EU sucht IT-Sicherheitsunterstützung für 28 Millionen Euro

Die Cybersicherheit der EU soll auch mithilfe privater Firmen gestärkt werden. Derzeit sucht die EU im Rahmen einer Ausschreibung für alle 27 Mitgliedstaaten und die europäische Netzwerksicherheitsbehörde ENISA Unterstützung aus dem Privatsektor. Insgesamt stehen 28 Millionen Euro zur Verfügung.

Wie kann die Cybersicherheit in der Europäischen Union gestärkt werden? Allein mit staatlichen Maßnahmen ist das unmöglich – weshalb die EU in insgesamt 28 Losen nun Unterstützungsleistungen für alle einzelnen Mitgliedstaaten und der für die EU selbst zuständigen EU-Behörde für Netzwerk- und Informationssicherheit ENISA einkaufen will.

Planungshorizont drei Jahre

Die Ausschreibung soll Dienstleistungen für drei Jahre sicherstellen. Aus dem Text der zu vergebenden Aufträge geht dabei deutlich hervor, was die Bieter um den Auftrag leisten sollen: Die Rahmenverträge sollen für insgesamt vier Bereiche Unterstützungsleistungen für die Mitgliedstaaten und ENISA zur Verfügung stellen. Das fängt an bei Schulungsmaterial und Schulungen und Wettbewerben nach dem European Cybersecurity Framework (ECSF), also etwa klassischen Capture-The-Flag-Wettbewerben. Deutlich wichtiger dürften aber zwei andere Aufgaben sein: Die privaten Dienstleister sollen Sicherheitslücken aufspüren helfen, beim Prüfen der Cybersicherheitsfähigkeiten helfen und an Verbesserungsvorschlägen mitarbeiten.

Dabei wird fast die gesamte Palette der digitalen Angriffsfläche von den Dienstleistern erwartet: Ob Scada-Systeme, Internet-of-Things-Endgeräte, IT- oder Industriesteuerungsanlagen, wer bei dem ENISA-Vorhaben mitspielen will, muss alles können oder gemeinsam mit Verbündeten als Bietergemeinschaft antreten. Auch Risikomonitoring- und Gefahreneinschätzungsdienste sollen von den Privaten erbracht werden. Und bei konkreten Vorfällen soll bei Bedarf die externe Dienstleistung ebenfalls abrufbar sein: Bei Incident-Management-Aufgaben soll etwa die forensische Beweissicherung oder das Vorfallmanagement durch die externen Unternehmen möglich sein.

Unternehmen, die sich auf das "Deutsche Los" Nummer 11 bewerben, müssen dabei für Incident Response und Pentesting die entsprechenden Sicherheitsfreigaben vorweisen – alternativ EU- oder NATO-Sicherheitsfreigaben. Speziell an der EU-Ausschreibung ist, dass ENISA bei dem gesamten Prozess als Auftraggeber und als durchführungszuständige Stelle genannt ist – die nationalen Aufsichtsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielen formal keine Rolle.

Eine Besonderheit an den Ausschreibungen sind die Ausschlusskriterien: Unternehmen, die sich um die Aufträge bewerben, müssen "EU-kontrolliert" sein. Sprich: Die Eigentümerschaft muss innerhalb der Europäischen Union liegen und die tatsächliche wirtschaftliche Kontrolle aus der EU ausgeübt werden. Um das sicherzustellen, gibt es gleich drei kumulative Kriterien – wer sie nicht alle erfüllt und Nachweise beibringt, dass er nicht unter fremder Kontrolle steht, wird automatisch ausgeschlossen. Normalerweise gilt bei EU-Ausschreibungen vor allem das Prinzip der Wirtschaftlichkeit: Der Anbieter mit dem größten Leistungsumfang im Rahmen der zur Verfügung gestellten Gelder käme zum Zuge. Interessierte Unternehmen können ihre Angebote und Unterlagen allein oder gemeinsam noch bis zum 23. September über das Ausschreibungsportal der EU einreichen.

(dmk)