Update, 29. November 2017: Knapp zwei Jahre nach Erscheinen dieses Porträts veröffentlichte das US-Magazin The Verge ein Artikel, in dem Morgan Marquis-Boire mehrere sexuelle Übergriffe gestanden haben soll. Im Artikel wird aus einem Chat-Protokoll zitiert, demzufolge Marquis-Boire schreibt: "Betrunken habe ich Frauen sexuell belästigt oder vergewaltigt - ich versuche gerade, die exakte Zahl herauszufinden." Ron Deibert, Leiter der kanadischen Forschungseinrichtung Citizen Lab, distanzierte sich in einem öffentlichen Brief von Marquis-Boire. Auch die Nachrichtenseite The Intercept, für die Marquis-Boire tätig war, äußerte sich in einem Statement. Man sei zutiefst verstört gewesen über die Berichte. Marquis-Boire habe das Unternehmen 2015 verlassen.
Deshalb hält es die SZ für angebracht, dieses Porträt von Morgan Marquis-Boire zu aktualisieren.
Morgan Marquis-Boire hat sich für einen ungleichen Kampf entschieden. Auf der einen Seite Elite-Hacker, die im Auftrag von Staaten Menschen ausspionieren, auf der anderen Seite er und ein paar seiner Kollegen. Sie öffnen auf ihren Rechnern Dateien, die mit Schadsoftware infiziert sind, und versuchen in monatelangen Analysen herauszufinden, wer genau hinter den Angriffen steckt. Morgan Marquis-Boire ist ein Viren-Jäger.
Er und seine Mitstreiter konnten schon mehreren Ländern nachweisen, dass sie digitale Spionage-Kits zu benutzen. Syrien, Marokko, Bahrain gehören dazu. Marquis-Boire sagt: "In den vergangenen fünf Jahren habe ich stark gefährdete Individuen unterstützt, die von Hackern im Staatsauftrag angegriffen wurden." Die Staaten setzten Software ein, um Computer und Smartphones von Regimegegnern zu infiltrieren. Schaffen die Angreifer das, können sie Passwörter auslesen, an Dokumente und Bilder kommen, die Tastatur anzapfen und jedes Gespräch verfolgen. So können sie herausfinden, wo sich die ausgespähte Person zu einem bestimmten Zeitpunkt befinden wird und was sie genau vorhat. Aktivisten werden abgefangen, womöglich gefoltert.
Neuer Bericht deckt Spionage in Lateinamerika auf
Früher arbeitete Marquis-Boire für Google, heute für die auf Leaks und das Thema Überwachung spezialisierte Nachrichtenseite The Intercept. An seinem Akzent hört man, dass er in Neuseeland geboren wurde. An seiner Facebook-Seite sieht man, dass er gerne Metal-Musik hört. So laut, dass die Decke des Nachbarn bröckelt. Seit Monaten hört er verstärkt Metal aus Argentinien.
Das hängt mit einem Bericht zusammen, der am Mittwoch veröffentlicht wurde. Für ihn hat Marquis-Boire mit drei weiteren IT-Sicherheitsexperten recherchiert, dass eine Gruppe von Angreifern, genannt "Packrat", seit 2008 in mehreren Ländern Lateinamerikas gezielt Journalisten und Anwälte ausspioniert. Wer steckt dahinter? Das wahrscheinlichste Szenario den Autoren des Berichts zufolge: "Wir gehen davon aus, dass Packrat durch einen oder mehrere Staaten gefördert wird". Ein konkretes Land nennen sie nicht.
Nicholas Merrill, Chef einer Internet-Firma, musste 2004 weitreichende Daten eines Kunden an das FBI übermitteln. Erst jetzt darf er darüber reden.
"Anzeichen, dass ein Staat dahintersteckt"
Die Angreifer hatten es dem Bericht zufolge auch auf Alberto Nisman abgesehen. Der argentinische Staatsanwalt war im Januar tot in seiner Wohnung gefunden worden. Weil er sich mit der argentinischen Regierung angelegt hatte, löste sein Tod Spekulationen aus ( mehr dazu hier). Er wollte Beweise vorlegen, dass die Regierung Ermittlungen der Justiz zu einem Anschlag auf die jüdische Wohlfahrtsorganisation Amia im Jahr 1994 behindert habe, bei dem 85 Menschen ums Leben kamen. Marquis-Boire analysiert die Spionage-Software, die auf dem Android-Smartphone des Anwalts gefunden worden war. Nur weil die Software für das Windows-Betriebssystem geschrieben worden war, wurde Nisman nicht mit diesem Trojaner infiziert.
"Es gibt Anzeichen, dass ein Staat dahintersteckt", sagt Marquis-Boire, der seit Monaten an der Analyse sitzt und schon im August über die Software auf Nismans Handy geschrieben hat. "Die Domains und die dazugehörige Infrastruktur sind beispielsweise immer noch aktiv", sagt er. Für Marquis-Boire ist das ein Anhaltspunkt: Ist Schadsoftware erst einmal installiert, kommuniziert sie mit einem "Command and Control"-Server. An diese Adresse werden Daten geschickt und Befehle von der Adresse empfangen. "Üblicherweise wird so eine Infrastruktur schnell offline genommen, sobald sie geoutet ist. Das ist in diesem Fall nicht passiert", sagt Marquis-Boire. Er vermutet deshalb, dass die Gruppe sich nicht vor rechtlichen Konsequenzen fürchten muss. Das könnte dafür sprechen, dass sie von einem Staat zumindest gedeckt wird.
Dass Marquis-Boire einmal als sogenannter "White Hat" arbeiten würde, als Hacker für das Gute, überrascht ihn selbst. Er war Teil einer Clique, die vor 20 Jahren Anleitungen veröffentlichte, wie Studenten ihre Uni-Noten mit Hacking "optimieren" können. "Für die Hacker-Community war das Internet damals vor allem unsicher und mit Spaß verbunden", sagt er. In der Gründerzeit des Internets sei es ein beliebter Hack gewesen, die Uhrzeiten auf Telefonen um zwölf Stunden zu verschieben. Dafür brach ein Hacker 1981 in die Netzwerke von AT&T ein und verstellte dort die Zeit. So konnte er (und alle anderen Kunden der Firma) den deutlich günstigeren Nacht-Tarif nutzen.
Ernster wurde es bei Google. Für den Konzern kümmerten sich Marquis-Boire und sein Team darum, Hacker von den Netzwerken der Firma fernzuhalten. 2009 zum Beispiel hatten chinesische Angreifer Zugriff auf Datensätze von Google. Sie suchten nach Hinweisen, ob und welche Spione durch die US-Regierung überwacht werden ( mehr dazu hier).
Er deckt auf, welche Firmen Geld mit Überwachung machen
Die Konflikte der Welt sollten Marquis-Boire noch stärker einholen. "Als die Aufstände im arabischen Raum begannen, kamen Freunde zu mir. Sie arbeiteten für Menschenrechtsorganisationen und sagten: 'Morgan, wir glauben, dass die Menschen vor Ort ausspioniert werden'", erzählt er. Er begann, Analysen zu schreiben. Erst für die Electronic Frontier Foundation, einer Organisation für Bürgerrechte in der digitalen Sphäre, später für Citizen Lab.
Wenn Marquis-Boire auf der Bühne steht, um über seine Arbeit zu reden, stellt er gerne eine Frage: "Wer von euch wurde vor einem Hacker-Angriff gewarnt"? Worauf er hinauswill: Googlemail analysiert einkommende Nachrichten. Landen Dateien im Postfach, die auf bekannte Angriffe zurückzuführen sind, schlägt das Programm Alarm. "Normalerweise hebt eine Person ihren Arm. Bei einer Konferenz über Netzfreiheit im arabischen Raum war es jede zweite Person im Saal", sagt Marquis-Boire. Heutzutage versuchten Staaten eben auch, Aufstände digital niederzuschlagen.
Dokumente zeigen, wie skrupellos der Überwachungs-Anbieter Hacking Team seine Kunden auswählt. Einer deutschen Firma kommt dabei eine bedeutende Rolle zu.
Späh-Firmen tauchen zuerst in seinen Berichten auf
Für das Citizen Lab deckte er auf, welche Firmen das große Geld mit Überwachungssoftware verdienen. Firmen wie Gamma Group und Hacking Team bieten Überwachungssoftware mit Rundum-Service an. Installation, Instandhaltung und Beratung. Die Namen ihrer Produkte tauchten mitunter in den Berichten von Marquis-Boire erstmals öffentlich auf.
Die Firmen nahmen ihm das übel. Hacking Team nennt ihn zum Beispiel "tireless wolf-crier". Jemand, der so oft fälschlicherweise vor Wölfen warne, dass ihm niemand mehr glaube, wenn tatsächlich mal einer komme. In gehackten Unterlagen der Firma ( mehr dazu hier) finden sich auch Dokumente, denen zufolge Marquis-Boire wohl heimlich beobachtet wurde. "Ich bin zwar nicht überrascht, dass sie mich ausspionieren, aber ich finde das dennoch unheimlich", sagt er.
Marquis-Boire hatte Angst, unfreiwillig zu einer Art Stiftung Warentest für Überwachungssoftware zu werden. Aus den Hacking-Team-Unterlagen ging hervor, dass die Hersteller die Citizen-Lab-Berichte als eine Art Gütesiegel verstanden. Seither fragt sich Marquis-Boire, ob und wie ausführlich er seine Analysen noch veröffentlichen soll, wenn Firmen dann etwa das FBI als Kunden gewinnen. "Die Leute dort sagen anscheinend: 'Hey, der Typ, der sämtliche Spyware analysiert, sagt, dass diese Schadsoftware vermutlich die beste ist'. Das ist nicht gut."
Amerikanische Firmen wie Google und Facebook müssen geheim halten, ob sie mit US-Behörden kooperieren. Ein neues Projekt soll das ändern.
Neuer Job: Journalisten schützen
Mittlerweile konzentriert sich Marquis-Boire auf eine andere Aufgabe. Bevor er Google verließ, nutzte er noch die Möglichkeiten der Firma. "Wir haben in einer Studie herausgefunden, dass 21 der 25 größten Nachrichtenorganisationen von Hackern im Staatsauftrag angegriffen wurden." Sein neuer Job bei The Intercept ist also: Journalisten vor digitalen Angriffen schützen.
Artikel wurde geupdatet, um den Telefon-Hack ausführlicher zu erklären.