Der E-Mail Skandal, der einfach verschwand

Vor den „Top-Journalisten des Landes“ (so Hans Bürger, stellvertretende Chefredakteur ORF-TV-Information auf Twitter) beklagt die ÖVP, dass es von 27. Juli bis 3. Spetember einen gezielten Hackerangriff auf die Partei gegeben habe. „Unbekannte Täter hätten sich frei im gesamten ÖVP-Serversystem bewegen können“. Im Juni dieses Jahres ist die ÖVP schon einmal mit einem IT-Skandal an die Öffentlichkeit gegangen. Auch damals wurden Fälschungen behauptet. Die Hintergründe sind bis heute nicht aufgeklärt. Unser Gastautor Patrick Poor hat die Argumente von damals kritisch beleuchtet. Seine Analyse hilft, solche Wahlkampfmanöver einzuordnen.


Nur Verleumdungen und unsachliche Methoden?

Wenn man in der Politik tätig ist, dann hat man immer wieder damit zu tun, dass Gerüchte über einen verbreitet werden, dass man mit Verleumdungen in Kontakt kommt oder dass auch unsachliche Methoden angewandt werden, die eigentlich keinen Platz haben sollten,

so Sebastian Kurz – gemeinsam mit Volkspartei-Generalsekretär Karl Nehammer – in einer Pressekonferenz im Juni des Jahres. Der damalige Anlass: Ein E-Mail Verkehr zwischen Kanzler Sebastian Kurz (als er das noch war) und Ex-Kanzleramtsminister Gernot Blümel.

ÖVP: Alles Fälschungen

Wir haben mehrstündiges Videomaterial, das jeder Überprüfung standhält. Strache+Gudenus. Da sind alle anderen obsolet. Wir brauchen aber eine perfekte Strategie dazu.

Das ist ein Zitat aus einer der angeblich gefakten E-Mails zur Ibiza-Affäre. Am Montag, 17.6. ging die „Neue Volkspartei“ damit an die Öffentlichkeit. Genaue Details wollte der Ex-Kanzler damals nicht verraten. Nur so viel: Die ÖVP habe übers Wochenende eine interne sowie eine externe Prüfungen veranlasst – und beide hätten ergeben: Die E-Mail, deren genauer Inhalt nicht bekannt ist, sei eine Fälschung.

Die Mails: Ein Screenshot als Beispiel – Aus der Presseunterlage der ÖVP

Deloitte gutachtet aufgrund von Fotos

Dabei konnten die IT-Experten von Deloitte lediglich Fotos untersuchen, auf denen Fragmente einer möglichen E-Mail-Kommunikation zu sehen sind. Sie sahen weder Festplatten noch Computerdateien, die eine echte forensische Untersuchung möglich machen würden.
Kurz und Nehammer können auch nicht beantworten, wer der Urheber der gefälschten E-Mails sein könnte. Jedenfalls handle es sich um eine „aufwendig und gut gemachte Fälschung„, versicherte Kurz. Eine abschließende Bewertung geben Kurz und Nehammer zwar nicht ab, die ÖVP sieht jedoch hinreichend Beweise für einen Fälschungsskandal und kündigt eine Anzeige bei der Staatsanwaltschaft an.

EU-Infothek: 1500 bis 2000 Mails aus der ÖVP-Führungsriege

Am Montagnachmittag vermeldete dann der umstrittene Blog „EU-Infothek„, man habe am Freitag wegen entsprechender E-Mails bei der ÖVP eine Anfrage gestellt. Die der Volkspartei zugeschickten Informationen würden allerdings nur „einen sehr geringen Teil der insgesamt vorliegenden neuen Erkenntnisse“ betreffen. Insgesamt würden der Plattform zwischen 1.500 und 2.000 Mails aus der Führungsriege der ÖVP vorliegen.

Die „Nachweise“ von Deloitte im Check

1. Aus den technischen Daten des E-Mails geht hervor, dass es am Montag, den 27. Februar 2018, versendet worden sei. Tatsächlich war der 27. Februar 2018 aber ein Dienstag.

Der Server, von dem die E-Mail extrahiert wurde, war offensichtlich auf eine amerikanische Zeitzone (PST) eingestellt – wie bei amerikanischen Dienstleistern wie Cloudflare üblich. Dazu kommt der Umstand, dass in einer solchen „amerikanischen“ Einstellung für gewöhnlich auch der „erste Tag der Woche“ – wie dort üblich – der Sonntag und nicht – wie bei uns üblich – der Montag ist. Zwei unterschiedliche Zeitzonen führen bei der Archivierung von E-Mails aufgrund von Zeitverschiebungen nicht selten zu falschen Datums- und Zeitangaben. Wochentag, Monat und Jahr werden in Microsoft-Systemen voneinander separiert gespeichert und können aufgrund eines Konflikts voneinander abweichen.

2. Von der in den E-Mails angeführten Mail-Adresse von Sebastian Kurz kann schon seit 2009 nicht mehr gesendet werden – also seit 10 Jahren. Diese E-Mail-Adresse wurde nur als Empfangs-Adresse verwendet.

Das Argument ist in keinster Weise stichhaltig. Als Absenderadresse kann jede beliebige E-Mail-Adresse verwendet werden. Weiters führte Nehammer diese Behauptung als Beleg dafür an, dass mit dieser Adresse keine Konversation stattgefunden haben könne. Als Empfangsadresse funktioniert sie nämlich schon, sagt auch Nehammer. Hinzu kommt, dass die E-Mail Adresse sebastian.kurz@wien.oevp.at zu keinem Zeitpunkt öffentlich aufscheint und die Frage ist berechtigt, wie Fälscher hinter die Existenz dieser Adresse hätten kommen können?

3. Die Experten haben bei der Verwendung der E-Mails die „Pacific Standard Time“ nachgewiesen – das ist eine Zeitzone in Nordamerika. In Österreich wird hingegen die Mitteleuropäische Zeit verwendet.

EU-Infothek konnte eruieren, dass der Mailserver unter der angegebenen IP-Adresse 92.51.182.1 noch bis mindestens 23. Mai 2019,16:56:04 Uhr online und mit der IP-Adresse 52.192.112.176, die Teil der Amazon EC2 Cloud Services ist, gekoppelt war. Es handelt sich hierbei um einen Anbieter in Amerika. Anmerkung: Am 23. Mai 2019 wurden auch die Festplatten unter falschem Namen bei Firma Reisswolf geschreddert. Bis heute ist ungeklärt, was sich auf den Festplatten befunden hat. Es wäre durchaus möglich, dass es einen Zusammenhang zwischen der Abschaltung des Mailservers und dem Schreddern besteht.

4. Die Analyse der IP-Adressen der E-Mails ergab, dass es sich um eine IP-Adresse handelt, die auf „hosteurope.de“ registriert ist. Die Registrierung wurde allerdings erst im Mai 2019 durchgeführt und damit fast ein Jahr nach dem in den E-Mails angegebenen Datum.

Tatsächlich ist Host Europe der Provider dieser IP-Adresse, der sie wiederum seinen Kunden zur Verfügung stellt. Interessant ist, dass öffentlich nirgendwo aufscheint, dass ein Konnex zwischen der IP-Adresse und der ÖVP besteht. da nach außen hin Host Europe als Besitzer aufscheint. Die Fälscher müssten demnach Kontakt zu einem Insider haben. Des Weiteren liegt die von Karl Nehammer genannte IP-Adresse 92.51.182.1 im selben Class C-Netz wie http://neuevolkspartei.wien . Die Domain wurde zwar erst 2019 neu registriert, die Geschäftsbeziehung zwischen Host Europe und ÖVP besteht allerdings schon vor 2019.

5. Weiters kommt bei der Entschlüsselung eines Codes der E-Mails das absurde Sendedatum „23.12.1830“ heraus.

Die falsch geparsten Thread-Header (Datum 1830) scheinen ein übliches Outlook-Problem zu sein. Das ist daher kein Hinweis auf eine Fälschung.

Twitter-User @gregoa hat das auch im Selbstversuch dargestellt:
„ich hab jetzt den von deloitte zitierten algorithmus auf alle 273 mails in meiner exchange-inbox losgelassen. ergebnis: 66 davon stammen angeblich aus den 1830er-jahren.“ /cc @msulzbacher #kurzpk #kurzmails— gregor herrmann (@gregoa_) 17. Juni 2019

Entgegen der Ankündigung von Sebastian Kurz, den Medien sämtliche für eine Recherche notwendigen Informationen zur Verfügung zu stellen, wurde eine Anfrage des STANDARD, um mit dem Abteilungsleiter technische Aspekte der Causa besprechen zu können, seitens der ÖVP abgelehnt.

Zu diesem Thema hat die ÖVP-Bundespartei mit Bundesparteiobmann Sebastian Kurz und Generalsekretär Karl Nehammer bereits ausführlich Stellung genommen, hieß es.

Auch Deloitte wolle dazu nichts sagen und erklärt das auf Rückfrage:

Das ist mit dem Kunden so vereinbart.

Schweigsam gibt sich auch das deutsche Internetunternehmen Hosteurope, über dessen Server die Mails verschickt worden sein sollen. Fest steht allerdings, dass die ÖVP selbst auch Server von Hosteurope nutzte.

Update:

Nach EU-Infothek vorliegenden Informationen erfolgten kurze Zeit nach der Strafanzeige der ÖVP in Zusammenhang mit den kursierenden angeblich gefälschten E-Mails am 12.07.2019 zwei ausführliche Hausdurchsuchungen in Oberösterreich und in Wien. Diese Hausdurchsuchungen fanden beim Informanten statt, welcher EU-Infothek über die angeblichen 1.500 ÖVP Mails berichtete – und bei seiner Lebensgefährtin

Wieder im Spiel: Die Agentur für die Modernisierung der Ukraine

Überraschend: Der Verfolgungsauftrag kam vom Verein „Agentur für die Modernisierung der Ukraine“. Das ist jene Agentur, von dem ein Informant zwischen 1.500 und 2.000 Mails aus der Führungsriege der ÖVP sowie das große, mehrstündige Ibiza Video, ungeschnitten, und weitere acht kleinere Videos abgesaugt haben will. Der Semiosisblog hat über sie eine Recherche präsentiert. Der Verein ist durchgängig mit ÖVP-Mitgliedern besetzt und derzeit öffentlich nicht aktiv.


Quellen:

https://www.dieneuevolkspartei.at/Faelschungsskandal
https://www.derstandard.at/story/2000106651315/spurensuche-die-gefaelschten-e-mails-von-sebastian-kurz
http://www.eu-infothek.com/ibiza-gate-geheimnisvolle-nebenschauplaetze/
http://www.eu-infothek.com/ibiza-gate-geheimnisvolle-nebenschauplaetze-teil-ii-reaktionen/


Bildcredit Titelfoto: APA/HERBERT NEUBAUER

1 Kommentar

Hinterlasse einen Kommentar.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Share via
Copy link