Vor knapp drei Monaten war der IT-Experte Marcus Hutchins als ein Held gefeiert worden, der die weltweite Ausbreitung des Trojaners Wanna Cry stoppte. Doch nun wurde er von US-Ermittlern festgenommen, die ihn für den Entwickler einer anderen Schadsoftware halten.

Der IT-Experte, der im Mai den verheerenden Trojaner Wanna Cry stoppte, ist in den USA festgenommen worden. Das FBI wirft dem Briten Marcus Hutchins vor, er sei vor über drei Jahren an Entwicklung und Verbreitung der Schadsoftware Kronos beteiligt gewesen. Sie war dazu gedacht, Login-Daten im Online-Banking abzugreifen. In der am späten Donnerstag veröffentlichten Klageschrift wird auch ein Mittäter aufgeführt – dessen Name allerdings durchgehend geschwärzt ist.

Experten zweifeln die Anklage weitgehend an. Orin Kerr, Professor der Rechtswissenschaft an der Washington-Universität, meint etwa, dass es keinerlei Belege dafür gebe, dass Hutchins die Malware für eine "Verschwörung" verwendet haben soll. Vielmehr weist der Experte darauf hin, dass es nicht illegal sei, Schadsoftware zu schreiben und zu verkaufen, sondern nur dann mit rechtlichen Problemen gerechnet werden kann, wenn der Verkauf darauf abzielt, eine Straftat zu vollziehen.

Tweets vom Flughafen

Hutchins wurde am Mittwoch auf der Rückreise von den IT-Sicherheitskonferenzen Defcon und Black Hat in Las Vegas festgenommen, die von vielen Hackern besucht werden. Die letzten Tweets von seinem Account "@MalwareBytes" setzte er vom Flughafen ab, danach war Funkstille. Hutchins arbeitet in Großbritannien für die IT-Sicherheitsfirma Kryptos Logic.

Bei der explosiven globalen Ausbreitung des Erpressungstrojaners Wanna Cry Mitte Mai entdeckte Hutchins als erster eine Art "Ausschaltknopf" in der Software. Es war ein glücklicher Zufall, wie er später selbst einräumte.

300.000 Computer in 150 Ländern

Der Trojaner hatte im Mai 300.000 Computer in 150 Ländern befallen, verschlüsselte Daten auf den Rechnern und forderte Lösegeld. Auf jedem neuen Computer versuchte die Software zunächst, sich mit der Adresse "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" zu verbinden. Solange sie nicht im Netz aktiv war, verschlüsselte das Programm den Rechner. Aber Wanna Cry war eher ungewöhnlicherweise auch darauf programmiert, den Computer in Ruhe zu lassen, wenn sich die Domain zurückmeldete.

Hutchins registrierte den Domainnamen und dieser Schritt würgte die Attacke ab. "Also kann ich zu meinem Lebenslauf hinzufügen: "Habe durch Zufall eine internationale Cyber-Attacke gestoppt", schrieb er damals bei Twitter. Wanna Cry hatte unter anderem die Arbeit mehrerer Krankenhäuser in Großbritannien, Fahrplan-Anzeigen bei der Deutschen Bahn und die Produktion in mehreren Renault-Werken gestört.

"Kronos" tauchte zum ersten Mal im Sommer 2014 auf

Der Trojaner "Kronos" tauchte zum ersten Mal im Sommer 2014 auf. Die US-Ermittler werfen Hutchins vor, er habe die Schadsoftware geschrieben. Der Komplize, dessen Name geheim gehalten wird, habe sie im August 2014 für 3.000 Dollar im Internet zum Kauf angeboten. Im Jahr darauf hätten sie Kronos aktualisiert und über die Darknet-Plattform AlphaBay in verborgenen Bereichen des Netzes zum Kauf angeboten. AlphaBay war jüngst in einer gemeinsamen Aktion amerikanischer und europäischer Ermittler ausgehoben worden.

Auf die genaue Basis für diese Vorwürfe gingen die Behörden in der Klageschrift nicht ein. In der US-Plattform für Gerichtsunterlagen sind die Dokumente zu dem Fall noch unter Verschluss. Lediglich das Justizministerium veröffentlichte mit seiner Mitteilung die geschwärzte Version der Klageschrift. (APA, 4.8. 2017)