Es ist keine drei Monate her, da schaffte es Marcus H. schon einmal weltweit in die Schlagzeilen. Der 23-jährige Brite arbeitet als IT-Sicherheitsforscher und beobachtete im Mai, dass sich eine Cyber-Attacke weltweit rasant verbreitet.
Im Alleingang entdeckte er einen Mechanismus, der den Angriff mit der Erpresser-Software Wannacry stoppte. Seitdem wurde er als Held gefeiert.
Nun ist H. wieder weltweit in den Schlagzeilen. Dieses Mal jedoch nicht als Held, sondern als Vertreter der dunklen Seite der Programmierkunst, zumindest stellen ihn amerikanische Ermittler so dar. Am Mittwoch wurde H. in Las Vegas verhaftet, berichtet die Tech-Seite Motherboard. Der Vorwurf des US-Justizministeriums lautet: H. soll einen Banking-Trojaner programmiert haben. Dieser infizierte Rechner - was es kriminellen Hackern ermöglichte, an das Geld ihrer Opfer zu kommen.
Whitehat-Hacker: Arbeiten für die gute Seite
H. ist Teil einer weltweiten Community von IT-Sicherheitsforschern, die auch in ihrer Freizeit Cyberangriffe analysieren und die Öffentlichkeit über die Funktionsweise von Schadsoftware informieren. Sie arbeiten also für die gute Seite und werden als "Whitehats" bezeichnet, in Anlehnung an klassische Westernfilme, in denen der Held durch das Tragen eines weißen Hutes markiert wurde. H. soll den Ermittlern zufolge auch einen schwarzen Hut getragen haben, zumindest zwischen 2014 und 2015.
H. lebt nördlich von London, und programmiert, seit er zwölf ist. Bis zum Wannacry-Angriff hätten seine Eltern überhaupt nicht gewusst, dass er arbeite, erzählte H. im Interview mit Bloomberg. Er sagte auch, dass er "Menschen nicht besonders mag". In Las Vegas besuchte er zwei der größten Hacker-Konferenzen, die Defcon und die Blackhat.
Der Wannacry-Angriff, den H. im Mai beendete, befiel Hunderttausende Rechner, darunter Systeme der Deutschen Bahn, und legte auch Krankenhäuser lahm. Er verursachte einen Schaden in Millionenhöhe. H. erkannte während des Angriffs, dass die Software versuchte, eine bestimmte Webseite aufzurufen. Diese war nicht registriert, also kaufte H. den Zugang und stellte sie live. Das stoppte den Angriff, da die Schadsoftware sich nach dem Aufrufen der Webseite selbst abschaltete. Das war wohl ein Zufallstreffer: "Ich hatte keine Ahnung", sagte H. damals.
Bis heute ist unklar, ob es sich bei der Webseite um eine Vorsichtsmaßnahme der Hacker handelte (eine Art Notfallknopf) oder um einen Fehler bei der Programmierung. In jedem Fall wurde H. weltweit bekannt. In den Tagen nach dem Angriff belagerten so viele Journalisten seine Wohnung, dass er lieber durch die Hintertür und über den Parkplatz verschwand.
H. soll den Code für Banking-Trojaner geschrieben haben
In der Anklageschrift des Justizministeriums werden nun zwei Menschen beschuldigt, H. und eine weitere, nicht mit Namen genannte Person. Diese Person soll für den Großteil der Taten verantwortlich sein, unter anderem für das Bewerben, Anbieten und Verkaufen des Banking-Trojaners für 2000 Dollar. Den Code für die Software - und dann noch ein Update - soll aber H. geschrieben haben.
Der Trojaner ist unter dem Namen "Kronos" bekannt. Er zeichnet Tastatureingaben auf, greift Login-Daten für Bankkonten ab und manipuliert die Webseiten von Banken selbst, um an zusätzliche Informationen zu kommen, wie zum Beispiel die PIN-Nummer.