Bewertung von Verteidigungssoftware-Anbietern: Leitfaden zur technischen Due Diligence für Beschaffungsoffiziere

Beschaffungen von Verteidigungssoftware scheitern häufiger in der Anbieterbewertungsphase als in jeder anderen Phase des Beschaffungszyklus. Nicht weil es den Beschaffungsoffizieren an Sorgfalt mangelt — sondern weil die von ihnen angewandten Bewertungsrahmen für kommerzielle IT konzipiert wurden, wo die Risiken Dienstunterbrechungen, Kostenüberschreitungen und Integrationsprobleme sind. Verteidigungsbeschaffungen fügen eine völlig andere Risikokategorie hinzu: Sicherheitsversagen mit operativen Konsequenzen, Supply-Chain-Exponierung gegenüber feindlicher Nachrichtendiensterfassung und Vertragslücken, die sich erst dann zeigen, wenn das System am dringendsten benötigt wird.

Dieser Leitfaden bietet einen strukturierten technischen Due-Diligence-Rahmen speziell für die Bewertung von Verteidigungssoftware-Anbietern. Er umfasst acht Bewertungsbereiche: warum kommerzielle Ansätze versagen, wie die technische Architektur bewertet wird, welche Sicherheitszertifizierungen wirklich wichtig sind, Anforderungen an Quellcode-Escrow, SLA- und Support-Bewertung für langzyklische Programme, Verifizierung von Referenzkunden, PoC-Struktur sowie Vertragsrechte an Daten.

Warum kommerzielle Anbieterbewertung bei Verteidigung versagt

Kommerzielle Anbieterbewertungsrahmen wurden um vier Risikodimensionen herum entwickelt: Liefert der Anbieter die versprochenen Funktionen, zum angegebenen Preis, integriert in den bestehenden Stack, mit akzeptabler Verfügbarkeit? Das sind reale Risiken — aber nicht die dominanten Risiken bei Verteidigungssoftware-Beschaffungen. ITAR-Compliance, Langlebigkeitsanforderungen (15–20 Jahre Betriebsdauer), Betriebskontinuität unter gegnerischen Bedingungen und Akkreditierung auf Klassifizierungsebene sind Pflichtbewertungsdimensionen, die kommerzielle Rahmen systematisch ignorieren.

Grundsatz: ITAR-Exposition, Business Continuity für 15-Jahres-Horizonte, Bedrohungsmodellierung durch Gegner und Klassifizierungsakkreditierung sind Beschaffungstore — keine Post-Award-Risikopunkte. Bewerte sie vor der Erstellung der Shortlist.

Überprüfung der technischen Architektur

Die Qualität der Architekturdokumentation ist einer der zuverlässigsten Frühindikatoren für die Engineering-Disziplin eines Anbieters. Fordere von jedem Anbieter auf der Shortlist an: Komponentenarchitekturdiagramm, Deployment-Architekturdiagramm, API-Dokumentation, Software Bill of Materials (SBOM) im SPDX- oder CycloneDX-Format sowie Architecture Decision Records (ADRs).

Sicherheitszertifizierungsprüfung

ISO 27001 zertifiziert das Informationssicherheits-Managementsystem. SOC 2 Typ II bewertet operative Sicherheitskontrollen über einen Betriebszeitraum. ITAR-Compliance ist keine Zertifizierung, sondern eine rechtliche Verpflichtung: für Programme mit Koalitions-Sharing-Anforderungen ist eine unabhängige Rechtsprüfung erforderlich. NATO AQAP-2110 ist der NATO-Standard für Software-Qualitätsmanagement, der bei Lieferungen für NATO-Programme oder als Unterauftragnehmer für NATO-Hauptauftragnehmer erforderlich ist.

Quellcode-Treuhand und Business Continuity

Quellcode-Treuhand ist eine vertragliche Vereinbarung, bei der der Anbieter Quellcode, Build-Skripte, Testsuites und Dokumentation bei einem neutralen Treuhandagenten hinterlegt. Für Verteidigungsprogramme mit 15–20-jähriger Betriebsdauer ist dies ein Betriebskontinuitätsmechanismus. Spezifiziere im Vertrag: Umfang der Hinterlegung, Aktualisierungshäufigkeit, Auslösebedingungen, Build-Reproduktionsverifizierung und einen akkreditierten Treuhandagenten.

Support- und SLA-Bewertung

Die SLA-Bewertung für Verteidigungsprogramme muss vier Dimensionen abdecken: Reaktionszeitverpflichtungen nach Schweregrad (P1 in Stunden, nicht Tagen), Patch-Frequenz für Sicherheitslücken, Länge des Langzeit-Supportfensters (Militärsysteme benötigen mindestens 10–15 Jahre) sowie Support-Teamkapazität für Krisenszenarien.

Verifizierung von Referenzkunden

Vom Anbieter bereitgestellte Referenzlisten sind ein Ausgangspunkt, kein Endpunkt. Kontaktiere direkt den Programmmanager oder technischen Leiter bei der Referenzorganisation. Stelle operative Fragen: Was hat bei der Bereitstellung versagt? Was hat länger gedauert als vom Anbieter versprochen? Würdest du diesen Anbieter erneut wählen? Priorisiere Referenzen mit ähnlichen Anwendungsfällen und Klassifizierungsebenen.

Pilot- und PoC-Struktur

Ein verteidigbarer PoC erfordert: vorab vereinbarte messbare Erfolgskriterien, eine realistische Testumgebung, die operative Einschränkungen widerspiegelt, eine Bewertungsmatrix, ein neutrales Bewertungsteam sowie ein Dokumentationsprotokoll für Fehler. Anbieter, die in PoCs gut abschneiden, die durch die eigene Demonstrationsumgebung des Anbieters geprägt wurden, haben in der operativen Bereitstellung konstant unterdurchschnittlich abgeschnitten.

Vertragsüberlegungen: IP, Datenrechte und ITAR-Durchfluss

Kritische Vertragsklauseln: IP-Eigentumsrechte für mit Regierungsmitteln entwickelte Software, Modifikationsrechte ohne Anbietergenehmigung, Rechte an Betriebsdaten und abgeleiteten Geheimdienstprodukten, ITAR-Compliance-Pflichten im gesamten Unterauftragnehmer-Netzwerk sowie Exit- und Übergangsbestimmungen.

Fazit: Die Bewertung von Verteidigungssoftware-Anbietern ist keine gründlichere Version der kommerziellen IT-Anbieterbewertung. Es ist eine andere Bewertung nach einem anderen Risikomodell. Dieser Leitfaden bietet den passenden Rahmen.