CO2-Handel: Mit Phishing zur Millionenbeute

Die EU-Kommission musste vergangene Woche den europäischen Emissionsrechtehandel stoppen, nachdem die Handelsplätze in Österreich, Estland, Griechenland, Polen und der Tschechischen Republik aufgrund von Cyberattacken geschlossen worden waren. Bis Donnerstag sind bei allen Börsen keine Transaktionen mehr möglich. In einigen Staaten wird die Auszeit sogar noch länger dauern, da sie sicherheitstechnisch erheblich nachrüsten müssen.

Die Ausgabe der Zertifikate war ungenügend gesichert. Mit simplen Phising-Attacken konnten die Angreifer eine Millionenbeute abgreifen, wie die Kommission bekanntgab. Nicht die Börsen, sondern die nationalen Registrare seien von bislang Unbekannten angegriffen worden. Nach Angaben der Kommission wurden dabei rund zwei Mio. Zertifikate entwendet. Zum Vergleich: Das europäische Emissions-handelssystem handelt über sechs Mrd. Emissionsberechtigungen für Kohlendioxid im Wert von rund 89 Mrd. Euro.

Österreich machte den Anfang

Die Attacken begannen in Österreich: Der österreichischen Emissionshandelsstelle wurden angeblich knapp eine halbe Millionen Zertifikate eines Reservekontos gestohlen. Der Angriff soll am 10. Januar erfolgt sein, seit dem 12. Januar ist in Wien der Handel eingestellt. Mittlerweile sollen die Zertifikate auf Servern in Liechtenstein und Schweden sichergestellt worden sein. Ein Rücktransfer wurde jetzt beantragt. In Tschechien wurden knapp eine halbe Million Emissionsberechtigungen im Wert von 6,7 Millionen Euro gestohlen.

Bei den Angriffen wurden nach Angaben einer Kommissions-Sprecherin Phishing-Methoden eingesetzt. Dabei verleiten die Angreifer die Besitzer von Konten über gefälschte E-Mails und Websites ihre Zugangsdaten preiszugeben. Die E-Mails sollen sich gezielt an Zertifikatsbesitzer gewandt haben, wie auch ein Screenshot des Security-Anbieters F-Secure beweist .

Schon 2010 Probleme

Schon vor einem Jahr mussten mehrere Börsen zeitweise schließen, nachdem Hacker ebenfalls mit Hilfe von Phishing-Mails die Zugangsdaten zahlreicher Unternehmen zu den Datenbanken der Deutschen Emissionshandelsstelle ergaunert hatten. Die Daten nutzten sie um sich Emissionsrechte im Wert von 3,2 Mio. Euro anzueignen und weiter zu verkaufen. Die Kommission und die Mitgliedstaaten hatten daraufhin die Sicherheitsmaßnahmen verschärft. Im November 2010 mussten das deutsche und österreichische Handelsregister zeitweise geschlossen werden, nachdem es erneut Zwischenfälle im Zusammenhang mit dem Nimkey-Trojaner gegeben hatte.

Bislang können Kunden über gestohlene Zertifikate, die sie unwissentlich aufgekauft haben, verfügen. Die Pariser Umweltbörse Bluenext will nach Informationen der Financial Times Deutschland künftig ausschließen, dass gestohlene Zertifikate weiterverkauft werden können. Hierfür forderte sie bei den angegriffenen Stellen eine Liste der Kennnummern aller fragwürdigen Zertifikate an, die dann vom Handel ausgeschlossen werden sollen. Bluenext soll außerdem der EU-Kommission die Einrichtung eines gemeinsamen Alarmsystems für Betrugsfälle vorgeschlagen.

Zweistufige Identifizierung

In Deutschland können über den neuen digitalen Personalausweis die Transaktionen mit einer sicheren Einwahl abgesichert werden, alternativ geht dies auch über ein registriertes Handy. Ein mögliches weiteres Sicherungssystem könnte in einem zweistufigen Identifizierungssystem bestehen, wie es auch im Online-Banking für Überweisungen üblich ist. Die Hälfte der am Emissionshandel beteiligten Länder soll ein solches System noch nicht eingeführt haben. Dazu sollen auch die fünf Länder zählen, die jetzt attackiert worden waren.

Europäisch einheitliches Vorgehen erst 2013

Bis 2013 führen die Mitgliedstaaten einen nationalen Allokationsplan für die zuteilungsfähige Menge der Emissionsberechtigungen sowie ein nationales Register. Über die Register-Website können Teilnehmer online einen Antrag zur Zulassung zur Versteigerung stellen und ein Konto erhalten. Teilnehmer sind etwa Betreiber ortsfester Anlagen und Luftfahrzeugbetreiber, aber auch Wertpapierfirmen und Kreditinstitute. Die Transaktionen werden durch die Inhaber der Konten durchgeführt.

Die jüngsten Vorkommnisse haben gezeigt, so die EU-Kommission dass die Registrare nun dringend Sicherheitsmaßnahmen umsetzen müssten. Die Kommission will die Mindestanforderungen gemeinsam mit nationalen Behörden festlegen. Der Handel soll nur an jenen Emissionsrechte-Börsen wieder aufgenommen werden, die nach Ansicht der Kommission "angemessene Sicherheitsmaßnahmen" getroffen haben. Dreiviertel der Geschäfte wird über den Terminmarkt abgewickelt und ist daher von einer kurzfristigen Sperrung unwesentlich betroffen. Anders ist das bei Kassa-Märkten, die ihre Geschäfte unterbrechen mussten, weil keine Zertifikate mehr geliefert werden konnten.

Gemeinschaftsregister geplant

Die EU wird unabhängig von nationalen Registern ein Gemeinschaftsregister führen, in dem ab dem 1. Januar 2013 alle Zertifikate geführt werden. Jeder, der ein gültiges Konto im EU-ETS-Register hat, kann an einem Auktionsprozess teilnehmen. 2013 nämlich wird die Zuteilung über Versteigerung zur Regel, die nationalen Allokationspläne werden abgeschafft. Jede Auktionsplattform muss dann einen Fernzugriff auf ihre Versteigerungen über eine digitale Schnittstelle ermöglichen, auf die sicher und zuverlässig über das Internet zugegriffen werden kann.

Ab 2013 soll es auch eine europäische Auktionsplattform geben, wie sie jetzt angesichts der diversen nationalen Sicherheitsprobleme in der Wirtschaftspresse schon gefordert wird. Doch die beiden größten Kohlenstoffdioxid-Emittenten in der EU, Deutschland und Großbritannien, wollen sich dran nicht beteiligen. Sie setzen vorerst auf nationale Auktionsplattformen.

(Christiane Schulzki-Haddouti)