Im Januar 2024 ereignete sich ein spektakulärer Cyberangriff, der die Finanzwelt und insbesondere den Kryptomarkt erschütterte. Der Twitter-ähnliche Kurznachrichtendienst X wurde zur Bühne eines Hackerangriffs, bei dem die offizielle Konto der US-amerikanischen Securities and Exchange Commission (SEC) kompromittiert wurde. Das Ergebnis war eine gefälschte Ankündigung eines Spot Bitcoin Exchange Traded Funds (ETF), die für erhebliche Kursausschläge und Verunsicherung in den Kryptomärkten sorgte. Eric Council Jr., der Hauptverantwortliche hinter dem Angriff, nutzte eine Methode namens SIM-Swap, um sich Zugang zu diesem prominenten Account zu verschaffen und löste damit eine Kette von Ereignissen aus, die ihn letztendlich vor die US-Justiz brachten.
Sein Fall zeigt nicht nur die Risiken von Identitätsdiebstahl und Social Engineering, sondern gewährt auch einen bemerkenswerten Blick auf die Reaktion und Präventionsmaßnahmen bei staatlichen Institutionen und im Kryptosektor. Eric Council Jr., der als SIM-Swap-Hacker bekannt wurde, betreibt einen illegalen Dienst auf Telegram unter dem Namen „easymunny“ und erzielte mit dem Sim-Swapping von Handynummern zwischen Januar und Juni 2024 etwa 50.000 US-Dollar. SIM-Swapping bezeichnet eine speziell raffinierte Technik, bei der Angreifer mit gefälschten Identitätsnachweisen Mobilfunkprovider überzeugen, die Telefonnummer eines Opfers auf eine neue SIM-Karte umzuschreiben, die sie kontrollieren.
Dadurch erhalten Hacker Zugriff auf Anrufe, SMS und Zwei-Faktor-Authentifizierungs-Codes (2FA), die oft für den Schutz sensibler Online-Konten verwendet werden. Im Fall des SEC-Hacks erschuf Council gefälschte Identitätsdokumente, mit denen er sich gegenüber einem Mitarbeiter des Telekommunikationsanbieters AT&T auswies. Durch diese Täuschung gelang es ihm, die Handynummer eines Mitarbeiters mit Zugang zum SEC-X-Account auf seine eigene SIM-Karte zu übertragen. Anschließend kaufte er ein neues iPhone in einem Apple Store in Alabama, aktivierte die SIM-Karte und gab die Zugangsdaten für das SEC-Profil an seine Komplizen weiter. Diese veröffentlichten daraufhin die falsche Ankündigung über die Genehmigung des Bitcoin-ETFs.
Die Folgen waren unmittelbar: Innerhalb von wenigen Minuten verbreitete sich die gefälschte Nachricht millionenfach. Die Bitcoin-Preise schnellten kurzzeitig um 1.000 US-Dollar nach oben, bevor sie innerhalb kürzester Zeit um fast 2.000 US-Dollar abstürzten. Diese Volatilität führte zum Verlust von mehreren zehn Millionen US-Dollar bei Anlegerpositionen und sorgte für eine weitreichende Verunsicherung in den Kryptomärkten.
Rund 15 Minuten nach der Veröffentlichung bestätigte die SEC, dass ihr X-Account gehackt worden war. Aufgedeckt wurde der Fall durch eine Überwachung der Behörden, die auf die Aktivitäten von Council aufmerksam wurden. Am 12. Juni 2024 wurden Ermittler Zeugen eines weiteren SIM-Swap-Versuchs des Hackers in einem Apple Store, bei dem er erneut versuchte, sich mit falscher Identität Zugang zu einem Telefon zu verschaffen. Wenige Tage später durchsuchten Ermittler seine Wohnung, sein Auto und elektronische Geräte.
Dabei fanden sie Beweise wie Vorlagen für gefälschte Ausweisdokumente und Chats, in denen Council über SIM-Swapping-Techniken und Geschäfte mit anderen verdächtigen Personen sprach, die sich vermutlich im Ausland befanden. Interessant ist, dass Council inmitten der Ermittlungen selbst im Internet recherchierte, wie er erkennen könne, ob er vom FBI durchsucht oder untersucht werde. Suchanfragen wie „Wie kann ich sicher wissen, ob ich vom FBI untersucht werde“ und „Wie lange dauert es, einen Telegram-Account zu löschen“ offenbaren die Angst und das Bemühen eines Cyberkriminellen, der seine Spur verwischt sehen wollte. Allerdings wurden diese Versuche durch eine Durchsuchung im Juni 2024 zunichte gemacht, denn trotz automatischer Löschfunktionen bei Telegram blieben Chats und Beweismaterial erhalten. Die SEC selbst geriet im Nachgang des Angriffes unter Kritik, weil das kompromittierte X-Konto zum Zeitpunkt des Hacks keinerlei Zwei-Faktor-Authentifizierung (2FA) hatte.
Zwar sprach die Behörde zunächst von einem versehentlichen Entfernen des Sicherheitsfeatures durch einen Support-Mitarbeiter auf Nachfrage eines SEC-Mitarbeiters, doch die Panne offenbart, wie selbst bedeutende Institutionen von Cyberangriffen verwundbar sind und wie wichtig es ist, robuste Sicherheitsmaßnahmen beständig zu überprüfen und durchzusetzen. Rechtskräftig gab Council Juni 2024 zu, durch Verschwörung zur Begehung von Identitätsdiebstahl und Missbrauch von Zugangsdaten gehandelt zu haben. Die Anklage erfolgte bereits im Oktober 2023 durch eine Bundesjury, was eine lange Zeit der Ermittlungen und Beweissicherung voraussetzte. Im Februar 2025 bekannte er sich schuldig. Die Staatsanwaltschaft beantragte daraufhin eine Freiheitsstrafe von zwei Jahren, doch die Gerichtsverhandlung und das endgültige Urteil stehen noch aus.
Der Fall wirft ein Schlaglicht auf mehrere relevante Themen. Zunächst die Gefahr der SIM-Swapping-Angriffe, die im Zeitalter der Mobilkommunikation und der allgegenwärtigen digitalen Authentifizierung besonders kritisch sind. Immer mehr Menschen nutzen ihre Telefonnummer auch als Schlüssel zu ihren Online-Banken, sozialen Netzwerken und Handelsplattformen. Die Methode des SIM-Swappings erfordert keine ausgeklügelte technische Expertise, sondern beruht vielmehr auf Täuschung, Identitätsfälschung und der Manipulation menschlicher Schwachstellen bei Mitarbeitern von Mobilfunkanbietern. Second, der Fall stellt die Frage, wie gut Regulierungsbehörden und Finanzinstitute auf den Schutz hochkarätiger Accounts vorbereitet sind.
Die fehlende 2FA bei der SEC, einer der zentralen Aufsichtsbehörden für Finanzmärkte in den USA, offenbart eine prekäre Sicherheitslücke, die Hacker erfolgreich ausnutzen konnten. Angesichts der steigenden Zahl von Cyberangriffen auf Institutionen und Unternehmen ist es dringend notwendig, Sicherheitsstandards zu verschärfen und insbesondere parallele Schutzmechanismen für offizielle Accounts einzuführen. Weiterhin zeigt der Vorfall, wie schnell falsche Informationen sich in der vernetzten Welt verbreiten und verheerende finanzielle Konsequenzen zur Folge haben können. Die Meldung über die angebliche Bitcoin-ETF-Genehmigung erzeugte Panik, spekulative Käufe und anschließende Verkäufe, die zu starken Kursschwankungen und Verlusten im Millionenbereich führten. Anleger und Trader müssen sich der Risiken bewusst sein, die durch Desinformation und manipulative Eingriffe entstehen, und ihre Strategien entsprechend anpassen.
Schließlich unterstreicht der Fall auch die Rolle von Justiz und Strafverfolgung im Kampf gegen Cyberkriminalität. Die Ermittlung, Festnahme und Klageerhebung gegen Eric Council Jr. basieren auf sorgfältiger Arbeit von Überwachungsbehörden, die moderne Techniken mit klassischer Fahndung kombinieren. Während Hacker oftmals versuchen, anonym zu bleiben und ihre Spuren zu verwischen, gelingt es den Strafverfolgern durch digitale Forensik und internationale Kooperationen zunehmend, Täter dingfest zu machen und vor Gericht zu bringen. Die Geschichte von Eric Council Jr.
ist eine Lektion, die alle an der Finanz- und Kryptobranche Beteiligten beherzigen sollten. Sie zeigt nicht nur, wie verwundbar selbst prominente Institutionen gegenüber kriminellen Angriffen sind, sondern auch, wie wichtig Wachsamkeit, technische Sicherheit und proaktive Maßnahmen im Kampf gegen Cyberkriminalität sind. Für Nutzer digitaler Dienste bedeutet dies zusätzlich, Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung konsequent zu nutzen, sensible Daten zu schützen und Veränderungen im eigenen Account-Verhalten genau zu beobachten. Der Angriff auf die SEC auf X hat bleibende Spuren hinterlassen, vor allem in der Wahrnehmung von Sicherheit im Finanzsektor. Er hat die Schwachstellen moderner Kommunikationstechnologien aufgezeigt und die Notwendigkeit verstärkt, technische, menschliche und organisatorische Faktoren im Sicherheitskonzept gemeinsam zu berücksichtigen.
Der Fall dürfte daher auch in Zukunft als ein warnendes Beispiel dienen, wie digitale Angriffe selbst die höchsten Ebenen staatlicher Kontrolle erschüttern können. Während Eric Council Jr. nun mit einer Gefängnisstrafe konfrontiert ist, bleibt die übergeordnete Herausforderung bestehen: Die Sicherung der digitalen Identität und die Verhinderung von Zukunftsdelikten in einer zunehmend vernetzten und technologieabhängigen Welt. Die Lehren aus dem SEC-Hack werden hoffentlich dazu beitragen, Richtlinien, Schutzmechanismen und das Bewusstsein für Cybersecurity auf allen Ebenen zu stärken – von einzelnen Nutzern bis hin zu globalen Institutionen.
