Ein Teenager hat sich nach den Cyber-Angriffen auf Casinos im Jahr 2023 in Las Vegas den Behörden gestellt
Zwischen August und Oktober 2023 kam es in Las Vegas zu folgenreichen Cyberangriffen auf die IT-Infrastruktur mehrerer Casino-Betreiber. Besonders betroffen waren MGM Resorts International, unter anderem mit MGM Grand, Cosmopolitan, Bellagio, Luxor und Excalibur, sowie Caesars Entertainment.
In einer am 19. September veröffentlichten Mitteilung sprach das Las Vegas Metropolitan Police Department (LVMPD) von „ausgeklügelten Netzwerk-Einbrüchen“ und bestätigte den Angriffszeitraum sowie den überregionalen Umfang.
Verdächtiger stellt sich und steht vor schweren Vorwürfen
Ein Jugendlicher wurde im Rahmen der Ermittlungen identifiziert und stellte sich am 17. September 2025 im Clark County Juvenile Detention Center. Sein Name wurde wegen seines Alters nicht genannt.
Ihm werden sechs Delikte zur Last gelegt: drei Fälle des Erlangens und der Verwendung persönlicher Identitätsdaten zur Schädigung oder Identitätsübernahme, ein Fall Erpressung, ein Fall Verschwörung zur Erpressung sowie ein Fall rechtswidriger Handlungen im Zusammenhang mit Computern.
Nach Angaben der Polizei strebt die Staatsanwaltschaft von Clark County an, den Fall an die Strafkammer zu überweisen – mit der Möglichkeit, den Jugendlichen als Erwachsenen anzuklagen.
Modus Operandi: Social Engineering als Türöffner
Die Täter setzten weniger auf technische Exploits als auf methodisches Social Engineering. Laut Berichten nutzte ein Angreifer LinkedIn, um sich am Telefon gegenüber dem IT-Helpdesk von MGM als interner Mitarbeiter auszugeben, eine Passwort-Rücksetzung zu erwirken und so Zugriff auf interne Systeme zu erhalten.
Etwa 10 Minuten später war der Zugang hergestellt. In der Folge wurden Spielautomaten und Hotelschlüsselkarten deaktiviert, E-Mail-Konten von Beschäftigten gesperrt und Reservierungen zeitweise blockiert. Die Angriffe legten zentrale Onlinedienste lahm und störten Arbeitsabläufe im Casino-Betrieb.
Folgen für MGM: Betriebsausfälle, hohe Kosten, kompromittierte Daten
MGM meldete den Vorfall der US-Börsenaufsicht SEC und bezifferte die wirtschaftlichen Auswirkungen auf rund 100 Millionen US-Dollar. Der Konzern verzeichnete etwa zehn Tage lang spürbare Einschränkungen, betroffen waren Gehaltsabrechnungen, Check-in-Systeme, Zimmerschlüssel, Spielautomaten und Webpräsenzen.
Trotz temporärer Abschaltungen zur Schadensbegrenzung kam es zu Datenabflüssen. Nach Unternehmensangaben wurden unter anderem Telefonnummern, E-Mail-Adressen, Wohnadressen, Geschlecht, Geburtsdaten sowie Führerschein-, Sozialversicherungs- und Passnummern kompromittiert. MGM betonte zugleich, kein Lösegeld gezahlt zu haben. CEO Bill Hornbuckle beschrieb die Attacke als „Unternehmensterrorismus in Reinkultur“.
Auswirkungen bei Caesars: Zugriff auf Treueprogramm-Daten und mutmaßliche Zahlung
Caesars Entertainment informierte die SEC ebenfalls über einen Sicherheitsvorfall. Den Angaben zufolge erhielten die Angreifer Zugriff auf Kundendaten von Teilnehmern des Treueprogramms, darunter Führerschein- und Sozialversicherungsnummern.
In der Mitteilung hieß es, man habe Maßnahmen ergriffen, um sicherzustellen,
„…dass die gestohlenen Daten von dem unbefugten Akteur gelöscht werden, obwohl wir dieses Ergebnis nicht garantieren können“.
Cybersicherheitsexperten interpretierten diese Formulierung als Hinweis auf eine Zahlung. Berichten zufolge entrichtete Caesars 15 Millionen US-Dollar von geforderten 30 Millionen US-Dollar und verzeichnete dadurch geringere Betriebsstörungen als MGM.
Die Ermittler schreiben die Angriffe einer organisierten Gruppe zu, die unter verschiedenen Aliasen auftritt: „Scattered Spider“, „Octo Tempest“, „UNC3944“ und „0ktapus“. Zudem beanspruchte ein Akteur namens AlphV/Alpha die Verantwortung für den Vorfall bei MGM, ohne laut Medienberichten zu bestreiten, dass Scattered Spider operativ beteiligt war.
Die parallele Nutzung mehrerer Bezeichnungen ist typisch für lose vernetzte Angriffsökosysteme, in denen Rollen, Werkzeuge und Zugänge geteilt oder weiterveräußert werden.
Task Force, frühere Verfahren, ungeklärte Bezüge
Die Las Vegas Cyber Task Force des FBI – in Zusammenarbeit mit der Cyber Investigative Group der LVMPD – führt die Ermittlungen. Bereits im Juli 2024 war ein 17-jähriger Brite in einem verwandten Kontext wegen Erpressung und Computermissbrauchs angeklagt worden.
Im November 2024 erhoben Bundesstaatsanwälte Anklage gegen vier Männer im Alter von 20 bis 23 Jahren, die dem Umfeld von „Scattered Spider“ zugerechnet werden.
Zu diesem Zeitpunkt bestand keine offizielle Verknüpfung zu den konkreten Vorfällen bei MGM und Caesars. Auch die aktuelle LVMPD-Mitteilung benennt mehrere Kasinobetriebe in Las Vegas, nennt die Marken jedoch nicht explizit.
Abseits der Casino-Branche hatten nevadische Behörden zuletzt mit einem separaten Angriff auf staatliche Netzwerke zu kämpfen. DMV und andere Einrichtungen waren weiterhin beeinträchtigt.
Außerdem wurden zwei Angriffe auf den Clark County School District (CCSD) bekannt, darunter ein Datenleck im Herbst 2023, bei dem Schülerinformationen im Dark Web auftauchten.
Für diese Vorfälle wurden keine Verhaftungen gemeldet. Ein direkter Zusammenhang mit den Angriffen auf MGM und Caesars liegt nicht vor, die Ereignisse verdeutlichen jedoch die gesamtstaatliche Bedrohungslage.
Der Fall unterstreicht die Wirksamkeit von Social-Engineering-Ketten und die Notwendigkeit, Helpdesk-Prozesse gegen Identitätsvortäuschung zu härten, etwa durch strikte Mehrfaktor-Verifizierung, Call-Back-Verfahren an bekannte Nummern und Rollenbasierung bei Berechtigungen.
Für Betreiber kritischer Systeme bleibt entscheidend, Betriebskontinuität und Datenminimierung miteinander zu verbinden: Segmentierung, Notfall-Playbooks, Übungen und schnelle Isolationsmechanismen können Auswirkungen wie in Las Vegas begrenzen.
Quellen
Bildquelle