Millionenschaden durch Phishing Wie Internetbetrüger die CO2-Händler abzocken konnten

Deutsche Firmen sind auf einen primitiven Internetbetrug hereingefallen: Sie gaben ihre Zugangsdaten für den Emissionshandel preis - und verloren zum Teil mehr als eine Million Euro. Der Fall deckt skandalöse Sicherheitslücken auf. Besseren Schutz wird es dennoch nicht geben.

Leipziger Energiebörse EEX: Millionenverlust für Unternehmen
DPA

Leipziger Energiebörse EEX: Millionenverlust für Unternehmen

Von und


Berlin/Hamburg - Die Cyber-Gangster hatten ihren Angriff gut geplant: Per E-Mail forderten sie von Firmen, die mit Emissionszertifikaten handeln, deren Kontozugangsdaten. Angeblich, um sie zu überprüfen. Der Absender schien auf den ersten Blick vertrauenswürdig. Der Link in der Mail führte zu einer Webseite, die derjenigen der Deutschen Emissionshandelsstelle (DEHSt) zum Verwechseln ähnlich sah. Dort sollten die Angeschriebenen die vertraulichen Daten eintragen.

"Ich habe diese Mail auch bekommen", erinnert sich Kai Ristau, Geschäftsführer von KlimaINVEST Green Concepts in Hamburg. "Sie war sehr gut gemacht, aber an ein paar Details konnte man schnell erkennen, dass es sich um eine Phishing-Mail handelte." Ein Eindruck, den auch Markus Hüwner, Chef der Beratungsfirma First Climate teilt: "Die Mail war in einem ganz anderen Stil geschrieben als Behörden ihn normalerweise pflegen."

Trotzdem fielen in Deutschland Ende Januar sieben Unternehmen auf den dreisten Datenabgriff herein - und ermöglichten den Betrügern auf diese Weise den Zugriff auf ihr Zertifikatekonto. Diese nutzten sofort ihre Chance und starteten ihre Verkaufsaktion im Namen der Geschädigten. Insgesamt verschoben sie nach ersten Ermittlungen 200.000 bis 250.000 Emissions-Berechtigungsscheine. Schadenssumme nach derzeitigem Wert: bis zu drei Millionen Euro. Ein einzelnes Unternehmen soll allein 1,5 Millionen Euro verloren haben.

Der Markt hat ein Volumen von 126 Milliarden Dollar

Bei der DEHSt ist man nun bemüht, die Blamage herunterzuspielen. Angesichts des Gesamtumsatzes im Emissionshandel sei der Schaden verschwindend gering, hieß es am Mittwoch in Berlin. Nach Schätzung der Weltbank hatte der Markt 2008 ein Volumen von 126 Milliarden Dollar. Auch von einer Beeinträchtigung des Geschäfts will DHSt-Chef Hans-Jürgen Nantke nichts wissen. "Unternehmen können weiterhin ungehindert mit Emissionsrechten handeln. Nur wird das Eigentumsrecht erst mit ein paar Tagen Verzögerung eingetragen."

Der Emissionshandel in der EU hat seinen Ursprung im Kyoto-Protokoll. In dem internationalen Klimaschutzabkommen haben sich 39 Industriestaaten verpflichtet, bis 2012 den Ausstoß von Klimagasen um insgesamt fünf Prozent zu senken - wobei der Wert von 1990 als Referenzwert gilt. Um dieses Ziel zu erreichen, wurde innerhalb der EU am 1. Januar 2005 der Emissionshandel begonnen (siehe Kasten in der linken Spalte).

Die Idee ist einfach: Den einzelnen Industrieunternehmen werden in einem bestimmten Umfang Emissionsberechtigungen zur Verfügung gestellt. Wenn das Unternehmen CO2 einspart, kann es nicht benötigte Zertifikate am Markt verkaufen. Umgekehrt kann es aber auch zusätzliche Berechtigungen kaufen, wenn es mehr CO2 ausstoßen möchte. Umweltsünder müssen also zahlen. Wer sich dagegen umweltfreundlich verhält, kann mit dem Emissionshandel Geld verdienen.

"Menschen machen eben Fehler"

Sinn ergibt das System nur, wenn die Zertifikate knapp sind - in der ersten Emissionshandelsphase von 2005 bis 2007 wurden aber so viele Papiere kostenlos an die Unternehmen ausgegeben, dass die Rechnung nicht aufging.

In der zweiten Phase von 2008 bis 2012 stellten die Verantwortlichen das System daher um: Die jährliche Gesamtzuteilung wurde um 57 Millionen Tonnen CO2 auf rund 450 Millionen Tonnen gekürzt. Zudem werden zehn Prozent der Zertifikate nicht mehr verschenkt, sondern versteigert. In Deutschland geschieht dies an der Leipziger Strombörse "European Energy Exchange" (EEX). Für die dritte Handelsphase von 2013 bis 2020 ist eine weitere Verringerung der Emissionsrechte geplant.

Der geringe Druck auf die Unternehmen hat nach Experteneinschätzung dazu geführt, dass speziell Mittelständler noch wenig Routine mit dem System entwickelt haben - und damit den Cyber-Angriff erleichterten. Ein Einwand, den DEHSt-Sprecher Nantke entschieden zurückweist. "Die Tatsache, dass nur sieben von 2000 Kontoinhabern auf die E-Mail hereingefallen sind, ist Beleg dafür, dass das System sicher ist." Ein Restrisiko sei nie auszuschließen, weil Menschen eben Fehler machten.

Billiger Trick

Tatsächlich ist die Betrugsmasche Phishing seit mehr als einem Jahrzehnt bekannt und gilt im Normalfall als Bauernfängerei mit äußerst geringen Erfolgsquoten: Kein Handelshaus, keine Bank, die in den vergangenen zehn Jahren nicht von einer Phishing-Welle überrollt worden wäre. Dass die Methode immer noch angewandt wird, liegt vor allem daran, dass sie sehr einfach und billig ist.

Wer auch nur rudimentäre Qualifikationen im Umgang mit dem Medium Internet mitbringt, dürfte sich heutzutage auf solche Weise nicht mehr in die Irre führen lassen. Es gehört inzwischen zum Allgemeingut, dass kein Unternehmen, keine Behörde per E-Mail um Auskunft sensibler Daten bittet - und dass man sich aus E-Mails heraus nicht auf Webseiten führen lässt, um dort dann vertrauliche Daten einzugeben.

Um so mehr wirft der Angriff ein Schlaglicht auf die gravierenden Sicherheitslücken im System des Emissionsrechtehandels. Denn den Betrügern genügte bereits die Preisgabe von Benutzername und Passwort, um die vollständige Verfügungsgewalt über das entsprechende Konto zu erlangen. Solch einen rudimentären Sicherheitsstandard bieten selbst Anbieter kostenloser E-Mail-Accounts.

Die Behörde plant keine zusätzlichen Sicherungssysteme

Im professionellen Bereich sind dagegen TAN-Systeme das absolute Minimum, der Standard aber sind Secure-ID-Karten, die alle paar Sekunden einen neuen Sicherheitscode generieren, den man braucht, um Zugang zum System zu bekommen.

Oder man setzt Fingerabdruck-Scanner ein. Selbst das ist keine Hexerei mehr, sondern wird für wenig Geld auf dem Markt angeboten: Die Technik dafür findet sich inklusive Scanner vorinstalliert schon in Laptops der Preisklasse ab 499 Euro.

Für DEHSt-Chef Nantke stellt sich die Frage nach neuen Sicherheitssystemen derzeit aber nicht. "Unsere Systeme sind sicher - und der Zugang lässt sich durch verschiedene Einrichtungen wie etwa das Vier-Augen-System erweitern, ganz wie die Kunden es wünschen", erklärt er. Zusätzliche Sicherheitseinrichtungen seien zunächst nicht geplant.

Mehr zum Thema


insgesamt 39 Beiträge
Alle Kommentare öffnen
Seite 1
cha cha 03.02.2010
1. Geldstrom
Zitat von sysopDeutsche Firmen sind auf einen primitiven Internetbetrug hereingefallen: Sie gaben ihre Zugangsdaten für den Emissionshandel preis - und verloren zum Teil mehr als eine Million Euro. Der Fall deckt skandalöse Sicherheitslücken auf. Besseren Schutz wird es dennoch nicht geben. http://www.spiegel.de/wirtschaft/unternehmen/0,1518,675786,00.html
Mich verwundert v.a., warum der Geldstrom für die illegal verkauften Zertifikate nicht kontrollierbar ist. Die Täter müssen damit doch rasch überführt werden können.
ichgucke 03.02.2010
2. selbst schuld
wer mit lügen zertifikaten geld macht gehört bestraft!!
malatesta, 03.02.2010
3. Legal
Ist doch legal - die wollten nur die Daten einem anderen Staat verkaufen, um dort CO2-Steuerbetrüger zu überführen!
smerfs 03.02.2010
4. dummschwätzerbörse
ich verkauf jedem der es möchte zertifikate zum dummschwätzen diese sind dann an der dummschwätzerbörse in berlin frei handelbar! meine referenzen sind erstklassig alle mdbs haben diese zertifikate schon erworben. wer dieses zertifikat erwirbt darf eine bestimmte zeit dummschwätzen und die zuhörer müssen dieses für bare münze nehmen.
cosmo72 03.02.2010
5. MafiaLand
Wahnsinn - ist ja wie in Gangsterland. Ein Verbrecher und Trickbetrüger Syndikat wird vom anderen ausgenommen!
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.