Süddeutsche Zeitung

USA:Hacker stehlen 160 Millionen Kreditkarten-Nummern

Es dürfte das schwerste Hacker-Verbrechen in der Geschichte der USA sein: Fünf Männer sollen über Jahre hinweg Kreditkarten-Nummern von Unternehmen abgegriffen und ihnen Verluste von Hunderten Millionen Dollar zugefügt haben. Drei der mutmaßlichen Täter sind noch immer auf der Flucht.

Die US-Staatsanwaltschaft hat fünf Männer wegen Datendiebstahls und Hackerangriffen auf mehr als ein Dutzend amerikanische und internationale Unternehmen angeklagt, die zu Millionenverlusten geführt haben sollen. Wie das Justizministerium im Bundesstaat New Jersey mitteilte, wurden etwa 160 Millionen Kreditkarten-Nummern gestohlen.

"Die Angeklagten werden heute beschuldigt, eine weltweite Hacker-Verschwörung angeführt (...) und Verluste von Hunderten Millionen Dollar verursacht zu haben", zitiert das Ministerium den zuständigen Staatsanwalt Paul J. Fishman. Zu den betroffenen Unternehmen zählen unter anderem die Handelskette 7-Eleven, die französische Supermarktkette Carrefour sowie Heartland Payment Systems - eines der größten Kreditunternehmen der Welt.

Bei den Angeklagten handelt es sich der Staatsanwaltschaft zufolge um vier Russen und einen Mann aus der Ukraine. Gegen einige der Männer laufen zusätzliche Anklagen im Bundesstaat New York wegen Hackerattacken auf die Citibank, die PNC Bank und die US-Börse Nasdaq. Zwei Verdächtige wurden schon im vergangenen Jahr in den Niederlanden festgenommen, einer von ihnen wurde bereits an die USA ausgeliefert und soll kommende Woche das erste Mal vor Gericht erscheinen. Die anderen drei befänden sich noch immer auf der Flucht, berichtet die New York Times.

Der Hackerangriff setzt sich vor allem deswegen von früheren Vebrechen ab, weil die Männer über einen besonders langen Zeitraum die Daten verschiedener Firmen abgriffen: Acht Jahre lang, von 2005 bis 2012.

Außerdem war der Ring extrem gut organisiert. Die fünf Männer teilten die Arbeit strategisch untereinander auf. Einer betrieb einen anonymen Webserver, ein anderer knackte die ausgewählten Webseiten, widerum ein anderer drang in die Systeme ein und schöpfte die sensiblen Daten ab.

Zehn Dollar für eine amerikanische Kreditkarten-Nummer

Die Angeklagten nutzten sogenannte "SQL Injections", das heißt, sie profitierten von Sicherheitslücken in den Datenbanken, infizierten die Computersysteme mit Schadprogrammen und konnten so die Kontrolle über die Server der Firmen gewinnen. "Sie waren sehr geduldig und unerbittlich", sagte Staatsanwalt Fishman bei der Verlesung der Anklage.

Da die Sicherheitsmaßnahmen bei europäischen Kreditkarten strenger sind als bei amerikanischen, konnten die Hacker diese in der Regel teurer verkaufen. Zehn US-Dollar verlangten sie für eine Kreditkartenummer aus den USA, 50 US-Dollar dagegen für eine aus Europa. Dem Kreditunternehmen Heartland Payment Systems schadeten die fünf Männer nach den aktuellen Ermittlungen am meisten. 200 Millionen Dollar verlor das Unternehmen und gab in einer Erklärung bekannt, dass die Datenlücke in ihrem System bis 2008 bestand.

"Das erinnert klar an das, was Forscher schon lange sagen: Die größte Bedrohung kommt von kriminellen Gangs, die meisten von ihnen stammen aus Russland", sagte Fred H. Cate, Direktor des Zentrums für angewandte Cybersicherheit an der Indiana University in Bloomington, der New York Times. Diese Bedrohung sei sehr viel akuter als die aus China.

Den russischen Angeklagten drohen nach Berichten der Washington Post nun bis zu 70 Jahre Haft. Dem Ukrainer stehen im schlimmsten Fall 35 Jahre Gefängnis bevor, da er lediglich der Verschwörung und nicht wegen Datendiebstahls angeklagt worden ist.

Bestens informiert mit SZ Plus – 14 Tage kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.1731207
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
Süddeutsche.de/dpa/ratz/jasch/leja
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.