Phishing ist heutzutage in unserem Online-Alltag ein nicht zu unterschätzendes und leider kaum mehr wegzudenkendes Risiko. Doch womit haben wir es beim Phishing konkret zu tun und welche Rolle spielt es im Vergabeverfahren?
Beim Phishing handelt es sich um eine Form des Online-Betrugs, welcher es auf vertrauliche Informationen der Online-User abzielt. Die Betrüger versuchen über täuschend echt gefälschte E-Mails, SMSen, Nachrichten oder Websites an die vertraulichen Informationen, wie z.B. Kontaktdaten, Kreditkartennummern, Vertragsdaten oder andere persönliche Daten, der User heranzukommen. Oftmals ist es für den User auf den ersten Blick nicht erkennbar, dass es sich um einen Betrug und nicht tatsächlich um den genannten, ursprünglichen Aussteller der Nachrichten handelt. Meist sind es kleine Details, wie z.B. eine Abweichung in den Kontaktdaten, Bankverbindungen, E-Mail-Adressen oder Website-Adressen, welche auf Phishing hindeuten. Das Ziel der Betrüger ist es, sich vertrauenswürdig als den ursprünglichen Aussteller der Nachrichten auszugeben, um so die gewünschten Informationen, Daten oder im schlimmsten Fall Überweisungen zu erhalten.
Doch was hat Phishing mit Vergabeverfahren zu tun?
Öffentliche Auftraggeber sind angehalten, im Rahmen der rechtlich erforderlichen Bekanntmachungen, Angaben zu veröffentlichten Vergabeverfahren und später zu vergebenen Aufträgen zu machen. Diese Angaben sind Online für jeden einsehbar. Oftmals geben die Öffentlichen Auftraggeber in der Bekanntmachung mehr Kontaktdaten preis als notwendig. Beispielsweise werden keine allgemeinen Kontaktdaten der Vergabestelle genannt, sondern spezifische Kontaktdaten des zuständigen Mitarbeiters auf Seiten des öffentlichen Auftraggebers. Diese speziellen Angaben werden von den Online-Betrügern während des Vergabeverfahrens gesammelt. In der anschließenden Auftragsvergabebekanntmachung gelangen die Online-Betrüger sodann an die Kontaktdaten der Auftragnehmer.
Die Betrüger geben sich bei den Auftragnehmern und Lieferanten als Auftraggeber aus und verlangen z.B. eine vorzeitige Rechnungsstellung zu der erbrachten Leistung. Im Anschluss kontaktieren sie den Auftraggeber und bitten diesen, den Rechnungsbetrag auf ein anderes, als das auf der Rechnung angegebene Konto zu überweisen. Somit können Betrüger allein durch die Angabe der personenbezogenen Daten aus den Bekanntmachungen, im Namen des Auftragnehmers Rechnungen an die Auftraggeber stellen. Sehr häufig wird dafür auch E-Mail-Spoofing genutzt. Der Empfänger der E-Mail sieht eine passende E-Mailadresse und wird deshalb nicht misstrauisch. Diese Form des Betruges gab es auch bereits auf dem Postweg.
Was können öffentliche Auftraggeber und künftige Auftragnehmer im Vergabeverfahren beachten?
Bei der Erstellung der Bekanntmachung im Vergabeverfahren sollten öffentliche Auftraggeber darauf achten, im besten Fall keine oder lediglich allgemeine E-Mail-Adressen bzw. andere Kontaktdaten anzugeben. Der Austausch mit den Bewerbern und Bietern erfolgt innerhalb des Vergabeverfahrens in der Regel über die Ausschreibungsplattform. Die Angabe von spezifischen Kontaktdaten ist somit für die Bewerber/Bieter nicht erforderlich und sollte, wenn möglich, erst nach Zuschlagserteilung und nur an den künftigen Auftragnehmer im direkten Kontakt erfolgen. Außerdem sollten Auftraggeber bei der Bekanntmachung vergebener Aufträge nur zwingend notwendige Angaben zum Auftragnehmer machen. Diese sollten so allgemein und anonym wie möglich gehalten werden. Somit ist es für Betrüger nicht möglich Kontaktdaten von öffentlichen Auftraggebern und Auftragnehmern online einzusehen und zu Gunsten ihrer Betrugsmasche gegen diese und die künftigen Auftragnehmer zu verwenden. Zusätzlich sollten sich öffentliche Auftraggeber absichern, indem sie sich an einen konkreten Ansprechpartner beim Auftragnehmer halten und im Zweifel die abweichenden Kontodaten bei diesem hinterfragen. An dieser Stelle ist es wichtig, Kontakte aufzubauen und diese zu nutzen.
Neben den zu beachtenden Punkten bei der Veröffentlichung von Kontaktdaten, sollten öffentliche Auftraggeber in Erwägung ziehen, auf eine sichere Form der Rechnungsstellung, z.B. „X-Rechnung“ umzuschwenken. Hierbei handelt es sich um den Standard zur elektronischen Rechnungsstellung bei öffentlichen Auftraggebern, welcher die Richtlinie 2014/55/EU in Deutschland maßgeblich umsetzt. Durch die Verwendung von „X-Rechnung“ wird eine verlässliche Basis für den Austausch elektronischer Rechnungen geschaffen, sodass das Phishing von Daten den Online-Betrügern möglichst keinen Mehrwert mehr verschaffen kann.
Auftragnehmer sollten künftig ebenfalls den zum Auftraggeber hergestellten Kontakt nutzen und hinterfragen, wenn eine ungewöhnliche Rechnungsanfrage z.B. zu einem anderen Zeitpunkt, als dem im Vertrag vereinbarten, kommt. Sie sollten nicht leichtfertig auf jede Anfrage vertrauen und vor allem den Kontakt zum Ansprechpartner beim Auftraggeber suchen.
Dieser Beitrag wurde von Luisa Skudlarek (Vergabeberaterin) erstellt.
Falls Sie Fragen oder Anregungen haben oder weitere Informationen benötigen, können Sie sich gerne jederzeit direkt mit uns in Verbindung setzen.