Cognic. Erstgespräch buchen

Von vergabefähig zu auftragsfähig: Warum Defense-Startups mehr brauchen als gute Technologie

Viele Startups im Rüstungs- und Defense-Tech-Bereich unterschätzen eine zentrale Schwelle. Es reicht nicht, eine starke Technologie zu entwickeln. Es reicht auch nicht, formal an einer Ausschreibung teilnehmen zu können. Entscheidend ist die Frage, ob ein Auftraggeber dem Unternehmen zutraut, eine sicherheitskritische Leistung zuverlässig, prüffähig und über den gesamten Lebenszyklus zu liefern.

Genau hier liegt der Unterschied zwischen Vergabefähigkeit und Auftragsfähigkeit. Vergabefähigkeit bedeutet: Ein Unternehmen kann formal mitspielen. Auftragsfähigkeit bedeutet: Es ist als Anbieter belastbar genug, um beauftragt zu werden.

Technologische Stärke reicht nicht

Für Defense-Startups ist das ein entscheidender Perspektivwechsel. Der Zuschlag geht nicht automatisch an die beste Idee, den schnellsten Prototypen oder die beeindruckendste Demo. In sicherheitskritischen Beschaffungen zählt nicht nur technologische Überlegenheit. Es zählt, ob ein Auftraggeber die Beauftragung verantworten kann.

Dafür muss ein Startup mehr zeigen als Produktpotenzial. Es muss nachweisen können, dass Anforderungen verstanden, Risiken beherrscht, Lieferketten steuerbar, Informationen geschützt und Qualität reproduzierbar gesichert werden.

Aus einem innovativen Produkt muss ein beschaffbares Leistungsversprechen werden.

Das beginnt bei der technischen Reife. Ein Prototyp kann Aufmerksamkeit erzeugen, aber er ersetzt keine Nachweisführung. Auftraggeber wollen verstehen, unter welchen Bedingungen ein System funktioniert, wo seine Grenzen liegen und wie belastbar die Ergebnisse sind. Gerade bei KI, Sensorik, autonomen Systemen, Cyber-Fähigkeiten, Funktechnik oder sicherheitskritischer Software reicht ein überzeugender Showcase nicht aus. Es braucht Tests, Dokumentation, nachvollziehbare Annahmen und eine klare Zuordnung zwischen Kundenanforderung, technischer Umsetzung und Nachweis.

Diese Nachvollziehbarkeit ist einer der wichtigsten Faktoren auf dem Weg zur Auftragsfähigkeit. Wer Anforderungen nur grob beantwortet, wirkt riskant. Wer zeigen kann, welche Anforderung durch welche Funktion erfüllt wird, welcher Nachweis dazu vorliegt und welche Risiken noch offen sind, schafft Vertrauen. Requirements Management ist im Defense-Umfeld kein administratives Beiwerk. Es ist ein Instrument, um technische Stärke in Entscheidungssicherheit zu übersetzen.

Sicherheit, Qualität und Lieferfähigkeit werden bewertet

Gleichzeitig wird Informationssicherheit selbst Teil der Produkt- und Unternehmensbewertung. Defense-Startups arbeiten häufig mit Cloud-Plattformen, Git-Repositories, CI/CD-Pipelines, externen Entwicklern, Simulationsdaten, CAD-Modellen, Testumgebungen und sensiblen Projektdokumenten. Damit ist nicht nur das spätere Produkt sicherheitsrelevant, sondern bereits die Entwicklungsumgebung.

Ein Auftraggeber oder Prime Contractor wird wissen wollen, wer Zugriff auf Quellcode, Modelle, Testdaten und Projektdokumentation hat. Er wird wissen wollen, wie Secrets verwaltet, Builds abgesichert, Schwachstellen behandelt, Berechtigungen vergeben und sicherheitsrelevante Änderungen dokumentiert werden. Wer diese Fragen erst nach Zuschlag klärt, verliert Zeit. Wer sie früh beantwortet, reduziert wahrgenommenes Risiko.

Auch Qualitätssicherung wird in diesem Umfeld schnell geschäftskritisch. Viele Startups betrachten Qualitätsmanagement als Thema für Konzerne. In Defense-Projekten ist es jedoch eng mit Lieferfähigkeit verbunden. Versionen müssen nachvollziehbar sein. Änderungen müssen bewertet werden. Tests müssen geplant und dokumentiert werden. Liefergegenstände müssen eindeutig beschrieben sein. Abnahmen müssen vorbereitet werden. Mängel müssen systematisch bearbeitet werden. Ohne diese Struktur wirkt ein Startup schnell wie ein gutes Entwicklungsteam, aber nicht wie ein belastbarer Auftragnehmer.

Hinzu kommt der Umgang mit sensiblen Informationen. Nicht jedes Defense-Projekt ist automatisch geheimschutzrelevant. Aber viele Projekte bewegen sich in einem Umfeld, in dem vertrauliche technische Informationen, geschützte Leistungsbeschreibungen, Einsatzbezüge oder VS-NfD-nahe Inhalte entstehen können. Wer hier improvisiert, erzeugt Unsicherheit. Unternehmen brauchen früh ein Verständnis dafür, welche Informationen wie klassifiziert, gespeichert, geteilt und geschützt werden müssen.

Auftragsfähigkeit bedeutet deshalb nicht, sofort maximale Strukturen aufzubauen. Es bedeutet, die richtigen Strukturen rechtzeitig aufzubauen. Ein schlankes ISMS, klare Rollen, ein belastbares Zugriffskonzept, ein Risikoregister, geregelte Lieferantensteuerung, Incident-Response-Prozesse und technische Nachweise aus den vorhandenen Systemen sind oft der bessere Start als ein überdimensioniertes Compliance-Projekt.

Besonders kritisch ist die Lieferfähigkeit. Ein Auftraggeber kauft nicht nur den aktuellen Entwicklungsstand. Er kauft Verfügbarkeit, Weiterentwicklung, Wartung, Support und Versorgungssicherheit. Genau deshalb werden Fragen nach Finanzierung, Schlüsselpersonen, Unterauftragnehmern, Komponenten, Cloud-Abhängigkeiten, Exportkontrolle, Ersatzteilen und Eigentümerstruktur relevant. Ein Startup muss zeigen können, dass es nicht nur schnell bauen, sondern auch zuverlässig liefern kann.

GRC wird zum Marktzugang

Viele Defense-Startups werden nicht direkt Auftragnehmer der öffentlichen Hand, sondern starten über Systemhäuser, Integratoren oder etablierte Rüstungsunternehmen. Auch dort gelten hohe Anforderungen. Ein Prime Contractor will wissen, ob das Startup sicher integrierbar ist, ob es Kundenaudits übersteht, ob Informationssicherheitsanforderungen erfüllbar sind, ob IP- und Nutzungsrechte sauber geregelt sind und ob die Zusammenarbeit das eigene Projektrisiko erhöht oder reduziert.

Genau an dieser Stelle wird GRC zum Marktzugang. Nicht als Papierlage. Nicht als Selbstzweck. Sondern als Fähigkeit, technische Realität, Risiken, Verantwortlichkeiten und Nachweise so zu strukturieren, dass Auftraggeber Vertrauen fassen können.

Der häufigste Fehler besteht darin, GRC erst dann aufzubauen, wenn der erste große Kunde danach fragt. Dann werden Fragebögen hektisch beantwortet, Policies nachträglich geschrieben und Nachweise mühsam zusammengesucht. Das kostet Zeit, wirkt unsicher und bremst genau in dem Moment, in dem Geschwindigkeit eigentlich ein Vorteil sein sollte.

Besser ist ein Aufbau, der mit dem Startup wächst. Kleine, robuste Strukturen statt Compliance-Theater. Klare Verantwortlichkeiten statt informeller Zuständigkeiten. Technische Evidenz statt reiner Selbstauskunft. Kontrollierte Toolchains statt gewachsener Schattenprozesse. Nachweisfähigkeit aus dem Betrieb heraus statt Audit-Panik kurz vor Fristende.

Die zentrale Frage für Defense-Startups lautet deshalb nicht nur: Ist unser Produkt gut genug?

Die entscheidende Frage lautet: Sind wir als Unternehmen beschaffbar?

Wer diese Frage früh beantwortet, verschafft sich einen echten Vorteil. In Vergabeverfahren. In Gesprächen mit Prime Contractors. In der Due Diligence. Bei Kundenworkshops. Und überall dort, wo aus technologischer Innovation ein belastbarer Auftrag werden soll.

Cognic unterstützt Startups und Unternehmen in sicherheitskritischen Projektumgebungen dabei, genau diese Auftragsfähigkeit aufzubauen: mit pragmatischer Informationssicherheit, GRC-Strukturen, Geheimschutzverständnis und prüffähigen Nachweisen, die zu Wachstum und Beschaffung passen.

Zeitenwende: Was sich für die Informationssicherheit in der Rüstungsbeschaffung ändert

Die Zeitenwende hat die Rüstungsbeschaffung in Deutschland grundlegend verändert. Sondervermögen, höhere Verteidigungsetats und politischer Druck zu mehr Tempo haben einen Markt in Bewegung gebracht, der über Jahrzehnte von wenigen großen Akteuren und langen Zyklen geprägt war. Was in der Debatte oft untergeht: Jede beschleunigte Beschaffung, jeder neue Lieferant und jedes neue Projekt bringt auch Anforderungen an die Informationssicherheit mit sich — und die sind nicht verhandelbar.

Für Cognic ist das kein abstraktes Thema. Wir arbeiten an der Schnittstelle von Auftraggeber, Industrie, Projektleitung und Informationssicherheit. Diese Einordnung beschreibt, was sich verändert — bewusst ohne Bezug auf konkrete Projekte.

Mehr Tempo trifft auf strenge Schutzanforderungen

Rüstungsbeschaffung ist sicherheitskritisch — von der ersten Konzeption bis zum Betrieb. Es geht um Verschlusssachen (VS), um Geheimschutz, um den Schutz technischer Informationen vor fremdem Nachrichtenzugriff und um Anforderungen, die staatliche Stellen sehr genau prüfen. Diese Anforderungen waren immer da. Neu ist das Tempo, in dem sie nun erfüllt werden müssen.

Genau hier entsteht ein Spannungsfeld: Politischer Wille zu schneller Lieferung trifft auf Schutzanforderungen, die sich nicht abkürzen lassen. Sicherheit, die erst nachträglich „aufgesetzt“ wird, hält weder einer Prüfung noch einer Akkreditierung stand.

Geheimschutz, VS und Sicherheitskonzepte

Wer in sicherheitskritische Beschaffungsvorhaben eingebunden ist, bewegt sich in einem eigenen Regelwerk — deutlich jenseits von ISO 27001 oder gängiger Compliance-Automation. Typische Anforderungen:

Sicherheit in der Rüstungsbeschaffung ist kein Abnahmekriterium am Ende. Sie ist Voraussetzung dafür, überhaupt liefern zu dürfen.

Mittelstand und Startups treffen auf ungewohnte Regeln

Eine der spürbarsten Folgen der Zeitenwende: Der Kreis der Beteiligten wächst. Mittelständische Technologieunternehmen, Software-Häuser und Startups, die zuvor nie mit Verteidigung zu tun hatten, werden zu Zulieferern und Entwicklungspartnern. Sie bringen Innovationskraft und Tempo mit — aber selten Erfahrung mit Geheimschutz, VS-Verarbeitung oder den Erwartungen staatlicher Prüfstellen.

Für diese Unternehmen ist die größte Hürde nicht die Technik, sondern das Selbstverständnis und die Methodik, die in regulierten Projekten vorausgesetzt werden. Wer hier unvorbereitet einsteigt, riskiert Verzögerungen, Nachforderungen oder den Ausschluss aus dem Vorhaben.

Geschwindigkeit ohne Sicherheit ist teuer erkauft

Die Bedrohungslage verschärft die Lage zusätzlich. Sicherheitskritische Projekte sind ein attraktives Ziel für staatlich gesteuerte Akteure — Spionage, Sabotage und der Abfluss technischen Wissens sind reale Risiken, nicht theoretische. Ein Vorhaben, das aus Zeitdruck Sicherheitsschritte überspringt, gefährdet nicht nur die Akkreditierung, sondern potenziell das gesamte Programm.

Die Erfahrung zeigt: Sicherheit, die von Anfang an mitgedacht wird, ist am Ende schneller — weil teure Nacharbeiten, Prüfschleifen und Vertrauensverluste ausbleiben.

Sicherheit von der Konzeption bis zur Akkreditierung

Der richtige Zeitpunkt, Informationssicherheit zu adressieren, ist die Entwurfsphase — nicht die Abnahme. Wir begleiten Vorhaben über den gesamten Lebenszyklus: von der ersten Konzeption über das prüffähige Informationssicherheitskonzept bis zur Akkreditierung durch die zuständige staatliche Stelle. Dabei übersetzen wir abstrakte Sicherheitsanforderungen in konkrete, umsetzbare Projektvorgaben — und vermitteln zwischen den Beteiligten, die oft sehr unterschiedlich auf das Thema blicken.

Tempo ja — aber prüffest

Die Zeitenwende ist eine Chance: für die Verteidigungsfähigkeit, für innovative Unternehmen und für einen Markt, der sich öffnet. Diese Chance trägt aber nur, wenn Informationssicherheit nicht als Bremse, sondern als Bestandteil professioneller Projektarbeit verstanden wird. Cognic bringt die Erfahrung, das Selbstverständnis und das Wissen um Geheimschutz und VS mit, um genau das zu gewährleisten — diskret und prüffest.