Spoiler
Auftritt: eine Hacktivistin
Was danach folgt, kommt allerdings für alle Beteiligten überraschend. Eine unter dem Namen "Nella" auftretende Hacktivistin aus Deutschland meldet sich zu Wort und bietet an, sich den Fall näher anzusehen, nachdem ihr die Geschichte zufällig in ihre Twitter-Timeline gespült worden sei. Die Ärztin nimmt Kontakt auf, und tatsächlich kann die sonst vor allem zum Thema Kindesmissbrauch recherchierende Aktivistin schon bald Erfolge vermelden. Innerhalb weniger Stunden sei es ihr gelungen, einen Täter zu identifizieren.
Das wiederum sorgt für viel Aufsehen, immerhin wirft diese Diskrepanz zu den Aussagen der Behörden grundlegende Fragen deren Ermittlungskompetenz bei Online-Verbrechen betreffend auf – oder wahlweise die Ernsthaftigkeit betreffend, mit der solchen Fällen nachgegangen wird. Während "Nella" öffentlich gefeiert wird und ihre Followerzahlen auf Twitter explodieren, stehen die Behörden mit heruntergelassenen Hosen da.
Abwarten
Also geht man in die Verteidigungsposition: Aus dem Innenministerium heißt es nun, so eine "Hackerin" habe eben andere Möglichkeiten, als sie einer Behörde zur Verfügung stünden. Generell scheint man aber zunächst über die von "Nella" umgehend an den Verfassungsschutz weitergeleiteten Recherchen erfreut zu sein. Was in der medialen Begeisterung allerdings auch untergeht: Ob die Behauptungen der Hacktivistin stimmen, weiß eigentlich niemand so recht, die öffentlichen Aussagen sind bei näherer Betrachtung eher vage bis mysteriös.
Ein Rechercheansatz
Gleichzeitig werfen nicht zuletzt die öffentlichen Stellungnahmen der Behörden dermaßen viele Fragen auf, dass es lohnenswert erscheint, sich die Causa einmal näher anzusehen. Die Aufgabenstellung: Was lässt sich anhand von zwei der Drohmails – jene, die laut Behörden "aus dem Darknet stammen" und Morddrohungen enthalten – mit einer simplen Online-Recherche herausfinden?
Alles startet beim Mail-Header
Ausgangspunkt in solchen Fällen ist zunächst immer der sogenannte Mail-Header. Das ist eine Art längere Form der Absende- und Empfängerinformationen, die über jeder Nachricht angezeigt wird. Darin enthalten sind Informationen, welchen Weg die Mail genommen hat, welche Software verwendet wurde und nicht zuletzt die IP-Adresse des Absenders. Also jene – mehr oder weniger – eindeutige Nummer, über die oftmals klar wird, woher die Nachricht stammt. All das ist übrigens kein Geheimwissen. Die Möglichkeit, den vollständigen Header anzuzeigen, gibt es bei so ziemlich jedem Mail-Client, und das Wissen, um ihn korrekt zu lesen, lässt sich relativ rasch aneignen.
In diesem Fall wird aber schon vorher klar, dass diese Informationen wohl kaum etwas Brauchbares liefern werden. Hat der Absender doch Wegwerfadressen bei zwei auf Anonymisierung ausgerichteten Mailanbietern verwendet. Das ist dann auch das, was der Verfassungsschutz mit dem Hinweis auf das Darknet meint. Die Nachrichten wurden dabei über das Anonymisierungsnetzwerk Tor geschickt, das heißt: Die IP-Adressen in der Mail sind nicht jene des Absenders, sondern irgendeines anderen Rechners, über den die Daten umgeleitet wurden.
Dass dieser Weg eine Sackgasse ist, betont auch einer der betroffenen Provider auf Nachfrage des STANDARD. Die minimalen Daten, die er habe, würden den Behörden in so einem Fall nichts bringen – und an andere darf er sie sowieso nicht hergeben.
Neuer Weg
Also muss ein anderer Rechercheansatz her. Auffällig ist in dem Fall, dass der Täter zweimal den gleichen Namen verwendet hat. Dass es sich dabei um den echten Absender handelt, kann aus rein logischen Gründen schnell ausgeschlossen werden. Wer sich schon die Arbeit macht, solch einen Anonymisierungsdienst zu verwenden, der wird dann kaum seinen eigenen Namen dazuschreiben. Gleichzeitig klingt der Name jetzt nicht so zufällig, als wäre er einfach nur zur Ablenkung gewählt. Und vor allem ist gerade aus der rechtsextremen Szene bekannt, dass diese Leute zum Teil bewusst Namen von politischen Gegnern verwenden, um diese anzuschwärzen.
Tatsächlich stellt sich schon nach ein paar Minuten Recherche heraus, dass dieser Ansatz durchaus vielversprechend ist. Bei dem zur Tarnung verwendeten Namen handelt es sich nämlich um eine Person, die bereits vor einiger Zeit aus rechtextremen Covid-Leugner-Kreisen "gedoxxt" wurde. Beim "Doxxing" werden die privaten Daten einer Person zusammengetragen und veröffentlicht, um dieser zu schaden – und sie natürlich auch einzuschüchtern. Im konkreten Fall scheint die betroffene Person durch konsequentes Aufdecken und Melden von rechtsextremen Twitter-Accounts den Groll der Szene auf sich gezogen zu haben.
Stück für Stück
Das wiederum hilft aber indirekt dabei, die wahren Täter einzugrenzen – ist das doch ein recht spezifischer Konflikt. So findet sich denn auch recht schnell eine Spur zu einer Reihe von einschlägigen Twitter-Konten, die bereits früher enttarnt wurden und hinter denen alle die gleiche Person zu stehen scheint. Dass einer davon nach den ersten Meldungen über den Fall recht nervös reagiert und dann die Behauptung aufstellt, es handle sich um eine linke – von der zuvor erwähnten, gedoxxten Person ausgehenden – Verschwörung gegen ihn, obwohl zu dem Zeitpunkt öffentlich noch gar kein Täterumfeld benannt wurde, passt ebenso ins Bild wie der Umstand, dass dieses Konto danach eilig gelöscht wurde. Wer aber schon länger im Netz unterwegs ist, der weiß: Das Internet vergisst (fast) nichts, also lässt sich das auch im Nachhinein noch nachvollziehen.
Vom STANDARD mit diesen Erkenntnissen konfrontiert, bestätigt "Nella" denn auch, dass sie auf dem selben Weg zu ihren Schlüssen gekommen ist. Gleichzeitig konnte sie danach – und auch weil sie die Szene und deren Methoden schon länger kennt – nach eigenen Angaben einen konkreten Verdächtigen identifizieren. Demnach soll es sich um einen amtsbekannten Rechtsextremen aus Berlin handeln, der Name ist der Redaktion bekannt.
Disclaimer
Um das an dieser Stelle klarzumachen: Ob diese Person wirklich der Täter ist, lässt sich zunächst unabhängig nicht eindeutig klären. Zumindest ist die Indizienkette aber so stark, dass man eigentlich davon ausgehen sollte, dass die Erkenntnisse von "Nella" auf viel Interesse bei den Behörden stoßen. Tatsächlich berichtet sie, dass der Verfassungsschutz zunächst sehr positiv auf ihre Recherchen reagiert habe.
Umso überraschender kommt, was dem STANDARD am Dienstag von mehreren Quellen zugetragen wird: Die oberösterreichische Polizei wolle an die Öffentlichkeit gehen, um die Hacktivistin und deren Recherchen zu diskreditieren. Gleichzeitig ist auch zu hören, dass man das beim Verfassungsschutz für keine so gute Idee hält und versucht, diesen Schritt zu verhindern.
Und plötzlich steht die Hacktivistin im Fokus
Wie diese Diskussion ausgegangen sein dürfte, wird Mittwochfrüh klar. Da erscheint nämlich ein Artikel in den "Oberösterreichischen Nachrichten", in dem Christoph Weber, Sprecher der Staatsanwaltschaft Wels, direkt gegen die Hacktivistin ins Feld zieht. Deren Erkenntnisse seien "weder inhaltlich noch technisch nachvollziehbar" heißt es da. Und: "Die Hackerin hat online und im Darknet recherchiert (...) und daraus ihre Rückschlüsse gezogen", das sei aber "nicht wie die Polizei ermittelt. Das darf sie auch nicht."
Aussagen, die gleich auf mehreren Ebenen für Verblüffung sorgen. So bleibt etwa unklar, warum die Polizei nicht "im Darknet" ermitteln darf. Denn natürlich ist auch das Darknet nicht per se ein illegaler Raum, und selbst wenn, wäre es noch verblüffender, wenn ausgerechnet an solch einem Ort die Polizei dann nicht aktiv werden dürfte.
Darknet? Online? Hacking?
Vor allem aber kennt DER STANDARD mittlerweile die Recherche von "Nella" im Detail und kann sagen: Nichts davon hat auch nur irgendetwas mit dem Darknet zu tun. All die genutzten Wege und vor allem das Hintergrundwissen sollten Ermittlern, die die Szene dauerhaft beobachten, problemlos zur Verfügung stehen. Der Eindruck, dass hier jemand nicht so recht weiß, was all diese Begriffe bedeuten (oder absichtlich Verwirrung stiften will), ist an dieser Stelle kaum noch wegzuwischen – und nährt die Zweifel an den technischen Fähigkeiten der Handelnden weiter.
Was mit der zuvor ventilierten Botschaft, dass einer "Hackerin mehr Möglichkeiten" zur Verfügung stehen, gemeint ist, bleibt nicht minder mysteriös. Denn auch Hacking im klassischen Sinne kam bei der Spurensuche nicht zum Einsatz. Auf Nachfrage des STANDARD beim Verfassungsschutz heißt es nun, dass für die Recherche teilweise einschlägige Gruppen infiltriert wurden – was den Sicherheitsbehörden nach aktuellem Rechtsstand nicht erlaubt ist.
Reaktion
Generell fällt die Antwort des Innenministeriums deutlich vorsichtiger als jene aus Oberösterreich aus. Die Stoßrichtung ist aber ähnlich. Die Recherchen von "Nella" würden keine konkreten Rückschlüsse auf eine Täterschaft zulassen. Es handle sich hierbei um "Vermutungen". Allerdings solche, denen man nachgehen wolle, man stehe im Kontakt, ein neuer Zwischenbericht sei ebenfalls gerade erst an die Staatsanwaltschaft Wels übermittelt worden.
Zu den konkreten Ermittlungsschritten befragt, führt man lediglich aus, dass man den im Mail-Header gefundenen IP-Adressen nachgespürt hat. Was aber – wie oben bereits ausgeführt – natürlich zu keinem brauchbaren Ergebnis geführt hat. (Andreas Proschofsky, Mickey Manakas, 6.7.2022)