Produktneutraler Musterkatalog

Kriterienkatalog Firewalls

Ein produktneutraler Firewall-Kriterienkatalog muss Schutzwirkung und Leistung unter realistischen Bedingungen ebenso berücksichtigen wie Policy-Betrieb, Integration, Ausfallsicherheit und Pflege.

Anpassungsbedürftiges Muster: Schutzbedarf, Zonenmodell, Datenvolumen, aktivierte Sicherheitsfunktionen und Betriebsmodell bestimmen die Anforderungen. Die in den Leitdokumenten zum jeweiligen Veröffentlichungsstand genannten Zertifikate oder Gütezeichen werden hier nicht festgeschrieben. Maßgeblich sind funktionale Anforderungen und aktuelle, gleichwertige Nachweise zum Zeitpunkt des Vergabeverfahrens.

Struktur

Drei vorbelegte Kriterienhauptgruppen

In Anlehnung an die UfAB-Hierarchie bleiben die fachlichen Themen als Kriteriengruppen der zweiten Ebene erhalten. Die Vorlagen verwenden drei einheitliche Ausgangsgruppen. Im Builder können Hauptgruppen frei benannt, ergänzt und ihre Kriteriengruppen frei angepasst werden.

Funktionalität und Leistung

Fachliche Eignung, technische Funktionen und messbare Leistung

3 Kriterien · 200 Gewichtungspunkte

Technische Mindestanforderungen · 0 GPLeistung · 200 GP

Qualität und Betrieb

Einbindung, Nutzungsqualität, Sicherheit, Verfügbarkeit und beherrschbarer Betrieb

6 Kriterien · 700 Gewichtungspunkte

Verfügbarkeit · 100 GPSchutzwirkung · 250 GPBetrieb · 250 GPNachvollziehbarkeit · 100 GP

Service und Nachhaltigkeit

Einführung, Support, Ressourcen, Produktpflege und Weiterverwendung

1 Kriterien · 100 Gewichtungspunkte

Service · 100 GP

Die 1.000 Gewichtungspunkte werden von den Hauptgruppen über die Kriteriengruppen auf die einzelnen B-Kriterien verteilt. Bei 0 bis 10 Bewertungspunkten sind damit höchstens 10.000 Leistungspunkte erreichbar. Der Wertungspreis wird getrennt ermittelt und anschließend über die vorab veröffentlichte Preis-Leistungs-Methode einbezogen.

A- und B-Kriterien

Mindestanforderungen und bewertete Mehrleistung

Firewalls: anpassbare Kriterien mit Nachweisen und Bewertungsankern
Gruppe und Kriterium Typ Gewichtungspunkte Anforderung, Nachweis und Bewertungsmaßstab
Funktionalität und Leistung Technische Mindestanforderungen Mindestdurchsatz mit aktivierten Sicherheitsfunktionen A

Der projektspezifisch geforderte Mindestdurchsatz wird mit den benannten Sicherheitsfunktionen und dem festgelegten Datenprofil erreicht.

Nachweis: Hersteller- oder Testnachweis mit aktivierten Funktionen, Paketgrößen und Verbindungsprofil

Funktionalität und Leistung Technische Mindestanforderungen Verbindlich geforderte Sicherheits- und Integrationsfunktionen A

Alle als zwingend gekennzeichneten Funktionen, Schnittstellen und Betriebsarten sind in der angebotenen Lizenzierung enthalten.

Nachweis: Anforderungsliste mit eindeutiger Produkt-, Versions- und Lizenzzuordnung

Funktionalität und Leistung Leistung Leistungsreserven im realitätsnahen Sicherheitsprofil B Zielerfüllung 200

Bewertet werden Durchsatz, Latenz, Verbindungen und Reserven bei aktiviertem, veröffentlichtem Funktionsumfang.

Nachweis: Reproduzierbares Messprotokoll einschließlich Verschlüsselungs-, Anwendungs- und Paketprofil

Veröffentlichte Punkteanker
0
Das Zielniveau wird nur ohne wesentliche Sicherheitsfunktionen oder nicht nachvollziehbar erreicht.
5
Das Zielniveau wird mit dem geforderten Funktionsprofil stabil erreicht.
10
Das Zielniveau wird mit deutlichen Reserven und vollständig dokumentierter, realistischer Messung erreicht.
Qualität und Betrieb Verfügbarkeit Geforderte Hochverfügbarkeitsarchitektur A

Die verbindlich beschriebene Hochverfügbarkeits- und Failover-Architektur kann ohne Funktionsverlust umgesetzt werden.

Nachweis: Architekturzeichnung, unterstützte Betriebsart und Herstellerbestätigung

Qualität und Betrieb Schutzwirkung Qualität der Bedrohungserkennung und -abwehr B Zielerfüllung 250

Bewertet werden Erkennungsqualität, Fehlalarmrate, Reaktionsmöglichkeiten und Transparenz anhand eines vorab definierten Tests.

Nachweis: Vergleichbarer Praxistest, unabhängige aktuelle Testberichte und Erläuterung der angebotenen Konfiguration

Veröffentlichte Punkteanker
0
Die Wirksamkeit ist nicht vergleichbar belegt oder zeigt wesentliche Lücken im Testszenario.
5
Die definierten Schutzfälle werden mit vertretbarer Fehlalarmrate erkannt und behandelt.
10
Die Schutzfälle werden sehr zuverlässig, transparent und mit hochwertigen Reaktionsmöglichkeiten bei niedriger Fehlalarmrate behandelt.
Qualität und Betrieb Betrieb Policy-Lifecycle und Bedienqualität B Zielerfüllung 150

Bewertet werden Antrag, Prüfung, Freigabe, Umsetzung, Rezertifizierung und Rückbau von Regeln einschließlich Rollenkonzept.

Nachweis: Demonstration definierter Betriebsszenarien und Beschreibung des Rollen- und Freigabemodells

Veröffentlichte Punkteanker
0
Regeländerungen sind überwiegend manuell, schwer nachvollziehbar oder nicht angemessen trennbar.
5
Der vollständige Regelzyklus ist zentral abbildbar; einzelne Kontrollen benötigen Zusatzprozesse.
10
Der Regelzyklus ist durchgängig rollenbasiert, automatisierbar, revisionsfähig und leicht nachvollziehbar.
Qualität und Betrieb Betrieb Vollständige optionale Integration und Automatisierung B Ja/Nein 100

Mit Ja oder Nein wird bewertet, ob alle als optionale Mehrleistung priorisierten Integrationen für Identitäten, SIEM, Ticketing, Orchestrierung und Infrastructure as Code offen und automatisierbar bereitstehen.

Nachweis: Dokumentierte Schnittstellen, unterstützte Integrationen und exemplarischer automatisierter Ablauf

Ja/Nein-Bewertung mit 0 und 10 Punkten
0
Nein – mindestens eine priorisierte Integration fehlt oder ist nicht automatisierbar belegt.
10
Ja – alle priorisierten Integrationen sind offen, versioniert, automatisierbar und anhand eines End-to-End-Ablaufs belegt.
Qualität und Betrieb Verfügbarkeit Failover, Wartung und Wiederherstellung B Zielerfüllung 100

Bewertet werden Umschaltverhalten, Sitzungserhalt, unterbrechungsarme Wartung, Backup und Wiederherstellung.

Nachweis: Fehlerfallmatrix, Messwerte, Wartungskonzept und Demonstration ausgewählter Szenarien

Veröffentlichte Punkteanker
0
Ausfall- und Wartungsszenarien bleiben unklar oder verursachen nicht vertretbare Unterbrechungen.
5
Die wesentlichen Szenarien werden innerhalb der Zielwerte beherrscht.
10
Ausfälle und Wartung werden umfassend, automatisiert und mit nachgewiesen sehr geringen Unterbrechungen beherrscht.
Qualität und Betrieb Nachvollziehbarkeit Logging, Reporting und Analysefähigkeit B Zielerfüllung 100

Bewertet werden Qualität, Kontext und Exportierbarkeit von Ereignissen sowie Berichte für Betrieb, Sicherheit und Revision.

Nachweis: Beispieldaten, Reporting-Demonstration, Aufbewahrungs- und Exportkonzept

Veröffentlichte Punkteanker
0
Relevante Ereignisse sind unvollständig, schwer korrelierbar oder nicht geeignet exportierbar.
5
Die wesentlichen Betriebs- und Sicherheitsfragen lassen sich nachvollziehbar beantworten.
10
Ereignisse und Berichte sind kontextreich, flexibel, revisionsgeeignet und effizient in Zielsysteme integrierbar.
Service und Nachhaltigkeit Service Herstellerpflege, Support und Sicherheitsupdates B Zielerfüllung 100

Bewertet werden Reaktionsfähigkeit, Sicherheitsupdate-Prozess, Eskalation, verfügbare Expertise und planbare Produktpflege.

Nachweis: SLA, Vulnerability- und Update-Prozess, Eskalationsmodell und Lifecycle-Erklärung

Veröffentlichte Punkteanker
0
Zeiten, Zuständigkeiten oder Produktpflege bleiben unverbindlich und nicht überprüfbar.
5
Die Ziel-SLA und ein nachvollziehbarer Sicherheitsupdate-Prozess sind zugesichert.
10
Schnelle, transparente Sicherheitsreaktion, hochwertige Eskalation und langfristig planbare Produktpflege sind umfassend belegt.

Quellenbasis

Verwendete Leitdokumente

Dieser Katalog ist ein fachliches Muster auf Grundlage der UfAB-Systematik. Ein produktspezifischer Leitfaden ist hierfür noch nicht hinterlegt.

Häufige Fragen

Kriterienkatalog Firewall richtig verwenden

Kann der Beispielkatalog unverändert veröffentlicht werden?

Nein. Anforderungen, Zielwerte, Lastprofile, Nachweise und Gewichte müssen auf Bedarf, Markt und Verhältnismäßigkeit des konkreten Verfahrens angepasst werden.

Sollten bestimmte Zertifikate zwingend verlangt werden?

Der Katalog legt keine kurzlebigen Zertifikatsnamen oder Versionsstände fest. Beschreiben Sie den benötigten funktionalen, ökologischen oder sicherheitsbezogenen Zweck und lassen Sie aktuelle gleichwertige Nachweise zu, soweit dies zum Verfahren passt.

Wie werden die 1.000 Gewichtungspunkte verwendet?

Sie werden von den Hauptgruppen über die Kriteriengruppen auf die B-Kriterien verteilt. Aus 0 bis 10 Bewertungspunkten je B-Kriterium entstehen insgesamt höchstens 10.000 Leistungspunkte. Der Wertungspreis bleibt getrennt und wird erst durch die gewählte Richtwert- oder andere veröffentlichte Methode mit der Leistung verbunden.

Müssen B-Kriterien immer mit 0, 5 und 10 Punkten bewertet werden?

Nein. Unterhalb der Höchstpunktzahl 10 können passende Stufen wie 2 oder 7 mit einem kriterienspezifischen Zielerfüllungsgrad festgelegt werden. Ein binäres optionales Mehrwertkriterium kann als Nein = 0 und Ja = 10 Punkte ausgestaltet werden. Soll „Nein“ zum Ausschluss führen, ist die Anforderung als A-Kriterium zu formulieren.