EU stoppt den Handel mit Emissionsrechten wegen grober Sicherheitsmängel. In Österreich haben Hacker Zertifikate im Wert von 7,5 Mio. Euro gestohlen. Sie wurden in Schweden und Liechtenstein sichergestellt.
Brüssel/Wien. Mittwoch, 19 Uhr, zog die EU-Kommission die Notbremse. Nach einer Serie von Hackerangriffen auf nationale Register für Emissionszertifikate in Österreich, Tschechien, Griechenland, Polen und Estland sperrte sie den gesamten Handel mit den Papieren vorerst bis nächsten Mittwoch 19 Uhr. Betrüger hatten sich in den vergangenen Tagen Zugang zu den Kundenkonten besorgt und nach Einschätzung der Kommission rund zwei Millionen Zertifikate gestohlen und binnen Minuten auf dem Markt verkauft. Nur im Falle Tschechiens lasse sich derzeit der Schaden mit sieben Mio. Euro genau beziffern.
„Es gibt immer noch Angriffe“
Begonnen hätten die Angriffe auf das EU-Emissionshandelssystem in Österreich, sagte die Sprecherin von Connie Hedegaard, der EU-Kommissarin für Klimapolitik. Bereits am 10. Jänner meldete die elektronische Registerstelle ECRA, die in Österreich die Zertifikate des Staates und der Unternehmen verwaltet, Angriffe von Hackern. Zwei Tage später wurde das Register vom Netz genommen. „Es gab illegale Transaktionen ins Ausland“, bestätigte eine Sprecherin.
Binnen kürzester Zeit seien Emissionsrechte im Wert von 7,5 Mio. Euro vom Konto der Bundesrepublik Österreich ins Ausland verschoben worden, sagte ein Sprecher der Bundespolizeidirektion Wien zur „Presse“. Den Ermittlern sei es jedoch gelungen, die Zertifikate bei Händlern in Liechtenstein und Schweden sicherzustellen. Die Konten wurden eingefroren und die Staatsanwaltschaft eingeschaltet. Von den Tätern gibt es noch keine Spur.
Es ist nicht das erste Mal, dass das Emissionshandelssystem, mit dem die EU in der Welt für ihre Klimapolitik zu werben versucht, ins Visier von Betrügern gerät. In Ungarn wurden erst vor wenigen Monaten alte Zertifikate doppelt verkauft. Vor etwa einem Jahr wurden Diebstähle und Mehrwertsteuerbetrug in etlichen Staaten bekannt. Nicht immer sind Hacker die Schuldigen. Auch diesmal sei ein Teil des Schadens durch Mitarbeiter der Register entstanden, die Zugangsdaten weitergegeben hätten, sagte die Kommission.
Kommissionsbeamte bestätigten, dass die aktuellen Betrugsfälle vermutlich von denselben verbrecherischen Organisationen ausgehen, die im Vorjahr mit dem Verkauf und Kauf von Emissionszertifikaten über EU-Ländergrenzen hinweg und unter Nutzung von Briefkastenfirmen einen millionenschweren Mehrwertsteuerbetrug begangen haben. „Wir haben diese Gruppen schon in der Vergangenheit gesehen, und es hat da auch schon Verhaftungen gegeben“, sagte ein Beamter.
Die Behörde forderte die Mitgliedsländer bereits vor einem Jahr auf, ihre nationalen Register stärker zu schützen. 14 Staaten, darunter die fünf genannten sowie Deutschland, haben das bisher nicht ausreichend getan. Erst im November mussten Deutschland und Österreich ihre Register aus Sorge vor einem Trojaner namens Nimkey vorübergehend vom Netz nehmen. Das Sicherheitsproblem in Österreich ist bis dato nicht gelöst: „Es gibt nach wir vor Angriffe auf die Datenbank“, sagte eine Sprecherin von ECRA.
Brüssel drängt die Mitgliedsländer unterdessen zu schärferen Sicherheitsmaßnahmen. „Je früher die Länder ihre Sicherheitsstandards erhöhen, desto früher können wir die Systeme öffnen“, sagte eine Sprecherin.
Heute, Freitag, treffen sich in Brüssel die zuständigen Beamten der nationalen Umweltministerien mit der Kommission, um die Vorgangsweise zu beraten. 2013 sollen die 27 nationalen Register durch ein zentrales EU-Register ersetzt werden. Die Glaubwürdigkeit des Systems sieht Hedegaards Sprecherin nicht in Gefahr: „Das ist ein relativ junger Markt. Je mehr er wächst, desto interessanter wird er für Verbrecher.“
Terminhandel läuft normal weiter
Interessant ist auch, was die Verbrecher mit jenem Teil der zwei Millionen Zertifikate anstellen können, die nicht sichergestellt wurden. Immerhin ist das Recht, eine Tonne CO2 zu emittieren, auf dem Markt derzeit 14 Euro wert. Grund genug also, das Diebesgut zu Geld zu machen. Im Grunde kann sich jeder Private ein Konto bei einem nationalen Register anlegen und dort als Händler auftreten. Können die gestohlenen Zertifikate unbemerkt dorthin verschoben werden, bleibt den Betrügern genug Zeit, um sie über die Börse oder direkt an Unternehmen zu verkaufen.
Im Moment sind aber die Register gesperrt. Das betrifft nur den Kassamarkt. Der Handel mit Terminkontrakten und anderen Derivaten ist weiter möglich. Sie machen 80 Prozent des Umsatzes im europäischen Emissionshandel aus. Dennoch sollten die gestohlenen Zertifikate den Fahndern im Handel leicht auffallen, da jedes Zertifikat mit einer Seriennummer versehen ist.
("Die Presse", Print-Ausgabe, 21.01.2011)