Das US-Justizministerium hat Anklage gegen einen Mann erhoben, der in Unternehmensnetzwerke eingedrungen sein soll, um anschließend seine IT-Sicherheitsdienstleistungen anzubieten. Anders als bei gewöhnlichen Pen Testern war seine Vorgehensweise skrupellos.
Ein 31-jähriger Mann aus Kansas City muss sich wegen des Vorwurfs des unerlaubten Eindringens in IT-Systeme vor Gericht verantworten. Wie aus der am Freitag veröffentlichten Anklageschrift (via BleepingComputer) hervorgeht, soll Nicholas Michael Kloster gezielt in die IT-Infrastruktur mehrerer Organisationen eingedrungen sein, um im Anschluss seine Dienste als Sicherheitsberater anzubieten. Dabei ging er nicht wie ein seriöser Ethical Hacker vor, sondern benahm sie wie die Axt im Walde.
Manipulation von Fitnessstudio-Systemen
Besonders dreist ging der Beschuldigte Ende April 2024 vor: Er verschaffte sich zunächst unbefugten Zugriff auf die Überwachungskameras einer Fitnessstudio-Kette, indem er deren frei zugängliche IP-Adressen ausnutzte. Über den Google-Fiber-Router konnte er anschließend auf Benutzerkonten der Domain zugreifen.
In einer E-Mail an die Geschäftsführung prahlte er mit seinen Hackingfähigkeiten und bot gleichzeitig seine Dienste an. Zudem manipulierte er seinen eigenen Fitnessstudio-Mitgliedsbeitrag auf einen Dollar monatlich und löschte sein Foto aus der Datenbank. Später veröffentlichte er Screenshots des kompromittierten Kamerasystems in sozialen Medien.
Physischer Einbruch in gemeinnützige Organisation
Im Mai folgte laut Anklageschrift ein weiterer Vorfall: Kloster verschaffte sich physischen Zugang zu den Räumlichkeiten einer gemeinnützigen Organisation. Dort umging er mittels Boot-Disk die Authentifizierung eines Computers, installierte eine VPN-Software und änderte diverse Zugangsdaten. Der entstandene Schaden wird auf mindestens 5.000 US-Dollar beziffert.
Besonders brisant: Für den Kauf spezieller „Hacking-USB-Sticks“ soll der Angeklagte gestohlene Kreditkarteninformationen seines ehemaligen Arbeitgebers verwendet haben. Diese Hardware ist speziell für das Ausnutzen von Sicherheitslücken konzipiert.
Hohe Haftstrafe droht
Dem Beschuldigten drohen bei einer Verurteilung bis zu 15 Jahre Gefängnis – fünf Jahre für das unbefugte Eindringen in Computersysteme sowie weitere zehn Jahre für die fahrlässige Beschädigung geschützter Computersysteme. Zusätzlich können Geldstrafen und Schadenersatzforderungen der geschädigten Organisationen auf ihn zukommen.