Es ist keine drei Monate her, da schaffte es Marcus H. schon einmal weltweit in die Schlagzeilen. Der 23-jährige Brite arbeitet als IT-Sicherheitsforscher und beobachtete im Mai, dass sich eine Cyber-Attacke weltweit rasant verbreitet.
Im Alleingang entdeckte er einen Mechanismus, der den Angriff mit der Erpresser-Software Wannacry stoppte. Seitdem wurde er als Held gefeiert.
SZ Jetzt WannaCry:IT-Experte stoppt zufällig Schadsoftware
Er brauchte nur 10,69 Dollar und eine Idee: Der Blogger "MalwareTech" hält die weltweite Cyber-Attacke auf - ohne es zu wollen.
Nun ist H. wieder weltweit in den Schlagzeilen. Dieses Mal jedoch nicht als Held, sondern als Vertreter der dunklen Seite der Programmierkunst, zumindest stellen ihn amerikanische Ermittler so dar. Am Mittwoch wurde H. in Las Vegas verhaftet, berichtet die Tech-Seite Motherboard. Der Vorwurf des US-Justizministeriums lautet: H. soll einen Banking-Trojaner programmiert haben. Dieser infizierte Rechner - was es kriminellen Hackern ermöglichte, an das Geld ihrer Opfer zu kommen.
Whitehat-Hacker: Arbeiten für die gute Seite
H. ist Teil einer weltweiten Community von IT-Sicherheitsforschern, die auch in ihrer Freizeit Cyberangriffe analysieren und die Öffentlichkeit über die Funktionsweise von Schadsoftware informieren. Sie arbeiten also für die gute Seite und werden als "Whitehats" bezeichnet, in Anlehnung an klassische Westernfilme, in denen der Held durch das Tragen eines weißen Hutes markiert wurde. H. soll den Ermittlern zufolge auch einen schwarzen Hut getragen haben, zumindest zwischen 2014 und 2015.
H. lebt nördlich von London, und programmiert, seit er zwölf ist. Bis zum Wannacry-Angriff hätten seine Eltern überhaupt nicht gewusst, dass er arbeite, erzählte H. im Interview mit Bloomberg. Er sagte auch, dass er "Menschen nicht besonders mag". In Las Vegas besuchte er zwei der größten Hacker-Konferenzen, die Defcon und die Blackhat.
Der Wannacry-Angriff, den H. im Mai beendete, befiel Hunderttausende Rechner, darunter Systeme der Deutschen Bahn, und legte auch Krankenhäuser lahm. Er verursachte einen Schaden in Millionenhöhe. H. erkannte während des Angriffs, dass die Software versuchte, eine bestimmte Webseite aufzurufen. Diese war nicht registriert, also kaufte H. den Zugang und stellte sie live. Das stoppte den Angriff, da die Schadsoftware sich nach dem Aufrufen der Webseite selbst abschaltete. Das war wohl ein Zufallstreffer: "Ich hatte keine Ahnung", sagte H. damals.
Bis heute ist unklar, ob es sich bei der Webseite um eine Vorsichtsmaßnahme der Hacker handelte (eine Art Notfallknopf) oder um einen Fehler bei der Programmierung. In jedem Fall wurde H. weltweit bekannt. In den Tagen nach dem Angriff belagerten so viele Journalisten seine Wohnung, dass er lieber durch die Hintertür und über den Parkplatz verschwand.
H. soll den Code für Banking-Trojaner geschrieben haben
In der Anklageschrift des Justizministeriums werden nun zwei Menschen beschuldigt, H. und eine weitere, nicht mit Namen genannte Person. Diese Person soll für den Großteil der Taten verantwortlich sein, unter anderem für das Bewerben, Anbieten und Verkaufen des Banking-Trojaners für 2000 Dollar. Den Code für die Software - und dann noch ein Update - soll aber H. geschrieben haben.
Der Trojaner ist unter dem Namen "Kronos" bekannt. Er zeichnet Tastatureingaben auf, greift Login-Daten für Bankkonten ab und manipuliert die Webseiten von Banken selbst, um an zusätzliche Informationen zu kommen, wie zum Beispiel die PIN-Nummer.
Das US-Justizministerium schreibt, dass von Kronos eine "fortlaufende Gefahr für die Privatsphäre und Sicherheit" der Nutzer ausgehe. Außerdem soll Kronos in mindestens ein kriminelles Botnet eingebaut sein. Ein Botnet ist ein Netzwerk aus gekaperten Rechnern, die Befehle von Hackern ausführen. (Die wichtigsten Fragen und Antworten zu Botnets beantwortet dieser Text)
In der Anklageschrift wird das Darknet-Forum Alphabay erwähnt, einer der wichtigsten Schwarzmärkte im Netz. Erst kürzlich wurde das Forum ausgehoben und die Verantwortlichen verhaftet. Kronos wurde dort zum Verkauf angeboten. Es ist denkbar, dass die Ermittler während der Auswertung von Alphabay-Daten auf neue Indizien gestoßen sind, die H. - oder die ungenannte Person - belasten.
Derzeit wenig konkrete Anhaltspunkte
Die Anklageschrift enthält keine konkreten Beweise, sondern außer den Anschuldigungen nur wenige Indizien, vieles bleibt ungeklärt. Zum Beispiel fragte H. am 13. Juli 2014 öffentlich auf Twitter nach einem Sample der Kronos-Schadsoftware, also nach einer Version, die er analysieren wollte. Im augenscheinlichen Widerspruch dazu wird H. nun aber vorgeworfen, eben diese Software geschrieben zu haben.
Hinzu kommt: Zu diesem Zeitpunkt war die Schadsoftware bereits in russischen Untergrundforen erhältlich, wie aus einem Bericht von Sicherheitsforschern von IBM hervorgeht.
Es ist nicht unüblich - und auch nicht illegal - dass Sicherheitsforscher Schadsoftware schreiben. Sie tun das einerseits, um Systeme auf Schwachstellen zu testen und andererseits, um die Arbeitsweise krimineller Hacker zu verstehen. H. selbst hat auch öffentlich dokumentiert, dass er Schadsoftware schreibt, "aus Spaß und nicht aus Profitgier (denn das wäre illegal)", wie es in der Überschrift seines Blogeintrages heißt.
Sollte H. tatsächlich Kronos geschrieben haben, so müssten die Ankläger ihm nachweisen, dass es sein Ziel war, mit der Software Schaden anzurichten, schreibt Orin Kerr, ein auf IT spezialisierter Jurist. Lokale Medien berichten, dass der Fall am Freitag weiterverhandelt wird.