Die gestohlenen Zertifikate wurden kurz darauf wahrscheinlich legal weiterverkauft, es sollen bereits Zertifikate der Geschädigten in Deutschland wieder aufgetaucht sein. Drewsen-Geschäftsführer Thomas Katzenmayer versucht derzeit, auf eigene Faust möglichst viele Informationen über die Phishing-Attacke zu sammeln. Er fühlt sich von der Deutschen Emissionshandelsstelle (DEHSt) nicht ausreichend informiert. Deshalb hat er alle im deutschen Register gemeldeten Anlagenbetreiber auf elektronischem Wege angeschrieben und bittet um Informationen.

"Die DEHST gibt uns weder Auskunft über den Verbleib der Zertifikate, noch nennt sie uns weitere Betroffene. Sie behauptet in Deutschland gäbe es nur 6 weitere Fälle und sieht diese geringe Anzahl als Beweis für die Sicherheit ihres Systems", schreibt der Manager in seinem elektronischen Rundbrief. Er möchte gern mit anderen Betroffenen eine Art konzertiertes Vorgehen absprechen. "Daher wären wir Ihnen sehr dankbar, im Falle dass auch Sie Zertifikate verloren haben, wenn Sie sich mit uns in Verbindung setzen würden", heißt es in der E-Mail weiter. Gebeten wird um Rückantworten mit Angaben zu Name und Anschrift der Firma, Telefonnummer und Mailadresse eines Ansprechpartners und der Anzahl der verlorenen Zertifikate. Auch die Frage, ob Betroffene an die Öffentlichkeit gehen wollen, wartet auf Beantwortung.

"Ich werde mit Rückmails überschüttet", freut sich Katzenmayer. Er bekomme Hinweise zum Zeitpunkt, wann die Unternehmen die Phishing-Mail an die DEHSt weitergeleitet haben, und vor allem "moralische Unterstützung". "Die Leute finden es gut, dass wir uns zur Wehr setzen nachdem wir so über den Tisch gezogen worden sind", sagt Katzenmayer. "Wir sind nicht vom Diebstahl von CO2 Zertifikaten betroffen. Haben heute nochmals den Kontostand kontrolliert.

Wir können nachvollziehen, wie schwer es ist, diesen bedeutenden wirtschaftlichen Schaden wieder zu kompensieren. Wenn wir Sie in irgendeiner Weise bei der Aufklärung unterstützen können, dann lassen Sie es uns wissen", schrieb ein Unternehmen. Ein anderes war zwar nach eigenem Bekunden nicht von der Phishingattacke betroffen: "Dennoch - auch als nicht Betroffene können wir das von Ihnen beschriebene Vorgehen der DEHST nicht verstehen. Wir wünschen Ihnen viel Erfolg bei der Aktion".

Katzenmayer versteht sein Engagement auch als ein Zeichen von Zivilcourage. Die Häme, die nach dem erfolgreichen Klau der Zugangsdaten in verschiedenen Medienberichten über die Opfer der Phishing-Attacke hereingebrochen sei, schmerze ihn. Dem für das CO2-Geschäft zuständigen Mitarbeiter seien am 28. Januar sein Fleiß und sein Engagement zum Verhängnis geworden. "Ein anderer hätte die gefälschte Mail vielleicht ein paar Tage liegen lassen", stellt sich Katzenmayer vor den Pechvogel.

Dass der Umgang mit Zertifikaten nicht zum Tätigkeitsschwerpunkt bei dem Spezialpapierhersteller gehört, ist für Katzenmayer eine Erklärung für den erfolgreichen Zugangsdatenklau. "Wir beschäftigen uns eigentlich nur ein Mal im Jahr mit dem Konto und unseren Zertifikaten, nämlich dann, wenn wir die Berechtigungen abgeben müssen", sagt er. Ihm widerstrebt der öffentliche Umgang mit seinen Unternehmensdaten. "Wo sonst gibt es das, dass Dritte abrufen können, welcher Betrag auf meinem Konto liegt mitsamt Kontonummer und Namen und Mailadressen der Kontobevollmächtigten?", klagt er. Mittlerweile habe das Unternehmen die sensiblen Daten dem öffentlichen Zugriff entzogen.

Für seine Rundmail hat sich Katzenmayer allerdings die offensichtliche Schwäche des deutschen Registers zu Nutze gemacht. Weil die DEHSt ihm die Namen der anderen Betroffenen nicht verraten wollte, beauftragte er einen Mitarbeiter aus der EDV-Abteilung damit, die Mailadressen der Konteninhaber aus den im deutschen Register veröffentlichten Tabellen herauszufiltern.