Süddeutsche Zeitung

Hacker:Erst Held, dann Bösewicht

Marcus H. stoppte den Angriff der Erpresser-Software Wannacry. Nun wurde er verhaftet. Er soll auch für die dunkle Seite programmiert haben.

Von Hakan Tanriverdi

Es ist keine drei Monate her, da schaffte es Marcus H. schon einmal weltweit in die Schlagzeilen. Der 23-jährige Brite arbeitet als IT-Sicherheitsforscher und beobachtet im Mai, dass sich eine Cyber-Attacke weltweit rasant verbreitet. Im Alleingang entdeckt er einen Mechanismus, der den Angriff mit der Erpresser-Software Wannacry stoppt - und wird als ein Held gefeiert.

Nun ist H. wieder weltweit in den Schlagzeilen. Dieses Mal jedoch nicht als Held, sondern als Vertreter der dunklen Seite der Programmierkunst, zumindest stellen es amerikanische Ermittler so dar. Am Mittwoch wurde H. in Las Vegas verhaftet, berichtet die Tech-Seite Motherboard. Der Vorwurf des US-Justizministeriums lautet: H. soll einen Banking-Trojaner programmiert haben. Dieser infizierte Rechner - was es kriminellen Hackern ermöglichte, an das Geld ihrer Opfer zu kommen.

Der Trojaner ist unter dem Namen "Kronos" bekannt. Er zeichnet Tastatureingaben auf, greift Login-Daten für Bankkonten ab und manipuliert die Webseiten von Banken selbst, um an zusätzliche Informationen zu kommen, wie zum Beispiel die PIN-Nummer.

In der Anklageschrift des US-Justizministeriums heißt es, dass von Kronos eine "fortlaufende Gefahr für die Privatsphäre und Sicherheit" der Nutzer ausgehe. Außerdem soll Kronos in mindestens ein kriminelles Botnet eingebaut sein. Ein Botnet ist ein Netzwerk aus gekaperten Rechnern, die Befehle von Hackern ausführen.

Das Justizministerium beschuldigt nun zwei Menschen, H. und eine weitere, nicht mit Namen genannte Person. Diese Person soll für den Großteil der Taten verantwortlich sein, unter anderem für das Bewerben, Anbieten und Verkaufen des Banking-Trojaners für 2000 Dollar. Den Code für die Software - und dann noch ein Update - soll aber H. geschrieben haben.

Der IT-Sicherheitsforscher sagt, dass er "Menschen nicht besonders mag"

In der Anklageschrift wird das Darknet-Forum Alphabay erwähnt, ein wichtiger Schwarzmarkt im Netz. Erst kürzlich wurde das Forum ausgehoben und die Verantwortlichen wurden verhaftet. Kronos wurde dort zum Verkauf angeboten. Es ist denkbar, dass die Ermittler während der Auswertung von Alphabay-Daten auf neue Indizien gestoßen sind, die H. und die ungenannte Person belasten.

Die Anklageschrift enthält keine konkreten Beweise, sondern außer den Anschuldigungen nur wenige Indizien, vieles bleibt ungeklärt. Zum Beispiel fragte H. am 13. Juli 2014 nach einem Sample der Kronos-Schadsoftware, also nach einer Version, die er analysieren wollte. Im augenscheinlichen Widerspruch dazu wird H. nun aber vorgeworfen, eben diese Software geschrieben zu haben.

Hinzu kommt: Zu diesem Zeitpunkt war die Schadsoftware bereits in russischen Untergrundforen erhältlich, wie aus einem Bericht von Sicherheitsforschern von IBM hervorgeht.

H. ist Teil einer weltweiten Community von IT-Sicherheitsforschern, die auch in ihrer Freizeit Cyberangriffe analysieren und die Öffentlichkeit über die Funktionsweise von Schadsoftware informieren. Sie arbeiten also für die gute Seite und werden als "Whitehats" bezeichnet, in Anlehnung an klassische Westernfilme, in denen der Held durch das Tragen eines weißen Hutes markiert wurde. Doch H. soll den Ermittlern zufolge auch einen schwarzen Hut getragen haben, zumindest von 2014 bis 2015.

H. lebt nördlich von London, und programmiert, seit er zwölf Jahre alt ist. Bis zum Wannacry-Angriff hätten seine Eltern überhaupt nicht gewusst, dass er arbeite, erzählte H. der Nachrichtenagentur Bloomberg. Er sagte auch, dass er "Menschen nicht besonders mag". In Las Vegas besuchte er zwei der größten Hacker-Konferenzen, die Defcon und die Blackhat.

Der Wannacry-Angriff, den H. im Mai beendete, befiel Hunderttausende Rechner, darunter Systeme der Deutschen Bahn, und legte auch Krankenhäuser lahm. Er verursachte einen Schaden in Millionenhöhe. H. erkannte während des Angriffs, dass die Software versuchte, eine bestimmte Webseite aufzurufen. Diese war nicht registriert, also kaufte H. den Zugang und stellte sie live. Das stoppte den Angriff, da die Schadsoftware sich nach dem Aufrufen der Webseite selbst abschaltete. Das war wohl ein Zufallstreffer: "Ich hatte keine Ahnung", sagte H. damals.

Banking-Trojaner

Die Hacker infizieren den Rechner per E-Mail, schnappen sich erst das Passwort und anschließend das Geld.

Bis heute ist unklar, ob es sich bei der Webseite um eine Vorsichtsmaßnahme der Hacker handelte (eine Art Notfallknopf) oder um einen Fehler bei der Programmierung. In jedem Fall wurde H. seinerzeit weltweit bekannt. In den Tagen nach dem Angriff belagerten so viele Journalisten seine Wohnung, dass er lieber durch die Hintertür und über den Parkplatz verschwand.

Es ist nicht unüblich und auch nicht illegal, dass Sicherheitsforscher Schadsoftware schreiben. Sie tun das einerseits, um Systeme auf Schwachstellen zu testen. Und andererseits, um die Arbeitsweise krimineller Hacker zu verstehen. H. selbst hat auch öffentlich dokumentiert, dass er Schadsoftware schreibt, "aus Spaß und nicht aus Profitgier (denn das wäre illegal)", wie es in der Überschrift seines Blogeintrages heißt.

Sollte H. tatsächlich Kronos geschrieben haben, so müssten die Ankläger ihm nachweisen, dass es sein Ziel war, mit der Software Schaden anzurichten, schreibt Orin Kerr, ein auf IT spezialisierter Jurist.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.3616495
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 05.08.2017
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.