US-Bundesbehörden gehackt: Täter gesteht Zugriff auf Supreme Court

Ein 24-Jähriger hat sich vor einem US-Bundesgericht schuldig bekannt, Systeme des Obersten Gerichtshofs und weiterer Bundesbehörden gehackt zu haben. Der Fall offenbart gravierende Sicherheitslücken.

Nicholas Moore aus Springfield, Tennessee, gestand am vergangenen Freitag den unerlaubten Zugriff auf Computer. Ziel seiner Angriffe zwischen August und Oktober 2023 waren das elektronische Einreichungssystem des U.S. Supreme Court, die Gesundheitsplattform des Veterans Affairs Department (VA) und Systeme von AmeriCorps. Sein Motiv war laut Anklage nicht finanzieller Gewinn, sondern der Wunsch nach Online-Berühmtheit.

Supreme Court: 25 unerlaubte Zugriffe

Der spektakulärste Teil der Angriffsserie betraf den Obersten Gerichtshof. Moore nutzte über zwei Monate hinweg gestohlene Login-Daten eines autorisierten Nutzers, um sich mindestens 25 Mal Zugang zum System zu verschaffen. Er sah sensible Details des Einreichungssystems ein und machte Screenshots der persönlichen Nutzeroberfläche.

Diese Bilder – mit dem vollen Namen des Opfers – lud er auf einen öffentlichen Instagram-Account mit dem provozierenden Namen „@ihackedthegovernment“. Experten betonen: Zwar wurden keine internen Systeme der Richter kompromittiert, doch der Vorfall zeigt die anhaltende Gefahr durch „Credential Stuffing“ – das Wiederverwenden geknackter Passwörter.

Passend zum Thema gestohlener Zugangsdaten und fehlender Zwei-Faktor-Authentifizierung: Viele Angriffe beginnen mit Phishing oder gefälschten Login-Seiten, die Nutzer täuschen. Ein kostenloses Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie Phishing-Mails, CEO-Fraud und psychologische Tricks erkennen und abwehren – inklusive Checklisten und konkreten Handlungsempfehlungen für IT-Verantwortliche. Reduzieren Sie das Risiko von Kontoübernahmen und Datenlecks mit sofort umsetzbaren Maßnahmen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Medizinische Daten von Veteranen öffentlich gemacht

Noch gravierender war der Einbruch in die Systeme der US-Veteranenbehörde VA. Moore drang mit den Zugangsdaten eines Marine-Veteranen in dessen „My HealtheVet“-Konto ein. Fünf Mal sah er zwischen September und Oktober 2023 intime Gesundheitsdaten ein: verschriebene Medikamente, Blutgruppe und weitere sensible Informationen.

In einem als besonders rücksichtslos beschriebenen Schritt postete er Screenshots dieser privaten medizinischen Daten auf Instagram. Veteranenschutzverbände zeigen sich alarmiert über die Sicherheitsprotokolle, die Millionen sensibler Datensätze schützen sollen.

Mangelnde Zwei-Faktor-Authentifizierung als Schwachstelle

Die IT-Sicherheitsbranche reagiert mit Warnungen auf das Geständnis. Der Fall unterstreiche die Fragilität von Authentifizierungssystemen, die nur auf statischen Passwörtern basieren. Dass ein Einzeltäter mit gestohlenen Zugangsdaten drei verschiedene Bundesbehörden kompromittieren konnte, deutet auf eine mangelnde flächendeckende Nutzung der Zwei-Faktor-Authentifizierung (2FA) in den betroffenen Behörden hin.

„Dieser Fall ist eine eindringliche Erinnerung an das menschliche Element in der Cybersicherheit“, kommentiert ein Analyst. Selbst die am besten geschützten Netzwerke seien angreifbar, wenn Zugangsdaten kompromittiert und wiederverwendet werden. Der Vorfall befeuert erneut Forderungen nach einer schnelleren Einführung von Zero-Trust-Architekturen in der US-Bundesverwaltung.

Anklage als Vergehen – trotz schwerwiegender Folgen

Moore bekannte sich vor Bundesrichterin Beryl A. Howell zu einem einzigen Anklagepunkt: computerbezogenen betrügerischen Aktivitäten. Es handelt sich dabei um ein Vergehen (Misdemeanor), nicht um ein Verbrechen (Felony). Die maximale Strafe beträgt ein Jahr Haft und eine Geldstrafe von bis zu 100.000 US-Dollar.

Rechtsexperten vermuten, dass die vergleichsweise milde Einstufung mit der spezifischen Angriffsmethode zusammenhängt: Moore nutzte keine hochkomplexen technischen Exploits, sondern „nur“ gestohlene Zugangsdaten autorisierter Nutzer. Die Urteilsverkündung ist für den 17. April 2026 angesetzt.

Neue Motivation: „Clout Chasing“ statt Geldgier

Die Ermittlungen des FBI und der Polizei des Supreme Courts ergaben ein klares Motiv: „Clout Chasing“, also das Streben nach Aufmerksamkeit und Anerkennung in Online-Communities. Dies markiert einen Wandel im Profil von Hackern. Neben finanziell oder geopolitisch motivierten Akteuren tritt eine jüngere Generation, die den Kick sucht, ihre „Erfolge“ auf Plattformen wie Instagram oder Telegram zu veröffentlichen.

Für die Opfer – deren Identitäten gestohlen und deren privateste Daten öffentlich gemacht wurden – bringt das Geständnis eine Art Abschluss. Die Verletzung ihrer Privatsphäre bleibt jedoch unwiderruflich. Der Fall dient als Weckruf für Behörden weltweit: Robuste Identitätsmanagement-Systeme und die Überwachung von Nutzerverhalten sind entscheidend, um Anomalien zu erkennen, bevor sensible Daten in den sozialen Medien landen.

PS: Wenn Angreifer gestohlene Logins nutzen, verhindert oft ein klarer Maßnahmenplan größeren Schaden. Dieses Gratis-Paket zeigt konkrete Schritte — von besseren Authentifizierungsregeln über Nutzer-Schulungen bis hin zu technischen Kontrollen — und erklärt, wie Behörden und kleine IT-Teams aktuelle Hacker-Methoden effektiv abwehren. Praktische Checklisten helfen, sofort zu handeln und Konten sicherer zu machen. Jetzt Anti-Phishing-Guide anfordern