Nach Cyber-Attacke EU-Kommission will CO2-Handel sicherer machen

Es war ein plumper Angriff, doch er kostete Deutschlands Unternehmen Millionen: Internetbetrüger haben sich mit gefälschten Mails Zugang zum Handelssystem für CO2-Zertifikate verschafft. Möglich wurde das durch desaströse Sicherheitsvorkehrungen - die die EU jetzt verschärfen will.

Leipziger Energiebörse EEX: Millionenverlust für Unternehmen
DPA

Leipziger Energiebörse EEX: Millionenverlust für Unternehmen


Berlin/Hamburg - Die Europäische Kommission will Konsequenzen aus dem Cyber-Angriff auf das Handelssystem für Verschmutzungsrechte ziehen: Die Richtlinien für die Internetsicherheit sollten überarbeitet werden, teilte die Behörde am Donnerstag in Brüssel mit.

Nach Angaben der Kommission waren am 28. Januar E-Mails versandt worden, in denen die Empfänger aufgefordert wurden, sich auf einer gefälschten Internetseite anzumelden und so den Betrügern die Zugangsdaten zu verraten. In Deutschland fielen Ende Januar sieben Unternehmen auf den dreisten Datenabgriff herein - und ermöglichten den Betrügern auf diese Weise den Zugriff auf ihr Zertifikatekonto.

Die Täter nutzten sofort ihre Chance und starteten ihre Verkaufsaktion im Namen der Geschädigten. Insgesamt verschoben sie nach ersten Ermittlungen 200.000 bis 250.000 Emissions-Berechtigungsscheine. Schadenssumme nach derzeitigem Wert: bis zu drei Millionen Euro. Ein einzelnes Unternehmen soll allein 1,5 Millionen Euro verloren haben.

Die Kommission ist nach eigenen Angaben von den Niederlanden und Norwegen über den Vorfall verständigt worden und habe daraufhin alle EU-Mitgliedstaaten gewarnt. Dennoch seien einige betrügerische Transaktionen vollzogen worden. Die Sicherheit der EU-Gemeinschafts- und Zentralregister seien aber nicht gefährdet gewesen. Die Kommission arbeite jetzt daran, die gefälschte Website dauerhaft zu schließen und neue Richtlinien vorzulegen.

Der Emissionshandel in der EU hat seinen Ursprung im Kyoto-Protokoll. In dem internationalen Klimaschutzabkommen haben sich 39 Industriestaaten verpflichtet, bis 2012 den Ausstoß von Klimagasen um insgesamt fünf Prozent zu senken - wobei der Wert von 1990 als Referenzwert gilt. Um dieses Ziel zu erreichen, wurde innerhalb der EU am 1. Januar 2005 der Emissionshandel begonnen (siehe Kasten in der linken Spalte).

Den einzelnen Industrieunternehmen werden in einem bestimmten Umfang Emissionsberechtigungen zur Verfügung gestellt. Wenn das Unternehmen CO2 einspart, kann es nicht benötigte Zertifikate am Markt verkaufen. Umgekehrt kann es aber auch zusätzliche Berechtigungen kaufen, wenn es mehr CO2 ausstoßen möchte. Umweltsünder müssen also zahlen. Wer sich dagegen umweltfreundlich verhält, kann mit dem Emissionshandel Geld verdienen.

Billiger Trick

Die Betrugsmasche Phishing, die die Täter angewandt haben, ist seit mehr als einem Jahrzehnt bekannt und gilt im Normalfall als Bauernfängerei mit äußerst geringen Erfolgsquoten: Kein Handelshaus, keine Bank, die in den vergangenen zehn Jahren nicht von einer Phishing-Welle überrollt worden wäre. Dass die Methode immer noch angewandt wird, liegt vor allem daran, dass sie sehr einfach und billig ist.

Wer auch nur rudimentäre Qualifikationen im Umgang mit dem Medium Internet mitbringt, dürfte sich heutzutage auf solche Weise nicht mehr in die Irre führen lassen. Es gehört inzwischen zum Allgemeingut, dass kein Unternehmen, keine Behörde per E-Mail um Auskunft sensibler Daten bittet - und dass man sich aus E-Mails heraus nicht auf Web-Seiten führen lässt, um dort dann vertrauliche Daten einzugeben.

Um so mehr wirft der Angriff ein Schlaglicht auf die gravierenden Sicherheitslücken im System des Emissionsrechtehandels. Denn den Betrügern genügte bereits die Preisgabe von Benutzername und Passwort, um die vollständige Verfügungsgewalt über das entsprechende Konto zu erlangen. Solch einen rudimentären Sicherheitsstandard bieten selbst Anbieter kostenloser E-Mail-Accounts.

Im professionellen Bereich sind dagegen TAN-Systeme das absolute Minimum, der Standard aber sind Secure-ID-Karten, die alle paar Sekunden einen neuen Sicherheitscode generieren, den man braucht, um Zugang zum System zu bekommen. Oder man setzt Fingerabdruck-Scanner ein. Selbst das ist keine Hexerei mehr, sondern wird für wenig Geld auf dem Markt angeboten: Die Technik dafür findet sich inklusive Scanner vorinstalliert schon in Laptops der Preisklasse ab 499 Euro.

ssu/mik/pat/dpa-AFX

Mehr zum Thema


© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.