Phishing im Emissionshandel

"Hochgradig perfide Masche"

Mithilfe einer Phishing-E-Mail haben Hacker den Handel mit Emissionsrechten in Deutschland und Europa lahmgelegt und mehrere Millionen Euro ergaunert. Ein Emissionshändler berichtet, warum er die E-Mail der Betrüger für täuschend echt hielt - und wieso er dennoch nicht auf den perfiden Trick hereinfiel.

Hamburg - "Die Masche kann man nur als hochgradig perfide bezeichnen." Michael Kroehnert ist noch immer bestürzt angesichts der Dreistigkeit, mit der Hacker seine Zugangsdaten zur Deutschen Emissionshandelsstelle (DEHSt) stehlen wollten. "Sehr geehrter Kroehnert, Michael", heißt es in der E-Mail an den Emissionshändler, die sich später als Phishing-Attacke herausstellen sollte und die manager magazin exklusiv vorliegt. "Leider gab es in allen Mitgliedsländern Angriffe auf den Emissionshandelssystem (EU ETS) Insbesondere am 07.01.2010."

Phishing im Emissionshandel: Wenige Klicks genügen, um an eine Millionenbeute zu kassieren

Corbis

Phishing im Emissionshandel: Wenige Klicks genügen, um an eine Millionenbeute zu kassieren

"Da wird man natürlich hellhörig", so Kroehnert, "Anfang Januar gab es nämlich tatsächlich eine Hacking-Attacke." Die sei aber so schlecht gemacht gewesen, dass Kroehnert sie geflissentlich ignorierte. Die Mail vom vergangenen Donnerstag mit dem Betreff "Neue Sicherheits-Maßnahme" machte auf den Geschäftsführer der Berliner Handels- und Beratungsfirma Emissionshändler.com deshalb auf den ersten Blick und bis auf wenige Schreibfehler einen seriösen Eindruck.

"In Zusammenarbeit mit der europäischen Kommission nehmen wir ab sofort die Dienste eines hochrangigen Sicherheitsunternehmen http://www.tradingprotection.com in Anspruch und unter ihrer Anleitung integrieren wir nun NEUE SICHERHEITSSTANDARDS, denen Sie folgen MÜSSEN, um weiterhin den Service in Anspruch zu nehmen."

Es folgt eine Anleitung, wie DEHSt-Nutzer ihren Account mittels eines ausgeklügelten technischen Systems scheinbar sicherer machen können: Der "128 Bit revolvierende USB Sicherheitsschlüssel-Prozess" solle den Zugriff auf die sensiblen Daten für Hacker unmöglich machen. Um diesen nutzen zu können, sollte sich Kroehnert einfach neu registrieren - inklusive Passwort. "Sollten Sie irgendwelche Fragen haben, nehmen Sie bitte Kontakt mit uns auf. Grüße, Hans Frederick, Security Manager"

"Erst nachdem ich mir die Mail genauer angesehen hatte, dachte ich, dass daran etwas faul sein könnte", sagt Kroehnert. Woran genau er sich störte, könne er gar nicht sagen. "Das war nur so ein Bauchgefühl."

Seine Intuition sollte Kroehnert nicht trügen. Ein Anruf bei der Handelsstelle genügte, um sich zu vergewissern, dass die Mail nicht von dort stammte. Hätte der Geschäftsmann, der sich "rein interessehalber" mit IT-Sicherheitsfragen beschäftigt, die Anweisungen befolgt, hätte er unter Umständen seine Existenz aufs Spiel gesetzt. Denn die Hacker agierten blitzschnell: Stellte ein Unternehmen seine Zugangsdaten zur Verfügung, wurden dessen Emissionsrechte auf Konten in Dänemark und Großbritannien übertragen und von dort aus weiterverkauft.

Einträglicher Emissionshandel: Wertvolle Informationen - nur durch ein Passwort geschützt

Die DEHSt ist für Betrüger eine wahre Fundgrube: Bei der zum Umweltbundesamt gehörenden Stelle werden in Deutschland gehandelte Emissionsrechte registriert. Insgesamt haben circa 2000 Nutzer ein Konto bei der DEHSt. Wenn ein Unternehmen Emissionsrechte an der Energiebörse EEX oder über Dritthändler kauft oder veräußert, wird das bei der Handelsstelle festgehalten. Bei der DEHSt lagern somit wertvolle Informationen, die Betrügern viel Geld in die Tasche spülen können - lediglich durch ein Passwort geschützt.

Datenfischer nutzten in der vergangenen Woche die Arglosigkeit einiger DEHSt-Registrierter und räumten die Konten mit den wertvollen Zertifikaten leer. Laut Umweltbundesamt hätten sieben Nutzer ihre Kontozugangsdaten weitergegeben "und so Betrügern den Zugriff auf ihre Konten ermöglicht". Nach Kroehnerts Informationen sollen es mehr als doppelt so viele gewesen sein: "Meines Wissens wurden 16 Konten der DEHSt leergeräumt", so der Geschäftsführer, der über gute Kontakte in die Branche verfügt. Seither sind Eintragungen bei der DEHSt sowie bei Schwesterbehörden nicht möglich. Die deutsche Handelsstelle will den Betrieb voraussichtlich erst ab dem morgigen Donnerstag wieder aufnehmen.

250.000 Emissionsberechtigungen mit einem Wert von rund 12 Euro pro Stück seien laut Umweltbundesamt von den Konten "unberechtigt transferiert" worden - summa summarum ein Schaden von drei Millionen Euro.

Für betroffene Unternehmen doppelt bitter: Sollten die Täter nicht gefasst werden, könnten sie auf ihrem Schaden sitzen bleiben. Juristen mögen den Fall derzeit nur ungern bewerten, weil es im deutschen Raum bislang keinen vergleichbaren Vorfall gegeben hat. Man könne natürlich den Käufer der gestohlenen Emissionsrechte ermitteln, so Kroehnert. "Anhand einer 64-stelligen Kennnummer geht das durchaus." Ob der Käufer wusste, dass es sich bei der Ware um Diebesgut handelt, sei allerdings nur schwerlich herauszufinden. Das Bundeskriminalamt (BKA) hat sich des Falles bereits angenommen. "Wir kennen den Vorgang und prüfen den Sachverhalt derzeit", bestätigt ein BKA-Sprecher gegenüber manager magazin.

Den Betrügern reichten nur ein paar Klicks, um die Beute in Millionenhöhe einzusacken. "Viele Unternehmen sind sich gar nicht bewusst, auf welchem Schatz sie da sitzen", mahnt Kroehnert. Sein Kollege Thorsten Lenk teilt diese Auffassung. "Die Zugangsdaten zu den Emissionskonten sind vergleichbar mit PIN- und TAN-Nummer bei der Bank - auch die sollte man niemals per E-Mail preisgeben", so der Analyst beim Emissionshandels-Berater Energy Brainpool. Letztlich liege es somit an jedem selbst, auf Phishing-Attacken nicht hereinzufallen.

Vor immer ausgefeilteren Angriffen von kriminellen Hackern warnt auch Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI). "Es ist immer schwieriger, eine Phishing-Mail zu erkennen", sagt Gärtner. "Bei solchen Sicherheits-E-Mails sollte man sich auf jeden Fall versichern, ob die Nachricht tatsächlich von dem angegebenen Adressaten stammt. Wir warnen außerdem davor, die Links in solchen Mails anzuklicken. Stattdessen sollte man sie per Hand in das URL-Fenster eingeben."

Wer sich etwa die Mühe machte und die URL der "hochrangigen Sicherheitsfirma" tradingprotection.com in der Betrügermail händisch eingab, bekam eine Fehlermeldung.

Als Emissionshändler Kroehnert herausfand, dass die vermeintliche DEHSt-E-Mail von Betrügern stammte, benachrichtigte er umgehend Geschäftspartner und Kunden, zu denen größtenteils kleine und mittlere Unternehmen gehören.

Konzerne und große Player werden von dem Betrug dagegen kaum betroffen sein: In den meisten Fällen haben sie ausgeklügelte IT-Sicherheitssysteme. Der größte deutsche Kohlendioxid-Emittent RWE etwa benötigt jährlich Zertifikate für 140 Millionen Tonnen Kohlendioxid. Eine Sprecherin des Konzerns sagte gegenüber manager magazin, RWE habe die betrügerische E-Mail zwar erhalten, sei von dem Vorfall aber nicht betroffen. "Das hängt aber weniger von IT-Experten ab, als vielmehr von einer juristischen Prüfung, der wir solche Benachrichtigungen unterziehen", so die Sprecherin.

Die DEHSt war für eine Stellungnahme bis zum späten Mittwochnachmittag nicht erreichbar. Nur eines bestätigte eine Mitarbeiterin gegenüber manager magazin: "Einen Hans Frederick gibt es hier nicht."