Skip to main content
Zurück zu Neuigkeiten
Cybersecurity Digital Sovereignty Europe Germany Innovation Public Procurement Startups

Europas Vergabeparadox: Ein System, das Sicherheit kauft, nicht Schutz

Philipp Kühn
7 min read

Zusammenfassung

Europas öffentliche Beschaffung ist auf Rechtssicherheit optimiert, nicht auf Innovation. In der Cybersecurity, wo die EU Souveränität fordert, aber das System Platzhirsche bevorzugt, hat diese Diskrepanz reale Konsequenzen.

Europa will digitale Souveränität. Das steht in NIS2, im Cyber Resilience Act, im EUCS-Zertifizierungsschema, in unzähligen Strategiepapieren und Keynotes. Doch wenn es darum geht, die Cybersecurity einzukaufen, die Souveränität erfordert, greift das System zu dem, was es bereits kennt. Nicht weil es den Entscheidungsträgern an Ambition fehlt, sondern weil die Vergaberegeln, nach denen sie handeln, nie für Innovation gemacht waren.

Optimiert für das Falsche

Das europäische Vergaberecht, in Deutschland umgesetzt als Vergaberecht, ist ein ausgefeiltes System. Es sorgt für Fairness, Transparenz und Rechtssicherheit. Das sind gute Dinge. Aber sie bringen einen strukturellen Nebeneffekt mit sich: Der Prozess ist auf Risikovermeidung optimiert, nicht auf das Finden besserer Lösungen. Das ist kein rein deutsches Problem. Die EU-Vergaberichtlinien, die den nationalen Gesetzen aller Mitgliedstaaten zugrunde liegen, folgen derselben strukturellen Logik.

Wenn eine Behörde eine Ausschreibung erstellt, ist das Ziel, Anforderungen so präzise zu definieren, dass jedes Angebot objektiv bewertet und rechtlich verteidigt werden kann. Diese Präzision setzt allerdings voraus, dass man bereits weiß, was man will. Und wenn man genau weiß, was man will, sucht man per Definition nicht nach etwas Neuem.

Das Ergebnis ist vorhersehbar. Der Staat kauft das Bewährte, nicht das Bessere. Vergaberechtlich ist das ein Feature. Aus Cybersecurity-Sicht ist es eine Schwachstelle.

Innovation braucht Problemräume, keine Lastenhefte

Die zentrale Spannung ist architektonischer Natur. Klassische Vergabeverfahren beginnen mit einer detaillierten Spezifikation: was die Lösung können muss, wie sie funktionieren soll, welche Standards sie erfüllen muss. Anbieter antworten auf diese Spezifikation. Die beste Übereinstimmung gewinnt.

Das funktioniert gut für Büromaterial. Es funktioniert einigermaßen für etablierte IT-Infrastruktur. Für Cybersecurity versagt es.

In der Cybersecurity verändert sich die Bedrohungslage wöchentlich. Eine heute geschriebene Spezifikation beschreibt möglicherweise das Problem von gestern. Was Behörden tatsächlich brauchen, ist die Möglichkeit, einen Problemraum zu beschreiben und dann zu bewerten, wie verschiedene Anbieter diesen angehen. Das erfordert Dialog, Iteration und die Bereitschaft, von der Antwort überrascht zu werden. Das aktuelle System bietet nichts davon in der Breite.

Dahinter liegt ein noch tieferes Problem. Ein Großteil der echten Innovation in der Cybersecurity kommt direkt aus der Forschung, von Universitäten und angewandten Forschungseinrichtungen, die an Problemen arbeiten, für die es noch keine kommerziellen Lösungen gibt. State-of-the-Art-Forschung ist per Definition kein Produkt. Sie hat keine Referenzprojekte, keine Umsatzhistorie, keine Zertifizierungen. Ein Vergabesystem, das all das voraussetzt, bevor eine Lösung überhaupt in Betracht gezogen werden kann, ist strukturell blind für genau den Ort, an dem die nächste Generation von Abwehrmechanismen entsteht.

Formate wie die Innovationspartnerschaft oder der wettbewerbliche Dialog existieren im EU-Vergaberecht, werden aber selten genutzt. Sie gelten als rechtlich riskant, verfahrenstechnisch komplex und langsam. Also greifen Behörden auf das zurück, was sie kennen: offene Verfahren mit starren Spezifikationen.

Die unsichtbare Barriere für neue Anbieter

Selbst wenn ein Startup die bessere Lösung hat, ist der Zugang eine Herausforderung für sich. Ausschreibungen verlangen routinemäßig drei bis fünf Jahre Referenzen in vergleichbaren Projekten, Mindestumsatzanforderungen und Zertifizierungen, deren Erlangung Jahre dauert.

Diese Anforderungen ergeben als Indikatoren für Zuverlässigkeit Sinn. Aber sie funktionieren auch als strukturelle Filter, die etablierte Anbieter bevorzugen. Ein Unternehmen, das seit einem Jahrzehnt die gleiche Legacy-Lösung liefert, wird bei Referenzprüfungen immer besser abschneiden als ein zwei Jahre altes Startup, unabhängig davon, ob seine Technologie noch die richtige Antwort ist.

Die Zahlen sprechen für sich. Laut dem Deutschen Startup Monitor 2025 stammen nur 7 % des Startup-Umsatzes aus öffentlichen Aufträgen, gegenüber gerade einmal 4 % im Jahr 2019. Nur 15 % der Startups haben überhaupt jemals einen öffentlichen Auftrag gewonnen, während zwei Drittel der Tech-Startups sich nicht einmal bewerben. Die Innovationsagenda 2030 des Startup-Verbands fordert, dass bis Ende des Jahrzehnts mindestens 5 % der öffentlichen Aufträge an Startups gehen sollen, ein Ziel, das zeigt, wie niedrig die Messlatte derzeit liegt. Nicht weil Startups kein Interesse hätten. Sondern weil das System nicht für sie gebaut wurde.

In der Cybersecurity, wo die folgenreichsten Innovationen oft von kleinen, spezialisierten Teams kommen, hat dieser Ausschluss reale Kosten. Die Behörden, die modernste Threat Intelligence, automatisierte Compliance-Tools oder KI-gestützte Analysen brauchen, werden strukturell zu Anbietern gelenkt, deren Hauptvorteil Vertrautheit ist, nicht Leistungsfähigkeit.

Hier wird die Souveränitätsfrage konkret. Europa investiert massiv in Cybersecurity-Forschung durch Programme wie Horizon Europe und das European Cybersecurity Competence Centre. Es produziert Forschung auf Weltklasseniveau und baut vielversprechende Startups auf. Doch wenn diese Ergebnisse die Brücke vom Labor in den öffentlichen Einsatz überqueren müssen, bevorzugt das Vergabesystem die großen, etablierten Anbieter, oft nicht-europäische, die jede Box im Ausschreibungsformular abhaken können. Das Ergebnis: Europa finanziert die Forschung und kauft das Produkt dann bei jemand anderem.

Geschwindigkeit als Sicherheitsanforderung

Dann ist da die Frage der Zeit. Ein typisches öffentliches Vergabeverfahren in Deutschland dauert sechs bis achtzehn Monate von der Veröffentlichung bis zum Zuschlag. Komplexe IT-Vergaben können sich noch länger hinziehen, wenn Nachprüfungsverfahren oder Neuausschreibungen hinzukommen.

Was sich in der Cybersecurity innerhalb eines einzigen Vergabezyklus verändert hat, ist bezeichnend. Ende 2024 war die KI-Landschaft in der IT-Sicherheit von LLM-Wrappern geprägt: Chatbots, die Bedrohungsberichte zusammenfassen oder Richtliniendokumente entwerfen konnten, nützlich, aber begrenzt. Achtzehn Monate später haben wir es mit agentischen KI-Systemen zu tun, die autonom Exploits entwickeln, Zugangsdaten knacken und Infrastruktur infiltrieren, mit minimalem menschlichem Eingriff. Im September 2025 dokumentierte Anthropic den ersten großangelegten Cyberangriff, der nahezu vollständig von einem KI-Agenten durchgeführt wurde, gerichtet gegen dreißig Organisationen aus Technologie, Finanzwesen und öffentlicher Verwaltung. Die KI führte 80-90 % der Kampagne durch, mit Tausenden von Anfragen pro Sekunde, eine Angriffsgeschwindigkeit, die kein menschliches Team erreichen könnte. Gleichzeitig berichtete VulnCheck, dass 2025 fast 29 % der Schwachstellen am Tag der Veröffentlichung oder davor ausgenutzt wurden, gegenüber 24 % im Jahr 2024.

Das ist das Tempo auf der Angreiferseite. Ein Vergabesystem, das Zeiträume in Jahren misst, operiert nicht in derselben Realität.

Der BSI-Lagebericht 2024 dokumentierte durchschnittlich 78 neue Schwachstellen pro Tag. Ein Jahr später beziffert der Lagebericht 2025 diese Zahl auf 119, ein Anstieg von 24 % innerhalb eines einzigen Jahres. Bedrohungsakteure, nun verstärkt durch autonome KI, warten nicht auf Vergabezyklen. Sie nutzen die Lücke zwischen der Entdeckung einer Schwachstelle und ihrer Behebung.

Ein System, das ein Jahr braucht, um ein neues Sicherheitstool zu beschaffen, ist kein System, das Geschwindigkeit ernst nimmt. Und in der Cybersecurity ist Geschwindigkeit kein Komfort. Sie ist eine Sicherheitsanforderung.

Die Beschaffungslücke

Bei all dem geht es nicht darum, Vergabestellen die Schuld zu geben oder den rechtlichen Rahmen abzulehnen. Das System tut, wofür es geschaffen wurde. Das Problem ist, dass das, wofür es geschaffen wurde, nicht das ist, was Cybersecurity verlangt, und nicht das, was digitale Souveränität erfordert.

Wir erleben diese Spannung bei Serify aus erster Hand. Wir entwickeln automatisierte Compliance- und Threat-Intelligence-Tools für Organisationen, die NIS2, DORA und den Cyber Resilience Act umsetzen. Die Probleme, die wir lösen, sind dringend, verändern sich ständig und werden von statischen Spezifikationen schlecht bedient. Und dennoch wurde das Vergabesystem, das regelt, wie Behörden Tools wie unsere beschaffen könnten, für eine Welt gebaut, in der sich Anforderungen zwischen Ausschreibung und Lieferung nicht ändern.

Wenn Europa es ernst meint mit digitaler Souveränität, kann es nicht bei Regulierung und Forschungsförderung stehen bleiben. Wenn Deutschland die Cybernation werden will, von der in Keynotes die Rede ist, muss das Vergabesystem Schritt halten. Das bedeutet nicht, Fairness oder Transparenz aufzugeben. Es bedeutet, Wege zu schaffen, auf denen europäische Innovation tatsächlich konkurrieren kann: schnellere Zeitrahmen, problemorientierte Ausschreibungen und Eignungskriterien, die Leistungsfähigkeit messen, nicht nur Erfolgsbilanz.

Wenn Europa Souveränität will, muss es sie auch beschaffen können.

Bereit, Ihre Sicherheitsoperationen zu verbessern?

Schließen Sie sich Sicherheitsteams an, die KI-gestützte Intelligence nutzen, um ihre Organisationen zu schützen – von CSIRTs und SOCs bis zu NIS2-regulierten Unternehmen.

Kontaktieren Sie uns Mehr erfahren