Ein US-Bundesberufungsgericht hat das zuvor als zu milde bewertete Strafmaß gegen den 22-jährigen Connor Brian Fitzpatrick, in der Szene bekannt als Pompompurin, deutlich verschärft und eine dreijährige Haftstrafe angeordnet. Der frühere Administrator von BreachForums war zunächst zu 20 Jahren Bewährung mit nur 17 Tagen Freiheitsentzug verurteilt worden. Die Berufungsinstanz befand die Strafe angesichts der Delikts- und Schadenslage als nicht angemessen und verwies den Fall zur Neuverhandlung, die nun in die Haftstrafe mündete.
Anklagepunkte und Tragweite: Access-Device-Fraud und 14 Milliarden Datensätze
Fitzpatrick wurde wegen Verschwörung zum Betrug mit Zugangsgeräten (Access-Device-Fraud), Anstiftung zu diesem Betrug sowie Besitzes von Materialien sexualisierter Gewalt gegen Kinder verurteilt. Nach Feststellungen des Gerichts entwickelte sich BreachForums unter seiner Leitung zur größten englischsprachigen Plattform für den Handel mit kompromittierten Daten. Dort wurden mehr als 14 Milliarden Einträge angeboten – darunter Sozialversicherungsnummern, Geburtsdaten sowie Informationen zu Beschäftigung und Krankenversicherung.
Vom RaidForums-Veteranen zum Betreiber von BreachForums
Pompompurin war zuvor als profilierter Akteur bei RaidForums aktiv und monetarisierte kompromittierte Datensätze im Untergrund. Nach der FBI-Zerschlagung von RaidForums im Jahr 2022 gründete er BreachForums, das rasch zum zentralen Umschlagplatz für Datenlecks und Zugangsdaten wurde. Laut Gerichtsunterlagen erzielte Fitzpatrick innerhalb eines Jahres 698.714 US-Dollar Einnahmen und begünstigte Transaktionen, die erheblichen Reputations- und Vermögensschaden bei Betroffenen verursachten.
Prominente Vorfälle und Angriffsmodell
Dem Angeklagten werden u. a. missbräuchliche E-Mails von legitimen FBI-Mailservern mit falschen Warnhinweisen sowie die Vermittlung großvolumiger Datendumps zur Last gelegt. Das verdeutlicht ein Bedrohungsmodell, das soziale Ingenieurskunst, Exploits gegen verwundbare Systeme und den Weiterverkauf von Identifikatoren (Logins, Passwörter, Tokens, Cookies, Kartendaten) systematisch verknüpft – mit unmittelbaren Folgeschäden für Unternehmen und Verbraucher.
Rechtliche Einordnung: Warum die Berufung durchgriff
Das erstinstanzliche Gericht berücksichtigte Alter und eine Autismus-Diagnose des Angeklagten und setzte auf Bewährung, Hausarrest, Internetverbote und Gerätemonitoring. Die Berufung argumentierte, das Strafmaß sei nicht verhältnismäßig zur skalierenden Rolle des Angeklagten als Betreiber und Multiplikator im Datenhandelsökosystem. Das neue Urteil betont die Bedeutung von Generalprävention und Schadensausgleich bei strukturellen Cyberkriminalitätsfällen.
Access-Device-Fraud verständlich erklärt
Nach US-Recht umfasst ein „access device“ sämtliche Mittel, die Zugang zu Finanzmitteln oder Konten eröffnen: Kreditkartendaten, Logins/Passwörter, OAuth- und Session-Tokens sowie Geräte-IDs. Herstellung, Erwerb, Verkauf oder Nutzung zur unbefugten Vorteilsnahme sind nach 18 U.S.C. §1029 strafbar.
Folgen für Unternehmen und Verbraucher: Datenlecks als Beschleuniger
Foren wie BreachForums verkürzen die Zeitspanne zwischen Leak und Ausnutzung. Gestohlene Datensätze werden schnell in Phishing, BEC-Betrug (Business Email Compromise), Credential Stuffing, Kontoübernahmen und Erpressung überführt. Der Verizon DBIR weist gestohlene Zugangsdaten seit Jahren als zentrale Initialvektoren aus. Laut FBI IC3 2023 verursachte BEC allein gemeldete Schäden in Milliardenhöhe, was die wirtschaftliche Schlagkraft dieser Angriffsform unterstreicht.
Praktische Schutzmaßnahmen für die Abwehr
– MFA/FIDO2 durchsetzen: Für kritische Systeme verpflichtend; wo möglich passwortlose Verfahren nach NIST SP 800-63B und FIDO2 nutzen.
– Leak-Monitoring: Dark-Web-Quellen und Stealer-Logs überwachen; kompromittierte Passwörter automatisiert zurücksetzen.
– Endpoint und Netzwerk härten: EDR/XDR, Segmentierung, Least Privilege, Just-in-Time-Zugriff.
– E-Mail und SaaS absichern: DMARC/DKIM/SPF, BEC-Schutz, Geo-/Zeit- und Anomalieerkennung, Kontrolle von OAuth-/Session-Tokens.
– Incident Response üben: Eskalationsmatrix, Kontaktwege zu Strafverfolgern, schnelle Benachrichtigung Betroffener und Rotationspläne für Anmeldeinformationen.
Das Urteil gegen Pompompurin signalisiert eine härtere Linie gegen Betreiber von Datenhandelsplattformen. Organisationen sollten MFA als Standard etablieren, Monitoring auf kompromittierte Identitäten ausweiten und Response-Prozesse festigen. Wer Zugangsdaten, Token-Diebstahl und E-Mail-Vertrauensketten priorisiert absichert, verkleinert das Angreiferfenster und reduziert Folgeschäden – technisch, organisatorisch und rechtlich.
