Schutzziele CIA-Triade / Informationssicherheitsziele
Die drei klassischen Schutzziele der Informationssicherheit sind Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability), zusammengefasst als CIA-Triade; BSI IT-Grundschutz und ISO 27001 strukturieren Sicherheitsanforderungen entlang dieser drei Dimensionen. Ergänzend gelten Authentizität, Nichtabstreitbarkeit und Zurechenbarkeit als erweiterte Schutzziele. In IT-Vergaben bildet die Schutzbedarfsfeststellung die Grundlage: Auftraggeber legen fest, welches Schutzziel für welche Informationskategorie mit welchem Schutzbedarf (normal, hoch, sehr hoch) zu erfüllen ist und leiten daraus technische und organisatorische Anforderungen an Bieter ab.
SD-WAN Software-Defined Wide Area Network
SD-WAN ist eine softwaregesteuerte Netzwerkarchitektur, die Weitverkehrsverbindungen über mehrere Transportwege (MPLS, LTE, Breitband-Internet) zentral verwaltet und dynamisch optimiert. Im öffentlichen Sektor wird SD-WAN zunehmend für die Vernetzung von Behördenstandorten eingesetzt, da es gegenüber klassischen MPLS-Leitungen erhebliche Kosteneinsparungen bei gleichzeitig flexibler Bandbreitenskalierung ermöglicht. In Ausschreibungen müssen Sicherheitsanforderungen wie verschlüsselte Tunnelprotokolle, Integritätsprüfung und Zero-Trust-Integration präzise beschrieben werden.
Schätzung des Auftragswertes
Vor Einleitung eines Vergabeverfahrens muss der Auftraggeber den voraussichtlichen Gesamtauftragswert schätzen, um das anzuwendende Vergaberegime (EU-Verfahren oder nationales Verfahren) zu bestimmen (§3 VgV). In die Schätzung fließen alle Optionen, Verlängerungsmöglichkeiten und etwaige Nebenleistungen ein; eine Aufspaltung zur Unterschreitung von Schwellenwerten ist verboten. Für IT-Rahmenverträge wird der Gesamtwert über die geplante Laufzeit angesetzt, nicht der Wert des ersten Einzelabrufs.
Schulungspflicht Training Obligation / IT-Sicherheitsschulung
Die Schulungspflicht verpflichtet Organisationen, Mitarbeitende regelmäßig in IT-Sicherheit und Datenschutz zu schulen; NIS2 konkretisiert diese Pflicht für Leitungsebenen in §38 BSIG-E mit einem Schulungsgebot zu Risikomanagementmaßnahmen. Im Vergabekontext sollten Auftraggeber von IT-Dienstleistern nachweisbare Schulungsprogramme (Ersteinweisung, jährliche Auffrischung, rollenspezifische Schulungen) als Eignungsanforderung oder Ausführungsbedingung einfordern. Das BSI empfiehlt, Awareness-Schulungen durch Phishing-Simulationen und Tabletop-Exercises zu ergänzen, um den Lernerfolg messbar zu machen.
Schulungsnachweis Qualifikationsnachweis / Weiterbildungsnachweis
Ein Schulungsnachweis ist ein Eignungsdokument, das bestätigt, dass Mitarbeiter eines Bieters die für eine Leistung erforderlichen Kenntnisse und Fähigkeiten nachweislich erworben haben, z.B. durch Herstellerzertifizierungen oder anerkannte Branchenqualifikationen. Im IT-Vergaberecht werden Schulungsnachweise häufig als Eignungskriterium gefordert, etwa der Nachweis zertifizierter Projektleiter (PMP, PRINCE2) oder sicherheitsrelevanter Qualifikationen (CISSP, CISM, ISO 27001 Lead Auditor). Auftraggeber sollten darauf achten, dass geforderte Schulungsnachweise verhältnismäßig und nicht diskriminierend sind, d.h. keine unverhältnismäßigen Hürden für KMU darstellen.
Schnittstellenmanagement Interface Management / API Management
Schnittstellenmanagement umfasst die Planung, Dokumentation, Steuerung und Überwachung aller technischen und organisatorischen Schnittstellen zwischen IT-Systemen, Komponenten und Beteiligten, um Kompatibilität, Datenkonsistenz und reibungslose Kommunikation sicherzustellen. Im Vergabekontext ist eine vollständige Schnittstellendokumentation Bestandteil der Leistungsbeschreibung, damit Bieter realistische Integrations- und Betriebsaufwände kalkulieren können. Unvollständige Schnittstellenspezifikationen führen häufig zu Nachtragsstreitigkeiten und sind eine der häufigsten Ursachen für Verzögerungen bei IT-Projekten der öffentlichen Hand.
Schnittstellenspezifikation Interface Specification / API-Spezifikation
Eine Schnittstellenspezifikation definiert formal und verbindlich alle technischen Details einer Schnittstelle zwischen IT-Systemen: Protokoll, Datenformat (JSON, XML, Protobuf), Endpunkte, Authentifizierungsverfahren, Fehlerbehandlung und Versionierungsregeln. Im öffentlichen IT-Beschaffungskontext ist eine vollständige Schnittstellenspezifikation Voraussetzung, damit Bieter Integrationsaufwände realistisch kalkulieren und Bestandssysteme angebunden werden können. Auftraggeber sollten offene Schnittstellenstandards (OpenAPI, AsyncAPI) fordern und proprietäre Schnittstellen ohne Spezifikation ablehnen, um Vendor-Lock-in zu vermeiden.
Schwachstellenmanagement
Schwachstellenmanagement ist der kontinuierliche Prozess zur Identifizierung, Bewertung, Priorisierung und Behebung von Sicherheitslücken in IT-Systemen. Das BSI empfiehlt als Instrument das Common Security Advisory Framework (CSAF) für maschinell lesbare Sicherheitshinweise sowie OpenVAS als kostenlosen Scanner. NIS2 verpflichtet regulierte Einrichtungen zu strukturiertem Schwachstellenmanagement; in Ausschreibungen sind Patch-SLAs nach CVSS-Schweregrad (kritisch: 48 h, hoch: 7 Tage) üblich.
Schwachstellenmeldung CVD / Coordinated Vulnerability Disclosure
Coordinated Vulnerability Disclosure (CVD) beschreibt den koordinierten Prozess, bei dem Sicherheitsforscher entdeckte Schwachstellen zunächst vertraulich an den Hersteller melden, bevor sie öffentlich bekannt gemacht werden, um Patches vor der Veröffentlichung zu ermöglichen. Der Cyber Resilience Act (CRA) verpflichtet Hersteller vernetzter Produkte ab 2027, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA zu melden. In IT-Vergaben für sicherheitskritische Systeme sollten CVD-Richtlinien und Reaktionszeiten des Anbieters als Eignungskriterium abgefragt werden.
Sektorenauftraggeber
Sektorenauftraggeber sind Stellen, die Tätigkeiten in den Sektoren Wasser, Energie, Verkehr und Postdienste ausüben und dabei vergaberechtlichen Regeln unterliegen; §100 GWB erfasst sowohl öffentliche Auftraggeber in diesen Bereichen als auch private Unternehmen, die aufgrund besonderer oder ausschließlicher Rechte handeln. Sie unterliegen nicht der VgV, sondern der Sektorenverordnung (SektVO), die in manchen Bereichen flexiblere Verfahrensregeln vorsieht. Für IT-Beschaffungen durch kommunale Stadtwerke oder Verkehrsbetriebe sind die Sektorenvorschriften daher der relevante Rechtsrahmen.
SektVO Sektorenverordnung
Die SektVO regelt die Vergabe öffentlicher Aufträge durch Sektorenauftraggeber in den Bereichen Energie, Wasser, Verkehr und Postdienstleistungen oberhalb der EU-Schwellenwerte. Sie entspricht inhaltlich weitgehend der VgV, gewährt Sektorenauftraggebern aber größere Verfahrensflexibilität, insbesondere beim Verhandlungsverfahren ohne vorherigen Teilnahmewettbewerb. Für IT-Ausschreibungen von Stadtwerken, Bahn oder Wasserversorgern ist die SektVO das maßgebliche Regelwerk.
SaaS Software as a Service
SaaS ist ein Cloud-Liefermodell, bei dem Softwareanwendungen vollständig durch den Anbieter betrieben und über das Internet bereitgestellt werden, ohne dass Kunden die zugrundeliegende Infrastruktur oder Plattform verwalten müssen. Im öffentlichen Beschaffungswesen gewinnt SaaS durch die Digitalisierung der Verwaltung erheblich an Bedeutung: Auftraggeber müssen bei SaaS-Beschaffungen Fragen zu Datensouveränität, AVV, Exit-Strategien und BSI C5-Konformität vertraglich regeln. Die EVB-IT SaaS bietet hierfür einen standardisierten Vertragsrahmen für die öffentliche Hand.
SAST Static Application Security Testing
SAST-Tools analysieren den Quellcode oder Bytecode einer Anwendung statisch (ohne Ausführung) auf sicherheitsrelevante Fehler wie unsichere Datenverarbeitung, SQL-Injection-Anfälligkeit, unsichere Kryptografienutzung und Speicherfehler; die Analyse erfolgt früh im Entwicklungszyklus (Shift Left). Im Gegensatz zu DAST benötigt SAST Zugriff auf den Quellcode und erzeugt viele False Positives, die durch triagiert werden müssen. In IT-Ausschreibungen für Softwareentwicklung sind SAST-Tools als Pflichtbestandteil der CI/CD-Pipeline zu fordern; Bieter sollten nachweisen, wie SAST-Findings priorisiert und in den Release-Prozess integriert werden.
SAML Security Assertion Markup Language
SAML ist ein XML-basierter offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identity Provider (IdP) und einem Service Provider (SP). Er ermöglicht Single Sign-On (SSO) zwischen verschiedenen Webanwendungen und Organisationen, ohne dass Benutzeranmeldedaten zwischen Systemen übertragen werden müssen. In Vergabeverfahren für Behördenportale und E-Government-Plattformen wird SAML 2.0 häufig gemeinsam mit dem ELSTER-Unternehmenskonto oder dem Bundesbehörden-IdP eingesetzt und sollte als Interoperabilitätsanforderung spezifiziert werden.
SASE Secure Access Service Edge
SASE ist ein Netzwerk-Sicherheitsarchitektur-Framework, das Netzwerkdienste (SD-WAN, MPLS) und Sicherheitsdienste (ZTNA, CASB, SWG, FWaaS) in einem einzigen Cloud-nativen Dienst bündelt und so sicheren Zugriff unabhängig vom Standort des Nutzers ermöglicht. SASE eliminiert das klassische Hub-and-Spoke-Netzwerkmodell und ist besonders für ortsunabhängige Behördenorganisationen mit vielen Außenstellen und Remote-Work-Szenarien geeignet. In IT-Ausschreibungen für Netzwerk-Transformationsprojekte sind SASE-Komponenten einzeln auszuschreiben oder als integrierte Plattform; dabei sind Datenschutzanforderungen (Datenverarbeitung im EU-Rechtsraum) und BSI-Zertifizierungsanforderungen zu berücksichtigen.
Schutzbedarfsanalyse
Die Schutzbedarfsanalyse ist ein zentrales Instrument des BSI IT-Grundschutzes, bei dem für jede Anwendung und jeden IT-Dienst der Schutzbedarf in den Kategorien Vertraulichkeit, Integrität und Verfügbarkeit auf einer dreistufigen Skala (normal, hoch, sehr hoch) bewertet wird. Das Ergebnis bestimmt, welche IT-Grundschutz-Bausteine anzuwenden und welche Sicherheitsmaßnahmen erforderlich sind. In öffentlichen IT-Ausschreibungen sollten Auftraggeber die Schutzbedarfsklasse des beschafften Systems angeben, da sie die Anforderungen an Verschlüsselung, Redundanz, Zertifizierungen und Auditierbarkeit des Bieters unmittelbar determiniert.
Secure Boot
Secure Boot ist ein UEFI-Standard, der sicherstellt, dass beim Systemstart ausschließlich kryptografisch signierte und vom Hersteller oder Betreiber freigegebene Bootloader und Betriebssystem-Komponenten geladen werden, wodurch Bootkits und Rootkits verhindert werden. BSI empfiehlt Secure Boot als Pflichtanforderung für behördliche Client-Systeme und Server; für Bundesbehörden gilt die Technische Leitlinie BSI TL-02103. In IT-Ausschreibungen für Hardware (PCs, Server) und Betriebssystemlizenzen ist Secure Boot als Mindestanforderung zu spezifizieren und die Aktivierung im Abnahmetest zu prüfen.
Security Champion Sicherheitsbeauftragter im Entwicklungsteam
Ein Security Champion ist ein Mitglied eines Entwicklungs- oder Projektteams, das als Ansprechpartner für Sicherheitsthemen fungiert und Sicherheitsanforderungen in den Entwicklungsprozess einbringt, ohne formaler IT-Sicherheitsspezialist zu sein. Das Modell ermöglicht es, Sicherheitskultur und -wissen dezentral in Teams zu verankern, anstatt alle Sicherheitsfragen an ein zentrales Team zu delegieren. In IT-Vergabeverfahren für Softwareentwicklungsdienstleistungen kann die Einrichtung eines Security-Champion-Programms als qualitätssicherndes Element im Leistungsverzeichnis gefordert werden.
Security by Design
Security by Design bezeichnet das Prinzip, Sicherheitsanforderungen von Beginn an in das Design von IT-Systemen und Software zu integrieren, statt sie nachträglich hinzuzufügen; das Gegenteil ist ein "Bolt-on Security"-Ansatz, der teurer und weniger effektiv ist. Der Cyber Resilience Act (CRA) schreibt Security by Design als Pflicht für Hersteller vernetzter Produkte vor; auch ENISA und BSI empfehlen es als Grundprinzip für sichere IT-Entwicklung. In IT-Ausschreibungen für Software-Entwicklungsdienstleistungen sind Security-by-Design-Nachweise (Threat-Modeling-Dokumentation, Secure-SDLC-Prozess, Sicherheitsarchitekturreviews) als Eignungskriterien zu fordern.
Security Awareness Training
Security Awareness Training bezeichnet systematische Schulungsmaßnahmen, die Mitarbeitende für Cyberbedrohungen sensibilisieren und sicherheitsbewusstes Verhalten fördern; Kernthemen sind Phishing-Erkennung, sichere Passwortnutzung, Umgang mit Wechseldatenträgern und Social-Engineering-Angriffe. BSI IT-Grundschutz ORP.3 definiert Anforderungen an Sensibilisierung und Schulungen für alle Mitarbeitenden; NIS2 verpflichtet regulierte Einrichtungen zur regelmäßigen Schulung des Managements. In IT-Ausschreibungen für Security-Awareness-Plattformen sind messbare Lernziele, simulierte Phishing-Kampagnen mit Klickraten-Tracking und Reporting-Funktionen als Leistungsmerkmale zu fordern.
Selbstreinigung
Selbstreinigung nach §125 GWB ermöglicht es Unternehmen, trotz vorliegender Ausschlussgründe (z.B. Korruption, Kartellabsprachen) an Vergabeverfahren teilzunehmen, wenn sie Schadensersatz geleistet, aktiv mit Ermittlungsbehörden kooperiert und konkrete technisch-organisatorische Maßnahmen zur Prävention künftiger Verstöße umgesetzt haben. Eine positive Selbstreinigungsentscheidung durch das Bundeskartellamt bindet alle Auftraggeber. In der Praxis spielt Selbstreinigung bei IT-Unternehmen mit kartellrechtlichem Vorwurf eine wachsende Rolle.
Sicherheitsrichtlinie IT-Security Policy
Eine Sicherheitsrichtlinie (IT-Security Policy) ist ein verbindliches Regelwerk, das festlegt, wie eine Organisation mit Informationen, IT-Systemen und Sicherheitsrisiken umgeht. Sie umfasst übergeordnete Grundsätze (Informationssicherheitspolitik) sowie spezifische Vorgaben zu Zugriffskontrolle, Passwortsicherheit, Datensicherung und Incident Response. In IT-Ausschreibungen sollten Auftraggeber verlangen, dass Auftragnehmer eigene dokumentierte Sicherheitsrichtlinien nachweisen und deren Einhaltung im Rahmen des beauftragten Services sicherstellen, etwa durch Vorlage eines ISMS-Zertifikats nach ISO 27001.
Sichere Softwareentwicklung Secure SDLC
Sichere Softwareentwicklung (Secure Software Development Lifecycle) integriert Sicherheitsanforderungen in jede Phase der Entwicklung: von der Anforderungsanalyse über Threat Modeling und sicheres Design bis zu statischer (SAST) und dynamischer Codeanalyse (DAST) sowie Penetrationstests vor dem Release. BSI IT-Grundschutz CON.8 beschreibt konkrete Maßnahmen für Softwareentwicklungsprojekte, darunter Code-Reviews, Bibliotheksmanagement und sichere Konfigurationsstandards. In IT-Vergaben für individuelle Softwareentwicklung sind Nachweise eines etablierten Secure SDLC (z.B. nach NIST SSDF SP 800-218) als Eignungskriterium zu fordern.
Sicherheitszertifizierung IT-Sicherheitszertifikat / Security Certification
Eine Sicherheitszertifizierung bestätigt durch eine unabhängige Prüfinstanz, dass ein Produkt, System oder Prozess definierte Sicherheitsanforderungen erfüllt. Im deutschen und europäischen Kontext sind ISO/IEC 27001, BSI IT-Grundschutz-Zertifizierung, Common Criteria (CC / ISO 15408) und BSI C5 für Cloud-Dienste die wichtigsten Standards. Auftraggeber in IT-Vergaben können Sicherheitszertifizierungen als Eignungsnachweis oder als Mindestanforderung an eingesetzte Produkte verlangen, sofern gleichwertige Nachweise anderer Stellen akzeptiert werden, um das Gebot der Produktneutralität zu wahren.
Side-Channel Attack Seitenkanalangriff / Timing Attack
Ein Seitenkanalangriff nutzt indirekte Informationen aus der physischen Implementierung eines kryptografischen Systems, etwa Stromverbrauch, elektromagnetische Abstrahlung, Zeitverhalten oder Geräusche, um geheime Schlüssel oder Daten abzuleiten, ohne die eigentliche Verschlüsselung zu brechen. Bekannte Varianten sind Timing Attacks, Power Analysis (SPA/DPA), Cache-Timing-Angriffe (Spectre, Meltdown) und akustische Seitenkanal-Angriffe. In IT-Vergaben für Hardware-Sicherheitsmodule (HSM), kryptografische Appliances oder Smartcard-Systeme sollten Auftraggeber Nachweise der Seitenkanalresistenz, etwa Common-Criteria-Zertifizierung oder FIPS 140-3 Validierung, als Produktanforderung vorschreiben.
SIEM Security Information & Event Management
Plattform zur zentralen Sammlung, Korrelation und Analyse von Sicherheitsereignissen aus allen IT-Systemen in Echtzeit. SIEMs ermöglichen die frühzeitige Erkennung von Angriffen, die forensische Auswertung von Vorfällen und das Compliance-Reporting. Marktführer sind Microsoft Sentinel, Splunk Enterprise Security und IBM QRadar. Das BSI nennt SIEM als Bestandteil eines vollständigen Sicherheits-Monitorings nach OPS.1.1.5.
SIMAP Système d'information pour les marchés publics
SIMAP ist das europäische Informationssystem für öffentliche Aufträge und bildet das technische Rückgrat von TED (Tenders Electronic Daily), dem offiziellen EU-Supplement für Vergabebekanntmachungen. Auftraggeber sind nach §40 VgV verpflichtet, EU-weite Ausschreibungen über TED zu veröffentlichen; seit Oktober 2023 gelten die neuen eForms-Standards (Durchführungsverordnung EU 2019/1780) verbindlich, die strukturierte, maschinenlesbare Bekanntmachungsformulare vorschreiben. SIMAP ermöglicht darüber hinaus kostenlose Datenbankabfragen zu veröffentlichten EU-Vergaben als Grundlage für Marktanalysen.
Skalierbarkeit Scalability / IT-Skalierbarkeit
Skalierbarkeit beschreibt die Fähigkeit eines IT-Systems, bei steigender Nachfrage (mehr Nutzer, Daten, Transaktionen) durch Hinzufügen von Ressourcen die Leistung beizubehalten oder zu verbessern, ohne dass grundlegende Architekturanpassungen notwendig werden. Man unterscheidet vertikale Skalierung (stärkere Hardware) und horizontale Skalierung (mehr Instanzen); Cloud-native Architekturen setzen bevorzugt auf horizontale Auto-Skalierung. In IT-Vergaben sollten Auftraggeber Skalierungsszenarien, maximale Nutzerlasten und die erwartete Datenmenge über die Vertragslaufzeit beschreiben, damit Bieter Architekturen und Kosten realistisch kalkulieren können.
SLA Service Level Agreement
Ein Service Level Agreement definiert verbindliche Leistungsparameter zwischen Auftraggeber und Dienstleister: Verfügbarkeit, Reaktionszeiten, Wiederherstellungszeiten und Berichtsintervalle. Das BSI empfiehlt für KRITIS-nahe IT-Dienste zusätzlich Security Level Agreements (SecLA), die explizit sicherheitsrelevante Kennzahlen wie MTTD und MTTR vertraglich fixieren. In öffentlichen IT-Vergaben müssen SLAs messbar, sanktionsbewehrt und revisionssicher dokumentiert sein.
Shared Responsibility Model Geteilte Verantwortung in der Cloud
Das Shared Responsibility Model beschreibt die Aufteilung von Sicherheitsverantwortlichkeiten zwischen Cloud-Anbieter und Nutzer: Der Anbieter ist für die Sicherheit der Cloud-Infrastruktur verantwortlich (Rechenzentrum, Hardware, Hypervisor), der Nutzer für die Sicherheit in der Cloud (Daten, Zugriffskontrollen, Netzwerkkonfiguration, Anwendungen). Die genaue Grenzziehung variiert je nach Service-Modell: Bei IaaS trägt der Nutzer mehr Verantwortung als bei SaaS. In IT-Ausschreibungen für Cloud-Dienste müssen öffentliche Auftraggeber die Verantwortungsaufteilung explizit dokumentieren und sicherstellen, dass die eigenen Sicherheitspflichten (Zugriffskontrolle, Logging, Backups) vertraglich und technisch abgedeckt sind.
Schwachstellendatenbank CVE / NVD / Vulnerability Database
Eine Schwachstellendatenbank ist ein strukturiertes Repository bekannter IT-Sicherheitslücken, die mit eindeutigen Bezeichnern (CVE-IDs), Beschreibungen, CVSS-Bewertungen und Patch-Informationen dokumentiert werden. Die wichtigsten öffentlich zugänglichen Datenbanken sind die NIST National Vulnerability Database (NVD), MITRE CVE und das BSI-eigene Schwachstellenportal. In IT-Vergabeverfahren sollten Auftraggeber sicherstellen, dass beauftragte Dienstleister aktuelle Schwachstellendatenbanken nutzen, um Systeme zeitnah zu patchen, und entsprechende Reaktionszeiten für kritische CVEs (CVSS 9.0+) als SLA-Parameter verankern.
Schwellenwerte
Die EU-Schwellenwerte bestimmen, ab welchem Auftragswert ein EU-weites Vergabeverfahren verpflichtend ist. Seit 2024 gelten für Liefer- und Dienstleistungsaufträge: 143.000 EUR (obere und zentrale Bundesbehörden) sowie 221.000 EUR (andere öffentliche Auftraggeber). Unterhalb dieser Werte gilt die UVgO für nationale Verfahren. Die Schwellenwerte werden alle zwei Jahre von der EU-Kommission angepasst und treten jeweils zum 1. Januar eines geraden Jahres in Kraft.
SOAR Security Orchestration, Automation & Response
SOAR-Plattformen automatisieren Sicherheitsprozesse durch vordefinierte Playbooks und orchestrieren verschiedene Sicherheitstools in einem zentralen Workflow. Typische Anwendungsfälle sind die automatische Isolierung kompromittierter Endgeräte, automatisierte Ticketerstellung und Benachrichtigung relevanter Teams. CISA und NIST empfehlen SOAR ausdrücklich als Ergänzung zu SIEM-Lösungen, um die manuelle Arbeitslast im SOC spürbar zu reduzieren.
Sofortige Beschwerde
Die sofortige Beschwerde ist das Rechtsmittel gegen Entscheidungen der Vergabekammer und wird beim zuständigen Oberlandesgericht eingelegt (§171 GWB); die Beschwerdefrist beträgt zwei Wochen ab Zustellung des Kammerbeschlusses. Das Gericht kann die aufschiebende Wirkung der Beschwerde anordnen und damit den Zuschlag bis zur Entscheidung vorläufig untersagen. In IT-Vergaben mit langen Implementierungsvorlaufzeiten ist die aufschiebende Wirkung ein entscheidendes Instrument für Bieter, die ihren Anspruch auf rechtmäßige Zuschlagserteilung sichern wollen.
SOC Security Operations Center
Ein SOC ist die zentrale Organisationseinheit, die rund um die Uhr IT-Sicherheitsereignisse überwacht, analysiert und auf Vorfälle reagiert. Es kombiniert SIEM, EDR/XDR und Threat Intelligence zu einem integrierten Sicherheitslagebild. In öffentlichen Ausschreibungen für SOC-Dienste sind Schichtbetrieb (24/7), Tier-1-3-Analysteneskalation, Incident-Response-Reaktionszeiten und monatliche Reporting-Pflichten als messbare SLA-Kriterien festzuschreiben.
Software Asset Management SAM
Software Asset Management umfasst alle Prozesse zur systematischen Erfassung, Bewertung und Optimierung des Softwarebestands einer Organisation, einschließlich Lizenzverwaltung, Compliance-Überwachung und Kostensteuerung. Ohne belastbares SAM drohen öffentlichen Auftraggebern Nachzahlungen bei Softwareaudits sowie rechtliche Risiken durch Lizenzverstöße. Bei IT-Beschaffungen sollten Auftraggeber Anforderungen an SAM-Tooling und Lizenzberichterstattung explizit im Leistungsverzeichnis verankern, um den Überblick über erworbene Nutzungsrechte dauerhaft sicherzustellen.
SSO Single Sign-On
SSO ermöglicht Nutzern, sich einmalig zu authentifizieren und danach ohne erneute Passwortangabe auf mehrere Anwendungen zuzugreifen, typischerweise über föderierte Protokolle wie SAML oder OAuth/OIDC. Das vereinfacht die Nutzererfahrung und reduziert Passwortrisiken durch weniger Anmeldedaten-Proliferation. In öffentlichen IT-Ausschreibungen ist SSO häufig Bestandteil von IAM-Anforderungen; das BSI weist darauf hin, dass bei SSO der Schutz des zentralen Kontos durch MFA besonders kritisch ist.
Submissionsbericht Vergabebericht / Wertungsbericht
Ein Submissionsbericht (auch Vergabebericht oder Wertungsbericht) fasst die Ergebnisse der Angebotswertung zusammen und begründet die Zuschlagsentscheidung nachvollziehbar. Er dokumentiert, wie die einzelnen Wertungsstufen (formale Prüfung, Eignung, technische Wertung, Preisvergleich) angewendet wurden, und ist zwingender Bestandteil der Vergabeakte nach §8 VgV. Für IT-Vergabeverfahren mit komplexen technischen Bewertungsmatrizen ist eine sorgfältige Dokumentation der Punktevergabe besonders wichtig, um im Nachprüfungsverfahren vor der Vergabekammer standzuhalten.
Submissionsergebnis
Das Submissionsergebnis ist die unmittelbar nach dem Eröffnungstermin erstellte Liste aller eingegangenen Angebote mit den jeweils genannten Gesamtpreisen; es dient der ersten Markttransparenz und dokumentiert den Wettbewerb. Im offenen Verfahren wird das Submissionsergebnis auf Anfrage an Bieter herausgegeben; es ersetzt jedoch nicht die abschließende Wertungsentscheidung, die erst nach vollständiger Angebotsprüfung erfolgt. Bieter können anhand des Submissionsergebnisses ihre Marktstellung einschätzen und ggf. für künftige Verfahren Rückschlüsse auf Preisniveaus ziehen.
Submissionstermin
Der Submissionstermin ist der verbindliche Abgabetermin für Angebote in einem Vergabeverfahren. Nach Fristablauf dürfen keine Angebote mehr angenommen werden; verspätet eingegangene Angebote sind zwingend auszuschließen (§57 Abs. 1 Nr. 1 VgV). Bei elektronischer Einreichung gilt die Serverzeit des Vergabeportals als maßgeblich. Bieter sollten Angebote mindestens 24 Stunden vor Deadline einreichen, um technische Probleme ausschließen zu können.
Subdienstleister Unterdienstleister / Sub-Processor
Als Subdienstleister (auch Unterdienstleister oder Sub-Processor) bezeichnet man einen IT-Dienstleister, der von einem Hauptauftragnehmer mit Teilen der Leistungserbringung beauftragt wird und dabei personenbezogene Daten des Auftraggebers verarbeitet. Nach Art. 28 Abs. 2 DSGVO benötigt ein Auftragsverarbeiter für die Einbindung von Subdienstleistern die Genehmigung des Verantwortlichen. In IT-Vergabeverfahren müssen Auftraggeber Regelungen für Subdienstleister in der AVV treffen und sich das Recht vorbehalten, der Einbindung neuer Subdienstleister zuzustimmen oder zu widersprechen.
Subunternehmer
Subunternehmer (auch Nachunternehmer) sind Unternehmen, die vom Hauptauftragnehmer beauftragt werden, Teile des öffentlichen Auftrags auszuführen; §36 VgV regelt die Pflicht zur Benennung vorgesehener Subunternehmer auf Verlangen des Auftraggebers. Der Hauptauftragnehmer bleibt dem Auftraggeber gegenüber vollumfänglich für die Vertragserfüllung verantwortlich; die Eignungsanforderungen gelten entsprechend für die eingesetzten Subunternehmer. In IT-Projekten ist die Subunternehmerkette besonders sicherheitsrelevant, da Drittanbieter häufig kritische Systemkomponenten oder Hosting-Dienste liefern.
Supply Chain Security
Supply Chain Security bezeichnet den Schutz der IT-Lieferkette vor Manipulation, Kompromittierung oder Sabotage von Software, Hardware oder Dienstleistungen durch Drittparteien. NIS2 macht Supply-Chain-Sicherheit zur Pflichtmaßnahme für regulierte Einrichtungen; das BSI empfiehlt Cyber Supply Chain Risk Management (C-SCRM) mit vertraglich geregelten Sicherheitsanforderungen an Lieferanten. In Ausschreibungen für kritische IT-Systeme sind Herkunftsnachweise, Software Bill of Materials (SBOM) und Lieferantenaudits zunehmend gefordert.
T
Tariftreue
Tariftreue verpflichtet Auftragnehmer öffentlicher Aufträge, ihren Beschäftigten mindestens die im einschlägigen Tarifvertrag festgelegten Mindestlöhne zu zahlen. Das Bundes-Tariftreue-Gesetz (BTTG 2026) gilt für Liefer- und Dienstleistungsaufträge des Bundes ab 50.000 EUR netto; viele Bundesländer haben eigene Tariftreuegesetze. In IT-Ausschreibungen ist Tariftreue als Ausführungsbedingung zu formulieren, die Auftragnehmer und Nachunternehmer bindet.
Typosquatting URL Hijacking / Domain-Imitationsangriff
Typosquatting ist eine Angriffstechnik, bei der Angreifer Domains registrieren, die legitimen Websites durch minimale Schreibfehler (z.B. "gogle.de" statt "google.de"), Zeichenvertauschungen oder alternative Top-Level-Domains täuschend ähneln, um Nutzer auf Phishing-Seiten, Malware-Download oder Credential Harvesting umzuleiten. In Behördenumgebungen werden Typosquatting-Domains gezielt genutzt, um Mitarbeitern gefälschte Login-Seiten für interne Systeme zu präsentieren. In IT-Vergaben für Domain-Management und E-Mail-Sicherheit sollten Auftraggeber aktives Typosquatting-Monitoring, DMARC-Enforcement und Brand-Protection-Dienste als Leistungsbestandteile spezifizieren.
TED Tenders Electronic Daily
TED ist das offizielle Online-Portal der EU für Vergabebekanntmachungen, das Supplement zum Amtsblatt der Europäischen Union. Auftraggeber aller EU-Mitgliedstaaten sind verpflichtet, Ausschreibungen oberhalb der EU-Schwellenwerte hier via eForms zu veröffentlichen. Für IT-Unternehmen ist TED das wichtigste kostenfreie Recherche-Tool, um relevante europäische Ausschreibungen frühzeitig zu identifizieren und Fristen zu überwachen.
Sicherheitsgateway Security Gateway / IT-Sicherheitsgateway
Ein Sicherheitsgateway ist ein Netzwerkkomponente, die den Datenverkehr zwischen zwei Netzwerken oder Sicherheitszonen überwacht und nach definierten Regeln filtert, protokolliert oder modifiziert. Im Gegensatz zu einer einfachen Firewall können Sicherheitsgateways tiefe Paketanalyse (DPI), Protokollvalidierung, Malware-Scanning und Content-Inspection durchführen. Das BSI empfiehlt für Behördennetze den Einsatz von nach BSI zugelassenen oder evaluierten Sicherheitsgateways insbesondere an Übergängen zum Internet oder zu Partnernetzwerken.
Softwarelizenzmanagement Software License Management / SLM
Softwarelizenzmanagement ist der strukturierte Prozess zur Erfassung, Verfolgung und Optimierung aller Software-Lizenzen in einer Organisation, um sowohl Unterlizenzierung (Compliance-Risiko) als auch Überlizenzierung (unnötige Kosten) zu vermeiden. Es bildet einen Teilbereich des Software Asset Management (SAM) und ist nach BSI IT-Grundschutz (OPS.1.1.2) als Bestandteil des IT-Betriebs gefordert. In IT-Vergaben für Softwareprodukte oder Cloud-Dienste sollten Auftraggeber Lizenzmodell, Nutzungsrechte, Auditklauseln des Herstellers und Portierungsrechte auf Nachfolgesysteme im Vertrag präzise regeln.
Softwarequalität Software Quality / ISO 25010
Softwarequalität bezeichnet das Gesamtmaß an Eigenschaften, die eine Software in Bezug auf Funktionalität, Zuverlässigkeit, Effizienz, Sicherheit, Wartbarkeit und Portabilität aufweist, und wird international durch den Standard ISO/IEC 25010 (SQuaRE) definiert. Bei der öffentlichen Beschaffung von Softwarelösungen sollten Auftraggeber Qualitätsanforderungen als messbare, überprüfbare Kriterien in die Leistungsbeschreibung aufnehmen, etwa durch definierte Testabdeckung, Laufzeitleistung und Sicherheitszertifizierungen. Softwarequalität ist eng mit der Wartungsfreundlichkeit und den Gesamtbetriebskosten verknüpft, weshalb eine mangelhafte Qualitätsspezifikation zu erheblichen Folgekosten im Betrieb führen kann.
Sicherheitsüberprüfung Personal Personnels Security Clearance / Zuverlässigkeitsüberprüfung
Die Sicherheitsüberprüfung von Personal stellt fest, ob eine Person vertrauenswürdig ist und ihr Zugang zu sicherheitsrelevanten Informationen oder Systemen gewährt werden kann. In Deutschland unterscheidet das Sicherheitsüberprüfungsgesetz (SÜG) zwischen einfacher (Ü1), erweiterter (Ü2) und erweiterter Sicherheitsüberprüfung mit Sicherheitsermittlung (Ü3). Auftraggeber können für IT-Personal, das Zugang zu besonders schützenswerten Systemen erhält, eine behördliche Sicherheitsüberprüfung als Voraussetzung fordern; dies muss in den Vergabeunterlagen transparent kommuniziert werden.
Sicherheitsklausel Security Clause / IT-Sicherheitsvertragsklausel
Eine Sicherheitsklausel ist eine vertragliche Bestimmung in IT-Verträgen, die spezifische Sicherheitspflichten des Auftragnehmers verbindlich festlegt, z.B. Meldepflichten bei Sicherheitsvorfällen, Patch-Fristen, Audit-Rechte des Auftraggebers, Verpflichtung zur Einhaltung benannter Sicherheitsstandards (ISO 27001, BSI C5) oder Anforderungen an Subunternehmer. Sicherheitsklauseln übersetzen abstrakten Schutzbedarf in vertraglich einklagbare Pflichten und bilden die Grundlage für Vertragsstrafen bei Nichteinhaltung. Auftraggeber sollten Sicherheitsklauseln in IT-Verträgen nicht als Standard-AGB verwenden, sondern projektspezifisch auf den tatsächlichen Schutzbedarf und die relevanten Bedrohungsszenarien zuschneiden.
Sicherheitspatch Security Patch / Hotfix
Ein Sicherheitspatch ist ein Software-Update, das gezielt eine oder mehrere Sicherheitslücken schließt, ohne dabei neue Funktionen hinzuzufügen. Zeitkritische Sicherheitspatches für kritische Schwachstellen (CVSS-Score ≥ 9) sollten nach BSI-Empfehlung innerhalb von 24–72 Stunden eingespielt werden; für weniger kritische Patches gelten Zyklen von bis zu 30 Tagen. In IT-Vergaben sollten Auftraggeber Patch-Response-Zeiten nach CVSS-Kritikalität gestaffelt im SLA verankern und sich regelmäßige Patch-Status-Reports als Nachweis vorbehalten.
Systemdokumentation System Documentation / Technische Dokumentation
Die Systemdokumentation umfasst alle technischen Unterlagen, die Aufbau, Konfiguration, Schnittstellen, Betriebsanforderungen und Sicherheitsaspekte eines IT-Systems beschreiben und den Betrieb sowie die Weiterentwicklung durch Dritte ermöglichen. Sie ist nach BSI IT-Grundschutz (OPS.1.1.2) eine Voraussetzung für ordnungsgemäßen IT-Betrieb und unverzichtbar beim Anbieterwechsel. Auftraggeber sollten Systemdokumentation als verbindliches Lieferdokument in Ausschreibungen fordern, Umfang und Format vorgeben und das Recht auf Aktualisierung bei Systemänderungen vertraglich absichern.
Systemhärtung System Hardening / OS Hardening
Systemhärtung bezeichnet die systematische Reduktion der Angriffsfläche eines IT-Systems durch Deaktivierung nicht benötigter Dienste, Ports und Benutzerkonten, Anpassung von Standardkonfigurationen, Einspielen aller verfügbaren Sicherheitsupdates und Implementierung restriktiver Zugriffskontrollen entsprechend dem Prinzip der minimalen Rechte. Anerkannte Härtungsrichtlinien sind die CIS-Benchmarks und die BSI-SiSyP-Bausteine, die betriebssystem- und anwendungsspezifische Maßnahmenkataloge bereitstellen. In IT-Ausschreibungen für Server- und Client-Infrastruktur sollten Auftraggeber Systemhärtung nach einem benannten Härtungsleitfaden als Abnahmekriterium vorschreiben und die regelmäßige Verifikation durch automatisierte Compliance-Scans fordern.
Systemintegration System Integration / IT-Integration
Systemintegration bezeichnet den Prozess, separate IT-Systeme, Anwendungen oder Datenbankkomponenten so miteinander zu verbinden, dass sie als kohärentes Gesamtsystem funktionieren und Daten nahtlos austauschen können. In IT-Ausschreibungen für komplexe Landschaften aus Fachverfahren, ERP, IAM und Security-Tools ist Systemintegration häufig der aufwändigste und risikoreichste Teil des Projekts. Auftraggeber sollten Integrationsleistungen mit klar definierten Schnittstellen (APIs, Datenformaten, Protokollen), Testszenarien und Verantwortlichkeiten für Schnittstellenfehler in Leistungsbeschreibung und SLA verankern.
Systemverantwortlicher System Owner / IT-Systemverantwortlicher
Der Systemverantwortliche ist die benannte Fach- oder Führungskraft, die für den sicheren und ordnungsgemäßen Betrieb eines IT-Systems organisatorisch verantwortlich ist, einschließlich der Genehmigung von Zugriffsrechten, der Freigabe von Änderungen und der Koordination von Sicherheitsmaßnahmen. BSI IT-Grundschutz ORP.2 und ISO 27001 fordern die explizite Benennung von Systemverantwortlichen für alle relevanten Informationswerte. In IT-Vergaben sollten Auftraggeber verlangen, dass der Bieter für jedes gelieferte System einen benannten Systemverantwortlichen mit definierten Pflichten und Eskalationswegen benennt.
Systemtest System Testing / End-to-End Test
Ein Systemtest prüft das vollständig integrierte IT-System als Ganzes gegen die in der Leistungsbeschreibung und im Lastenheft definierten Anforderungen, bevor der Abnahmetest durch den Auftraggeber stattfindet. Er umfasst funktionale Tests, Schnittstellentests, Sicherheitstests und nicht-funktionale Tests (Performance, Robustheit) unter realistischen Bedingungen. In IT-Vergaben sollte der Systemtest als eigenständige Projektphase mit definierten Eingangs- und Ausgangskriterien, Testumgebung und Testdaten in der Leistungsbeschreibung vorgesehen werden.
Transferrisiko Transfer Risk / Residual Liability Transfer
Transferrisiko bezeichnet im IT-Beschaffungskontext die strategische Entscheidung, definierte Risiken durch vertragliche Regelungen (Haftungsklauseln, Garantien, SLA-Pönalen) oder Versicherungen (Cyberversicherung) auf den Auftragnehmer oder einen Versicherer zu übertragen, anstatt sie selbst zu tragen. Die Übertragung eines Risikos eliminiert dieses nicht, sondern verlagert die Folgekosten; der Auftraggeber trägt weiterhin Reputations- und Betriebsrisiken. In IT-Vergaben sollten Auftraggeber genau prüfen, welche Risiken durch Haftungsobergrenzen faktisch beim Auftraggeber verbleiben, und den Versicherungsnachweis des Auftragnehmers als Eignungskriterium fordern.
Testkonzept Test Concept / Testing Strategy
Ein Testkonzept definiert die Strategie, Methoden, Testobjekte, Abnahmekriterien und Verantwortlichkeiten für die Qualitätssicherung eines IT-Systems oder Softwareprojekts. Es unterscheidet typischerweise zwischen Unit-Tests, Integrationstests, Systemtests, Performancetests und Abnahmetests (UAT) und legt fest, wer welche Tests wann unter welchen Bedingungen durchführt. In IT-Vergaben sollte das Testkonzept als Pflichtdokument im Angebot gefordert und die Qualität des Testansatzes als Wertungskriterium berücksichtigt werden, da unzureichendes Testen eine der häufigsten Ursachen für Projektverzögerungen und -mehrkosten ist.
Teilleistungsabnahme Partial Acceptance / Milestone Acceptance
Eine Teilleistungsabnahme ist die formale Prüfung und Bestätigung, dass ein definierter Abschnitt einer IT-Leistung (z.B. ein Projektmeilenstein, ein Modul oder eine Integrationsphase) den vereinbarten Anforderungen entspricht, bevor das Gesamtprojekt abgeschlossen ist. Sie ermöglicht Auftraggeber eine frühzeitige Qualitätssicherung und steuernden Eingriff und löst in der Regel Teilzahlungen aus. In IT-Vergaben mit längerer Laufzeit sollten Auftraggeber Teilleistungsabnahmen als Vertragsbestandteil festlegen und die Abnahmekriterien für jede Stufe vorab definieren.
Technologiefolgenabschätzung Technology Assessment / TA
Die Technologiefolgenabschätzung analysiert systematisch die erwartbaren Auswirkungen neuer Technologien auf Gesellschaft, Wirtschaft, Sicherheit und Umwelt, bevor Entscheidungen über Beschaffung oder Einsatz getroffen werden. Im öffentlichen IT-Beschaffungskontext gewinnt sie bei KI-Systemen, autonomen Entscheidungssystemen und Biometrie an Bedeutung; der EU AI Act schreibt für Hochrisiko-KI Konformitätsbewertungen vor. Auftraggeber sollten bei IT-Vergaben mit KI-Anteilen eine Risikoklassifizierung nach EU AI Act durchführen und entsprechende Anforderungen an Erklärbarkeit, Transparenz und menschliche Kontrolle in die Ausschreibung aufnehmen.
Tagging Asset Tagging / Ressourcenkennzeichnung
Tagging bezeichnet die strukturierte Kennzeichnung von IT-Assets, Cloud-Ressourcen oder Datensätzen mit Metadaten-Attributen wie Kostenstellenzuordnung, Umgebung (Produktion/Test) oder Datenschutzklassifizierung. Im Cloud-Umfeld ist konsequentes Ressourcen-Tagging Voraussetzung für ein granulares Kostenmanagement, automatisierte Compliance-Prüfungen und Notfallpläne; Fehlendes Tagging führt regelmäßig zu unkontrollierten Cloud-Kosten (Cloud Sprawl). Auftraggeber sollten in Cloud-Rahmenverträgen ein verbindliches Tag-Schema mit Pflichtfeldern und Durchsetzungsmechanismen (z.B. Tag-Policies per Azure Policy oder AWS SCP) vereinbaren.
Technische Eignung
Die technische Eignung ist eine der drei Eignungssäulen im Vergaberecht (neben wirtschaftlicher und finanzieller Leistungsfähigkeit) und beschreibt die fachliche Kompetenz und Erfahrung eines Bieters für den konkreten Auftrag. Nachgewiesen wird sie typischerweise durch vergleichbare Referenzprojekte, Qualifizierungen des eingesetzten Personals, Zertifizierungen oder Beschreibung der technischen Ausstattung. In IT-Vergaben umfasst die technische Eignung häufig Anforderungen an Zertifizierungen wie ISO 27001, BSI C5, ITIL oder herstellerspezifische Partnerschaftsstufen.
Teilleistung Abschlagsleistung / Teilergebnis
Eine Teilleistung ist ein abgeschlossener, abnahmefähiger Teilabschnitt einer Gesamtleistung, für den ein Auftraggeber eine Teilvergütung leistet, bevor die Gesamtleistung abgeschlossen ist. Im IT-Vertragsrecht ermöglichen Teilleistungen eine phasenweise Abrechnung großer Projekte und reduzieren das finanzielle Risiko für beide Seiten. In Leistungsverzeichnissen für IT-Großprojekte sollten Auftraggeber Meilensteine und Teilleistungen mit klaren Abnahmekriterien definieren, da ohne klare Definition von Teilleistungen Streitigkeiten über Abrechnungszeitpunkte und Leistungsstand entstehen können.
Teilnahmeantrag
Der Teilnahmeantrag ist die formelle Bewerbung eines Unternehmens im Rahmen eines Teilnahmewettbewerbs für nicht offene Verfahren, Verhandlungsverfahren oder wettbewerbliche Dialoge. Er enthält die vom Auftraggeber geforderten Eignungsnachweise (Referenzen, Zertifikate, Umsatznachweise) und die EEE als Eigenerklärung. Nach §57 VgV sind unvollständige Teilnahmeanträge auszuschließen; unter bestimmten Voraussetzungen kann der Auftraggeber fehlende Unterlagen nachfordern.
Teilnahmewettbewerb
Der Teilnahmewettbewerb ist die erste Stufe des nicht offenen Verfahrens, des Verhandlungsverfahrens und des wettbewerblichen Dialogs (§16 VgV): Auftraggeber veröffentlichen eine Bekanntmachung, auf die interessierte Unternehmen Teilnahmeanträge mit Eignungsnachweisen einreichen. Nur geeignete Bewerber werden zur zweiten Stufe, der Angebotsabgabe, zugelassen. Das Instrument schützt Auftraggeber vor der Bearbeitung ungeeigneter Angebote bei komplexen IT-Vergaben.
Threat Modeling Bedrohungsmodellierung
Threat Modeling ist eine strukturierte Methode zur Identifikation, Analyse und Priorisierung von Sicherheitsbedrohungen in einem IT-System bereits in der Entwurfsphase. Das STRIDE-Framework (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) von Microsoft ist ein weit verbreitetes Bedrohungsmodellierungskonzept; NIST SP 800-154 beschreibt datenzentrische Ansätze. In IT-Vergaben für sicherheitskritische Systeme wird Threat Modeling zunehmend als Pflichtbestandteil des Sicherheitskonzepts gefordert.
Teilnahmefristen
Teilnahmefristen regeln den Zeitraum, innerhalb dessen Bewerber im Rahmen eines Teilnahmewettbewerbs ihre Bewerbungsunterlagen einreichen müssen; die Mindestfrist beträgt nach §16 VgV 30 Tage. Bei dringlichem Beschaffungsbedarf kann die Frist auf 15 Tage verkürzt werden; vollständig elektronische Verfahren können eine weitere Verkürzung um fünf Tage erlauben. Zu kurz bemessene Teilnahmefristen schränken den Wettbewerb ein und bieten unterlegenen Bewerbern einen Rügegrund.
Threat Actor
Ein Threat Actor (Bedrohungsakteur) ist eine Einzelperson oder Gruppe, die eine Bedrohung für IT-Systeme darstellt. NIST und CISA unterscheiden zwischen nationalstaatlichen Akteuren (APT-Gruppen), kriminellen Organisationen (Ransomware-Gruppen), Hacktivisten und Insider-Bedrohungen. In Behörden-IT-Ausschreibungen fließt die Bedrohungsakteur-Analyse in die Schutzbedarfsfeststellung ein: Je nach wahrscheinlichem Angreifertyp werden unterschiedliche Schutzmaßnahmen und Erkennungsfähigkeiten gefordert.
Threat Emulation Bedrohungssimulation
Threat Emulation ist eine Form des Sicherheitstests, bei der das Verhalten realer Angreifer und bekannter Bedrohungsgruppen (Threat Actors) mithilfe von Frameworks wie MITRE ATT&CK präzise nachgeahmt wird, um die Erkennungs- und Reaktionsfähigkeit einer Organisation zu messen. Anders als ein klassischer Penetrationstest zielt Threat Emulation nicht primär darauf ab, Schwachstellen zu finden, sondern die Wirksamkeit von Detektionskontrollen (SIEM, EDR, SOC-Playbooks) zu validieren. In Vergabeverfahren für SOC- und MDR-Dienste empfiehlt sich die Aufnahme regelmäßiger Threat-Emulation-Übungen als vertragliche Leistungspflicht.
Threat Hunting
Threat Hunting ist die proaktive Suche nach Bedrohungen und Angreifern, die bestehende Sicherheitsmaßnahmen bereits umgangen haben und unbemerkt im Netzwerk aktiv sind. Anders als SIEM-basiertes Alerting setzt Threat Hunting auf hypothesengetriebene Analysen auf Basis von Threat Intelligence und MITRE ATT&CK-Mustern. CISA bietet Bundesbehörden eigene Cyber-Threat-Hunt-Assessments an; in Ausschreibungen für SOC-Dienste wird Threat Hunting als eigenständiges Leistungsmerkmal mit definierten Hunting-Zyklen (z.B. monatlich) ausgeschrieben.
Threat Intelligence
Threat Intelligence ist aufbereitetes, analysiertes Wissen über Bedrohungsakteure, ihre Taktiken, Techniken und Indikatoren (IoCs), das Entscheidungen zur Cyberabwehr unterstützt. NIST unterscheidet strategische (Management-Ebene), taktische (TTPs) und operative Intelligence (spezifische Angriffskampagnen). In IT-Sicherheitsausschreibungen wird Threat Intelligence als Pflichtbestandteil von SOC- und MDR-Diensten gefordert, häufig mit Anforderung an STIX/TAXII-kompatible Feeds.
Testmanagement IT-Testmanagement / Software Testing
Testmanagement umfasst die Planung, Steuerung, Durchführung und Auswertung von Tests für IT-Systeme und Software, um sicherzustellen, dass Anforderungen erfüllt werden und keine kritischen Fehler oder Sicherheitslücken vorhanden sind. Zum Testmanagement gehören Testplanung, Testfallentwicklung, Testdurchführung (Unit-, Integrations-, System- und Akzeptanztests) sowie Bug-Tracking. In IT-Vergabeverfahren sollten Auftraggeber Anforderungen an Testkonzept, Testabdeckung und insbesondere sicherheitsbezogene Tests (DAST, SAST, Penetrationstest) explizit im Leistungsverzeichnis aufführen, da mangelhaftes Testmanagement eine häufige Ursache für unsichere Softwarelieferungen ist.
Technisches Konzept Technical Proposal / Lösungskonzept
Ein Technisches Konzept ist ein Dokument, in dem Bieter im Rahmen eines Vergabeverfahrens darlegen, wie sie die ausgeschriebene Leistung technisch umsetzen wollen, welche Architekturen, Technologien und Vorgehensweisen sie einsetzen und welche Risiken sie identifiziert haben. Es ist ein zentrales Bewertungsdokument bei qualitätsbezogenen Zuschlagskriterien und ermöglicht Auftraggebern, die technische Kompetenz der Bieter zu vergleichen. In IT-Ausschreibungen mit hohem Innovationsgrad (z.B. KI-Lösungen, Cloud-native Architekturen) ist ein detailliertes Technisches Konzept oft das entscheidende Differenzierungsmerkmal zwischen Bietern.
Terraform Infrastructure as Code / IaC Tool
Terraform ist ein weit verbreitetes Open-Source-IaC-Werkzeug von HashiCorp, mit dem Infrastrukturressourcen in Cloud- und On-Premises-Umgebungen deklarativ als Code beschrieben, versioniert und automatisiert bereitgestellt werden. Es unterstützt zahlreiche Cloud-Provider (AWS, Azure, GCP) und ermöglicht Multi-Cloud-Betrieb über eine einheitliche Konfigurationssprache (HCL). In IT-Vergaben für Cloud-Betrieb und DevOps-Dienste sollten Auftraggeber fordern, dass Infrastrukturcode in einem versionierten Repository gepflegt, durch automatisierte Tests validiert und nach dem Vier-Augen-Prinzip genehmigt wird, um Konfigurationsdrift und Sicherheitsfehlkonfigurationen zu vermeiden.
TISAX Trusted Information Security Assessment Exchange
TISAX ist der Informationssicherheits-Bewertungsstandard der Automobilindustrie, der von der ENX Association verwaltet wird und auf dem VDA ISA-Fragebogen (angelehnt an ISO 27001) basiert. IT-Dienstleister, die für OEMs wie BMW, Volkswagen oder Mercedes-Benz tätig werden, müssen häufig ein TISAX-Zertifikat auf einem der drei Reifegradlevel nachweisen; die Ergebnisse werden vertraulich über das ENX-Portal ausgetauscht, ohne dass Dritte Zugang erhalten. In Vergabeverfahren der Automotive-Industrie und zunehmend auch in öffentlichen Beschaffungen für Fahrzeug-IT und Verkehrsinfrastruktur wird TISAX als branchen-spezifisches Eignungskriterium neben ISO 27001 gefordert.
TOM Technische und Organisatorische Maßnahmen
Technische und Organisatorische Maßnahmen (TOM) sind die konkreten Schutzmaßnahmen, die ein Auftragsverarbeiter oder Verantwortlicher nach Art. 32 DSGVO ergreifen muss, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Sie umfassen Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle. In IT-Vergaben mit Auftragsverarbeitung müssen Auftraggeber ein TOM-Dokument des Bieters einfordern und prüfen, ob die Maßnahmen dem konkreten Verarbeitungsrisiko (Datenkategorie, Volumen, Verarbeitungskontext) entsprechen.
TLS Transport Layer Security
TLS (Transport Layer Security) ist das Standardprotokoll zur Verschlüsselung und Authentifizierung von Netzwerkkommunikation und der Nachfolger von SSL. Es schützt Daten bei der Übertragung zwischen Client und Server (z.B. HTTPS, SMTPS, LDAPS) vor Abhören und Manipulation. In IT-Vergabeverfahren sollten Auftraggeber mindestens TLS 1.2, bevorzugt TLS 1.3, als Mindestanforderung vorschreiben sowie schwache Cipher-Suiten explizit ausschließen, da veraltete TLS-Versionen (SSL 3.0, TLS 1.0/1.1) als unsicher gelten und laut BSI nicht mehr eingesetzt werden sollten.
Tokenisierung
Tokenisierung ersetzt sensible Daten wie Kreditkartennummern oder Sozialversicherungsnummern durch zufällige Zeichenketten (Token), die ohne Zugriff auf eine gesicherte Token-Datenbank (Vault) bedeutungslos sind. Im Unterschied zur Verschlüsselung sind Token ohne den Vault nicht umkehrbar; die Originaldaten verlassen das gesicherte System nicht. In IT-Vergaben für Zahlungssysteme, Personalverwaltung und Gesundheitsdaten sollten Tokenisierungsanforderungen explizit in Leistungsbeschreibung und Datenschutzkonzept aufgenommen werden, insbesondere hinsichtlich der Vault-Sicherheit und Zugriffsprotokollierung.
TPM Trusted Platform Module
Ein Trusted Platform Module ist ein dedizierter Hardware-Sicherheitschip, der kryptografische Schlüssel sicher speichert und Plattformintegritätsmessungen (Platform Configuration Registers) durchführt, um Manipulationen am Boot-Prozess zu erkennen. TPM 2.0 ist nach ISO/IEC 11889 standardisiert und Voraussetzung für Windows 11 sowie für viele behördliche Sicherheitsanforderungen (BSI SiSyP). In IT-Vergaben für Endgeräte und Server sollten TPM 2.0, Secure Boot und Measured Boot als Pflichtanforderungen aufgenommen werden, um manipulationssichere Geräteattestation zu gewährleisten.
Transparenzgebot
Das Transparenzgebot nach §97 Abs. 1 GWB verpflichtet Auftraggeber, Vergabeverfahren so zu gestalten, dass alle Bieter gleichwertige Informationen erhalten und Entscheidungen nachvollziehbar dokumentiert sind. Es umfasst die Veröffentlichungspflicht der Bekanntmachung, die vollständige Dokumentation der Wertungsentscheidung und die Information der Bieter über den Zuschlag und die Gründe für die Nichtberücksichtigung. Transparenzdefizite sind häufige Grundlage erfolgreicher Nachprüfungsanträge vor der Vergabekammer.
U
UEBA User and Entity Behavior Analytics
UEBA-Systeme analysieren das Verhalten von Nutzern und IT-Entitäten (Server, Anwendungen) mit maschinellen Lernverfahren, um Abweichungen vom normalen Verhaltensmuster zu erkennen, die auf kompromittierte Accounts, Insider-Bedrohungen oder laterale Bewegungen von Angreifern hinweisen. Im Unterschied zu regelbasierten Systemen erkennt UEBA neuartige Angriffsmuster, die keine bekannte Signatur haben. In Ausschreibungen für SIEM-Plattformen und SOC-Dienste ist UEBA als integriertes Modul mit Anforderungen an Baseline-Erstellung, Anpassungszeit, False-Positive-Rate und forensische Auswertbarkeit zu spezifizieren.
Unternehmensresilienz Organizational Resilience / Business Resilience
Unternehmensresilienz bezeichnet die Fähigkeit einer Organisation, Störungen, Sicherheitsvorfälle, Cyberangriffe oder externe Schocks zu antizipieren, zu absorbieren, sich anzupassen und sich davon zu erholen, ohne dauerhaft kritische Funktionen zu verlieren. Sie verbindet Business Continuity Management (BCM), IT-Notfallmanagement, Krisenmanagement und organisatorische Lernfähigkeit zu einem ganzheitlichen Rahmen; NIS2 und DORA verpflichten betroffene Einrichtungen explizit zur Stärkung ihrer Resilienz. In IT-Vergaben für betriebskritische Systeme sollten Auftraggeber Resilienznachweise (z.B. BIA-Dokumentation, Testberichte für Notfallübungen, Redundanzkonzepte) als Eignungsanforderung einfordern.
Übergangszeit Transition Period / Übergangszeitraum
Die Übergangszeit bezeichnet den definierten Zeitraum, in dem ein neuer IT-Auftragnehmer die Betriebsverantwortung vom Vorgänger übernimmt, ohne dass der laufende Betrieb unterbrochen wird. Typische Übergangszeiten bei IT-Outsourcing betragen drei bis sechs Monate; in dieser Phase werden Wissenstransfer, Systemübergabe, Personalübertragung und Parallelbetrieb koordiniert. Auftraggeber sollten Übergangszeiten und die damit verbundenen Kosten und Leistungspflichten beider Auftragnehmer in den Vergabeunterlagen und im Vertrag detailliert regeln, um Betriebsunterbrechungen zu vermeiden.
Überwachungspflicht Monitoring Obligation / Aufsichtspflicht
Die Überwachungspflicht bezeichnet die gesetzliche oder vertragliche Verpflichtung eines Auftraggebers, die Leistungserbringung des Auftragnehmers aktiv zu kontrollieren und bei Mängeln oder Verstößen einzuschreiten. Im IT-Outsourcing leitet sich die Überwachungspflicht aus §25a KWG (Finanzbranche), §75b SGB V (Gesundheitsbereich) oder allgemeinen Aufsichtspflichten ab; sie kann nicht auf den Auftragnehmer delegiert werden. Auftraggeber sollten Überwachungsmechanismen (Audits, Berichte, KPI-Dashboards) bereits in der Ausschreibung als Leistungsbestandteil definieren.
Übergabe Transition / Handover
Die Übergabe bezeichnet den strukturierten Übergang einer IT-Leistung, eines Systems oder einer Betriebsverantwortung vom Auftragnehmer an den Auftraggeber oder einen Nachfolgeauftragnehmer, einschließlich Wissenstransfer, Dokumentenübergabe und formaler Abnahme. Eine mangelhaft geplante Übergabe ist eine der häufigsten Ursachen für Projektmisserfolge und erhöhte Betriebsrisiken beim Anbieterwechsel. Auftraggeber sollten Übergangs- und Übergabepläne (Transition Plans) als Pflichtbestandteil von IT-Verträgen festlegen und Kriterien für eine erfolgreiche Übergabe vorab definieren.
Übergabeprotokoll Abnahme- und Übergabedokumentation
Ein Übergabeprotokoll dokumentiert die formelle Übergabe eines IT-Systems, einer Software oder eines Projekts vom Auftragnehmer an den Auftraggeber nach der Abnahmephase. Es enthält Informationen zum Lieferumfang, zur geprüften Funktionalität, zu offenen Mängeln und zur vereinbarten Nachbesserungsfrist. In IT-Vergabeverfahren ist ein schriftliches Übergabeprotokoll essenziell, da es als Nachweis der erfüllten Leistungspflichten gilt, den Startpunkt der Gewährleistungsfrist markiert und im Streitfall als Beweismittel vor der Vergabekammer dient.
UfAB Unterlage für Ausschreibung und Bewertung
Die UfAB ist der offizielle Leitfaden des Bundesbeauftragten für Informationstechnik für die Durchführung von IT-Beschaffungen des Bundes. Die UfAB 2018 beschreibt vollständig, wie IT-Leistungen strukturiert, bewertet und ausgeschrieben werden, inklusive Muster für Bewertungsmatrizen und Eignungskriterien. Für IT-Ausschreibungen von Bundesbehörden ist die UfAB verbindliche Arbeitsgrundlage; für Länder und Kommunen dient sie als empfehlenswerte Best-Practice-Vorlage.
Unvollständiges Angebot
Ein unvollständiges Angebot liegt vor, wenn geforderte Unterlagen, Preisangaben oder Eigenerklärungen fehlen; der Auftraggeber kann diese nach §56 VgV nachfordern, sofern leistungsbezogene Unterlagen nicht betroffen sind. Hat der Auftraggeber in den Vergabeunterlagen ausdrücklich auf Nachforderungen verzichtet, ist das Angebot bei Unvollständigkeit zwingend auszuschließen. Bieter sollten die Vollständigkeit ihrer Einreichung systematisch anhand der Checkliste in den Vergabeunterlagen überprüfen, bevor sie das Angebot über die Plattform einreichen.
Unterangebot
Ein Unterangebot liegt vor, wenn der angebotene Preis so niedrig ist, dass eine ordnungsgemäße Leistungserbringung nach kaufmännischer Einschätzung nicht möglich erscheint (§60 VgV). Der Auftraggeber muss den Bieter vor einem Ausschluss zur Aufklärung des Preises auffordern; erst wenn die Kalkulation auch nach Aufklärung nicht plausibel ist, darf das Angebot ausgeschlossen werden. In IT-Vergaben sind sehr niedrige Wartungs- oder Betriebspreise häufig Anlass für eine Aufklärung, da darunter versteckte Kosten durch Nachträge oder Qualitätsverluste drohen.
Urheberrecht Copyright / Intellectual Property
Das Urheberrecht schützt Software als Sprachwerk nach §69a UrhG und gewährt dem Entwickler ausschließliche Verwertungsrechte; bei IT-Vergaben stellt sich daher grundsätzlich die Frage, wer Inhaber der Nutzungsrechte an der beauftragten Software oder den erstellten Dokumenten ist. Öffentliche Auftraggeber sollten im Vertrag klar regeln, in welchem Umfang Nutzungsrechte (einfach oder ausschließlich, zeitlich, räumlich und sachlich unbeschränkt) übertragen werden, insbesondere für Quellcode, Betriebshandbücher und Architekturdiagramme. Ohne ausdrückliche Rechteübertragung verbleiben alle Rechte beim Auftragnehmer, was bei Anbieterwechsel oder Insolvenz des Auftragnehmers erhebliche Risiken für den Fortbetrieb der IT-Lösung birgt.
UVgO Unterschwellenvergabeordnung
Vergaberecht für öffentliche Aufträge unterhalb der EU-Schwellenwerte in Deutschland (seit 2017). Die UVgO gilt für Bundesbehörden unmittelbar; Länder und Kommunen haben sie großteils per Erlass oder Verweis übernommen. Sie regelt Verfahrensarten (öffentliche Ausschreibung, beschränkte Ausschreibung, freihändige Vergabe), Fristen und Bekanntmachungspflichten. Im Bereich IT-Beschaffungen zwischen 25.000 EUR und 221.000 EUR ist die UVgO das maßgebliche Regelwerk.
V
Vadium Bietungssicherheit
Das Vadium (auch Bietungssicherheit oder Bid Bond) ist eine Sicherheitsleistung, die Bieter bei Angebotsabgabe hinterlegen, um zu garantieren, dass sie ihr Angebot für die gesamte Bindefrist aufrechterhalten und im Fall des Zuschlags den Vertrag abschließen werden. Im deutschen Vergaberecht ist das Vadium für Liefer- und Dienstleistungsaufträge nach §53 VgV grundsätzlich nicht zulässig und spielt in der IT-Vergabe daher kaum eine Rolle; international, etwa bei WTO-GPA-Ausschreibungen oder Weltbankprojekten, ist die Bietungssicherheit hingegen ein verbreitetes Instrument. Für Bauleistungen nach VOB/A kann ein Vadium bis zu drei Prozent des Angebotswerts gefordert werden.
Vendor-Lock-in
Vendor-Lock-in beschreibt eine Abhängigkeitssituation, in der ein Auftraggeber nach Zuschlag nicht ohne erheblichen Aufwand auf einen anderen Anbieter wechseln kann, etwa durch proprietäre Datenformate, fehlende Exportschnittstellen oder exklusive Wartungsrechte. Im öffentlichen IT-Einkauf sind Ausstiegsstrategien, Datenportabilität und offene Standards als Anforderungen in Leistungsverzeichnissen zu verankern. Das E-Government-Gesetz des Bundes fördert den Einsatz offener Standards und Open-Source-Software, um Abhängigkeiten zu reduzieren.
Verfahrenstransparenz Procurement Transparency / Procedure Transparency
Verfahrenstransparenz ist ein Grundprinzip des öffentlichen Vergaberechts (§97 Abs. 1 GWB), das verlangt, dass alle wesentlichen Entscheidungen im Vergabeverfahren dokumentiert, begründet und für Bieter nachvollziehbar sind, von der Bedarfsermittlung über die Zuschlagsentscheidung bis zur Vergabebekanntmachung. Sie schützt Bieter vor willkürlichen Entscheidungen, ermöglicht Nachprüfungsverfahren und stärkt das Vertrauen in die Integrität öffentlicher Beschaffung. In IT-Vergaben umfasst Verfahrenstransparenz insbesondere die vollständige Dokumentation von Wertungsentscheidungen, Punktevergaben bei qualitativen Kriterien und die Begründung bei der Auswahl von Verfahrensarten mit eingeschränktem Wettbewerb.
Vishing Voice Phishing / Telefonbetrug
Vishing (Voice Phishing) ist eine Form des Social Engineerings, bei der Angreifer telefonisch Vertrauen erschleichen, indem sie sich als IT-Support, Bank, Behörde oder Strafverfolgung ausgeben, um Opfer zur Herausgabe von Zugangsdaten, Transaktionsfreigaben oder Sicherheitscodes zu verleiten. Vishing wird häufig mit Caller-ID-Spoofing kombiniert, sodass die angezeigte Telefonnummer vertrauenswürdig aussieht; es ist ein zunehmend genutzter Angriffsvektor gegen Behördenmitarbeiter und KRITIS-Personal. In IT-Vergaben für Security-Awareness-Programme sollten Auftraggeber Vishing-Simulationen als Trainingsbestandteil fordern und Meldeprozesse für verdächtige Anrufe als organisatorische Schutzmaßnahme vertraglich festlegen.
Verfahrensrisiko Procedural Risk / Vergabeverfahrensrisiko
Verfahrensrisiko bezeichnet in der öffentlichen Beschaffung das Risiko, dass ein Vergabeverfahren wegen formeller oder inhaltlicher Fehler aufgehoben werden muss, durch eine Vergabekammer gestoppt wird oder zu einem rechtswidrigen Zuschlag führt, der nachträglich für unwirksam erklärt wird. Häufige Ursachen sind fehlerhafte Eignungskriterien, unklare Zuschlagskriterien, Verstöße gegen den Gleichbehandlungsgrundsatz oder mangelnde Dokumentation. Auftraggeber reduzieren Verfahrensrisiken durch rechtliche Vorabprüfung der Vergabeunterlagen, frühzeitige Marktbefragungen und vollständige Vergabevermerk-Dokumentation.
Verfügbarkeitserklärung
Eine Verfügbarkeitserklärung ist eine Eigenerklärung, in der ein Bieter bestätigt, dass er die genannten Mitarbeiter, Ressourcen oder Kapazitäten für die Leistungserbringung tatsächlich einsetzen kann und wird. In IT-Vergaben werden sie häufig für Schlüsselpersonal (Projektleitung, Sicherheitsbeauftragte) gefordert. Obwohl nicht gesondert im GWB geregelt, ist ihr Wahrheitsgehalt bindend; falsche Erklärungen begründen einen Ausschlussgrund wegen unzutreffender Angaben nach §124 GWB.
Verschlusssache VS / Classified Information
Eine Verschlusssache (VS) ist eine amtliche Information, die im staatlichen Interesse geheimhaltungsbedürftig ist und nach der Verschlusssachenanweisung (VSA) in einen der vier Geheimhaltungsgrade eingestuft wurde: VS-NfD, VS-VERTRAULICH, GEHEIM oder STRENG GEHEIM. In IT-Vergaben für Sicherheitsbehörden, Bundeswehr oder KRITIS-Betreiber ist die ordnungsgemäße Verarbeitung von Verschlusssachen auf zugelassenen IT-Systemen (z.B. SINA-Technologie des BSI) zwingende Voraussetzung. Bieter müssen frühzeitig prüfen, ob ihre Systeme und ihr Personal die erforderlichen Geheimschutzanforderungen erfüllen, da die nachträgliche Zulassung Monate in Anspruch nehmen kann.
Versionskontrolle Version Control / SCM
Versionskontrolle (Source Code Management) bezeichnet Systeme wie Git oder SVN, die jede Änderung an Quellcode und Konfigurationsdateien nachvollziehbar protokollieren und das Zurückrollen auf frühere Zustände ermöglichen. Im Sicherheitskontext dient Versionskontrolle als Grundlage für Code-Reviews, automatisierte Sicherheitsscans im CI/CD-Pipeline (SAST, DAST) und die Nachvollziehbarkeit von Softwareänderungen bei Sicherheitsvorfällen. In IT-Vergabeverfahren für Softwareentwicklungsleistungen ist die Nutzung einer Versionskontrolle mit definierten Branch- und Review-Prozessen als Mindestanforderung an sichere Entwicklungspraktiken vorzuschreiben.
VgV Vergabeverordnung
Die VgV konkretisiert die Vergabepflichten für Liefer- und Dienstleistungsaufträge oberhalb der EU-Schwellenwerte (221.000 EUR netto). Sie regelt Verfahrensarten (offenes Verfahren, nicht offenes Verfahren, Verhandlungsverfahren, wettbewerblicher Dialog), Mindestfristen, Bekanntmachungspflichten auf TED und im Amtsblatt sowie die Anforderungen an Eignungs- und Zuschlagskriterien. Für IT-Beschaffungen ist das offene Verfahren der Regelfall.
Vergabeakte
Die Vergabeakte ist die vollständige Dokumentation eines Vergabeverfahrens, die der Auftraggeber von Beginn an fortlaufend in Textform zu führen hat (§8 VgV). Sie umfasst Bedarfsermittlung, Markterkundung, Vergabeunterlagen, alle Bieterkommunikation, Angebote, Wertungsentscheidungen und den Vergabevermerk. Bei Nachprüfungsverfahren bildet die Vergabeakte die Entscheidungsgrundlage der Vergabekammer; unvollständige Aktenlage geht zu Lasten des Auftraggebers.
Vergabevermerk
Der Vergabevermerk ist das Pflichtdokument, das jedes Vergabeverfahren zusammenfasst und begründet (§8 Abs. 2 VgV). Er enthält mindestens den Namen des Auftraggebers, Auftragsgegenstand und -wert, Namen aller Bieter, Gründe für die Nichtberücksichtigung abgelehnter Angebote sowie Begründung für den Zuschlag. Aufbewahrungspflicht: mindestens drei Jahre ab Zuschlagserteilung. Der Vermerk ist das zentrale Dokument bei Rechnungshofprüfungen und Nachprüfungsverfahren.
Vergabejurist Vergaberechtsspezialist
Ein Vergabejurist ist ein auf das Vergaberecht spezialisierter Rechtsanwalt oder Beamter, der öffentliche Auftraggeber und Bieter bei der rechtssicheren Gestaltung und Durchführung von Vergabeverfahren berät. Die Komplexität des deutschen und europäischen Vergaberechts (GWB, VgV, UVgO, SektVO) macht spezialisierte Expertise besonders bei IT-Großprojekten unumgänglich, da Fehler zu Nachprüfungsverfahren und Schadensersatzansprüchen führen können. Im IT-Beschaffungsbereich wächst die Bedeutung von Vergabejuristen, die auch technisches Verständnis für komplexe IT-Leistungsbeschreibungen und innovative Beschaffungsformen mitbringen.
Vergabekammer
Die Vergabekammer ist die zuständige Nachprüfungsbehörde bei vergaberechtlichen Verstößen. Beim Bund sind zwei Vergabekammern beim Bundeskartellamt angesiedelt; jedes Bundesland verfügt über eigene Kammern. Nach erfolgloser Rüge stellt ein Bieter einen Nachprüfungsantrag, woraufhin das Vergabeverfahren automatisch bis zur Entscheidung ausgesetzt wird (Suspensiveffekt nach §169 GWB). Gegen Entscheidungen der Vergabekammer kann beim OLG-Vergabesenat Beschwerde eingelegt werden.
Vergaberecht
Das Vergaberecht umfasst die Gesamtheit der Regeln, nach denen öffentliche Auftraggeber Waren, Dienst- und Bauleistungen beschaffen müssen. In Deutschland bilden GWB (Teil 4), VgV, UVgO, SektVO und KonzVgV das zentrale Regelwerk; auf EU-Ebene geben die Vergaberichtlinien 2014/24/EU und 2014/23/EU den Rahmen vor. Vergaberecht dient dem Schutz des Wettbewerbs, der Wirtschaftlichkeit öffentlicher Ausgaben und dem Bieterrechtsschutz.
Verdingungsordnung
Der Begriff Verdingungsordnung ist die ältere Bezeichnung für die deutschen Regelwerke zur Auftragsvergabe, insbesondere VOB (Verdingungsordnung für Bauleistungen) und VOL (Verdingungsordnung für Lieferungen und Leistungen); heute weitgehend durch die Begriffe VOB und VOL/A ersetzt. Im Sprachgebrauch älterer Verträge, Gerichtsentscheidungen und Kommentare findet sich der Begriff noch häufig. Für IT-Verantwortliche ist die historische Einordnung relevant, wenn ältere Rahmenverträge oder Vergabevermerke gesichtet werden, die auf die Verdingungsordnungen verweisen.
Verschlüsselung Kryptografie / Encryption
Verschlüsselung schützt Daten durch kryptografische Verfahren vor unbefugtem Zugriff, sowohl bei der Übertragung (Transport Layer Security TLS 1.3) als auch im Ruhezustand (AES-256-GCM). Das BSI legt in der Technischen Richtlinie TR-02102 fest, welche Algorithmen und Schlüssellängen für Bundesbehörden zulässig sind; veraltete Verfahren wie DES, RC4 oder MD5 sind abzulehnen. In IT-Ausschreibungen für Cloud-Services, Datenbanken und Dateitransfer sind Verschlüsselungsanforderungen einschließlich Schlüsselverwaltung (HSM-Nutzung, Bring-Your-Own-Key) vertraglich zu spezifizieren.
Verschlüsselungsstandard Encryption Standard / Kryptografiestandard
Ein Verschlüsselungsstandard definiert normierte kryptografische Algorithmen, Schlüssellängen und Betriebsmodi, die als sicher anerkannt und für den Einsatz in spezifischen Anwendungsfällen empfohlen werden. Das BSI legt in der TR-02102 verbindliche Vorgaben für Bundesbehörden fest: AES-256 für symmetrische Verschlüsselung, RSA-2048+ oder ECDSA-P256 für asymmetrische Verfahren, SHA-256+ für Hash-Funktionen. In IT-Vergaben sollten Auftraggeber verlangen, dass nur aktuell vom BSI oder NIST empfohlene Algorithmen eingesetzt werden, und eine Übergangsstrategie für Post-Quantum-Kryptografie als Anforderung aufnehmen.
VHB Vergabehandbuch des Bundes
Das Vergabehandbuch des Bundes (VHB) ist ein vom Bundesministerium des Innern herausgegebenes Regelwerk, das öffentliche Auftraggeber des Bundes bei der Durchführung von Vergabeverfahren für Bauleistungen (VOB/A) und freiberufliche Leistungen unterstützt. Es stellt Musterformulare, Verdingungsunterlagen und Bearbeitungshinweise bereit und dient als praktisches Arbeitsmittel für Vergabestellen. Im IT-Bereich wird das VHB seltener herangezogen, da Liefer- und Dienstleistungsaufträge primär nach VgV und EVB-IT abgewickelt werden; es bietet aber nützliche Orientierung für gemischte Bauvorhaben mit IT-Komponenten.
VDP Vulnerability Disclosure Policy
Eine Vulnerability Disclosure Policy (VDP) definiert den strukturierten Prozess, über den Sicherheitsforscher und externe Meldende entdeckte Schwachstellen an eine Organisation berichten können, ohne rechtliche Konsequenzen befürchten zu müssen. CISA und BSI empfehlen öffentlichen Stellen, eine VDP zu veröffentlichen und Koordinierte Offenlegung (CVD) zu praktizieren, um Schwachstellen vor Bekanntgabe schließen zu können. In IT-Vergaben können Auftraggeber die Existenz und den Reifegrad einer VDP des Anbieters als Qualitätskriterium im Leistungsverzeichnis verankern.
Vergabearten
Vergabearten bezeichnen die verschiedenen Verfahrensformen, nach denen öffentliche Aufträge vergeben werden können: offenes Verfahren, nicht offenes Verfahren, Verhandlungsverfahren (mit und ohne Teilnahmewettbewerb), wettbewerblicher Dialog und Innovationspartnerschaft. Die Wahl der richtigen Vergabeart richtet sich nach dem Auftragswert, der Komplexität der Leistung und den im Gesetz definierten Anwendungsvoraussetzungen (§14 VgV). In der IT-Beschaffung hat das Verhandlungsverfahren mit Teilnahmewettbewerb eine hohe praktische Bedeutung, da es explorative Gespräche über technische Lösungen ermöglicht.
Vergabebekanntmachung
Die Vergabebekanntmachung ist die formelle Veröffentlichung eines Vergabeverfahrens und enthält alle für Bieter wesentlichen Informationen: Auftragsgegenstand, Eignungsanforderungen, Zuschlagskriterien, Fristen und Kontaktdaten. Oberhalb der EU-Schwellenwerte erfolgt die Bekanntmachung über TED im eForms-Format; unterhalb über nationale Portale wie den Bundesanzeiger oder regionale Vergabeplattformen. Fehler oder unklare Angaben in der Bekanntmachung können die Grundlage für Bieterrügen bilden und das Verfahren verzögern.
Vergabemanagementsystem
Ein Vergabemanagementsystem (VMS) ist eine Softwarelösung, die Vergabestellen bei der vollständigen digitalen Abwicklung von Beschaffungsverfahren unterstützt: von der Bedarfserfassung über die Erstellung der Vergabeunterlagen bis zur Zuschlagserteilung und Aktenführung. Bekannte VMS-Lösungen in Deutschland sind evergabe-online.de (Bund), cosinex, DTVP und Vergabe24; sie sind über standardisierte Schnittstellen mit TED und nationalen Bekanntmachungsportalen verbunden. Ein leistungsfähiges VMS reduziert den manuellen Aufwand erheblich und gewährleistet eine revisionssichere Dokumentation aller Verfahrensschritte.
Vergaberichtlinien EU
Die europäischen Vergaberichtlinien — insbesondere RL 2014/24/EU (klassischer Sektor), RL 2014/25/EU (Sektoren) und RL 2014/23/EU (Konzessionen) — bilden den Rahmen, in den die deutschen Vergabegesetze und -verordnungen eingebettet sind. Sie verpflichten die Mitgliedsstaaten zur Umsetzung von Wettbewerbs-, Transparenz- und Gleichbehandlungsgrundsätzen und setzen EU-weit einheitliche Mindestfristen und Bekanntmachungspflichten. In IT-Vergaben sind insbesondere die Bestimmungen zu Innovation, elektronischer Kommunikation und Lebenszykluskosten (LCC) aus RL 2014/24/EU relevant.
Vergabeplattform
Eine Vergabeplattform ist eine Online-Anwendung, über die Auftraggeber Vergabeunterlagen bereitstellen, Kommunikation mit Bietern führen und Angebote elektronisch entgegennehmen. Bekannte deutsche Plattformen sind evergabe-online.de (Bund), DTVP, Vergabe24, cosinex und subreport; EU-weit dient TED als zentrales Bekanntmachungsregister. Plattformen müssen gesetzliche Anforderungen an Vertraulichkeit, Integrität und Nachweisbarkeit der Angebotsöffnung erfüllen und eForms-konforme Bekanntmachungen unterstützen.
Vergabesenat
Der Vergabesenat ist der für Vergaberechtssachen zuständige Spruchkörper beim Oberlandesgericht, der über sofortige Beschwerden gegen Entscheidungen der Vergabekammer entscheidet. Er prüft, ob die Vergabekammer das Vergaberecht korrekt angewandt hat, und kann den Zuschlag bis zur Entscheidung untersagen. Vergabesenate haben durch ihre Rechtsprechung maßgeblich zur Ausformung des deutschen und europäischen Vergaberechts beigetragen, insbesondere zu Fragen der Bieterrechte und Ausschlussvoraussetzungen.
Vergabestelle
Die Vergabestelle ist die organisatorische Einheit innerhalb einer Behörde oder eines öffentlichen Unternehmens, die Beschaffungsverfahren operativ durchführt und rechtlich verantwortet. Sie erstellt die Vergabeunterlagen, koordiniert die Kommunikation mit Bietern, trifft die Zuschlagsentscheidung und führt die Vergabeakte. In der IT-Beschaffung arbeitet die Vergabestelle typischerweise eng mit der Fachabteilung und dem Datenschutzbeauftragten zusammen, um funktionale Anforderungen und Compliance-Vorgaben korrekt in die Leistungsbeschreibung zu überführen.
Vergabeunterlagen
Die Vergabeunterlagen sind alle Dokumente, die der Auftraggeber den Bietern zur Vorbereitung ihrer Angebote zur Verfügung stellt (§29 VgV). Sie umfassen typischerweise Bewerbungsbedingungen, Leistungsbeschreibung mit Leistungsverzeichnis, Vertragsentwurf, Eignungs- und Zuschlagskriterien sowie Formblätter. Unvollständige oder widersprüchliche Vergabeunterlagen begründen eine Rügepflicht und können zur Angebotsunfähigkeit führen, wenn Bieter keine Klärung angefragt haben.
Vertragscontrolling Contract Monitoring / Vertragskontrolle
Vertragscontrolling ist die systematische Überwachung und Steuerung laufender IT-Verträge hinsichtlich der Einhaltung von Leistungspflichten, SLA-Werten, Zahlungsterminen und vertraglichen Nebenpflichten durch den Auftraggeber. Es umfasst regelmäßige Statusberichte, Leistungsnachweise, Eskalationsprozesse und die Dokumentation im Vergabevermerk. Das Bundesverwaltungsamt empfiehlt, Vertragscontrolling als eigenständige Organisationsaufgabe zu verankern und Verantwortlichkeiten klar zu benennen, da viele Mängel erst durch konsequentes Monitoring aufgedeckt werden.
Vertragslaufzeit Laufzeit / Vertragsdauer
Die Vertragslaufzeit legt fest, für welchen Zeitraum ein Vertrag gilt und wann Verlängerungs- oder Kündigungsrechte greifen. Im IT-Vergaberecht ist die Vertragslaufzeit ein kritischer Faktor, da zu lange Laufzeiten Flexibilität einschränken und zu Vendor-Lock-in führen können, während zu kurze Laufzeiten wirtschaftliche Investitionen in IT-Projekte verhindern. Auftraggeber sollten bei IT-Serviceverträgen Laufzeiten von 2-4 Jahren mit optionalen Verlängerungsoptionen (max. 4+2 Jahre) wählen und Preisanpassungsklauseln sowie außerordentliche Kündigungsrechte für Sicherheitsvorfälle vertraglich absichern.
Vertragsstrafe
Eine Vertragsstrafe ist eine im Vertrag vorab vereinbarte Zahlung für den Fall, dass der Auftragnehmer bestimmte Leistungspflichten verletzt, etwa Verzug bei Meilensteinen oder das Unterschreiten definierter SLA-Werte. Sie dient als pauschalisierter Schadensersatz und erspart dem Auftraggeber den Nachweis eines konkreten Schadens. In IT-Vergaben werden Vertragsstrafen häufig für Projektverzüge, Datenpannen oder das Unterschreiten von Verfügbarkeits-SLAs vereinbart; überhöhte Vertragsstrafen können als AGB-Klauseln unwirksam sein.
Vertragsverletzung Breach of Contract / Pflichtverletzung
Eine Vertragsverletzung liegt vor, wenn der Auftragnehmer eine vertraglich geschuldete Leistung nicht, nicht rechtzeitig oder nicht in der vereinbarten Qualität erbringt, was nach BGB §280 ff. Schadensersatzansprüche und bei schwerwiegenden Fällen das Recht zur außerordentlichen Kündigung begründen kann. In IT-Verträgen sind typische Vertragsverletzungen das Unterschreiten von SLA-Verfügbarkeitswerten, das Verzögern von Meilensteinen oder die Weitergabe von Vertragsdaten an Dritte ohne Genehmigung. Auftraggeber sollten Vertragsverletzungen klar in Katalogen mit konkreten Tatbeständen, Meldepflichten und Rechtsfolgen (Vertragsstrafe, Kündigung, Schadensersatz) definieren.
Verhandlungsverbot
Im offenen und nicht offenen Verfahren gilt nach §15 VgV ein striktes Verhandlungsverbot: Auftraggeber und Bieter dürfen nach Angebotsöffnung weder Preise noch Bedingungen verhandeln. Zulässig sind lediglich Aufklärungsgespräche zur Beseitigung formeller Unklarheiten sowie die Nachforderung fehlender Unterlagen. Das Verhandlungsverbot schützt die Integrität des Wettbewerbs; Verstöße können zur Aufhebung des Verfahrens oder zur Unwirksamkeit des Zuschlags führen.
Verhandlungsverfahren
Beim Verhandlungsverfahren nach §17 VgV verhandelt der Auftraggeber direkt mit ausgewählten Bietern über Inhalt, Preis und Konditionen des Angebots. Es ist nur in gesetzlich definierten Ausnahmefällen zulässig, etwa bei hoch komplexen Leistungen, die nicht vorab vollständig beschrieben werden können, oder nach erfolglosem offenem Verfahren. In IT-Vergaben mit hohem Innovationsanteil oder sicherheitskritischen Anforderungen ist das Verhandlungsverfahren mit Teilnahmewettbewerb das häufigste alternative Verfahren.
VOB Vergabe- und Vertragsordnung für Bauleistungen
Die VOB ist das dreigliedrige Regelwerk für die Vergabe und Abwicklung öffentlicher Bauleistungen: VOB/A regelt das Vergabeverfahren, VOB/B die allgemeinen Vertragsbedingungen und VOB/C die technischen Vertragsbedingungen. Im IT-Kontext ist die VOB relevant, wenn Bauleistungen mit IT-Infrastruktur verknüpft sind, etwa beim Bau von Rechenzentren oder der Verlegung von Glasfaserleitungen. Die VOB/A ist für öffentliche Auftraggeber verbindlich; private Auftraggeber können sie vertraglich einbeziehen.
VOL/A Vergabe- und Vertragsordnung für Lieferleistungen
Die VOL/A war bis zur Einführung der UVgO 2017 das maßgebliche Regelwerk für die Vergabe von Lieferungen und Dienstleistungen unterhalb der EU-Schwellenwerte in Deutschland. Für Bundesbehörden wurde sie durch die UVgO ersetzt; einige Länder verweisen in älteren Erlassen noch auf VOL/A-Regelungen. Historisch relevant für das Verständnis älterer Vergabeakten und Verträge sowie für Auslegungsfragen bei laufenden Rahmenvereinbarungen, die unter altem Recht geschlossen wurden.
Verfügbarkeit Availability / Systemverfügbarkeit
Verfügbarkeit ist eines der drei klassischen Schutzziele der Informationssicherheit und bezeichnet die Eigenschaft von Systemen, Diensten und Daten, für berechtigte Nutzer zum gewünschten Zeitpunkt zugänglich und funktionsfähig zu sein. In IT-Serviceverträgen wird Verfügbarkeit typischerweise als prozentualer Wert über einen definierten Zeitraum ausgedrückt, z.B. 99,9% Verfügbarkeit pro Monat entspricht maximal ~43 Minuten Ausfallzeit. In IT-Vergabeverfahren sollten Auftraggeber Verfügbarkeitsanforderungen präzise definieren, Messmethoden festlegen und Vertragsstrafen für Unterschreitungen sowie Ausnahmen (geplante Wartungsfenster) klar regeln.
Vollständigkeitsprüfung Formal Completeness Check
Die Vollständigkeitsprüfung ist eine formale Prüfungsstufe im Vergabeverfahren, bei der die eingereichten Angebote auf das Vorhandensein aller geforderten Unterlagen, Erklärungen und Preisangaben untersucht werden. Fehlende Unterlagen können im Rahmen des §56 VgV unter bestimmten Voraussetzungen nachgefordert werden, sofern die geforderten Dokumente nicht wettbewerbsrelevant sind. Auftraggeber sollten die nachzufordernden und die zwingend ausschließenden Unterlagen in den Vergabeunterlagen klar unterscheiden, um Rechtssicherheit bei der Vollständigkeitsprüfung zu gewährleisten.
Vorabinformation
Die Vorabinformation nach §134 GWB verpflichtet den Auftraggeber, unterlegene Bieter mindestens 15 Kalendertage vor Zuschlagserteilung über die beabsichtigte Vergabeentscheidung zu informieren. In dieser Frist können Bieter einen Nachprüfungsantrag bei der Vergabekammer stellen, der das Verfahren automatisch aussetzt. Fehlt die Vorabinformation oder wird die Frist nicht eingehalten, ist der geschlossene Vertrag nach §135 GWB unwirksam.
W
WAF Web Application Firewall
Eine WAF ist eine spezialisierte Firewall, die den HTTP/HTTPS-Datenverkehr zu Webanwendungen auf Anwendungsebene filtert und vor Angriffen wie SQL-Injection, Cross-Site-Scripting (XSS) und OWASP-Top-10-Schwachstellen schützt. Das BSI-IT-Grundschutz-Kompendium (APP.3.1) empfiehlt WAFs als Schutzmaßnahme für exponierte Webanwendungen; NIS2-regulierte Einrichtungen mit öffentlichen Web-Schnittstellen sollten WAF als Mindestschutz implementieren. In Ausschreibungen für webbasierte Fachanwendungen ist eine WAF häufig als Pflichtanforderung zu formulieren.
Verarbeitungsverzeichnis Records of Processing Activities / RoPA
Das Verarbeitungsverzeichnis (Records of Processing Activities) ist gemäß Art. 30 DSGVO von jedem Verantwortlichen zu führen und dokumentiert alle Datenverarbeitungstätigkeiten mit Angaben zu Zweck, Datenkategorien, Empfängern, Löschfristen und technisch-organisatorischen Maßnahmen. Bei der Beauftragung externer IT-Dienstleister müssen Auftraggeber sicherstellen, dass neue Datenverarbeitungen korrekt im Verarbeitungsverzeichnis erfasst werden. In IT-Vergaben sollten Auftraggeber bereits in der Ausschreibung die datenschutzrechtliche Einordnung der geplanten Verarbeitung vornehmen und im AVV-Anhang dokumentieren.
Vertragsmanagement Contract Management / Vertragsverwaltung
Vertragsmanagement umfasst alle Prozesse zur strukturierten Verwaltung, Überwachung und Steuerung von IT-Verträgen über ihren gesamten Lebenszyklus, von der Vertragsverhandlung über die Leistungsüberwachung bis zur Kündigung oder Verlängerung. Ein professionelles Vertragsmanagement stellt sicher, dass SLA-Verpflichtungen eingehalten werden, Optionsfristen rechtzeitig wahrgenommen werden und Vertragsänderungen vergaberechtskonform durchgeführt werden. Auftraggeber sollten dedizierte Vertragsmanager benennen und ein ITSM-gestütztes Vertragsregister führen, das alle relevanten Fristen, Leistungskennzahlen und Eskalationshistorie dokumentiert.
WebAuthn Web Authentication / FIDO2 Web Authentication
WebAuthn ist ein W3C-Standard für passwortlose Authentifizierung im Browser, der auf Public-Key-Kryptografie basiert und mit FIDO2-kompatiblen Authenticatoren (Hardware-Tokens, Biometrie, Passkeys) arbeitet. Er eliminiert das Risiko von Phishing und Passwort-Diebstahl, da der private Schlüssel das Gerät des Nutzers nie verlässt und die Authentifizierung an die Ursprungsdomäne (Origin) gebunden ist. In IT-Ausschreibungen für Behördenportale und hochsichere Anwendungen sollte WebAuthn-Unterstützung als Muss-Kriterium aufgenommen werden, um MFA-Resistenz gegen Phishing sicherzustellen.
Wartungsvertrag Maintenance Agreement / Service- und Wartungsvertrag
Ein Wartungsvertrag regelt die laufende technische Betreuung und Instandhaltung von IT-Systemen oder Software durch den Auftragnehmer, einschließlich Patch-Management, Fehlerbehebung, Hotline-Support und präventiver Wartungsmaßnahmen. Wartungsverträge werden in IT-Vergaben häufig als optionaler Losnachtrag oder als eigener Auftrag ausgeschrieben und unterliegen ab dem EU-Schwellenwert dem Vergaberecht. Auftraggeber sollten Reaktionszeiten, Eskalationsstufen und SLA-Pönalen im Wartungsvertrag präzise definieren, da unklare Wartungsleistungen bei Systemausfällen zu erheblichen Betriebsrisiken führen können.
Watering Hole Attack Wasserloch-Angriff / Drive-by-Kompromittierung
Bei einem Watering Hole Attack kompromittieren Angreifer gezielt Webseiten, die regelmäßig von Mitarbeitern der Zielorganisation besucht werden, und infizieren diese mit Schadsoftware, die sich beim Besuch automatisch auf dem Gerät des Opfers installiert. Diese Methode umgeht Spear-Phishing-Filter, da Nutzer legitime, ihnen bekannte Seiten besuchen; besonders branchenspezifische Fachportale oder Verbands-Websites sind beliebte Angriffsziele. In IT-Vergaben für Browser-Sicherheit, Endpoint Protection und Internetzugangssicherheit sollten Auftraggeber Schutzmaßnahmen gegen Drive-by-Downloads wie Browser-Isolierung, Web-Filtering und regelmäßige Patch-Zyklen als Pflichtanforderungen spezifizieren.
Werkvertrag Work Contract / Erfolgsvertrag
Im Werkvertragsrecht nach §631 BGB schuldet der Auftragnehmer einen konkreten, abnahmefähigen Erfolg (z. B. eine fertige Software), während beim Dienstvertrag nur die Erbringung einer Tätigkeit geschuldet ist. Die Abgrenzung ist in IT-Vergaben entscheidend: Werkverträge geben dem Auftraggeber Gewährleistungsansprüche bei Mängeln, Dienstverträge hingegen nicht. In der Praxis empfehlen sich Hybrid-Modelle (Werkvertrag für die Entwicklung, Dienstvertrag für Betrieb und Wartung), die in den EVB-IT System- und Dienstvertragstypen abgebildet werden.
Wertgrenzen
Wertgrenzen legen fest, welches Vergabeverfahren in Abhängigkeit vom geschätzten Auftragswert anzuwenden ist. Oberhalb der EU-Schwellenwerte nach §106 GWB gelten die strengeren Vorgaben der VgV bzw. SektVO; unterhalb kommen die nationalen Regelwerke UVgO und Landesvergabegesetze zur Anwendung, die vereinfachte Verfahren wie Direktauftrag oder Unterschwellenwettbewerb zulassen. Aktuelle Schwellenwerte werden von der EU-Kommission alle zwei Jahre angepasst und im Bundesanzeiger bekannt gemacht.
Wertungsstufen
Wertungsstufen sind die sequenziellen Prüfschritte der Angebotswertung in einem Vergabeverfahren. Das Stufenmodell sieht typischerweise vor: Stufe 1 formelle Vollständigkeit, Stufe 2 Eignung des Bieters, Stufe 3 sachliche/rechnerische Prüfung sowie Ausschluss von Dumping-Angeboten, Stufe 4 qualitative Wertung anhand der Zuschlagskriterien. Jede Stufe muss vollständig abgeschlossen werden, bevor die nächste beginnt; der Zuschlag kann nur erteilt werden, wenn ein Angebot alle Stufen bestanden hat.
Wiederanlaufplan IT Recovery Plan / Business Recovery
Ein Wiederanlaufplan (IT Recovery Plan) definiert die Schritte, Zuständigkeiten und Fristen für die geordnete Wiederherstellung des IT-Betriebs nach einem schwerwiegenden Ausfall oder Sicherheitsvorfall. Er ist Bestandteil des Business Continuity Management und legt fest, in welcher Reihenfolge kritische Systeme wiederhergestellt werden, welche Ressourcen benötigt werden und wer verantwortlich ist. In IT-Ausschreibungen für Managed Services und Cloud-Betrieb sollten Auftraggeber die Vorlage und regelmäßige Testung eines Wiederanlaufplans als vertragliche Anforderung aufnehmen und konkrete Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) vereinbaren.
Wirksamkeitskontrolle Effectiveness Review / Control Effectiveness Testing
Wirksamkeitskontrolle bezeichnet die regelmäßige Überprüfung, ob implementierte Sicherheitsmaßnahmen, Schutzkontrollen und Prozesse tatsächlich die erwartete Wirkung erzielen und die zugrunde liegenden Risiken hinreichend reduzieren. ISO 27001 (Kap. 9) und BSI IT-Grundschutz fordern explizit Wirksamkeitsmessungen durch interne Audits, Metriken und regelmäßige Management Reviews; reine Implementierung ohne Wirksamkeitsnachweis erfüllt die Anforderungen nicht. In IT-Vergaben für Managed Security Services sollten Auftraggeber messbare KPIs (z.B. Mean Time to Detect, Patch-Coverage-Rate, Phishing-Klickrate nach Schulungen) als vertragliche Leistungsnachweis-Kennzahlen vereinbaren.
Wirtschaftlichkeitsuntersuchung WiBe / Kosten-Nutzen-Analyse
Eine Wirtschaftlichkeitsuntersuchung (WiBe) ist nach §7 BHO für alle finanzwirksamen Maßnahmen der Bundesverwaltung zwingend vorgeschrieben und dient dazu, die wirtschaftlichste Alternative für eine IT-Investition zu ermitteln, z. B. durch Kostenvergleich zwischen Eigenentwicklung, Kauf und Cloud-Nutzung. Das CIO-Bund stellt den WiBe-Kalkulator als Standardmethode für Wirtschaftlichkeitsbetrachtungen bei IT-Projekten bereit. Die Ergebnisse der WiBe fließen in die Ausschreibungsstrategie ein und beeinflussen die Wahl des Vergabeverfahrens, der Vertragslaufzeit und des Preismodells.
Wirtschaftlichkeitsprinzip Wirtschaftlichkeit und Sparsamkeit
Das Wirtschaftlichkeitsprinzip (§7 BHO) verpflichtet öffentliche Stellen, Haushaltsmittel so einzusetzen, dass das bestmögliche Ergebnis mit dem geringsten Mitteleinsatz erzielt wird (Minimalprinzip) oder ein vorgegebenes Ergebnis mit möglichst geringen Mitteln erreicht wird (Minimalprinzip). Im IT-Vergaberecht konkretisiert sich das Prinzip durch den Grundsatz, dass nicht automatisch das günstigste, sondern das wirtschaftlichste Angebot den Zuschlag erhält. TCO-Analysen und Lebenszykluskosten-Betrachtungen sind daher zulässige und empfehlenswerte Instrumente zur Wirtschaftlichkeitsbewertung in IT-Ausschreibungen.
Wirtschaftliche Leistungsfähigkeit
Die wirtschaftliche und finanzielle Leistungsfähigkeit ist eine der drei Eignungssäulen im Vergaberecht und soll sicherstellen, dass der Auftragnehmer finanziell stabil genug ist, den Auftrag vollständig und vertragsgemäß zu erfüllen. Typische Nachweise nach §45 VgV sind Jahresabschlüsse, Umsatznachweise (gesamt und auftragsbezogen), Bankbürgschaften oder Berufshaftpflichtversicherungen. Auftraggeber müssen die Anforderungen verhältnismäßig zum Auftragswert gestalten; unverhältnismäßige Umsatzschwellen können den Wettbewerb unzulässig einschränken.
Wettbewerbsanalyse Marktanalyse / Competitive Analysis
Eine Wettbewerbsanalyse (Marktanalyse) ermittelt vor einem Vergabeverfahren, welche Anbieter auf dem Markt vorhanden sind, welche Leistungsprofile sie bieten und zu welchen Konditionen vergleichbare Leistungen angeboten werden. Sie ist Grundlage für die Kostenschätzung, die Wahl des Vergabeverfahrens und die Festlegung realistischer Eignungs- und Zuschlagskriterien. Im IT-Vergabekontext hilft eine strukturierte Wettbewerbsanalyse (z.B. als Markterkundung nach §28 VgV), technologische Anforderungen marktkonform zu formulieren und Sicherheitsstandards auf dem tatsächlichen Marktangebot abzustimmen.
Wettbewerbsbeschränkung
Eine Wettbewerbsbeschränkung im Vergabekontext liegt vor, wenn die Gestaltung der Vergabeunterlagen oder des Verfahrens geeignet ist, den Bieterkreis ohne sachlichen Grund einzuengen, etwa durch produktspezifische Vorgaben, überhöhte Referenzanforderungen oder zu kurze Fristen. Auftraggeber müssen nach §97 GWB den Wettbewerb aktiv fördern und marktabschottende Regelungen vermeiden. Im IT-Bereich sind Herstellerexklusivität oder enge Kompatibilitätsvorgaben häufige Auslöser für entsprechende Rügen.
VPN Virtual Private Network
Ein VPN verschlüsselt den Netzwerkverkehr zwischen Endgerät und einem sicheren Gateway und ermöglicht so den geschützten Fernzugriff auf interne Netze oder die Anonymisierung des Datenverkehrs. BSI empfiehlt für Remote-Access-VPN in behördlichen Umgebungen die Protokolle IKEv2/IPsec oder TLS 1.3 mit starken Algorithmen nach TR-02102-3; ältere Protokolle wie PPTP oder L2TP ohne Verschlüsselung sind unzulässig. In IT-Ausschreibungen für Remote-Work-Infrastruktur sind VPN-Kapazitäten (gleichzeitige Sessions), Multi-Faktor-Authentifizierung, Split-Tunneling-Regelungen und BSI-Zertifizierungsanforderungen vertraglich zu fixieren.
Vulnerability Scanning Schwachstellenscanning
Vulnerability Scanning ist die automatisierte Überprüfung von IT-Systemen, Netzwerken und Anwendungen auf bekannte Sicherheitslücken anhand von Signaturdatenbanken (CVE, NVD) und Konfigurationsprüfungen. Im Unterschied zum Penetrationstest erfolgt das Scanning nicht-destruktiv und in der Regel ohne Ausnutzung gefundener Schwachstellen; es dient als kontinuierliches Monitoring-Instrument. Das BSI empfiehlt regelmäßige Scans nach IT-Grundschutz OPS.1.1.3; in IT-Ausschreibungen für Betriebsservices sind Scan-Frequenz (mindestens wöchentlich für kritische Systeme), Scan-Abdeckung und Reporting-Format als messbare SLA-Parameter zu definieren.
Wettbewerbsgrundsatz
Der Wettbewerbsgrundsatz nach §97 Abs. 1 GWB verpflichtet öffentliche Auftraggeber, Beschaffungen grundsätzlich im Wettbewerb durchzuführen, d.h. mehreren Unternehmen die Möglichkeit zur Angebotsabgabe zu geben. Er verbietet marktverengende Spezifikationen, die faktisch nur einen Anbieter treffen, sowie ungerechtfertigte Direktvergaben. Zusammen mit Transparenz- und Gleichbehandlungsgebot bildet er das Dreieck der Vergabegrundsätze, das in jeder Verfahrensstufe zu beachten ist.
Wettbewerblicher Dialog
Der wettbewerbliche Dialog (§18 VgV) ist ein mehrstufiges Verfahren für besonders komplexe Aufträge, bei denen der Auftraggeber die technische Lösung nicht abschließend definieren kann. In einer Dialogphase erarbeitet der Auftraggeber gemeinsam mit ausgewählten Bewerbern Lösungsansätze; nach Abschluss der Dialoge geben nur noch die verbliebenen Teilnehmer verbindliche Angebote ab. In der IT-Beschaffung kommt der wettbewerbliche Dialog bei komplexen Systemintegrationen, Cloud-Migrationen und maßgeschneiderten KRITIS-Infrastrukturen zum Einsatz.
Wettbewerbsregister
Das Wettbewerbsregister ist ein bundesweites digitales Register beim Bundeskartellamt, das Informationen über Unternehmen enthält, die wegen schwerwiegender Wirtschaftsdelikte verurteilt wurden. Öffentliche Auftraggeber sind ab einem Auftragswert von 30.000 EUR verpflichtet, vor Zuschlagserteilung eine Abfrage durchzuführen. Das Register schafft Transparenz über potenzielle Ausschlussgründe nach §123 GWB und kann durch Selbstreinigung vorzeitig gelöscht werden.
Wirtschaftlichkeitsvergleich Kosten-Nutzen-Analyse / WiBe
Der Wirtschaftlichkeitsvergleich (WiBe) ist eine nach §7 BHO vorgeschriebene Methode zur Prüfung der Wirtschaftlichkeit geplanter IT-Investitionen und -Projekte in der Bundesverwaltung, die auf Basis einer Nutzwertanalyse und Lifecycle-Kostenrechnung die kosteneffizienteste Lösung identifiziert. Die WiBe-Methodik des CIO Bund strukturiert den Vergleich in monetäre Nutzwerte, qualitative Kriterien und Risikobetrachtung und ist für IT-Investitionen ab definierten Wertgrenzen verpflichtend. In IT-Vergaben dient der Wirtschaftlichkeitsvergleich der Bedarfsbegründung, der Verfahrenswahl und der Nachvollziehbarkeit von Beschaffungsentscheidungen gegenüber Rechnungsprüfern.
X
X-Vergabe Vergabeplattform der öffentlichen Hand
X-Vergabe ist eine herstellerneutrale, standardisierte Schnittstelle für elektronische Vergabeverfahren in Deutschland, die den Datenaustausch zwischen Vergabeplattformen, Bietersoftware und Vergabestellen vereinheitlicht. Auf Basis des XÖV-Standards (XML für öffentliche Verwaltung) ermöglicht X-Vergabe, dass Bieter plattformunabhängig Angebote einreichen können, ohne sich für jede Vergabeplattform separat registrieren zu müssen. Die Initiative wird vom Beschaffungsamt des BMI koordiniert und ist für IT-Beschaffungsvorhaben relevant, die elektronische Angebotsabgabe nach VgV §81 vorschreiben.
XDR Extended Detection & Response
Weiterentwicklung von EDR, die Sicherheitsdaten aus mehreren Quellen (Endgeräte, Netzwerk, Cloud, E-Mail) in einer einheitlichen Analyseplattform zusammenführt. XDR korreliert Ereignisse plattformübergreifend und ermöglicht so die Erkennung komplexer Angriffsketten (Kill Chains), die ein einzelnes EDR-System nicht erkennen würde. XDR wird zunehmend als Konvergenz von EDR, NDR und SIEM positioniert.
Z
Zero-Day-Exploit
Ein Zero-Day-Exploit nutzt eine bislang unbekannte Sicherheitslücke in Software oder Hardware aus, für die der Hersteller noch keinen Patch bereitgestellt hat. Der Begriff "Zero Day" verweist auf die null Tage, die Verteidiger hatten, um die Schwachstelle zu schließen. CISA und das BSI berichten, dass Zero-Day-Exploits zunehmend von staatlichen Angreifern eingesetzt werden; in Ausschreibungen für KRITIS-Schutz sind daher Verhaltensbasierte Erkennungsmechanismen (EDR, NDR) gefordert, die nicht auf Signatur-Datenbanken angewiesen sind.
Zero Knowledge Proof ZKP / Null-Wissen-Beweis
Ein Zero Knowledge Proof ist ein kryptografisches Verfahren, bei dem eine Partei einer anderen beweisen kann, dass sie eine Information kennt oder eine Eigenschaft besitzt, ohne dabei die Information selbst preiszugeben. In der Praxis ermöglicht ZKP z.B. den Nachweis einer gültigen Berechtigung oder eines erfüllten Kriteriums ohne Offenlegung der zugrundeliegenden Daten. Im Vergabekontext gewinnen Zero Knowledge Proofs im Bereich datenschutzkonformer Eignungsnachweise und bei der sicheren Verarbeitung sensibler Bieterdaten an Bedeutung, insbesondere im Zusammenhang mit eIDAS 2.0 und digitalen Identitäten.
Zero Trust
Zero Trust ist eine Sicherheitsarchitektur, die kein implizites Vertrauen in Netzwerkverbindungen gewährt, auch nicht innerhalb des eigenen Unternehmensnetzes. Das Kernprinzip lautet: niemals vertrauen, immer verifizieren. NIST SP 800-207 definiert den internationalen Standard; das BSI hat 2023 ein eigenes Positionspapier zu Zero Trust veröffentlicht. Für neue Behörden-IT und KRITIS-Betreiber wird Zero Trust zunehmend als Architekturanforderung in Leistungsverzeichnissen formuliert.
ZTNA Zero Trust Network Access
Zero Trust Network Access ist eine moderne Alternative zu klassischen VPN-Lösungen, bei der Nutzer und Geräte kontinuierlich verifiziert werden und nur Zugang zu den spezifisch benötigten Anwendungen erhalten, statt zum gesamten Netzwerk (Least-Privilege-Prinzip). ZTNA basiert auf dem Zero-Trust-Architekturkonzept nach NIST SP 800-207 und ist besonders für Remote-Work-Szenarien und Multi-Cloud-Umgebungen geeignet. In IT-Ausschreibungen für Fernzugriffslösungen und SASE-Architekturen (Secure Access Service Edge) ist ZTNA als sicherere Alternative zu Legacy-VPN zu spezifizieren, inklusive Anforderungen an Geräte-Compliance-Prüfung und kontinuierliche Session-Überprüfung.
Zugangsprivileg Access Privilege / Privileged Access
Ein Zugangsprivileg ist eine erhöhte Berechtigung, die einem Benutzer oder Prozess über den normalen Nutzer-Zugang hinaus gewährt wird, z.B. Administratorrechte, Root-Zugang oder privilegierter API-Zugriff, und die besondere Schutzmaßnahmen erfordert, da deren Missbrauch besonders schwerwiegende Folgen haben kann. Das Konzept des Privileged Access Management (PAM) umfasst die restriktive Vergabe, zeitliche Begrenzung, sichere Authentifizierung (MFA) und lückenlose Protokollierung aller privilegierten Sitzungen. In IT-Vergaben für IT-Betrieb und Cloud-Dienste sollten Auftraggeber das Konzept zur Verwaltung privilegierter Zugänge (wer erhält welche Rechte, wie werden sie kontrolliert und entzogen) als verbindlichen Leistungsbestandteil definieren.
Zonenkonzept Sicherheitszonen / Network Zone Architecture
Ein Zonenkonzept teilt ein IT-Netzwerk in Sicherheitszonen mit unterschiedlichem Schutzbedarf auf, z. B. Internetzonen (DMZ), interne Produktionszonen, Managementzonen und Hochsicherheitszonen. An den Zonenübergängen werden Firewalls, Proxys und Gateways eingesetzt, die nur explizit erlaubte Kommunikation durchlassen. Das BSI IT-Grundschutz (NET.1.1) fordert ein dokumentiertes Zonenkonzept als Grundlage für Netzwerkarchitektur und -sicherheit; in IT-Ausschreibungen sollte das bestehende Zonenkonzept des Auftraggebers als Bestandteil der Vergabeunterlagen offengelegt werden, damit Bieter ihre Lösung kompatibel planen können.
Zweistufiges Vergabeverfahren
Ein zweistufiges Vergabeverfahren trennt Eignungsprüfung (Teilnahmewettbewerb, Stufe 1) und Angebotswertung (Stufe 2) zeitlich und inhaltlich. Nur die in Stufe 1 für geeignet befundenen Bewerber erhalten in Stufe 2 die Aufforderung zur Angebotsabgabe; das nicht offene Verfahren und das Verhandlungsverfahren mit Teilnahmewettbewerb sind klassische Beispiele. Die Zweistufigkeit reduziert den Aufwand für Bieter, da nur qualifizierte Unternehmen vollständige Angebote erarbeiten müssen.
Zwingende Ausschlussgründe
Zwingende Ausschlussgründe nach §123 GWB verpflichten den Auftraggeber, einen Bieter ohne Ermessensspielraum vom Verfahren auszuschließen, etwa bei rechtskräftigen Verurteilungen wegen Korruption, Betrug oder Geldwäsche. Der Ausschluss gilt grundsätzlich fünf Jahre ab Rechtskraft der Entscheidung; eine Selbstreinigung nach §125 GWB kann den Ausschluss abwenden. In IT-Vergaben sind Sicherheitsüberprüfungen und Registerabfragen beim Wettbewerbsregister daher fester Bestandteil der Eignungsprüfung.
Zahlungsplan Zahlungsvereinbarung / Payment Schedule
Ein Zahlungsplan regelt, zu welchen Zeitpunkten und in welcher Höhe Vergütungszahlungen für erbrachte IT-Leistungen fällig werden, typischerweise gekoppelt an Meilensteine, Teilabnahmen oder Lieferdaten. Im öffentlichen Vergaberecht sind Zahlungsbedingungen Bestandteil der Vergabeunterlagen und müssen im Einklang mit dem Zahlungsverzugsgesetz (§271a BGB) stehen, das Zahlungsfristen regelt. Für IT-Großprojekte empfehlen sich ergebnisorientierte Zahlungspläne, die Abschlagszahlungen an nachgewiesene Fortschritte und bestandene Qualitätssicherungsmaßnahmen knüpfen, um Incentives für termingerechte Lieferung zu schaffen.
Zertifikatsmanagement Certificate Lifecycle Management / CLM
Zertifikatsmanagement umfasst alle Prozesse zur Ausstellung, Erneuerung, Sperrung und Überwachung digitaler X.509-Zertifikate, die für TLS-Verschlüsselung, Code Signing und Authentifizierung eingesetzt werden. Abgelaufene oder kompromittierte Zertifikate sind eine häufige Ursache für Sicherheitsvorfälle und Verfügbarkeitsausfälle, da Dienste bei abgelaufenen TLS-Zertifikaten nicht mehr erreichbar sind. In IT-Vergabeverfahren sollten Auftraggeber automatisiertes Zertifikatsmanagement (z.B. ACME-Protokoll, PKI-Management-Lösung) als Anforderung spezifizieren und kurze Zertifikatslaufzeiten (90 Tage) als Best Practice vorschreiben.
Zertifizierungsstelle Trust Center / CA
Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Instanz, die digitale Zertifikate ausstellt, signiert und widerruft und damit die Grundlage für verschlüsselte Kommunikation, elektronische Signaturen und Authentifizierung bildet. In Deutschland betreibt das BSI die Bundesnetzagentur-akkreditierten Vertrauensdiensteanbieter; im eIDAS-Kontext müssen qualifizierte Vertrauensdiensteanbieter (QTSP) auf der EU-Vertrauensliste stehen. In IT-Ausschreibungen für PKI-Dienste, TLS-Zertifikate oder qualifizierte elektronische Signaturen ist die Auswahl einer anerkannten CA eine zentrale technische Anforderung.
Zertifizierungsanforderungen
Zertifizierungsanforderungen in IT-Vergaben verlangen von Bietern den Nachweis anerkannter Sicherheitszertifizierungen als Eignungs- oder Zuschlagskriterium. Gängige geforderte Zertifikate sind ISO 27001 (ISMS), BSI IT-Grundschutz, BSI C5 (Cloud), Common Criteria (Produkte) oder branchenspezifische Nachweise. Auftraggeber müssen die Verhältnismäßigkeit prüfen: Eine Zertifizierungsanforderung darf den Wettbewerb nicht unzulässig einschränken und muss dem Sicherheitsbedarf des Auftrags entsprechen.
Zugangskontrolle Logical Access Control / Logische Zutrittskontrolle
Zugangskontrolle bezeichnet die Gesamtheit technischer und organisatorischer Maßnahmen, die sicherstellen, dass nur autorisierte Nutzer Zugang zu IT-Systemen, Anwendungen und Daten erhalten, typischerweise durch Authentifizierung, Autorisierung und Sitzungsverwaltung. Das BSI IT-Grundschutz-Baustein ORP.4 beschreibt Mindestanforderungen an Identitäts- und Zugangsverwaltung; ISO 27001 Kontrollziel A.9 regelt Zugangskontrolle umfassend. In IT-Ausschreibungen sollten Auftraggeber konkrete Anforderungen an Zugangskontrollsysteme (MFA, RBAC, PAM) stellen und regelmäßige Rezertifizierungen der Zugriffsrechte als Vertragspflicht vereinbaren.
Zugangsprotokoll Access Log / Zugangsnachweis
Ein Zugangsprotokoll erfasst alle erfolgreichen und fehlgeschlagenen Zugriffsversuche auf IT-Systeme, Gebäude oder Datenbereiche mit Zeitstempel, Nutzeridentität und Herkunft des Zugriffs. Es dient sowohl der Sicherheitsüberwachung als auch der Nachweisführung bei Sicherheitsvorfällen oder datenschutzrechtlichen Anfragen. In IT-Ausschreibungen für Systeme mit personenbezogenen Daten oder besonders schützenswerten Informationen sollten Auftraggeber Anforderungen an Zugangsprotokolle, Aufbewahrungsfristen und manipulationssichere Speicherung als Teil des Datenschutz- und Sicherheitskonzepts verbindlich vorschreiben.
Zugriffsrechte Access Rights / Permissions
Zugriffsrechte definieren, welche Aktionen ein authentifizierter Nutzer auf bestimmten Ressourcen (Dateien, Anwendungen, Netzwerksegmente) ausführen darf, typischerweise in Form von Lese-, Schreib-, Ausführungs- oder Administrationsprivilegien. Ihre Verwaltung erfolgt nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) sowie dem Need-to-know-Prinzip; regelmäßige Rezertifizierungen durch den Systemverantwortlichen sind nach BSI IT-Grundschutz und ISO 27001 vorgeschrieben. In IT-Vergaben sollten Auftraggeber festlegen, nach welchen Kriterien Zugriffsrechte für Auftragnehmer und Unterauftragnehmer vergeben, dokumentiert und nach Vertragsende widerrufen werden.
Zulieferermanagement Supplier Management / Vendor Management
Zulieferermanagement umfasst die systematische Auswahl, Steuerung, Bewertung und Weiterentwicklung externer IT-Dienstleister und Produkthersteller über den gesamten Beschaffungslebenszyklus, von der Vorqualifizierung bis zur Vertragsbeendigung. BSI und NIS2 verpflichten betroffene Organisationen, Sicherheitsanforderungen an Lieferanten in Verträge aufzunehmen und deren Einhaltung nachprüfbar zu kontrollieren. In öffentlichen IT-Vergaben empfiehlt sich eine strukturierte Lieferantendatenbank, in der Eignungsnachweise, Auditergebnisse und Sicherheitszertifikate revisionssicher geführt werden.
Zulieferersicherheit Supplier Security / Third-Party Security
Zulieferersicherheit bezeichnet die Gesamtheit der Anforderungen, Prüfungen und vertraglichen Regelungen, durch die ein Auftraggeber sicherstellt, dass externe Lieferanten, Unterauftragnehmer und Komponentenhersteller definierte Mindestsicherheitsstandards einhalten und keine zusätzlichen Risiken in die eigene Lieferkette einbringen. NIS2 und das BSI-Gesetz verpflichten betroffene Einrichtungen explizit, Sicherheitsanforderungen an Lieferanten in Verträgen zu verankern und deren Einhaltung zu überprüfen, was in IT-Vergaben durch Sicherheitsklauseln, Audit-Rechte und Nachweispflichten für Zertifizierungen (ISO 27001, BSI C5) umgesetzt wird. Ergänzend sollten Auftraggeber eine Lieferanten-Risikobewertung nach Kritikalitätsstufen etablieren, die den Umfang der erforderlichen Sicherheitsprüfung für jeden Zulieferer festlegt.
Zuschlagsentscheidung
Die Zuschlagsentscheidung ist die interne Entscheidung des Auftraggebers, welchem Bieter der Auftrag erteilt werden soll (§127 GWB). Sie muss auf Basis der vorab festgelegten Zuschlagskriterien und ihrer Gewichtung getroffen und im Vergabevermerk begründet werden. Zwischen Zuschlagsentscheidung und tatsächlicher Zuschlagserteilung liegt die Vorabinformationsfrist von 15 Tagen, in der unterlegene Bieter Rechtsmittel einlegen können.
Zuschlagserteilung
Die Zuschlagserteilung ist der rechtsverbindliche Akt, durch den das Vergabeverfahren abgeschlossen und der Vertrag geschlossen wird. Sie erfolgt durch Übermittlung der Zuschlagsnachricht an den erfolgreichen Bieter nach Ablauf der Vorabinformationsfrist. Mit der Zuschlagserteilung endet das Vergabeverfahren; eine Nachprüfung ist danach nur noch in engen Grenzen (§135 GWB: Nichtigkeit wegen schwerer Rechtsverstöße) möglich. Alle nicht berücksichtigten Bieter sind unverzüglich über den Zuschlag zu informieren.
Zuschlagsfrist
Die Zuschlagsfrist ist der Zeitraum, innerhalb dessen der Auftraggeber den Zuschlag erteilen muss, solange die Angebote noch gültig sind (Bindefrist der Bieter). Nach §62 VgV ist der Auftraggeber verpflichtet, die Bieter unverzüglich über die Zuschlagsentscheidung zu informieren. Läuft die Bindefrist der Angebote ab, bevor der Zuschlag erteilt ist, kann der Auftraggeber Bieter um Verlängerung bitten; eine Verpflichtung dazu besteht nicht.
Zuschlagskriterien
Zuschlagskriterien bestimmen, nach welchen inhaltlichen und qualitativen Maßstäben das wirtschaftlichste Angebot ermittelt wird (§58 VgV). Sie müssen mit dem Auftragsgegenstand in Verbindung stehen, vorab vollständig bekannt gegeben und mit Gewichtungen versehen werden. In IT-Vergaben werden neben dem Preis häufig Konzeptqualität, Implementierungsplan, Sicherheitskonzept, Referenzen und Lifecycle-Kosten als Zuschlagskriterien eingesetzt. Nachträgliche Änderungen der Kriterien oder Gewichtungen sind vergaberechtswidrig.
Zutrittskontrolle
Zutrittskontrolle bezeichnet physische Maßnahmen, die den Zutritt zu Räumen, Gebäuden oder Sicherheitszonen auf autorisierte Personen beschränken (z. B. Schlüsselkarten, Biometrie, Schleusen). BSI IT-Grundschutz INF.1 beschreibt Anforderungen an physische Sicherheit von Gebäuden und Rechenzentren; bei KRITIS-Einrichtungen gelten verschärfte Vorgaben. In Vergaben für Rechenzentrumsdienste oder Cloud-Hosting ist die Qualität des Zutrittskontrollsystems ein wesentliches Sicherheitskriterium, das durch Zertifizierungen (ISO 27001 Annex A, BSI C5) oder Auditberichte nachgewiesen werden kann.
Zuverlässigkeitsprüfung Bieterprüfung / Zuverlässigkeitsüberprüfung
Die Zuverlässigkeitsprüfung ist ein Schritt der Eignungsprüfung, bei dem öffentliche Auftraggeber feststellen, ob ein Bieter die persönlichen und unternehmensbezogenen Voraussetzungen erfüllt, die eine ordnungsgemäße Leistungserbringung erwarten lassen. Geprüft wird insbesondere das Nichtvorliegen von Ausschlussgründen nach §§ 123, 124 GWB sowie die Eintragung im Wettbewerbsregister. Für IT-Hochsicherheitsprojekte können Zuverlässigkeitsprüfungen des Personals auch sicherheitsbehördliche Überprüfungen (Sicherheitsüberprüfung nach SÜG) als Anforderung umfassen.
Zuwendungen
Zuwendungen sind staatliche Finanzierungsbeiträge (Fördermittel, Subventionen, Zuschüsse), die einem Empfänger für einen bestimmten Verwendungszweck gewährt werden; sie unterliegen dem Zuwendungsrecht (§§23, 44 BHO) und können eigene Vergabepflichten auslösen. Zuwendungsempfänger, die keine öffentlichen Auftraggeber sind, müssen nach den Nebenbestimmungen (ANBest-P, ANBest-GK) bei bestimmten Auftragswerten Wettbewerb herstellen und Vergabevorschriften einhalten. In IT-Förderprojekten ist die Dokumentation vergabekonformer Beschaffung häufig Prüfungsgegenstand bei Verwendungsnachweisen.
2FA Zwei-Faktor-Authentifizierung
2FA bezeichnet ein Authentifizierungsverfahren, das neben dem Passwort einen zweiten Faktor verlangt, etwa einen TOTP-Code, einen Hardware-Token (FIDO2/WebAuthn) oder einen biometrischen Faktor. Das BSI empfiehlt 2FA für alle schützenswerten Konten und bewertet hardware-basierte Verfahren (z.B. YubiKey) als sicherste Option. NIS2 verpflichtet regulierte Einrichtungen zur Einführung starker Authentifizierung; in Ausschreibungen für Behördenanwendungen ist 2FA häufig als zwingende Mindestanforderung zu formulieren.
Kein Begriff gefunden. Bitte andere Suchbegriffe verwenden.