Lieferanten

Öffentliche Auftraggeber

Öffentliche Auftraggeber

Wie Mercell 2025 neue Maßstäbe bei Sicherheit im Vergabewesen setzt

Das öffentliche Vergabewesen basiert wesentlich auf Vertrauen. Um uns dieses Vertrauen zu verdienen, integrieren wir Sicherheitsfunktionen in unserer Software, weisen die Sicherheit kontinuierlich durch unabhängige Prüfungen nach und investieren in Mitarbeitende und Tools, um aufkommenden Risiken immer einen Schritt voraus zu sein.

hero-image

Öffentliche Auftraggeber von Stadtverwaltungen bis hinauf in die Ministerien haben ein größeres Sicherheitsbewusstsein entwickelt, und das ist auch gut so. Fragen zu Datenschutz, Plattformverfügbarkeit und regulatorischer Ausrichtung sind zum festen Bestandteil von allen Vergabeverhandlungen geworden. 

Bei Mercell haben wir darauf reagiert, indem wir Sicherheit zu einer Kernfunktion des Unternehmens gemacht haben. Sie ist fest in die Art und Weise verankert, wie wir unsere Plattform aufbauen, betreiben und ständig verbessern.

Um ein Verständnis davon zu vermitteln, wie wir die heutigen Anforderungen an die Sicherheit erfüllen und übertreffen, haben wir mit Charles Wilson gesprochen, dem Director of Information Security & IT von Mercell. 

Wilson war federführend an der Transformation der Sicherheit bei Mercell beteiligt. Aufbauend auf diesen Erfahrungen schildert er den vielfältigen Ansatz, mit dem das Team seine Aufgabe umsetzte, von der Softwareentwicklung und EU-basierten Cloud-Infrastruktur bis zu Compliance, Verschlüsselung und Geschäftskontinuität.

In diesem Artikel beschreiben wir die zentralen Grundsätze, Verfahren und strategischen Entscheidungen, die die Sicherheitsgrundlage von Mercell bilden, und zeigen, wie diese uns dabei helfen, sicherheitsbewusste Auftraggeber in ganz Europa zu unterstützen.

So strukturieren wir bei Mercell Sicherheit

Unser Sicherheitsprogramm organisieren wir in drei zentralen, miteinander verknüpften Bereichen.

  • Der erste Bereich ist Informationssicherheit. Sie regelt die Art und Weise, wie wir sensible Daten schützen. Dies umfasst viele Aspekte, von Zugangskontrolle und Verschlüsselungsrichtlinien bis zu Risikobewertungen, Nachverfolgung von Vermögenswerten und Kontingenzplanung.

  • Der zweite Bereich ist Vertrauen und Compliance. Hier befasst sich ein Team mit der Ausrichtung von Mercell an den Branchenstandards und Rahmenwerken. Es münzt die regulatorischen Anforderungen in operative Verfahren um – damit wir die Erwartungen nicht nur erfüllen, sondern dies auch nachweisen und belegen können. 

  •  

    Der dritte Bereich ist technische Sicherheit, die in zwei Felder unterteilt ist. Eines bezieht sich auf Unternehmens-IT und beschäftigt sich unter anderem mit Endpunkten, Identitätsmanagement und internen Systemen. Das andere sichert unsere Anwendungs- und Infrastrukturebene ab, um zu gewährleisten, dass unser Sicherheitsniveau in der Cloud, unsere CI/CD-Pipeline und unsere Backend-Systeme modernen Sicherheitsmaßstäben entsprechen.

Diese drei Bereiche sind eng aufeinander abgestimmt. Wenn sich eine Compliance-Regelung ändert, wird dazu eine Anforderung an die Techniker erstellt. Wenn es zu einem Vorfall kommt, erstreckt sich die Reaktion sowohl auf die Plattform als auch auf das Unternehmen. Sicherheit wird bei Mercell nicht isoliert, sondern integriert betrachtet.

 

Security by Design: So entwickeln wir

Sicherheit beginnt bei Mercell lange, bevor ein Produkt versandt wird. Bei jeder Phase unserer Softwareentwicklung ist Sicherheit ein fester Bestandteil, von der ersten Idee auf einer Roadmap bis zum Moment, wenn ein Code ausgerollt wird.

Codeänderungen werden verpflichtend einer fachkundigen Überprüfung und mehreren automatisierten Scans unterzogen, um Schwachstellen zu ermitteln und Qualitätsstandards durchzusetzen. Der Zugang wird eng durch das Prinzip der geringsten Privilegien kontrolliert und die Zuständigkeiten bei Entwicklung, Tests und Bereitstellung klar voneinander getrennt, um Risiken zu minimieren. Durch die Anwendung des Shift-Left-Ansatzes und Sicherheit werden unsere Systeme so konstruiert, dass potenzielle Probleme bereits früh im Entwicklungszyklus ermittelt werden, lange bevor sie die Produktion erreichen.

Laut Wilson ist die Integration von Sicherheit in den Entwicklungsprozess einer der wichtigsten Formen, wie Mercell einen einheitlichen Schutz im großen Maßstab gewährleistet. „Wenn eine Schwachstelle bis in die Produktion erhalten bleibt, haben wir viele Möglichkeiten versäumt, sie zu erfassen. Darum ist Früherkennung für uns unverzichtbar.“

Das Ergebnis ist eine Plattform, bei der Sicherheit praktisch voreingestellt ist. Öffentliche Auftraggeber brauchen keine zusätzlichen Sicherheitsvorkehrungen zu konfigurieren oder Tools anderer Anbieter zu integrieren. Die Sicherheit fest eingebaut.

Hosting in der EU, Verschlüsselung überall

Alle Kundendaten auf der Mercell-Plattform werden in Rechenzentren von AWS in der Europäischen Union gehostet. Dies erfüllt die Vorgaben der DSGVO und zudem die Erwartungen von vielen Auftraggebern im öffentlichen Sektor. Doch ist uns bewusst, dass eine bloße Lokalisierung in einem weltweit vernetzten Cloud-Ökosystem nicht ausreicht.

Daher haben wir Verschlüsselung als grundlegendes Kontrollverfahren implementiert. Daten sind bei Übertragung und Speicherung verschlüsselt, damit sie für Unbefugte unlesbar bleiben, sollten sie einmal abgefangen oder angezapft werden. Diese Verfahren sind nicht nur interne Standards, sondern nach den von uns erworbenen und aufrechterhaltenen Zertifizierungen vorgeschrieben.

Wir verwalten auch Unterauftragsverarbeiter auf transparente Weise. Wenn Daten Grenzen überschreiten, sorgen wir dafür, dass Kunden darüber informiert werden. Und wir befolgen dokumentierte Genehmigungs- und Benachrichtigungsprozesse.

Verwaltung von Risiken: Menschen, Prozesse und Technologie 

Unsere Sicherheitsstrategie ist risikobasiert. Als ersten Schritt erfassen wir unsere Assets Menschen, Prozesse und Technologie und evaluieren ihre jeweilige Bedeutung für die Betriebsabläufe.

So bewerten wir zum Beispiel Risiken bei übermäßigen Abhängigkeiten von Schlüsselpersonen und der Nachfolgeplanung. Wir unterscheiden zwischen unternehmenskritischen Plattformen und peripheren Tools, um zu gewährleisten, dass unsere Kontinuitätsplanung auf die Bereiche ausgerichtet sind, auf die es am meisten ankommt. Unsere AWS-basierte Produktinfrastruktur ist resilient und verfügt über Failover- und Recovery-Strategien, die auf die jeweils vereinbarten Serviceniveaus abgestimmt sind.

Dieses Verständnis fließt direkt in unsere tägliche Planung und Lenkung ein. Wenn Sie wissen, welche Bereiche kritisch sind, wissen Sie, was geschützt werden muss.

Kontinuität als Kerngrundsatz

Bei Sicherheit geht es nicht nur um die Abwehr von Bedrohungen. Es geht darum, sich auf Störungen vorzubereiten. Wir verfügen über formale Geschäftskontinuitäts- und Notfallpläne, die jeweils mindestens einmal jährlich überprüft werden. Bei diesen Übungen überprüfen wir unsere Fähigkeit, Services schnell wiederherzustellen und die Betriebsbereitschaft aufrechtzuerhalten.

Bei vielen Kunden enthalten unsere Verträge eine Zielmarke für die Wiederherstellungszeit von gerade einmal vier Stunden. An diesen Zielen orientiert sich auch unsere technische Planung und Ressourcenzuweisung. Wenn etwas schiefläuft, verfügen wir immer über die geeignete Blaupause und das Verfahren, um rasch zu reagieren.

„Wir testen unsere Disaster Recovery mindestens einmal jährlich, um sicherzugehen, dass wir bei einem Notfall genau wissen, wie wir das Produkt wieder zum Laufen bringen“, kommentiert Charles Wilson den Schwerpunkt von Mercell auf Betriebsbereitschaft.

Der Nachweis: Zertifizierungen, die zählen

Das Sicherheitsprogramm von Mercell ist nach mehreren führenden Normen unabhängig geprüft worden. Dazu zählen ISO 27001 für Informationssicherheit, ISO 27701 für Datenschutz, SOC 2 sowie die deutsche Norm BSI C5 über den Prüfstandard ISAE 3000. Jedes Rahmenwerk gibt uns die Bestätigung, dass unsere Kontrollen bestehen und wie vorgesehen funktionieren.

Dieser Satz an Zertifizierungen versetzt uns in die Lage, komplexe, regulierte Kunden in ganz Europa zu unterstützen, darunter solche, die in Bereichen der kritischen Infrastruktur tätig sind. Er reduziert auch Reibungsverluste bei Sorgfaltspflichten. Statt von den Auftraggebern zu verlangen, sich auf Versprechen zu verlassen, bieten wir standardisierte, überprüfbare Nachweise.

Alle Zertifizierungsdokumente und unterstützenden Unterlagen sind unter NDA über unser Trust Portal verfügbar.

Gesicherte Transparenz

Unser Trust Portal haben wir aus einem einfachen Grund entwickelt: Auftraggeber brauchen Antworten und sollten nicht lange nach ihnen suchen müssen. Unter NDA können Kunden alle unsere zentralen Sicherheitsrichtlinien, Zertifikate und Prüfdokumente an einem Ort finden.

Dies verringert Reibungsverluste bei Vergabeprozessen, verkürzt Prüfzyklen und unterstützt einen vertrauensvollen Entscheidungsfindungsprozess.

Wachstum und Zukunftsorientierung

Die Sicherheit unterliegt bei Mercell ständigen Veränderungen. Unter der Führung von Charles Wilson ist das Sicherheitsteam beträchtlich gewachsen – nicht nur bei seiner Größe, sondern auch in seiner strategischen Reichweite. Die Integration der IT in die Sicherheitsfunktion hat die Kontrolle im gesamten Unternehmen gestärkt. Sie ermöglicht eine engere Steuerung von Endpunkten, Infrastruktur und Identitäts- und Zugangsmanagement.

Allein im vergangenen Jahr hat Mercell moderne Schutzmaßnahmen wie die Verwaltung von Mobilgeräten und die Endpunktermittlung und -reaktion eingeführt. Doch diese Anstrengungen sind Teil einer breiteren Vision, nicht nur eine Reaktion auf äußeren Druck. Wie Wilson bemerkt, verlangt es Planung, Investitionen und kontinuierliche Anpassungen, um Schritt zu halten mit den regulatorischen Veränderungen.

Als nächste Schritte entwickeln wir eine zentrale Gefahrenermittlung in unserer Umgebung, mit deren Hilfe wir durch die Implementierung von SIEM Protokolle über Unternehmens- und Plattformsysteme aufnehmen und miteinander in Beziehung setzen. Ebenso bereiten wir eine zunehmende Automatisierung unserer Reaktionsfunktionen vor, indem wir Orchestrierungstools verwenden, die Gefahren schneller und mit weniger manuellen Eingriffen eindämmen können.

Dies sind weitverbreitete Verfahren in führenden Technologieunternehmen. Bei Mercell wenden wir sie an, um die Erwartungen der Auftraggeber von morgen zu erfüllen.

So verschieden die Auftraggeber – wir erfüllen alle Erwartungen

Alle Kunden profitieren von demselben Sicherheitsstatus, doch größere oder stärker regulierte Unternehmen können detailliertere Unterlagen oder auch formale Prüfungen verlangen. Wir sind darauf vorbereitet, diese Prozesse zu unterstützen. Wir bieten immer das richtige Niveau an Transparenz, ob es ein Ministerium ist, das Sicherheitskontrollen minutiös überprüft, oder eine Stadtverwaltung, die eine grundlegende Absicherung braucht.

Anbieter, die Mercell über Self-Service nutzen, brauchen sich wegen der Konfiguration oder Einrichtung keine Gedanken zu machen. Die Plattform ist bereits nach bewährten Branchenverfahren geschützt.

Für Sektoren wie Strafverfolgung, Verteidigungswesen oder nationale Infrastruktur berücksichtigen wir die besondere Sensibilität der Vergabedaten. Unser Programm ist mit Blick auf diese besonderen Anforderungen entwickelt worden.

Abschließende Gedanken

Bei Mercell bauen wir die Sicherheit von Anfang an mit ein. Wir überprüfen sie kontinuierlich. Jahr für Jahr setzen wir neue Maßstäbe, weil Vertrauen keine Selbstverständlichkeit ist. Man muss sie sich verdienen.

Wenn Sie mehr darüber erfahren möchten, wie wir Ihre Daten, Ihre Prozesse und Ihren Unternehmenszweck schützen, besuchen Sie unser Trust Portal.