Am 28.01.2010 wurden Kontoinhaber zahlreicher Emissionshandelsregister in Europa und darüber hinaus durch gefälschte E-Mails aufgefordert, ihre Kontozugangsdaten an eine Website zu übermitteln. Von dieser so genannten „Phishing-Aktion“ zur Ausspähung von Nutzernamen und Passwörtern waren auch die Nutzer des deutschen Emissionshandelsregisters, das von der Deutschen Emissionshandelsstelle (DEHSt) im Umweltbundesamt in Berlin geführt wird, betroffen.
Nach bisheriger Kenntnis haben sieben von ca. 2.000 Nutzern des deutschen Emissionshandelsregisters ihre Kontozugangsdaten weitergegeben und so Betrügern den Zugriff auf ihre Konten ermöglicht. Durch die Betrüger wurden ca. 250.000 Emissionsberechtigungen (mit einem Wert von rund 12 Euro pro Emissionsberechtigung) von den Konten unberechtigt transferiert. Die betroffenen Unternehmen und das Umweltbundesamt (UBA) haben Strafanzeigen erstattet. Zum Schutz vor weiteren Betrügereien wurde die Möglichkeit zu Transaktionen aus dem deutschen Emissionshandelsregister am 29.01.2010 gesperrt. Der reguläre Betrieb wird voraussichtlich ab Donnerstag, 04.02.2010, wieder möglich sein.
Die DEHSt im UBA hat bereits unmittelbar am 28.01.2010 die Nutzer des deutschen Emissionshandelsregisters auf die Phishing-Aktion hingewiesen und vor der Weitergabe der Kontozugangsdaten gewarnt sowie Hinweise zum Schutz der Konten bei bereits übermittelten Zugangsdaten gegeben. Ferner hat das UBA nochmals auf die im deutschen Emissionshandelsregister möglichen zusätzlichen Sicherheitsmaßnahmen, wie das Vier-Augen-Prinzip bei der Auslösung von Transaktionen und die automatische Benachrichtigung bei der Einloggung im Register, hingewiesen. Klar ist jedoch, dass ein absoluter Schutz vor Betrug bei der freiwilligen Weitergabe von Kontozugangsdaten durch technische Maßnahmen des Registers nicht möglich ist, sondern immer auch der Mitwirkung durch die Nutzer bedarf.