Oh man... "du kannst dich entlang hangeln" heißt nicht "das ist bindend und du musst eines dieser beiden Hersteller nehmen" [emoji6]
Die Maßnahmen des IT Grundschutz vom BSI sind keinesfalls nur für Behörden! Wie kommst denn da drauf? Die Liste der zugelassenen IT-Produkte sind eine Empfehlung für Behörden. Die Kriterien des Grundschutzes werden von diesen Produkten einfach nur erfüllt, was eine Erleichterung bei der Auswahl sein sollte. Nimmt man keines dieser Produkte muss man die Einhaltung der bestimmten Kriterien eben im Auge behalten. Interne Weisungen in Behörden mögen der Einfachheit halber die Auswahl auf diese Produkte beschränken, haben i. R. aber auch die Möglichkeit von Ausnahmen. Da diese Liste nicht alles abdeckt.
Vom Prinzip her kann ich dann einfach zu den Bausteinen des GS die passende Software gleich dazu nehmen ohne lang zu suchen. Behörden schließen meist einen Rahmenvertrag anhand dieser Liste ab, somit gestaltet sich die Beschaffung auch einfacher. Beschränkt sich dann aber wieder auf diese Produkte.
Rechtlich ist man mit dem IT-Grundschutz (ISO 27001 nach IT Grundschutz) immer auf der sicheren Seite. Wenn man sein Produkt von dieser Liste nimmt oder nach diesen Kriterien auswählt wird dich kein Richter an den Pranger stellen. Da man seine Standardsicherheitsmaßnahmen nach einem international anerkannten Standard (ISO 27001) implementiert hat.
Das Auswahlverfahren somit nachzuweisen und dem Richter oder Kunden zu begründen gestaltet sich dann auch einfacher bzw. steht die Frage nicht mehr wirklich im Raum. Also einen der Großen zu nehmen mag schon stimmen, wenn man sich auf den Ruf verlässt. Wenn ich aber dem Kunden oder dem Richter mit der Argumentation komme "Ich habe gehört, dass die gut sind" würde ich meine eigene Kompetenz in Frage stellen. "Ich habe das ausgewählt, weil die Anforderungen X, Y und Z nach ISO 0815 erfüllt wurden" kommt einfach professioneller rüber.
Das Vorgehen nach CC ist nur eine Alternative und das Selbe in grün [emoji6]