Digitale Tücken

Zahlreiche Inhaber von CO2-Zertifikaten dürften sich Ende Januar über ihre elektronische Post gewundert haben. Sie bekamen nämlich eine E-Mail, die aussah, als käme sie von der Deutschen Emissionshandelsstelle (DEHST). Der Absender bat sie, ihre Passwörter auf einer imitierten DEHST-Seite einzugeben, um Hackerangriffen vorzubeugen. Diese Methode ist als „Phishing“ bereits aus dem Online-Banking bekannt, im Emissionshandel jedoch war sie bisher kein Problem.

Die Verwaltung der Emissionsrechte muss jeder teilnehmende Staat selber organisieren. In Deutschland ist die deutsche Emissionshandelsstelle zuständig. Sie re­gis­triert teilnehmende Unternehmen und Personen, gibt die Zertifikate aus, führt Buch darüber, wer welche Rechte hält, und sammelt am Ende des Jahres verbrauchte Verschmutzungsrechte von den Unternehmen ein. Um Eintragungen bei der Emissionshandelsstelle vorzunehmen, sind Passwörter und Codenummern wie im Online-Banking nötig.

Diese Daten erbeuteten die Betrüger von sieben deutschen Kunden. Sie transferierten rund 250 000 Zertifikate im Wert von drei Millionen Euro auf ein Konto in Dänemark. Von dort aus verkauften sie die Verschmutzungsrechte weiter. Der Leiter der deutschen Emissionshandelsstelle, Hans-Jürgen Nantke, sprach von einem „gut durchorganisierten Coup“. Zum Zeitpunkt des Betrugs war der Kurs der Zertifikate geringer als in den Monaten davor.

Der eigentliche Handel mit den CO2-Zertifikaten findet aber nicht bei der DEHST statt, sondern an der European-Energy-Exchange-Börse in Leipzig oder im direkten Kontakt von Käufer und Verkäufer. Ein Zertifikat berechtigt zum Ausstoß von einer Tonne Kohlendioxid (CO2) und kostete Ende Februar knapp zwölf Euro. Nach einem Kauf tragen die Emissionshandelsstellen die Handelsvorgänge normalerweise in ihre Register ein – ähnlich wie der Verkauf
eines Hauses oder eines Grundstücks in das amtliche Grundbuch eingetragen wird. Nach Bekanntwerden des Phishing-Angriffs schlossen zahlreiche Handelsregister – der Handel an der Strombörse in Leipzig lief aber weiter.

„Einerseits waren die Systeme nicht ausreichend abgesichert, andererseits fehlt es den Anwendern an der nötigen Sensibilität im Umgang mit dem Internet und entsprechenden sicherheitskritischen Diensten“, kommentierte die österreichische Zeitschrift Computerwelt den Vorfall. Die Europäische Kommission teilte mit, dass das Gemeinschaftsregister der EU nicht gefährdet gewesen sei, kündigte aber an, die Sicherheitsstandards zu erhöhen. (cir)