ISO 27001 schnell für eine Ausschreibung: Warum ein gekauftes Zertifikat gefährlich ist
„Wir nehmen an einer Ausschreibung teil. Dort wird ISO 27001 gefordert. Wir haben aber keine Zertifizierung.“
Dann kommt die vermeintlich einfache Lösung:
Ein Anbieter liefert kurzfristig ein fertiges ISMS, führt selbst noch ein Audit durch und stellt anschließend irgendeine Bescheinigung aus.
Damit könne man an der Ausschreibung teilnehmen.
ISO 27001 schnell für die Ausschreibung erledigt.
Das klingt praktisch.
Es kann aber vergaberechtlich, wettbewerbsrechtlich und sogar strafrechtlich problematisch werden.
Die kurze Antwort
Wenn eine Ausschreibung eine ISO 27001-Zertifizierung verlangt, sollten Sie genau prüfen:
- welche Zertifizierung tatsächlich gefordert wird;
- ob sie bereits bei Angebotsabgabe vorliegen muss;
- welchen Geltungsbereich sie abdecken muss;
- und ob die Zertifizierungsstelle akkreditiert sein muss.
Eine beliebige Bescheinigung mit der Aufschrift „ISO 27001“ erfüllt diese Anforderungen nicht.
Wer weiß, dass sein Nachweis die Ausschreibung nicht erfüllt, und trotzdem etwas anderes erklärt, riskiert:
- den Ausschluss aus dem Vergabeverfahren;
- wettbewerbsrechtliche Ansprüche;
- den Vorwurf eines versuchten Betrugs;
- und persönliche Konsequenzen für die verantwortliche Geschäftsführung.
Nicht jede ISO 27001-Bescheinigung ist dasselbe
Der Begriff „ISO 27001-Zertifikat“ wird erstaunlich großzügig verwendet.
Ein Anbieter kann beispielsweise:
- eine Teilnahmebescheinigung an einem zweistündigen lockeren Geplauder über "Informationssicherheit im Allgemeinen" ausstellen;
- die Umsetzung einzelner Anforderungen bestätigen;
- ein internes Audit durchführen;
- eine sogenannte Konformitätsbestätigung ausstellen;
- oder ein Zertifikat nach einem eigenen Prüfverfahren vergeben.
Das mag einen gewissen Informations- oder vielleicht auch nur Unterhaltungswert haben.
Es ist aber nicht dasselbe wie eine ISO 27001-Zertifizierung durch eine hierfür akkreditierte Zertifizierungsstelle.
Die DAkkS führt eine Datenbank akkreditierter Stellen. Zertifizierungsstellen für ISO 27001-Managementsysteme können auf Grundlage der DIN EN ISO/IEC 17021-1 akkreditiert werden.
Was genau fordert die Ausschreibung?
In Ausschreibungen finden sich sehr unterschiedliche Formulierungen:
- „Der Auftragnehmer muss ISO 27001 erfüllen“;
- „Der Bieter muss nach ISO 27001 zertifiziert sein“;
- „Eine ISO-27001-Zertifizierung ist nachzuweisen“;
- „Das Rechenzentrum muss ISO 27001 zertifiziert sein“;
- oder „Der angebotene Leistungsbereich muss durch das Zertifikat abgedeckt sein“.
Diese Formulierungen bedeuten nicht dasselbe.
Auch ein echtes Zertifikat kann ungeeignet sein, wenn der Geltungsbereich nicht zur ausgeschriebenen Leistung passt: Ein Zertifikat für die interne Unternehmens-IT hilft nicht, wenn Gegenstand der Ausschreibung der Betrieb einer Kundenplattform ist.
Ebenso ersetzt das Zertifikat des Rechenzentrums nicht das fehlende eigene Zertifikat. Die Aussage „Wir speichern doch eh alles im RZ ab!“ greift zu kurz, denn das RZ liefert Ihnen nur Strom, Internet, Kühlung und Zutrittsschutz. Ob Sie Ihre Daten unsicher ins RZ übertragen, weiß es nicht.
„Wir kaufen schnell ein ISMS“ löst das Problem nicht
Ein ISMS kann nicht innerhalb weniger Tage glaubwürdig fertig eingekauft werden.
Ein Anbieter kann Vorlagen liefern, Dokumente erstellen und das Projekt stark beschleunigen.
Er kann aber nicht ohne Mitwirkung des Unternehmens:
- die tatsächlichen Risiken bewerten;
- passende Verantwortlichkeiten verankern;
- technische Maßnahmen umsetzen;
- Prozesse im Unternehmen etablieren;
- Nachweise aus der Anwendung erzeugen;
- und die Wirksamkeit des Systems belegen.
Ein schnell ausgefülltes Portal und einige Standardrichtlinien sind kein gelebtes ISMS.
Und ein Audit durch denselben Anbieter, der das System verkauft und aufgebaut hat, ist keine Zertifizierung.
Öffentliche Ausschreibung: Ausschluss wegen falscher Angaben
Bei öffentlichen Vergaben ist insbesondere § 124 Abs. 1 Nr. 8 GWB relevant.
Danach kann ein öffentlicher Auftraggeber ein Unternehmen ausschließen, wenn dieses bei der Prüfung von Ausschlussgründen oder Eignungskriterien in schwerwiegender Weise falsche Angaben gemacht, Informationen zurückgehalten oder erforderliche Nachweise nicht vorgelegt hat.
Praktisch bedeutet das:
Sie erklären, eine geforderte ISO-27001-Zertifizierung zu besitzen.
Tatsächlich haben Sie nur eine Bescheinigung eines nicht akkreditierten Anbieters oder ein Zertifikat mit einem unpassenden Geltungsbereich.
Diese Abweichung ist wesentlich. Der Auftraggeber wird Sie mit ziemlicher Sicherheit aus dem Vergabeverfahren ausschließen, wenn er dies erfährt.
Und unter Umständen ist die Sache damit nicht erledigt! Das Verhalten kann auch bei künftigen Vergaben Zweifel an der Zuverlässigkeit des Unternehmens auslösen.
Unlauterer Wettbewerb nach § 5 UWG
Daneben kann § 5 UWG relevant werden.
Danach ist eine irreführende geschäftliche Handlung unlauter, wenn sie geeignet ist, einen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er sonst nicht getroffen hätte.
Das ist bei einer Ausschreibung der Fall, wenn ein Unternehmen den Eindruck erweckt, eine verlangte ISO 27001-Zertifizierung zu besitzen, obwohl der vorhandene Nachweis diese Anforderung tatsächlich nicht erfüllt.
Die Angabe ist offensichtlich relevant.
Der Auftraggeber hat ISO 27001 ja nicht aus dekorativen Gründen in die Ausschreibung geschrieben. Die Anforderung soll Einfluss darauf haben, welche Bieter zugelassen werden oder den Zuschlag erhalten.
Auch Mitbewerber können ein Interesse daran haben, gegen eine irreführende Darstellung vorzugehen.
Denn ein Unternehmen, das Zeit und Geld in ein echtes ISMS und eine belastbare Zertifizierung investiert hat, soll nicht gegen einen Bieter verlieren, der lediglich eine ähnlich aussehende Bescheinigung vorlegt, hinter der aber nichts steckt.
Kann das Betrug oder versuchter Betrug sein?
Im Extremfall kann auch § 263 StGB ins Spiel kommen.
Betrug setzt vereinfacht voraus:
- eine Täuschung über Tatsachen;
- einen dadurch verursachten Irrtum;
- eine Vermögensverfügung;
- einen Vermögensschaden;
- sowie Vorsatz und die Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen.
Auch der Versuch ist strafbar.
Übertragen auf eine Ausschreibung ist das absolut relevant, wenn ein Bieter bewusst vorgibt, eine geforderte Qualifikation zu besitzen, um einen Auftrag und damit eine Vergütung zu erhalten, die er bei wahrheitsgemäßen Angaben nicht bekommen hätte.
Folgende Situation ist jedenfalls brandgefährlich:
Die Geschäftsführung weiß, dass das vorgelegte „Zertifikat“ die Ausschreibungsanforderung nicht erfüllt. Trotzdem wird im Angebot bestätigt, dass die geforderte ISO 27001-Zertifizierung vorhanden ist.
Das ist keine harmlose Unschärfe mehr.
Die Geschäftsführung kann persönlich betroffen sein
Eine GmbH (oder andere Kapitalgesellschaft) schützt Geschäftsführer nicht vor persönlicher strafrechtlicher Verantwortung.
Wer falsche Angaben selbst macht, anordnet oder bewusst freigibt, kann persönlich Beschuldigter eines Strafverfahrens werden.
Das Unternehmen kann daneben ebenfalls betroffen sein. Nach § 30 OWiG kann gegen eine juristische Person unter bestimmten Voraussetzungen eine Geldbuße festgesetzt werden, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begeht und dadurch Pflichten des Unternehmens verletzt oder das Unternehmen bereichert werden soll. Bei einer vorsätzlichen Straftat nennt die Vorschrift einen Bußgeldrahmen von bis zu zehn Millionen Euro.
Die Aussage „Das Angebot hat ein Mitarbeiter ausgefüllt“ hilft der Geschäftsführung jedenfalls wenig, wenn sie das Vorgehen kannte.
Die Konkurrenz wird das Zertifikat prüfen lassen
Seriöse Teilnehmer an Ausschreibungen wissen, welchen Aufwand eine belastbare ISO 27001-Zertifizierung verursacht.
Erfahrene Bieter stellen daher kurz nach Ende der Frist eine Bieterfrage:
„Gehen wir recht in der Annahme, dass mit der geforderten ISO 27001-Zertifizierung eine Zertifizierung durch eine entsprechend akkreditierte Zertifizierungsstelle gemeint ist?“
Ergänzend kann gefragt werden:
„Muss die Zertifizierung zum Zeitpunkt der Angebotsabgabe bereits vorliegen?“
„Muss der Geltungsbereich des Zertifikats die ausgeschriebene Leistung vollständig umfassen?“
„Werden ausschließlich akkreditierte ISO 27001-Zertifikate als Eignungsnachweis anerkannt?“
Der Auftraggeber muss seine Anforderungen dann konkretisieren.
Und eines ist sicher:
Er wird niemals antworten mit „Nein, auch selbst ausgedruckte Phantasiezertifikate sind willkommen!“
Spätestens dadurch kann eine vorher bewusst unklare Formulierung im Angebot nicht mehr glaubwürdig als Missverständnis dargestellt werden.
Wenn das Unternehmen mit dem - sagen wir einmal - „fadenscheinigen“ Zertifikat dann nicht zurückzieht, ist der Verdachtsmoment für die o.g. illegalen Handlungen erhärtet.
Hinweis: Dieser Beitrag stellt eine allgemeine Einordnung dar und ersetzt keine Rechtsberatung. Bei einer konkreten Ausschreibung sollten Vergabeunterlagen und Nachweise rechtlich geprüft werden.