{"id":1059,"date":"2010-02-03T17:32:07","date_gmt":"2010-02-03T16:32:07","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1059-emissionshandel-zerlegt"},"modified":"2018-05-29T22:23:20","modified_gmt":"2018-05-29T21:23:20","slug":"emissionshandel-zerlegt","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1059-emissionshandel-zerlegt","title":{"rendered":"Emissionshandel zerlegt"},"content":{"rendered":"<p><a href=\"http:\/\/www.ftd.de\/unternehmen\/finanzdienstleister\/:gestohlene-co2-zertifikate-hacker-greifen-emissionshaendler-an\/50069112.html\">Wie<\/a> <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Hacker-legen-Emissionsrechtehandel-lahm-920664.html\">inzwischen<\/a> alle Medien berichten, ist der europ\u00e4ische Emissionshandel gro\u00dffl\u00e4chig zerlegt worden. Angeblich haben sich Hacker mittels <a href=\"http:\/\/www.dehst.de\/cln_153\/nn_476194\/SharedDocs\/Mailings\/2010\/10-01-28__Phishing__E-Mails__Register.html?__nnn=true\">Phishing-Mails<\/a> Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts \u00fcbertragen und f\u00fcr mehrere Millionen Euro verkauft.<\/p>\n<p>Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da richtet also das Bundesumweltamt, ein Gesch\u00e4ftsbereich des Bundesministeriums f\u00fcr Umwelt, Naturschutz und Reaktorsicherheit eine Webseite ein, auf der Emissionsrechte im Wert von vielen Millionen Euro gehandelt werden k\u00f6nnen. Und wie wird das abgesichert? Mit einem popeligen Passwort. Das der User selbst w\u00e4hlen muss. <a href=\"http:\/\/www.dehst.de\/cln_153\/nn_476382\/DE\/Register\/Kontofuehrung\/Kontofuehrung__node.html?__nnn=true&amp;__nnn=true#doc476436bodyText3\">Einzige Bedingung<\/a>: das Passwort muss mindestens 10 Zeichen, eine Ziffer und einen Buchstaben enthalten. Fertig. Dazu gibt es dann den freundlichen Hinweis:<\/p>\n<ul>&#8222;Transaktionen m\u00fcssen mit gro\u00dfer Sorgfalt durchgef\u00fchrt werden, da die DEHSt grunds\u00e4tzlich keine M\u00f6glichkeit hat, abgeschlossene Transaktionen (z. B. falscher Empf\u00e4nger, falsche Zertifikateanzahl) r\u00fcckg\u00e4ngig zu machen.&#8220;<\/ul>\n<p>Keine Einmalpassw\u00f6rter, Token oder Smartcards f\u00fcr die Anmeldung, keine TANs, iTANs oder mTANs zur Absicherung der Transaktionen, nix, null, niente. Selbst die schlechteste Onlinebank ist besser abgesichert als so eine Monsterbeh\u00f6rde. Statt dessen macht man den Laden laut FTD lieber zu:<\/p>\n<ul>&#8222;Die Stelle in Berlin hat am Freitag den Betrieb eingestellt. &#8222;Dabei bleibt es mindestens f\u00fcr den Rest dieser Woche&#8220;, sagte eine Sprecherin.&#8220;<\/ul>\n<p>Das sind dann die Momente in denen ich mich frage, welcher Versager das Sicherheitssystem entworfen und welcher St\u00fcmper das abgenommen hat. Im Impressum steht unter &#8222;Technische Unterst\u00fctzung&#8220; die Materna GmbH. F\u00fcr jeden halbwegs gebildeten Menschen ist klar, dass derart hohe Werte nat\u00fcrlich Kriminelle anziehen wie Gesetzesentw\u00fcrfe von Sch\u00e4uble die Fliegen. Gleichzeitig sind f\u00fcr diesen Handel in den meisten Firmen Mitarbeiter verantwortlich, denen man IT-Kenntnisse nicht unbedingt zutrauen muss. Optionale Angebote wie die M\u00f6glichkeit, Transaktionen von zwei Personen genehmigen zu lassen werden sowieso nicht genutzt, weil viel zu umst\u00e4ndlich.<\/p>\n<p>Da h\u00e4tte man mal besser die Anmeldegeb\u00fchren von 200 Euro auf 250 Euro hoch gesetzt und daf\u00fcr allen Nutzern einen Smartcard-Reader und eine Smartcard f\u00fcr die Authentisierung geschickt. Im Verh\u00e4ltnis zu den zu sch\u00fctzenden Werten und dem m\u00f6glichen Schaden ist das eine l\u00e4cherlich kleine Investition.<\/p>\n<p>Das einzige das fehlt um die Pleite komplett zu machen ist lediglich noch so ein T\u00dcV-Siegel &#8222;Safer Shopping&#8220; oder so, auf der Seite der DEHSt. Ich kann mir nicht vorstellen, dass eine Bundesbeh\u00f6rde was online gehen l\u00e4sst, ohne sich eine T\u00dcV-Bescheinigung einzuholen. Und dann w\u00fcrde sich <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/TueV-Siegel-schuetzt-nicht-vor-Cross-Site-Scripting-207319.html\">der Kreis nat\u00fcrlich schlie\u00dfen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wie inzwischen alle Medien berichten, ist der europ\u00e4ische Emissionshandel gro\u00dffl\u00e4chig zerlegt worden. Angeblich haben sich Hacker mittels Phishing-Mails Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts \u00fcbertragen und f\u00fcr mehrere Millionen Euro verkauft. Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,14],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1059"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1059"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1059\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1059"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1059"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1059"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}