Eine Hackerin soll sich Zugang zu privaten Daten von mehr als 100 Millionen Kreditantragstellern bei der US-Bank Capital One verschafft haben. Die Verdächtige, eine 33-jährige Informatik-Ingenieurin aus Seattle, wurde festgenommen und erschien am Montag erstmals vor einem Gericht in Seattle. Es ordnete an, dass sie bis zu einer Anhörung am Donnerstag in Untersuchungshaft bleiben muss.

Bei rund 140.000 Kunden soll die Verdächtige unter anderem Angaben zu deren Bonität und Kontoständen sowie Sozialversicherungsnummern erbeutet haben. Insgesamt waren von dem Angriff rund 100 Millionen Menschen in den USA und 6 Millionen in Kanada betroffen.

Die Beeinträchtigungen im System seien bereits am 19. Juli entdeckt und unverzüglich der Polizei gemeldet worden, teilte Capital One mit. Zwei Tage zuvor hatte laut einer Strafanzeige des FBI jemand der Bank per E-Mail mitgeteilt, dass offenbar gestohlene Daten auf der zu Microsoft gehörenden Softwareentwicklungsplattform GitHub aufgetaucht seien.

Und einen Monat vor Eingang der E-Mail hat ein Twitter-Account mit dem Namen erractic (erratisch) der Bank Capitol One damit gedroht, persönliche Kundendaten wie Namen, Geburtstag und Sozialversicherungsnummern in Umlauf zu bringen. Unter dem Namen erratic soll die Verdächtige im Netz unterwegs gewesen sein.

Am Montag nahm das FBI eine Razzia im Haus der Verdächtigen vor und beschlagnahmte dabei Digitalgeräte. Die erste Durchsuchung förderte Dateien mit Verweisen auf Capital One und andere Einrichtungen zutage, die "womöglich Ziele von versuchten oder erfolgten Netzwerkeingriffen" waren, wie es hieß.

Es sei unwahrscheinlich, dass die gestohlenen Informationen für kriminelle Machenschaften wie Betrug missbraucht worden seien. Doch würden die Ermittlungen fortgesetzt, teilte Capital One weiter mit. Demnach stammen die meisten gehackten Daten von Informationen, die Kunden und kleine Betriebe zwischen 2005 und Anfang 2019 bei ihren Anträgen auf Kreditkarten hinterlegten. Neben Angaben zur Bonität, Kontoständen, Telefonnummern, E-Mail-Adressen, Geburtstagen und Selbstauskünften zum Einkommen gelang es der Tatverdächtigen, auch auf Teile von Transaktionsinformationen über einen Zeitraum von 23 Tagen aus den Jahren 2016, 2017 und 2018 zuzugreifen.

Capital-One-Chef Richard Fairbank entschuldigte sich bei den Kunden für den Datendiebstahl. Die Bank ist der fünftgrößte Anbieter von Kreditkarten in den USA. Die Panne werde Capital One im Lauf des Jahres etwa 100 bis 150 Millionen US-Dollar (bis zu 135 Millionen Euro) kosten, vor allem für Rechtskosten, Benachrichtigungen von Kunden und Umstellung der Technik.

Der festgenommenen Hackerin drohen bei einer Verurteilung fünf Jahre Haft und 250.000 Dollar Geldstrafe.