Datenklau bei Emissionsrechten kommt vor Gericht

Der bisher spektakulärste Datenklau im Emissionsrechtehandel wird die Gerichte beschäftigen. Die mittelständische Papierfabrik Drewsen aus Lachendorf bei Celle, größtes Opfer der kriminellen Attacke vom Januar, verklagt die Bundesrepublik Deutschland auf knapp 1,1 Millionen Euro Schadenersatz. Dies teilte Drewsen-Chef Thomas Katzenmeyer am Dienstag mit und bestätigte einen Bericht der Online-Ausgabe der Financial Times Deutschland. Die Klageschrift wurde dem Berliner Verwaltungsgericht zugestellt.

Katzenmeyer wirft der zuständigen Behörde unzureichende Sicherheitsstandards vor. Für die Abwicklung des Handels mit Klimarechten ist die Deutsche Emissionshandelsstelle (DEHSt) verantwortlich, eine Unterbehörde des Umweltbundesamts. Hätte die DEHSt den für jede Sparkasse üblichen Standard eingehalten, hätten wir die Zertifikate noch, sagte Katzenmeyer. Innerhalb weniger Stunden hatten die Täter am 28. Januar zahlreiche Rechtekonten bei der DEHSt mit Zertifikaten im Wert von 3,2 Millionen Euro leergeräumt, darunter 88.000 Emissionsrechte der Firma Drewsen.

Die Zugangsdaten hatten die bis heute nicht ermittelten Täter mit einer gefälschten Mail erschwindelt. Darin forderten sie die Empfänger auf, ein angebliches Sicherheitsupdate vorzunehmen und die sensiblen Daten einzugeben. Die somit ergaunerten Zertifikate wurden nach Dänemark und Großbritannien verkauft und konnten nicht mehr zurückgeholt werden. Während andere von der Attacke ebenfalls betroffenen Behörden in Europa gleich morgens vor der Phishing-Mail gewarnt hätten, habe die DEHSt dies erst am späten Nachmittag getan, sagte Katzenmeyer. Da sei es bereits zu spät gewesen.

Die DEHSt hatte mit Prozessen gerechnet. Vor wenigen Wochen hatte sie ein Gutachten ausgeschrieben, in dem die rechtlichen Folgen der Phishing-Angriffe geprüft werden sollten. Die Abwicklungsstelle plant inzwischen auch Verschärfungen der Sicherheitsbedingungen. (pmz)