Experten sind skeptisch, 2013 wird das System ohnehin umgestellt. Gefahr droht nicht nur aus dem Netz. 

***

Wien - Auch wenn sie aus ihrem Diebstahl am Ende vielleicht gar kein Geld machen konnten: Neue Details des Hackerangriffs gegen das europäische Emissionshandelssystem zeigen, wie gut organisiert die Täter vorgegangen sind. 14 Länder, darunter Österreich, waren von den Attacken betroffen. Zwei Millionen Berechtigungen zum Ausstoß von CO2 wurden gestohlen.

In Tschechien griffen die Täter nach Medienberichten zu einem besonderen Trick. Sie sorgten am Dienstag mit einer Bombendrohung dafür, dass das Bürogebäude in dem die nationale CO2-Registrierungsstelle sitzt, evakuiert werden musste. Das Chaos nutzten sie offenbar, um zuzuschlagen. Am Mittwoch entdeckte ein tschechisches Unternehmen, dass auf seinen Konten 475.000 Zertifikate fehlten. Die gestohlenen Emissionsrechte wurden zudem nicht direkt auf ausländische Konten transferiert, sondern zur Verschleierung über mehrere Länder hinweg verschoben.

Entsprechend groß war die Alarmstimmung im Büro der zuständigen EU-Umweltkommissarin Connie Hedegaard am Freitag. Der aktuelle Handel mit CO2-Zertifikaten ist bis kommenden Mittwoch ausgesetzt. Wie das System weiterlaufen soll, ist offen. Denn der Hackerangriff hat weitreichende Sicherheitslücken deutlich gemacht.

Anmeldungen sind einfach

Am Emissionshandelssystem nehmen derzeit die 27 EU-Mitgliedstaaten plus Norwegen und Liechtenstein teil. Jedes Land verfügt über eine nationale Registrierungsstelle. Wer mit CO2-Rechten handeln will, muss hier ein Konto haben. Anmeldungen sind vergleichsweise einfach. Eine beglaubigte Passkopie und ein Firmenbuchauszug ist meist ausreichend. Auch Transaktionen sind kaum geschützt. Benutzername und Passwort reichen für den Zugriff aus. Andere Sicherheitssysteme, etwa einen TAN-Code (individuelle Transaktionsnummer) für Geschäfte gibt es nicht.

Die Täter konnten also vergleichsweise einfach auf Konten der Republik Österreich zugreifen und 488.141 Zertifikate nach Liechtenstein und Schweden verschieben. Wäre der Diebstahl nicht entdeckt worden, hätten sie die Papiere verkaufen können.

Die EU-Kommission will die Sicherheitssysteme überarbeiten. Möglich wäre eine Umstellung auf TAN-Codes. Doch Experten bezweifeln, dass das sinnvoll ist. Eine Aufrüstung kostet Geld und dauert. Ab 2013 wird der Handel mit Verschmutzungsrechten aber ohnehin umgekrempelt. Dann wird die EU-Kommission, und nicht so wie bisher die einzelnen Staaten, die Emissionsrechte auf die Industrieunternehmen aufteilen. "Da ist es schon fraglich, ob große Umstellungen noch Sinn haben", sagt Sven Braden von der nationalen CO2-Registrierstelle in Liechtenstein.

Das 2005 gestartet Emissionsystem soll dazu dienen, den CO2-Ausstoß zu verringern. Jedes Unternehmen bekommt Verschmutzungsrechte (gratis) zugeteilt, die periodisch mit den Emissionen gegengerechnet werden. Wer zu viel CO2-emittiert, muss Zertifikate kaufen.

Pionierprojekt

Doch die etwa 12.000 Anlagenbetreiber, für die das System gilt, sind längst nicht die einzigen am Markt. 70 bis 80 Prozent des Handels in der EU finden nicht direkt mit Emissionsrechten, sondern mit davon abhängigen Finanzprodukten (Futures, Optionen) statt. Dieser Handel ist vom Stillstand nicht betroffen.

Unangenehm sind die Pannen aber trotzdem, denn das CO2-Handelssystem ist das erste seiner Art und gilt als Pionierprojekt der EU.

Elektronische Einbrüche gab es schon öfters, die Schwachstellen betreffen aber nicht nur das Netz. Im vergangenen Jahr sind mehrere Fälle von Mehrwertsteuerbetrug aufgeflogen. In einigen Staaten galt für Emissionsrechte keine Verbrauchersteuer. Händler haben Emissionspapiere in einem Land steuerfrei eingekauft und sie in einem anderen Land mit Mehrwertsteuer weiterverkauft, die Abgabe aber nie ans Finanzamt abgeführt. Der Schaden soll hunderte Millionen Euro ausmachen.

In Ungarn kam es zu einem Wiederverkauf von Rechten. Wird ein Zertifikat mit den Emissionen gegengerechnet, müssen sie gelöscht werden. Unternehmen haben das in Ungarn nicht getan und Papiere einfach nochmalig verkauft. (András Szigetvari, DER STANDARD, Print-Ausgabe, 22./23.1.2011)