Von Nikolaus Piper

Drei Männer sollen den bisher größten Diebstahl von Kreditkarten-Daten in der US-Geschichte begangen haben. Der Kopf der Bande war offenbar ein Doppelagent.

Die amerikanischen Behörden haben den bisher größten Diebstahl von Kreditkarten-Daten in der Geschichte des Landes aufgedeckt. Wie das Justizministerium mitteilte, klagt die Staatsanwaltschaft drei Männer an, die sich den Zugang zu mehr als 130 Millionen Kredit- und Debitkarten beschafft haben.

Die Daten wurden teilweise im Internet weiterverkauft und unter anderem dazu benutzt, um an Geldautomaten von den Konten der Opfer größere Summen abzuheben. Betroffen sind Kunden von Heartland Payment Systems, einem Unternehmen aus New Jersey, das Zahlungen von Kreditkartengesellschaften abwickelt, außerdem die Einzelhandelsketten 7-Eleven aus Texas und Hannaford aus Maine.

Die Unternehmen hatten den Einbruch in ihre Zahlungssysteme bereits gemeldet, das Ausmaß des Datendiebstahls war aber bisher nicht bekannt. Schätzungen über den Gesamtschaden des Betrugs wurden nicht veröffentlicht.

Lange kriminelle Vorgeschichte

Als Kopf der Bande nannten die Behörden den 28 Jahre alten Albert Gonzalez aus Miami. Bei zwei weiteren Angeklagten, deren Namen nicht genannt wurden, soll es sich nach amerikanischen Medienberichten um russische Staatsbürger handeln. Gonzalez selbst ist eine schillernde Persönlichkeit mit einer langen kriminellen Vorgeschichte. Für seine Geschäfte legte er sich Codenamen wie "segvec", "CumbaJohnny" und "soupnazi" zu.

Das Programmieren hat sich Gonzalez selbst beigebracht. Erstmals wurde er 2003 verhaftet - als Teil eines Hackerringes von mehr als 4000 Personen. Er betrieb damals "Shadowcrew", eine Art Internet-Plattform für den Handel mit gestohlenen Kreditkarten-Daten. Gonzalez wurde danach wieder auf freien Fuß gesetzt, weil er sich bereiterklärt hatte, für die US-Strafverfolgungsbehörde Secret Service als Informant in der Hackerszene zu arbeiten. Er durfte sogar mit Zustimmung der Behörden von New Jersey nach Florida umziehen.

Tatsächlich agierte Gonzalez aber offenbar als Doppelagent. Er informierte Hacker über bevorstehende Untersuchungen der Polizei und baute weiter an seiner kriminellen Karriere. Diese erreichte immer neue Höhen. Der gigantische Datendiebstahl, der jetzt aufflog, begann nach Erkenntnis der Staatsanwälte im Oktober 2006. Im Mai 2008 wurde Gonzalez verhaftet.

Seit 2008 im Untersuchungsgefängnis

Damals wurde ihm der Einbruch in Computer der Restaurantkette Dave & Buster's auf Long Island zur Last gelegt. Ein halbes Jahr später kam ein weiterer Vorwurf dazu. Er soll bei der Modekette TJ Maxx die Nummern von 40 Millionen Kreditkarten gestohlen haben. Der Schaden für das Unternehmen wurde mit 200 Millionen Dollar angegeben. Seit Mai 2008 sitzt Gonzalez in einem Untersuchungsgefängnis in Brooklyn.

Nach Unterlagen der Staatsanwaltschaft kündigte er vor seiner Verhaftung eine "operation get rich or die tryin'" ("Werde reich oder stirb beim Versuch, es zu werden") an. Er habe eine Geburtstagsparty für 75.000 Dollar organisiert und sich bei Gästen darüber beklagt, dass seine Geldzählmaschine ausgefallen sei. Deshalb habe er 340.000 Dollar in 20-Dollar-Noten von Hand zählen müssen. Das Geld stammte aus illegalen Abhebungen von Geldautomaten.

Zwischen Oktober 2006 und Mai 2008 setzten Gonzalez und seine Komplizen eine ausgefeilte Hackertechnik namens "SQL Injection Attack" ein. Dabei werden Computernetze benutzt, um Wege zur Überlistung von deren Sicherheitsbarrieren zu finden. Die Computer, die dabei eingesetzt wurden, standen in den US-Bundesstaaten Kalifornien und Illinois sowie in den Niederlanden, in Lettland und der Ukraine. Im Falle einer Verurteilung drohen Gonzalez und seinen Komplizen bis zu 25 Jahre Haft und Geldstrafen von bis zu 500.000 Dollar.

(SZ vom 19.08.2009/cf)