Im Fall des Diebstahls von Emissionsrechten nutzten die Betrüger das größte Einfallstor für das Ausspähen von Zugangsdaten: das Mailpostfach. Bei dieser Methode des Passwort-Fischens wird eine offiziell wirkende Mail im Namen eines Unternehmens versendet, die die Empfänger zur erneuten Registrierung auffordert, oft verbunden mit dem Hinweis, dass es Probleme mit den gültigen Zugangsdaten gebe.

Im aktuellen Fall kam die E-Mail vorgeblich von der Deutschen Emissionshandelsstelle, die Diebe begründeten den Schritt - ausgerechnet - mit potenziellen Hackerangriffen.

In typischen Phishing-Mails findet sich ein Link zu einer (gefälschten) Website, auf der Nutzer ihre Daten eingeben sollen. Meist ist das Ziel verschleiert (Link-Spoofing). Wer die Seite aufruft und seine Daten einträgt, hängt am Haken.

Das Umweltbundesamt weiß von sieben der etwa 2000 deutschen Nutzer des Emissionshandelsregisters, die auf diese Masche hereingefallen sind. Insgesamt seien rund 250000 Emissionsberechtigungen von den Konten unberechtigt transferiert worden.

Betrüger nehmen aber auch immer häufiger gar nicht mehr den Umweg über das Abfischen von Zugangsdaten, sondern spähen unbemerkt die Kommunikation zwischen dem heimischen Rechner und dem Server eines Unternehmens aus. Möglich wird das über eine eingeschleuste Schadsoftware.

Gute Anti-Virenprogramme erkennen neben solchen Trojanern oft auch Phishing-Mails. Mailprogramme wie Mozilla Thunderbird oder Outlook bieten zudem bordeigene Schutzmechanismen: Neben einer Blacklist, die bekannte Phishing-Absender erkennt, checkt der Mailclient den Inhalt der Nachricht auf verdächtige Bestandteile.

Ein paar Handgriffe in den Einstellungen der Mailsoftware helfen, verschleierte Linkziele zu enttarnen. So sollte man grundsätzlich die Darstellung von HTML und das Ausführen von Skripten abschalten.

Wer sich noch besser vor Phishing schützen will, kann Erweiterungen wie Delphish nachrüsten. Internetnutzer sollten sich aber nie allein auf die Technik verlassen und grundsätzlich misstrauisch sein, wenn es um die Preisgabe persönlicher Daten geht.

Im aktuellen Fall könnten die betroffenen Unternehmen auf dem Schaden sitzen bleiben: Das Umweltbundesamt prüfe derzeit die Haftungsfrage, sagt Sprecher Martin Ittershagen. Man habe die Firmen sofort nach Bekanntwerden der ersten Phishing-Fälle gewarnt und sie an das Vier-Augen-Prinzip bei der Auslösung von Transaktionen und die automatische Benachrichtigung beim Einloggen erinnert.

"Klar ist jedoch, dass ein absoluter Schutz vor Betrug bei der freiwilligen Weitergabe von Kontozugangsdaten durch technische Maßnahmen des Registers nicht möglich ist, sondern immer auch der Mitwirkung durch die Nutzer bedarf", betont Ittershagen.

Beim Abfischen von Kontodaten privater Bankkunden indes hat sich die Rechtsprechung zugunsten der Bankkunden geändert. Das Amtsgericht Wiesloch urteilte 2008, dass die Bank haftet - vorausgesetzt, der Kunde erfüllt die "durchschnittlichen Sorgfaltsanforderungen". Im Klartext: Eine Virensoftware sollte installiert sein.