Mitternachtshacking

Wie inzwischen alle Medien berichten, ist der europäische Emissionshandel großflächig zerlegt worden. Angeblich haben sich Hacker mittels Phishing-Mails Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts übertragen und für mehrere Millionen Euro verkauft.

Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da richtet also das Bundesumweltamt, ein Geschäftsbereich des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit eine Webseite ein, auf der Emissionsrechte im Wert von vielen Millionen Euro gehandelt werden können. Und wie wird das abgesichert? Mit einem popeligen Passwort. Das der User selbst wählen muss. Einzige Bedingung: das Passwort muss mindestens 10 Zeichen, eine Ziffer und einen Buchstaben enthalten. Fertig. Dazu gibt es dann den freundlichen Hinweis:

„Transaktionen müssen mit großer Sorgfalt durchgeführt werden, da die DEHSt grundsätzlich keine Möglichkeit hat, abgeschlossene Transaktionen (z. B. falscher Empfänger, falsche Zertifikateanzahl) rückgängig zu machen.“

Keine Einmalpasswörter, Token oder Smartcards für die Anmeldung, keine TANs, iTANs oder mTANs zur Absicherung der Transaktionen, nix, null, niente. Selbst die schlechteste Onlinebank ist besser abgesichert als so eine Monsterbehörde. Statt dessen macht man den Laden laut FTD lieber zu:

„Die Stelle in Berlin hat am Freitag den Betrieb eingestellt. „Dabei bleibt es mindestens für den Rest dieser Woche“, sagte eine Sprecherin.“

Das sind dann die Momente in denen ich mich frage, welcher Versager das Sicherheitssystem entworfen und welcher Stümper das abgenommen hat. Im Impressum steht unter „Technische Unterstützung“ die Materna GmbH. Für jeden halbwegs gebildeten Menschen ist klar, dass derart hohe Werte natürlich Kriminelle anziehen wie Gesetzesentwürfe von Schäuble die Fliegen. Gleichzeitig sind für diesen Handel in den meisten Firmen Mitarbeiter verantwortlich, denen man IT-Kenntnisse nicht unbedingt zutrauen muss. Optionale Angebote wie die Möglichkeit, Transaktionen von zwei Personen genehmigen zu lassen werden sowieso nicht genutzt, weil viel zu umständlich.

Da hätte man mal besser die Anmeldegebühren von 200 Euro auf 250 Euro hoch gesetzt und dafür allen Nutzern einen Smartcard-Reader und eine Smartcard für die Authentisierung geschickt. Im Verhältnis zu den zu schützenden Werten und dem möglichen Schaden ist das eine lächerlich kleine Investition.

Das einzige das fehlt um die Pleite komplett zu machen ist lediglich noch so ein TÜV-Siegel „Safer Shopping“ oder so, auf der Seite der DEHSt. Ich kann mir nicht vorstellen, dass eine Bundesbehörde was online gehen lässt, ohne sich eine TÜV-Bescheinigung einzuholen. Und dann würde sich der Kreis natürlich schließen.