Zertifikatediebstahl zeigt Lücken bei EU-Internetsicherheit auf

"Der beispiellose digitale Einbruch in das europäische CO2-Emissionshandelssystem legt die Verwundbarkeit europäischer IT-Infrastruktur klar offen", sagt der innenpolitische Sprecher der FDP im Europaparlament, Alexander Alvaro. "Der entstandene Schaden in Millionenhöhe muss endlich als Weckruf verstanden werden, die Cybersicherheits-Architektur der EU komplett zu überdenken."

Der Vorfall wiegt schwer. Internetgangster haben der EU-Kommission zufolge in einer "konzertierten Aktion" in Österreich, Griechenland, Tschechien, Polen und Estland zwei Millionen Verschmutzungszertifikate gestohlen und umgehend weiterverkauft. Ein Zertifikat hat einen Wert von mehr als 14 Euro, Schaden: 28 Millionen Euro. Schon am Mittwoch wurde der europaweite Zertifikatehandel deshalb ausgesetzt. Für eine Woche soll das System stillstehen.

Ziel des Emissionshandels ist es, den Ausstoß von Treibhausgasen zu verringern. Dabei erhalten die beteiligten Unternehmen Verschmutzungsrechte, die sogenannten Zertifikate, die ihnen den Ausstoß bestimmter Mengen des klimaschädlichen Kohlenstoffdioxids (CO2) erlauben. Die Gesamtmenge der Zertifikate wird nach und nach verringert, damit die Unternehmen umweltfreundlicher produzieren.

Produziert ein Unternehmen weniger CO2 als ihm zusteht, kann es die übrigen Zertifikate an Firmen verkaufen, denen die eigenen Rechte nicht ausreichen. Wer sich also umweltfreundlich verhält und überflüssige Zertifikate besitzt, verdient beim Emissionshandel daran. Das hat auch die Internetkriminellen angelockt, die nun nicht nur Millionen erbeutet, sondern auch das gesamte System in die Krise gestürzt haben.

Der Hackerangriff sei "ein Desaster, ein Schlag ins Gesicht der EU", sagt Sanjeev Kumar von der Umweltberatung E3G in der "Financial Times Deutschland". "Das Vertrauen der Marktteilnehmer in das System steht auf dem Spiel." Dabei gab es bereits vor rund einem Jahr eine Warnung: Im Februar hatten Internetkriminelle Unternehmen die Zugangsdaten für die Netzdatenbank der Deutschen Emissionshandelsstelle (DEHSt) gestohlen und dann die Berechtigungen einiger Firmen zum Ausstoß klimaschädlicher Treibhausgase verkauft.

Und auch jetzt waren Mängel im System bekannt. Als Grund für den nun ausgesetzten Zertifikatehandel nennt die EU-Kommission "Sicherheitsprobleme bei den nationalen Registrierstellen in den vergangenen zwei Monaten". Demnach sind die Internetdatenbanken in 14 Staaten betroffen, nicht jedoch in Deutschland. Den Kriminellen kam zugute, dass es keine zentrale Stelle für den Zertifikatehandel gibt. Jedes Land hat seine eigene Verwaltung mit seinem eigenen System. Wenn der Handel am Mittwoch wieder startet, dürfen laut EU-Kommission nur die Staaten teilnehmen, die nachgerüstet haben.

Die Frage nach der EU-Strategie gegen Internetkriminelle bleibt jedoch. Bereits im November gab es dem Bundesinnenministerium zufolge eine Übung zur EU-weit koordinierten Abwehr von Cyberangriffen. Auf deutscher Seite nahmen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur teil. Diese Übungen befinden sich jedoch den Worten eines Ministeriumssprechers vom Herbst zufolge in einem "frühen Entwicklungsstadium". Für FDP-Politiker Alvaro zeigt sich die fehlende Strategie beispielhaft an dem aktuellen Fall: "Im digitalen Zeitalter auf 27 unterschiedliche nationale Sicherheitssysteme zu setzen, ist weltfremd und verantwortungslos."