Cybersecurity RFx kombinieren technische Anforderungen, Risikobewertung, Datenschutz, Betriebsmodell und komplexe kommerzielle Strukturen. Der Einkauf kann diesen Prozess orchestrieren. Er kann aber nicht allein entscheiden, welches technische Risiko tragbar ist.
Bevor Anbieter angesprochen werden, müssen deshalb einige interne Entscheidungen explizit gemacht werden. Andernfalls erzeugt der RFx viele Informationen, aber keine vergleichbaren Angebote.
1. Problem und erwartetes Outcome
Die erste Frage lautet nicht „Welche Lösung wollen wir kaufen?“, sondern: Welches Risiko oder operative Problem soll sich nach der Implementierung messbar verändern?
Ein klares Outcome hilft, Anforderungen zu priorisieren. Es trennt kritische Fähigkeiten von Funktionen, die zwar interessant klingen, aber wenig zur eigentlichen Entscheidung beitragen.
Ebenso wichtig ist der Scope: Länder, Nutzer, Systeme, Daten, Integrationen, Betriebszeiten und erwartete Entwicklung. Ohne diese Basis kalkulieren Anbieter unterschiedliche Realitäten.
2. Rollen und Entscheidungsrechte
Ein Cybersecurity RFx braucht mindestens klar benannte Verantwortungen für:
- fachliche und technische Anforderungen,
- Security- und Risikobewertung,
- Architektur und Integration,
- Datenschutz und Legal,
- kommerzielle Bewertung und Verhandlung,
- finale Award-Entscheidung.
Diese Rollen müssen vor der Ausschreibung wissen, wann sie beraten, bewerten oder entscheiden. Sonst werden Anforderungen während des Prozesses verändert und Anbieter beantworten unterschiedliche Versionen derselben Frage.
3. Anforderungen in drei Ebenen strukturieren
Eine lange Liste ungewichteter Anforderungen schafft Scheingenauigkeit. Besser ist eine klare Trennung:
- Minimum: Ohne Erfüllung ist eine Lösung nicht zulässig.
- Bewertet: Unterschiede fließen mit definierter Gewichtung in die Entscheidung ein.
- Zukünftig: Relevant für Roadmap und Vertrag, aber nicht zwingend für den Start.
Minimum-Anforderungen sollten wirklich binär sein. Wenn fast jeder Punkt „mandatory“ ist, wird keine Priorität sichtbar.
4. Bewertungslogik vor Eingang der Angebote
Gewichte und Entscheidungsregeln sollten feststehen, bevor Anbieterantworten vorliegen. Sonst besteht die Gefahr, dass Kriterien nachträglich an eine bevorzugte Lösung angepasst werden.
Bewertet werden können beispielsweise funktionaler Fit, technische Architektur, Security Posture, Implementierungsmodell, Service, kommerzielle Attraktivität und Vertragsrisiken. Die konkrete Gewichtung hängt von der Situation ab — sie sollte aber dokumentiert und von den Entscheidungsträgern getragen sein.
Demonstrationen und Proofs of Concept benötigen ebenfalls klare Szenarien. Eine freie Produktdemo zeigt vor allem, was der Anbieter gut präsentieren kann.
5. Das kommerzielle Modell vergleichbar machen
Cybersecurity-Angebote unterscheiden sich häufig in Metriken, Bundles, Implementierungsleistungen und Annahmen. Eine belastbare Vergleichsbasis braucht deshalb mehr als einen jährlichen Lizenzpreis.
Typische Elemente sind:
- Lizenz- oder Verbrauchsmetrik und Mengenstaffeln,
- Implementierung, Migration und Integrationen,
- Professional Services und Support-Level,
- Preisänderungs- und Indexierungslogik,
- Wachstumsszenarien und True-ups,
- Exit-, Transition- und Datenherausgabekosten.
Verglichen werden sollte ein plausibles Gesamtszenario über die geplante Laufzeit — nicht nur der Einstiegspreis.
6. Prozessdesign und Kommunikationsregeln
Vor dem Start sollten Zeitplan, Q&A, Ansprechpartner, Demonstrationen, technische Deep Dives, Verhandlungsrunden und Award-Governance feststehen. Das reduziert Sonderwege und verhindert, dass einzelne Anbieter über parallele Stakeholder-Kanäle unterschiedliche Informationen erhalten.
Ein guter Prozess bleibt dennoch flexibel. Wenn eine Antwort eine echte neue Erkenntnis bringt, darf die Organisation nachschärfen — aber transparent, dokumentiert und für alle relevanten Anbieter konsistent.
Vor dem Marktstart geklärt
- Problem, Outcome und Scope bestätigt?
- Minimum-Anforderungen wirklich binär?
- Bewertungsgewichte und Entscheider festgelegt?
- Preis- und TCO-Template vergleichbar?
- Demo- oder PoC-Szenarien definiert?
- Q&A-, Kommunikations- und Award-Prozess vereinbart?
Wenn diese Entscheidungen intern fehlen, ist es zu früh für den Markt. Zwei zusätzliche Vorbereitungstage sind häufig wertvoller als vier zusätzliche Anbieter im RFx.