Laut Klageschrift, die jetzt vor einem Bundesgericht in New Jersey eingereicht wurde, installierten die Kriminellen dort Programme, die in Echtzeit auf unverschlüsselt übertragene Daten zugriffen.

Seit 2006 haben Gonzales (28) und seine Mittäter auf diese Art Kreditkarten-Angaben von rund 130 Millionen Kunden erhalten. Der geschätzte Schaden des größten Hacker-Angriffs in der Geschichte beläuft sich auf 200 Millionen US-Dollar.

Die Geschädigten repräsentieren einen breiten Querschnitt des amerikanischen Einzelhandels. Hinzu kommt das Rechenzentrum "Heartland Payment Systems", das in Princeton Millionen Zahlungen für Kreditkartengesellschaften abwickelt.

Wie viele Privatkunden darüber hinaus Opfer des Cyber-Diebstahls geworden sind, lässt sich nur schwer abschätzen. Gonzales und Co. haben die gestohlenen Daten nur zum Teil selber genutzt. Eine größere Anzahl ist Online verschoben worden.

Der 28-jährige Hauptverdächtige leistete sich von den Erträgen seiner Online-Beutezüge in Miami ein Leben in Saus und Braus. Für eine Geburtstagsfeier ließ er einmal 75 000 Dollar springen. Gegenüber Freunden beklagte er sich, wunde Finger vom Zählen der 20-Dollar-Scheine aus dem Geldautomaten zu haben. Weil sein Geldzähler defekt war, hatte er 340 000 Dollar mit der Hand nachgezählt.

Was den Fall delikat macht, hat mit Gonzales Rolle als früherer Informant zu tun. Nachdem er dem 2003 bei einem anderen Cyber-Verbrechen ins Netz gegangen war, lieferte er Akteure der Online-Unterwelt ans Messer. Die Frage bleibt, wie es ihm gelang, quasi unter Aufsicht der Polizei den größten Kreditkartendiebstahl in der Geschichte der USA zu organisieren. Der Prozess in New Jersey könnte einige peinliche Details zu Tage befördern.