Beschaffung von Verteidigungssoftware: Von der RFI bis zum unterzeichneten Vertrag

Die Beschaffung von Verteidigungssoftware ist keine langsame Version des kommerziellen Softwarekaufs. Es handelt sich um einen strukturell anderen Prozess mit anderen Instrumenten, anderer Bewertungslogik, anderen Rechtsrahmen und Fehlermodi, die in kommerziellen Märkten nicht auftreten. Ein Anbieter, der Verträge im privaten Sektor gewonnen hat und ohne Vorbereitung in einen Verteidigungsbeschaffungsprozess eintritt, verliert routinemäßig gegen kleinere, weniger fähige Wettbewerber, die verstehen, wie der Prozess funktioniert. Ein Beschaffungsbeamter, der kommerzielle Beschaffungsinstinkte auf eine Verteidigungssoftwarebeschaffung anwendet, erhält oft einen schlecht spezifizierten Vertrag, der jahrelange Streitigkeiten erzeugt.

Dieser Artikel verfolgt den Prozess vom ersten Marktkontakt bis zur Auftragsvergabe — er behandelt jedes Instrument in der Reihenfolge, die Bewertungslogik, die die Quellenauswahl steuert, die Zertifizierungen, die die Teilnahme bedingen, und die Vertragsstrukturen, die die Risikoverteilung bestimmen. Er identifiziert auch die Fehler, die technisch starke Anbieter noch vor Beginn der Bewertung aus dem Wettbewerb ausschließen.

Die Beschaffungsinstrumente: RFI, RFP und ITT

Die Beschaffung von Verteidigungssoftware verwendet drei Hauptinstrumente in Reihenfolge, und die Verwechslung ihres Zwecks führt zu falsch zugeordnetem Aufwand in jeder Phase.

RFI — Request for Information

Die RFI ist ein Marktforschungsinstrument. Sie beinhaltet keine Verpflichtung zur Vergabe und erzeugt keine bindenden Verpflichtungen für keine der Parteien. Die beschaffende Behörde — BAAINBw in Deutschland, DGA in Frankreich, IU MON in Polen oder eine gemeinsame NATO-Beschaffungsagentur — nutzt die RFI, um zu verstehen, welche Lösungen existieren, welche Lieferanten sie glaubwürdig liefern können und wie ein realistischer Kosten- und Zeitrahmen aussieht, bevor formale Anforderungen formuliert werden. RFI-Antworten sind typischerweise kurz (5–15 Seiten), und die Bewertung ist informell. Es gibt keine Bewertungsrubrik, keine wettbewerbliche Vorauswahl und keinen Mechanismus, um einen Lieferanten auf Basis seiner RFI-Antwort allein von einer späteren RFP auszuschließen.

Der strategische Wert der RFI für Lieferanten liegt nicht in der Bewertung — sondern in der Gestaltung. Eine gut ausgearbeitete RFI-Antwort, die eine Fähigkeit einführt, die die Behörde nicht in Betracht gezogen hatte, oder die einen technischen Ansatz definiert, der zum Ausgangspunkt für die RFP-Anforderungen wird, schafft einen strukturellen Vorteil, bevor die Wettbewerbsbewertung beginnt. Behörden schreiben, was sie kennen. Lieferanten, die ihnen helfen zu verstehen, was möglich ist, beeinflussen das Anforderungsdokument.

RFP — Request for Proposals

Die RFP ist die formelle Ausschreibung. Sie eröffnet den Wettbewerb um die Quellenauswahl und enthält die vollständige Anforderungsspezifikation, Bewertungskriterien mit Gewichtungen, Anweisungen zur Angebotserstellung, Vertragsbedingungen und den Zeitplan für Bewertung und Vergabe. RFP-Antworten werden formal anhand der angegebenen Kriterien bewertet und bilden die rechtliche Grundlage für die Vergabeentscheidung. Der Wettbewerbsnachweis, der während der RFP-Bewertung erstellt wird, ist das, was ein unterlegener Lieferant verwendet, wenn er einen Einspruch einlegt.

RFPs für Verteidigungssoftwareprogramme sind typischerweise umfangreiche Dokumente — 100 bis 400 Seiten sind bei einer größeren Beschaffung nicht ungewöhnlich — und die darin enthaltene Anforderungsspezifikation ist verbindlich. Ein Lieferant, der ein Angebot einreicht, das nicht jede Anforderung explizit anspricht, erhält keinen Kredit für diese Anforderung, unabhängig von seiner tatsächlichen Fähigkeit. Dies ist der häufigste strukturelle Fehler in RFP-Antworten für Verteidigungssoftware: Antworten, die als Marketingdokumente verfasst werden und beschreiben, was der Lieferant tut, anstatt als Compliance-Dokumente, die die Lösung des Lieferanten jeder angegebenen Anforderung zuordnen.

ITT — Invitation to Tender

Die ITT, die vorwiegend im europäischen und britischen Beschaffungskontext und unter EU-Verteidigungsbeschaffungsrichtlinien verwendet wird, entspricht in den meisten Aspekten funktional der RFP. Der primäre Unterschied besteht darin, dass ITTs typischerweise eine strengere Gewichtung der Preiskonkurrenzfähigkeit anwenden und in Beschaffungskontexten verwendet werden, in denen die technischen Spezifikationen im Voraus vollständig definiert sind, was weniger Spielraum für die Differenzierung des technischen Ansatzes lässt. Eine ITT ist häufig das geeignete Instrument für Softwarekomponenten mit etablierten Spezifikationen (Kommunikationsprotokolle, Datenformate, Interoperabilitätsstandards), bei denen die primäre Wettbewerbsvariable Preis und Lieferzeitplan ist.

Der Beschaffungszeitplan: 12 bis 36 Monate

Die realistische Zeitspanne von der RFI-Veröffentlichung bis zur Auftragsvergabe für ein bedeutendes Verteidigungssoftwareprogramm beträgt 18 bis 36 Monate. Kleinere, gut definierte Beschaffungen können schneller voranschreiten — 12 bis 18 Monate sind erreichbar, wenn Anforderungen bereits spezifiziert sind und die Beschaffung als Wettbewerbsauftrag gegen einen bestehenden Rahmenvertrag strukturiert ist. Die typische Aufschlüsselung des Zeitplans ist:

RFI-Veröffentlichung und Marktforschung: 2–3 Monate. Die Behörde sammelt Antworten, hält Branchentage ab und entwickelt eine Vorabeinschätzung des Marktes. Anforderungsentwicklung und RFP-Entwurf: 3–6 Monate. Die Behörde übersetzt Marktforschung in eine formale Anforderungsspezifikation und entwirft die Ausschreibung. Diese Phase umfasst oft einen Kommentierungszeitraum für Entwurfs-RFPs, in dem Lieferanten Unklarheiten identifizieren können. RFP-Offenlegungszeitraum: 2–3 Monate. Lieferanten bereiten Angebote vor; die Behörde verwaltet formale Fragen und Antworten. Angebotsbewertung und Vorauswahl: 3–6 Monate. Bewertungsgremien bewerten technische, management- und kostenbezogene Bände anhand der angegebenen Kriterien. BAFO-Runde (falls verwendet): 1–2 Monate. Eine Auswahlliste von Lieferanten reicht überarbeitete endgültige Angebote ein. Quellenauswahlentscheidung und Vergabe: 1–3 Monate. Die Quellenauswahlbehörde gibt die Vergabeentscheidung und den erforderlichen Vorabbenachrichtigungszeitraum bekannt. Einspruchsfrist: 35–90 Tage je nach Rechtsordnung. Erfolglose Lieferanten haben ein definiertes Zeitfenster, um einen Einspruch einzulegen, bevor die Vertragserfüllung beginnt.

Programme, die die RFI-Phase überspringen und Anforderungen ohne Markteinbindung formulieren, neigen dazu, Spezifikationen zu erzeugen, die entweder einen einzigen Lieferanten begünstigen (was Einsprüche erzeugt) oder eine Fähigkeit beschreiben, die kein Lieferant vollständig liefern kann (was nach der Vergabe Änderungsaufträge erzeugt). Die Zeit, die für die Vorabausschreibungseinbindung aufgewendet wird, verkürzt fast immer die Nachvergabe-Streitphase.

Quellenauswahlkriterien: Wie Angebote bewertet werden

Verteidigung-RFPs bewerten Angebote typischerweise über drei Bände — technisch, management und kosten — mit definierten Gewichtungen, die zusammen 100 % ergeben müssen. Die genauen Gewichtungen variieren je nach Programm und Behörde, aber eine übliche Verteilung für komplexe Softwarebeschaffungen ist 40–50 % technisch, 20–30 % management und 20–30 % kosten. Einige Behörden verwenden ein Pass/Fail-technisches Tor vor der Kostenbewertung: Angebote, die einen technischen Mindestschwellenwert nicht erfüllen, werden vollständig vom Kostenvergleich ausgeschlossen.

Technischer Band

Der technische Band wird anhand der funktionalen und nicht-funktionalen Anforderungen bewertet, die in der RFP angegeben sind. Gutachter beurteilen, ob die vorgeschlagene Lösung die Anforderungen erfüllt, ob der technische Ansatz realistisch und im vorgeschlagenen Zeitplan erreichbar ist und ob der Lieferant ein Verständnis der technischen Risiken nachgewiesen hat. Ein Angebot, das vollständige Compliance ohne Erklärung behauptet, wie diese erreicht wird, erzielt eine niedrigere Punktzahl als eines, das jede Anforderung explizit einer bestimmten architektonischen oder Implementierungsentscheidung zuordnet. Gutachter sind typischerweise Fachexperten — Softwareingenieure, Systemintegratoren, Cybersicherheitsspezialisten — die vage Compliance-Behauptungen identifizieren können.

Management-Band

Der Management-Band umfasst den Projektausführungsplan, Teamqualifikationen, Schlüsselpersonal, Risikomanagementansatz und Subunternehmer-Management. Referenzen zu vergangenen Leistungen sind ein Kernelement — die Behörde überprüft dokumentierte Lieferhistorie bei vergleichbaren Programmen als Beweis für das Ausführungsrisiko. Vergangene Leistungen werden typischerweise separat vom Management-Band im Rahmen einer Vertrauensbewertung (wesentliches Vertrauen, zufriedenstellendes Vertrauen, begrenztes Vertrauen, kein Vertrauen) bewertet, die technisch starke Lieferanten eliminieren kann, wenn ihre Lieferhistorie Zeitplan- oder Qualitätsprobleme zeigt.

Kostenband

Kosten werden auf Realismus und Angemessenheit bewertet, nicht nur auf den absoluten Wert. Ein unrealistisch niedriger Preis — einer, der nach der unabhängigen Kostenschätzung der Behörde den vorgeschlagenen technischen Ansatz nicht unterstützen kann — wird als Risikoindikator negativ bewertet, nicht belohnt. Behörden führen Kostenrealismusanalysen bei T&M- und Kostenerstattungsverträgen durch; bei FFP-Verträgen bewerten sie die Preisangemessenheit. Ein Kostenband, das keine detaillierte Arbeitsstruktur mit nachvollziehbaren Arbeitsstundenschätzungen enthält, ist unter der Kostenrealismsprüfung schwer zu verteidigen.

Pflichtzertifizierungen und Compliance-Anforderungen

Verteidigungssoftwareprogramme verlangen, dass Lieferanten vor der Vergabe spezifische Zertifizierungen besitzen. Das Basisset, das in den meisten Ausschreibungen von NATO-Mitgliedstaaten erscheint, umfasst ISO 27001 (Informationssicherheitsmanagementsystem), ISO 9001 (Qualitätsmanagementsystem) und AQAP 2110 — den NATO-Qualitätssicherungsstandard für Entwurf, Entwicklung und Produktion, ausgerichtet auf ISO 9001 und erforderlich für jede Software, die in ein Waffensystem, eine C2-Plattform oder kritische Infrastruktur integriert wird. AQAP 2110 ist nicht ISO 9001 mit einem Verteidigungslabel; es hat spezifische Anforderungen für Konfigurationsmanagement, Entwurfsprüfung und Abnahmetests, die im kommerziellen Standard nicht vorhanden sind.

Nationale Anforderungen kommen oben auf die NATO-Baseline hinzu. Deutsche BAAINBw-Programme für klassifizierte Systeme erfordern die Einhaltung nationaler Verfahren zur Behandlung von Verschlusssachen. Französische DGA-Programme können eine ANSSI-Zertifizierung für Systeme verlangen, die sensible Regierungsdaten verarbeiten. Polnische IU MON-Programme verlangen die Einhaltung des nationalen Gesetzes zum Schutz klassifizierter Informationen. Britische MOD-Programme verweisen auf JSP 440 (Defence Manual of Security) und das Cyber Essentials Plus-Schema als Basisanforderungen für kommerzielle Softwarelieferanten.

ITAR-freier Status als Wettbewerbsdifferenziator

Die International Traffic in Arms Regulations (ITAR) beschränken den Export von verteidigungsbezogenen Technologien US-amerikanischen Ursprungs. Für EU-Verteidigungsprogramme schafft Software, die ITAR-kontrollierte Komponenten enthält, Compliance- und Betriebseinschränkungen: Die beschaffende Behörde muss eine US-Regierungsgenehmigung einholen, bevor sie die Software mit verbündeten Nationen teilt, sie in gemeinsamen Operationen mit nicht autorisierten Partnern einsetzt oder sie so modifiziert, dass die kontrollierte Technologie verändert wird. Diese Einschränkungen sind für multinationale Programme betrieblich bedeutsam und schaffen Beschaffungsrisiken für Behörden, die Flexibilität bei der Einsatzweise des Systems wünschen.

EU-basierte Softwarelieferanten, deren Produkte keine US-amerikanischen ITAR-kontrollierten Komponenten enthalten, können dies als echten betrieblichen Vorteil vermarkten, nicht als Marketingbehauptung. Es vereinfacht die Rechtsprüfung, beseitigt eine Abhängigkeit von der Wiederausfuhrgenehmigung und gibt der beschaffenden Behörde volle Kontrolle über Einsatzentscheidungen. Für Programme, die von mehreren EU-Mitgliedstaaten betrieben oder in multinationalen Umgebungen eingesetzt werden, ist der ITAR-freie Status oft eine formale Anforderung, keine Präferenz. Unsere Analyse der ITAR-freien Verteidigungssoftware-Überlegungen bietet eine ausführlichere Behandlung, wie dies die Wettbewerbspositionierung beeinflusst.

BAFO: Die Phase des besten und endgültigen Angebots

Eine BAFO-Runde (Best and Final Offer) wird eingesetzt, wenn die Erstangebotsbewertung den Wettbewerb auf eine Auswahlliste von Lieferanten eingegrenzt hat, deren Punktzahlen nah genug beieinanderliegen, dass überarbeitete Angebote das Ergebnis ändern könnten. Die Vergabebehörde gibt schriftliche Anweisungen heraus, die festlegen, was Lieferanten überarbeiten dürfen — typischerweise Preis, Personalplan und definierte technische Elemente — und was feststeht. Lieferanten reichen überarbeitete Angebote innerhalb eines definierten Fensters ein, typischerweise 2–4 Wochen.

Der strategische Fehler, den die meisten Lieferanten in einer BAFO-Runde machen, besteht darin, sie rein als Preisverhandlung zu behandeln. Wenn die Bewertung eine Lücke von 3 Punkten in der technischen Punktzahl und einen Preisunterschied von 5 % zeigt, verliert eine Preissenkung ohne Schließen der technischen Lücke. Effektive BAFO-Antworten adressieren beide Dimensionen gleichzeitig: Verschärfung des technischen Ansatzes, wo das Bewertungsfeedback (wenn verfügbar) Bewertungslücken anzeigte, und Schärfung des Preises, wo Marge vorhanden ist. Behörden können vor dem BAFO keine spezifischen Punktzahlaufschlüsselungen rechtlich bereitstellen, aber Nachbesprechungen nach der Erstbewertung — wenn verfügbar — liefern genug Signal, um zu identifizieren, wo die Lücke liegt.

Vertragsstrukturen für Verteidigungssoftware: FFP vs. T&M

Die zwei primären Vertragsstrukturen für Verteidigungssoftware sind Firm Fixed Price (FFP) und Time and Materials (T&M), wobei Kostenerstattungsvarianten für forschungsintensive oder hochgradig unsichere Arbeit verwendet werden. Die Wahl zwischen ihnen verteilt das Zeitplan- und Kostenrisiko unterschiedlich und prägt die gesamte Programmmanagementbeziehung nach der Vergabe.

FFP überträgt das Kosten- und Zeitplanrisiko auf den Lieferanten. Die Regierung zahlt einen festen Betrag, unabhängig davon, wie lange die Arbeit dauert oder was es kostet, sie zu liefern. FFP ist angemessen, wenn Anforderungen vollständig spezifiziert, stabil und detailliert genug sind, dass der Lieferant eine realistische Bottom-up-Kostenschätzung erstellen kann. Für definierte Softwarereleases mit akzeptierten Anforderungsbaselines schafft FFP einen Lieferantenreiz zur effizienten Lieferung. Das Risiko für den Lieferanten ist die Anforderungsausweitung nach der Vergabe — jede Änderung der vereinbarten Anforderungsbaseline löst einen Änderungsauftragsprozess aus, und Streitigkeiten darüber, was bei der Vergabe im Geltungsbereich war und was nicht, sind eine führende Ursache für Programmverzögerungen.

T&M zahlt dem Lieferanten für geleistete Stunden zu vereinbarten Arbeitskategoriensätzen zuzüglich direkter Materialkosten, wobei die Regierung das Zeitplan- und Kostenrisiko trägt. T&M ist angemessen, wenn Anforderungen explorativ sind, wenn der Umfang die Integration mit bestehenden Systemen unbekannter Konfiguration umfasst oder wenn die Arbeit Forschung und Entwicklung umfasst, bei der das Ergebnis unsicher ist. T&M reduziert nicht die Verpflichtung der Regierung, das Programm zu verwalten — es erhöht sie, weil die Behörde aktiv Arbeitsstunden und Liefergegenstände überwachen muss, um Wert sicherzustellen.

Die meisten Verteidigungssoftwareprogramme bedeutenden Umfangs verwenden eine Hybridstruktur: FFP für definierte Liefergegenstände (Softwarereleases, Dokumentationsliefergegenstände, Schulungen), T&M oder Kostenerstattung für explorative Arbeit, Systems-Engineering-Support und Wartungsaktivitäten, bei denen das Arbeitsvolumen im Voraus nicht zuverlässig geschätzt werden kann. Für die Nachvergabe-Wartungsphase siehe unsere detaillierte Analyse der Vertragsstrukturen und Verhandlungspunkte für die Wartung von Verteidigungssoftware.

Häufige Lieferantenfehler, die wettbewerbsfähige Angebote ausschließen

Mehrere wiederkehrende Fehler erscheinen in RFP-Antworten für Verteidigungssoftware, die technisch fähig, aber verfahrensmäßig fehlerhaft sind.

Jede Anforderung nicht explizit anzusprechen. Ein Angebot, das sich nicht auf jede angegebene Anforderung in der RFP bezieht, erhält null Kredit für die Anforderungen, die es überspringt, unabhängig von impliziter Compliance. Gutachter bewerten, was geschrieben steht, nicht was geschlussfolgert werden kann. Eine Compliance-Matrix — eine Tabelle, die jede Anforderung einem Angebotsabschnitt zuordnet — ist nicht optional; sie ist das primäre Navigationswerkzeug des Gutachters.

Übertriebene Referenzen zu vergangenen Leistungen. Verteidigungsbeschaffungsbehörden überprüfen Referenzen zu vergangenen Leistungen. Eine Referenz, die den Vertragswert, Umfang oder die Lieferleistung übertreibt, schafft ein Glaubwürdigkeitsproblem, das die Punktzahl über alle Bewertungsbände hinaus beschädigt, nicht nur bei vergangenen Leistungen. Genaue, spezifische Referenzen zu vergangenen Leistungen von vergleichbaren Programmen übertreffen aufgeblähte aus nicht verwandter Arbeit.

Untergebot, um zu gewinnen, und Planung der Kostenrückgewinnung durch Änderungsaufträge. Diese Strategie ist den Vergabebehörden gut bekannt und in ihre Bewertungsmodelle eingepreist. Ein Preis, der um mehr als 15–20 % unter der unabhängigen Regierungskostenschätzung liegt, löst typischerweise eine Kostenrealismusprüfung aus. Ein Angebot, das durch unrealistisch niedrigen Preis gewinnt und dann Änderungsaufträge erzeugt, schafft die Bedingungen für den Beziehungsbruch, der zu Programmversagen und Ausschlussverfahren führt.

Fehlende Zertifizierungsanforderungen. Ein Angebot von einem Lieferanten, der die erforderlichen Zertifizierungen bei der Angebotseinreichung nicht hält, kann nicht vergeben werden. Gutachter akzeptieren keine Verpflichtungen, Zertifizierungen nach der Vergabe für als obligatorisch gelistete Anforderungen zu erwerben. Der Zeitpunkt, mit der AQAP 2110-Zertifizierung zu beginnen, ist nicht nach der Veröffentlichung der RFP — er liegt 12 bis 18 Monate, bevor Sie beabsichtigen, für die Programme zu konkurrieren, die sie erfordern.

Was Beschaffungsbeamte auf der Behördenseite beachten sollten

Beschaffungsbehörden machen strukturelle Fehler, die mit gleicher Verlässlichkeit Lieferanteneinsprüche und Programmverzögerungen erzeugen. Anforderungsspezifikationen, die um die Lösung eines einzelnen Bestandslieferanten geschrieben sind — erkennbar, wenn Leistungsanforderungen genau der aktuellen Fähigkeit des Bestandslieferanten entsprechen oder wenn die Spezifikation die proprietäre Terminologie des Bestandslieferanten verwendet — erzeugen Einsprüche, die die Vergabe um 6 bis 12 Monate verzögern. Übermäßig präskriptive technische Anforderungen, die eine bestimmte Architektur anstatt eines Leistungsergebnisses vorschreiben, begrenzen den Wettbewerb auf Lieferanten, die die Einhaltung des spezifizierten Ansatzes nachweisen können, anstatt auf jene, die die erforderliche Fähigkeit liefern können.

Bewertungskriterien, die inkonsistent über Angebote hinweg angewendet werden — wo Gutachter ähnliche technische Ansätze ohne dokumentierte Begründung unterschiedlich bewerten — sind die zweithäufigste Ursache für erfolgreiche Einsprüche. Verteidigungssoftwarebeschaffungen, die strukturierte Bewertungsbewertungsbogen mit dokumentierter Konsensbewertung verwenden, erzeugen verteidigungsfähigere Vergabeentscheidungen und weniger Einsprüche als solche, die sich auf das individuelle Gutachterurteil verlassen.