• Home
•  > Unternehmen
•  > IT

Phishing im Emissionshandel

"Hochgradig perfide Masche"

Von Anja Tiedge

2. Teil: Bleiben Betroffene auf dem Schaden sitzen?

Seine Intuition sollte Kroehnert nicht trügen. Ein Anruf bei der Handelsstelle genügte, um sich zu vergewissern, dass die Mail nicht von dort stammte. Hätte der Geschäftsmann, der sich "rein interessehalber" mit IT-Sicherheitsfragen beschäftigt, die Anweisungen befolgt, hätte er unter Umständen seine Existenz aufs Spiel gesetzt. Denn die Hacker agierten blitzschnell: Stellte ein Unternehmen seine Zugangsdaten zur Verfügung, wurden dessen Emissionsrechte auf Konten in Dänemark und Großbritannien übertragen und von dort aus weiterverkauft.

Die DEHSt ist für Betrüger eine wahre Fundgrube: Bei der zum Umweltbundesamt gehörenden Stelle werden in Deutschland gehandelte Emissionsrechte registriert. Insgesamt haben circa 2000 Nutzer ein Konto bei der DEHSt. Wenn ein Unternehmen Emissionsrechte an der Energiebörse EEX oder über Dritthändler kauft oder veräußert, wird das bei der Handelsstelle festgehalten. Bei der DEHSt lagern somit wertvolle Informationen, die Betrügern viel Geld in die Tasche spülen können - lediglich durch ein Passwort geschützt.

Datenfischer nutzten in der vergangenen Woche die Arglosigkeit einiger DEHSt-Registrierter und räumten die Konten mit den wertvollen Zertifikaten leer. Laut Umweltbundesamt hätten sieben Nutzer ihre Kontozugangsdaten weitergegeben "und so Betrügern den Zugriff auf ihre Konten ermöglicht". Nach Kroehnerts Informationen sollen es mehr als doppelt so viele gewesen sein: "Meines Wissens wurden 16 Konten der DEHSt leergeräumt", so der Geschäftsführer, der über gute Kontakte in die Branche verfügt. Seither sind Eintragungen bei der DEHSt sowie bei Schwesterbehörden nicht möglich. Die deutsche Handelsstelle will den Betrieb voraussichtlich erst ab dem morgigen Donnerstag wieder aufnehmen.

250.000 Emissionsberechtigungen mit einem Wert von rund 12 Euro pro Stück seien laut Umweltbundesamt von den Konten "unberechtigt transferiert" worden - summa summarum ein Schaden von drei Millionen Euro.

Für betroffene Unternehmen doppelt bitter: Sollten die Täter nicht gefasst werden, könnten sie auf ihrem Schaden sitzen bleiben. Juristen mögen den Fall derzeit nur ungern bewerten, weil es im deutschen Raum bislang keinen vergleichbaren Vorfall gegeben hat. Man könne natürlich den Käufer der gestohlenen Emissionsrechte ermitteln, so Kroehnert. "Anhand einer 64-stelligen Kennnummer geht das durchaus." Ob der Käufer wusste, dass es sich bei der Ware um Diebesgut handelt, sei allerdings nur schwerlich herauszufinden. Das Bundeskriminalamt (BKA) hat sich des Falles bereits angenommen. "Wir kennen den Vorgang und prüfen den Sachverhalt derzeit", bestätigt ein BKA-Sprecher gegenüber manager magazin.