Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 » Ausschreibung im öffentlichen Dienst

Ausschreibung im öffentlichen Dienst

„Keine Teilnahme an der Ausschreibung im öffentlichen Dienst ohne ISO 27001 Zertifizierung“

Die lukrative Chance

Ein mittelständisches Unternehmen aus der IT-Branche stößt auf eine vielversprechende Ausschreibung im öffentlichen Dienst. Der potentielle Auftrag umfasst die Entwicklung und Betreuung einer Softwarelösung, die mehrere Jahre laufen und ein hohes Auftragsvolumen mit sich bringen soll. Für das Unternehmen bedeutet dies eine einmalige Chance, seinen Kundenstamm zu erweitern und langjährige Einnahmen zu sichern.

Die Anforderung: ISO 27001

Bei genauerer Prüfung der Ausschreibungsunterlagen fällt jedoch auf, dass eine zentrale Bedingung erfüllt werden muss: Der zukünftige Auftragnehmer hat eine gültige Zertifizierung nach ISO 27001 vorzuweisen. Diese Anforderung soll sicherstellen, dass die verarbeiteten Daten des öffentlichen Dienstes einem hohen Sicherheitsstandard unterliegen und ein formalisiertes Informationssicherheits-Managementsystem (ISMS) etabliert ist.

Fehlende Zertifizierung beim Auftragnehmer

An diesem Punkt wird deutlich, dass weder das Unternehmen selbst noch der beim Unternehmen eingesetzte IT-Dienstleister über eine ISO 27001 Zertifizierung verfügt. Zwar bestehen bereits vereinzelt Sicherheitsrichtlinien und technische Vorkehrungen, doch ein vollumfängliches ISMS nach internationalem Standard ist nicht vorhanden. Da die Ausschreibung im öffentlichen Dienst keinerlei Ausnahmen vorsieht und das ISO-27001-Zertifikat als Muss-Kriterium definiert ist, bleibt dem Unternehmen keine andere Wahl, als die Teilnahme an der Ausschreibung zu unterlassen.

Verpasste Chancen und mögliche Folgen

Damit entgeht dem IT-Unternehmen nicht nur ein attraktiver Auftrag, sondern es verzichtet auch auf die Möglichkeit, sich im öffentlichen Sektor langfristig zu positionieren. Denn immer mehr Behörden und Institutionen fordern heutzutage klare Sicherheitsnachweise, wobei ISO 27001 zu den anerkanntesten Zertifizierungen zählt. Indem das Unternehmen die Teilnahme an dieser Ausschreibung verpasst, entgeht ihm womöglich weiterer Folgeaufträge im öffentlichen Umfeld.

Keine Weichenstellung für die Zukunft

Statt jetzt die Initiative zu ergreifen und sich auf eine künftige Zertifizierung vorzubereiten, entschließt sich das Management, den momentanen Zustand beizubehalten. Eine ISO-27001-Implementierung würde Geld, Zeit und personelle Ressourcen binden. Daher beschließt man, erst einmal so weiterzumachen wie bisher und hofft darauf, dass andere, weniger anspruchsvolle Projekte akquiriert werden können.

Die nächste Ausschreibung kommt bestimmt

Diese Vorgehensweise birgt jedoch das Risiko, bei der nächsten Ausschreibung im öffentlichen Dienst erneut vor verschlossenen Türen zu stehen. Die Zeit, die bis dahin vergeht, könnte genutzt werden, um ein schlankes, schrittweises Vorgehen in Richtung ISO 27001 einzuschlagen und sich gegen die immer strenger werdenden Sicherheitsanforderungen zu wappnen. So zeigt das Fallbeispiel deutlich, dass fehlende Sicherheitsnachweise keine kurzfristige Angelegenheit sind, sondern langfristig entscheidend über die Wettbewerbsfähigkeit und Auftragslage im öffentlichen Sektor bestimmen können.

Wir unterstützen Sie bei ISO 27001?

Statt chancenreiche Projekte an der ISO-27001-Hürde scheitern zu lassen, lohnt es sich, rechtzeitig den Grundstein für eine erfolgreiche Zertifizierung zu legen – und genau hier setzt SMCT MANAGEMENT an. Wir bieten Ihnen mehr als nur trockene Beratung: Wir zeigen Ihnen den klaren, praxisnahen Weg zu einem ISMS, das nicht nur den formalen Normanforderungen genügt, sondern Ihr Unternehmen wirklich sicherer macht. Dabei setzen wir auf:

  • Wow-Effekt bei Kunden und Auditoren
    Von der ersten Gap-Analyse bis zum finalen Audit sorgen wir dafür, dass Sie nicht einfach nur „bestehen“, sondern positiv herausstechen. Ihre künftigen Kunden im öffentlichen Sektor werden sofort spüren, dass Sie Ihr ISMS ernst nehmen und professionell managen.
  • Blitzschnelle Umsetzung durch pragmatische Checklisten
    Niemand hat Zeit für langwierige Theoriedebatten. Wir arbeiten mit individuellen Checklisten, die genau das abfragen, was Sie wirklich wissen müssen – und nichts anderes. So kommen wir rasch zu handfesten Ergebnissen.
  • Mitarbeiter-Boost mit E-Learning
    Eine Sicherheitskultur steht und fällt mit den Menschen dahinter. Über unsere moderne E-Learning-Plattform schulen Sie Ihr Team schnell und nachhaltig. Die Lerninhalte sind praxisnah und unterhaltsam aufbereitet, sodass jeder versteht, warum ISO 27001 keine bürokratische Bürde, sondern ein echter Mehrwert ist.
  • Hands-On-Risikobewertung
    Wir identifizieren nicht bloß theoretische Risiken, sondern zeigen Ihnen klipp und klar, wo konkrete Gefahren lauern. Anschließend entwickeln wir mit Ihnen einen realistischen Plan, um Schwachstellen zu schließen – ohne Ihr Budget unnötig zu strapazieren.
  • Bühnenreifes SoA und Doku-Paket
    Mit uns müssen Sie sich keine Sorgen um die geforderten Dokumentationen machen. Wir erstellen ein Statement of Applicability (SoA), das den Auditoren die Kinnlade runterklappen lässt – weil es simpel, transparent und treffsicher jedes relevante Sicherheitskontroll-Thema abdeckt.
  • Zertifizierung als krönender Abschluss
    Sobald alle Bausteine sitzen, begleiten wir Sie in die Zertifizierung. Unsere Experten stehen parat, um Fragen der Auditoren überzeugend zu beantworten und den Prozess souverän zu steuern. Am Ende halten Sie ein Zertifikat in Händen, das Ihnen einen strategischen Türöffner für hochkarätige Ausschreibungen bietet – statt leere Versprechungen zu machen, liefern wir Ihnen schwarz auf weiß den Beweis Ihrer IT-Sicherheit.

Mit SMCT MANAGEMENT an Ihrer Seite holen Sie sich nicht nur ein ISO-27001-Zertifikat, sondern vor allem einen echten „Knall-Effekt“ in Sachen Wettbewerbsfähigkeit. Wenn Sie bereit sind, verlorene Chancen der Vergangenheit anzugehören und im öffentlichen Dienst sowie im Privatsektor durchzustarten, dann setzen Sie jetzt auf einen Partner, der mit klarem Fokus, maßgeschneiderter Umsetzung und maximalem Praxisbezug für Ihren Erfolg brennt.

Durchschnittliche Schadenshöhe von Cyberangriffen (Europa/Deutschland, 2023)

Cyberangriffe verursachen bei Unternehmen zunehmend hohe Schäden. In Deutschland lag die durchschnittliche Schadenssumme pro Cybervorfall im Jahr 2023 bei rund 45.370 € – etwa 8,3 % mehr als im Vorjahr​1. Diese Zahl basiert auf gemeldeten Versicherungsfällen und zeigt, dass selbst einzelne Attacken erheblichen finanziellen Schaden anrichten. Große Datenschutzverletzungen können sogar ein Vielfaches kosten: Eine internationale Studie bezifferte die durchschnittlichen Kosten einer Datenpanne 2023 weltweit auf etwa 4,45 Mio. US‑$ (ca. 4 Mio. €)2.In Deutschland lagen die durchschnittlichen Kosten pro größerem Datenleck sogar bei rund 4,3 Mio. €​3. Diese Zahlen unterstreichen, dass Cyberangriffe – von Ransomware bis Datenlecks – für Unternehmen jeder Größe ein teures Risiko darstellen.

Anteil öffentlicher Ausschreibungen mit ISO‑27001-Pflicht

Die ISO/IEC 27001-Zertifizierung wird im öffentlichen Sektor immer häufiger zur Voraussetzung. Immer mehr öffentliche IT-Ausschreibungen verlangen eine ISO 27001-Zertifizierung als Eignungsnachweis für Bieter, insbesondere wenn sensible Daten oder kritische Infrastrukturen betroffen sind​4. Zwar ist ISO 27001 (noch) nicht in allen Vergaben Pflicht, doch der Trend ist eindeutig: Behörden legen verstärkt Wert auf zertifizierte Informationssicherheit bei ihren Auftragnehmern. In den letzten Jahren ist die Anzahl der öffentlichen Ausschreibungen mit ISO‑27001-Anforderung deutlich gestiegen (Branchenbeobachter berichten von etwa 50 % Zunahme innerhalb von fünf Jahren)​5. Unternehmen mit ISO‑27001-Zertifikat haben dadurch einen klaren Wettbewerbsvorteil bei öffentlichen IT-Projekten, da sie die geforderten Sicherheitsstandards nachweislich erfüllen.

Entwicklung der ISO‑27001-Zertifizierungen (Anzahl und Zuwachs)

Die Verbreitung von ISO 27001 nimmt weltweit rasant zu. Bis Ende 2022 waren global etwa 71.549 Zertifikate nach ISO/IEC 27001 in Kraft – ein Anstieg um 22 % gegenüber 2021​6. Zum Vergleich: 2020 lag die Zahl noch bei rund 44.500, 2021 bereits bei 58.700 (≈32 % Zuwachs)​. Auch 2023 setzte sich der Trend fort, wenn auch mit statistischen Unschärfen: Laut ISO Survey wurden Ende 2023 weltweit ca. 48.981 ISO‑27001-Zertifikate gezählt​7, davon 1.563 in Deutschland​. Dieser scheinbare Rückgang ist jedoch auf fehlende Meldungen (u.a. aus China) zurückzuführen und spiegelt keine echte Abnahme wider​. Tatsächlich dürfte die Zahl der zertifizierten Unternehmen 2023 weiter gestiegen sein. In Deutschland bleibt die absolute Anzahl vergleichsweise klein: hier gab es um die 1.600 ISO‑27001-zertifizierte Unternehmen (Stand Ende 2022)​8. Während global zweistellige Wachstumsraten verzeichnet werden, ist das Wachstum in Deutschland moderater und stagnierte zuletzt leicht​. Insgesamt zeigen die hohen Zuwachsraten weltweit, dass ISO 27001 als Standard für Informationssicherheits-Managementsysteme immer mehr Zuspruch findet.

Anteil der KMU mit externen IT-Dienstleistern (Deutschland/EU)

IT-Outsourcing im Mittelstand ist mittlerweile gängige Praxis. Aktuellen Branchenangaben zufolge nehmen über die Hälfte aller kleinen und mittelständischen Unternehmen (KMU) externe IT-Services in Anspruch​9. Das heißt, mehr als 50 % der KMU lagern zumindest einen Teil ihrer IT-Aufgaben an externe Dienstleister aus – sei es für Systembetreuung, Support oder spezialisierte Security-Leistungen. Zum Vergleich: Bei Großunternehmen sind es nur rund ein Viertel, die externe IT-Dienstleister einbinden​, da größere Firmen häufiger eigene IT-Abteilungen unterhalten. Auch eine Studie im Auftrag des BSI bestätigt den Trend: Rund 40 % der KMU in Deutschland lassen sich in Fragen der IT- und Informationssicherheit von externen Dienstleistern unterstützen​10. Externe IT-Dienstleister schließen für viele Mittelständler die Lücke an internem Fachpersonal und Expertise. Damit tragen sie wesentlich dazu bei, dass auch KMU neueste Technologien nutzen und Sicherheitsmaßnahmen umsetzen können, ohne alles Know-how selbst vorhalten zu müssen.

Bedeutung von Informationssicherheit in öffentlichen IT-Projekten

In öffentlichen IT-Projekten hat Informationssicherheit höchste Priorität. Eine aktuelle Befragung von Entscheidern in deutschen Behörden ergab, dass für 97 % der öffentlichen Verwaltungen IT-Sicherheit und der Schutz vor Cyberangriffen zu den Top-Herausforderungen der kommenden Jahre zählen​11. Die Verwaltungsspitzen messen dem Thema somit sehr großen Stellenwert bei. Entsprechend wird IT-Sicherheit in Behörden als „absolute Priorität“ betrachtet, die nicht zugunsten anderer Ziele geopfert werden darf​. Diese hohe Bedeutung spiegelt sich auch in gesetzlichen Vorgaben wider: Regulatorische Anforderungen zwingen öffentliche Stellen, strenge Sicherheitsstandards einzuhalten.

In Deutschland müssen z.B. Bundesbehörden die vom BSI definierten Grundschutz-Standards umsetzen, und auf EU-Ebene schreibt die neue NIS2-Richtlinie ab 2024 ein einheitlich hohes Niveau an Cybersecurity vor​12. NIS2 verpflichtet kritische Einrichtungen und Teile der öffentlichen Verwaltung, angemessene technische und organisatorische Schutzmaßnahmen zu ergreifen und Sicherheitsvorfälle zu melden​. Insgesamt ist erkennbar, dass Informationssicherheit in öffentlichen IT-Projekten kein „Nice-to-have“ mehr ist, sondern ein zentraler Erfolgsfaktor und oft sogar formale Voraussetzung (durch Compliance-Vorgaben) für Projektumsetzung und -vergaben. Die Digitalisierungsstrategie der öffentlichen Hand geht Hand in Hand mit dem Ausbau von Sicherheitsmaßnahmen, um staatliche IT-Systeme und Bürgerdaten wirksam zu schützen.

Quellen:
  1. Unternehmen-Cypersicherheit.de
  2. Manager-Magazin.de
  3. Manager-Magazin.de
  4. Thecoresolution.com
  5. Thecoresolution.com
  6. Slideshare.net
  7. Weka.de
  8. Slideshare.net
  9. Jemix.de
  10. BSI Bund
  11. Soprasteria.de
  12. Kommunikation Assaabloy.de
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner