„Mit VaaS reduzieren wir das IT-Sicherheitsrisiko“

Chiara-Felicitas Otto: Die exficon GmbH in Frankfurt bietet im Bereich tender agency desk kompetente Beratungsleistungen für eine strukturierte und transparente Umsetzung von öffentlichen und privatwirtschaftlichen Ausschreibungsprozessen an – und das nicht nur national, sondern vorwiegend international. Dabei begleiten wir zahlreiche Verfahren im Rahmen der deutschen Entwicklungszusammenarbeit und sind auch für ausländische Ministerien und öffentliche ausschreibende Stellen tätig. Zudem unterstützen wir bei Beschaffungsprogrammen privatwirtschaftlicher Unternehmen. Unsere eigene e-procurement Software exfitender wird in über 100 Ländern eingesetzt.

Chiara-Felicitas Otto: Kurz gesagt: Sehr digital. Wir haben schon früh begonnen, die Prozesse zu automatisieren. Der gesamte Ausschreibungsprozess wird mittlerweile digital verwaltet. Die teilnehmenden Bieter übermitteln die Angebotsunterlagen digital in unser webbasiertes System exfitender, das nach dem Ende der Abgabefrist keine weiteren Dokumente mehr akzeptiert. Anschließend werden die hochgeladenen Angebote dem Auswertungsgremium zum Download zur Verfügung stellt. Wir legen größten Wert darauf, den gesamten Ausschreibungsprozess auf sorgfältige und höchst transparente sowie vergaberechtlich konforme Art und Weise digital abzubilden.

Chiara-Felicitas Otto: Da unsere Verfahren vollständig digital abgewickelt werden, stellt sich für uns die zentrale Frage, wie sich die Integrität der übermittelten Daten bei zeitkritischen Prozessen ohne Zeitverlust prüfen lässt. Wir müssen sicherstellen, dass nur geprüfte Dokumente ohne Schadsoftware in den laufenden Vergabeverfahren auf der Plattform exfitender hoch- und heruntergeladen werden können. Es dürfen unter keinen Umständen schädliche Daten ohne Prüfung an die Bieter verteilt werden oder an die Auftraggeber gelangen. Daher haben wir uns entschieden, die IT-Sicherheit im elektronischen Vergabeprozess zu steigern. Die Herausforderung war dabei, dass die Ausschreibungsverfahren zu einem festgesetzten Zeitpunkt enden und somit zeitkritisch sind. Dafür brauchte es eine Lösung, die ohne Zeitverlust ein Prüfungsergebnis mit einer eindeutigen Aussage liefert.

Chiara-Felicitas Otto: Gemeinsam mit unserem Softwarepartner DAVISOL haben wir unterschiedliche Szenarien entwickelt, um einen Virenschutz in den hochgradig automatisierten Prozess zu implementieren. Schnell fiel die Entscheidung gegen eine Eigenentwicklung und für die Integration einer praxisbewährten, zertifizierten Lösung. Für uns war wichtig, dass diese von einem deutschen Hersteller kommt, um den strengen Datenschutzregeln hierzulande gerecht zu werden. Schließlich arbeiten wir auch für deutsche Auftraggeber und deutsche Institutionen sind an Ausschreibungsverfahren etwa als Geldgeber involviert. Daher müssen wir die Dokumente rechtssicher in Deutschland speichern.

Chiara-Felicitas Otto: Über den persönlichen Kontakt auf der Entwicklerebene kam die Antivirenlösung Verdict-as-a-Service (VaaS) von G DATA CyberDefense ins Spiel. Mit Verdict-as-a-Service habt ihr den Business Case genau auf unsere Anforderungen ausgerichtet. Hinzu kommt, dass G DATA über alle Sicherheitszertifikate wie ISO 27001:2022 verfügt, die in unserem Kontext relevant sind.

Chiara-Felicitas Otto: Die Implementierung von VaaS in die exfitender-Plattform verlief problemlos. DAVISOL konnte das Software Development Kit (SDK) ohne größere Anpassungen in die Systeme einbauen.

Chiara-Felicitas Otto: VaaS überprüft alle eingehenden Dokumente während des Uploads in Sekundenschnelle auf Schadcode und zeigt sofort ein Scan-Ergebnis an. Wird Malware gefunden, wird die infizierte Datei umgehend blockiert und in einen Quarantäne-Ordner verschoben. Dabei spielt es keine Rolle, ob eine einzelne Datei oder größere Datenmengen überprüft werden. VaaS ist flexibel skalierbar und kann so auch große Dokumentenmengen auf Schadsoftware prüfen. Somit bleibt exfitender als Vergabeplattform frei von Schadprogrammen.

Chiara-Felicitas Otto: Ja, wir mussten parallel den internen technischen Ablauf der Vergaben leicht anpassen. Sollten Abgaben bei fristgerechter Einreichung von VaaS als potenziell verdächtig eingestuft werden, wird der Bieter informiert und hat bis zum Ende der Deadline die Möglichkeit, die Datei beziehungsweise Dateien nochmals nachzureichen. Sowohl die Bieter auf der abgebenden Seite als auch die ausschreibende Stelle erhalten eine Information über schadhafte oder potenziell gefährliche Dokumente. Die als potenziell schädlich identifizierten Dateien werden nicht direkt gelöscht, sondern isoliert gespeichert. Gegebenenfalls muss nach Ablauf der Deadline geklärt werden, wie mit den betroffenen Dateien umgegangen wird. Sämtliche Schritte werden vergaberechtlich konform dokumentiert, um eine vollständige Nachvollziehbarkeit sowie Transparenz im gesamten Prozess sicherzustellen.

Chiara-Felicitas Otto: Das Fazit fällt nach acht Monaten sehr positiv aus. Bis zum heutigen Tag hat VaaS noch keine schadhafte Datei identifiziert, was aber auch unserer Erwartungshaltung entspricht. Wir nutzen VaaS mit dem Ziel, das Risiko zu minimieren. Wir wollten gegenüber unseren Geschäftspartnern ein klares Zeichen setzen, dass uns das Thema IT-Sicherheit sehr wichtig ist. Dabei seid ihr von G DATA für uns ein wertvoller Partner.