Ist der „Fälschungsskandal“ der ÖVP auch wirklich einer?

Am 17. Juni 2019 lud die ÖVP um 8.31 Uhr kurzfristig für 10.30 Uhr zu einer Pressekonferenz mit Bundesparteiobmann Sebastian Kurz und Generalsekretär Karl Nehammer:

Video der Pressekonferenz auf der Facebook-Seite von Sebastian Kurz

Im Rahmen dieser Pressekonferenz wurde veröffentlicht, dass „ein Medium“ (heute weiß man, es war die „EU-Infothek“) die ÖVP vor wenigen Tagen informiert habe, dass es im Besitz eines Konvoluts von E-Mails zwischen Sebastian Kurz und Gernot Blümel vom Februar 2018 sei. Diese E-Mails würden irgendeine Art von Involvierung der ÖVP in den Ibiza-Skandal nahelegen – wenn sie echt wären.

Die ÖVP ließ daraufhin – anscheinend auf Basis abfotografierter Computerbildschirme – die Beratungsfirma Deloitte ein Gutachten erstellen, um zu beweisen, dass die E-Mails gefälscht seien.

Generalsekretär Nehammer fasste in der Pressekonferenz das Gutachten und eigene Recherchen der ÖVP zu einigen zentralen „Nachweisen“ zusammen, die beweisen sollen, dass diese E-Mails gefälscht sind. Im Netz – insbesondere auf Twitter – entstand daraufhin eine rege Debatte über die Validität dieser Beweise, die ich nun kurz darstellen möchte:

Das untersuchte Mail wurde am Montag, den 27. Februar 2018 versendet. Der Tag war aber tatsächlich ein Dienstag.

Twitter-User @e_radler hat dafür eine einfache Erklärung:

das Mo Di Problem kann entstehen wenn der Wochentag numerisch gespeichert ist und die Woche für die Rechner mal mit Sonntag, mal mit Montag beginnt.— E. ???? Radler (@e_radler) 18. Juni 2019

Von der Mail-Adresse (sebastian.kurz@wien.oevp.at) kann seit 10 Jahren kein Mail versandt werden.

Das Argument ist in keinster Weise stichhaltig. Jeder kann jede beliebige E-Mail-Adresse als Absenderadresse verwenden. So funktioniert das Internet.

Weiters führte Nehammer diese Behauptung als „Nachweis 5“ auch als Beleg dafür an, dass mit dieser Adresse keine Konversation stattgefunden haben könne. Als Empfangsadresse funktioniert sie nämlich schon, sagt auch Nehammer.

Als Zeitzone wurde im Mail die „Pacific Standard Time“ angegeben.

Das könnte ein klassischer Konfigurationsfehler am Rechner sein, kann jederzeit vorkommen.

Die IP-Adresse 92.51.182.1 gehöre nicht der ÖVP

Twitter-Kollege @Karli wies mich in einem privaten Chat darauf hin, dass der Provider, dem diese Adresse gehört (Host Europe), sehr wohl eine Geschäftsbeziehung mit der ÖVP habe. Die Website neuevolkspartei.wien liege beim selben Provider, sogar am selben IP-Adress-Block (92.51.182.37).

Daraufhin wurden wir vom ÖVP-Mitarbeiter @rupertreif darauf hingewiesen, dass neuevolkspartei.wien erst seit 2019 existiert. Allerdings haben wir in der Zwischenzeit festgestellt, dass einige andere Domains und Web Sites der ÖVP bei Host Europe liegen, zum Beispiel ist sebastiankurz.at dort seit 2017 registriert, wie eine WHOIS-Abfrage von soeben zeigt:

„Im Code“ erscheine das Datum 23.12.1830

Was Karl Nehammer meint, ist der sogenannte Thread-Index-Header. Dieser wird von manchen Systemen falsch interpretiert, was oft zu Datumsangeben um 1830 führt. Das Problem ist zum Beispiel hier dokumentiert.

Twitter-User @gregoa hat das auch im Selbstversuch dargestellt:

ich hab jetzt den von deloitte zitierten algorithmus von https://t.co/KLA7u2gMWg auf alle 273 mails in meiner exchange-inbox losgelassen. ergebnis: 66 davon stammen angeblich aus den 1830er-jahren. /cc @msulzbacher #kurzpk #kurzmails— gregor herrmann (@gregoa_) 17. Juni 2019

Fazit:

Alle fünf (bzw. eigentlich sechs) „Nachweise“, die Karl Nehammer auf der Pressekonferenz als solche benannte, sind keine. In Wirklichkeit sind es nicht einmal Indizien für eine Fälschung. Das bedeutet nicht, dass diese Mails gefälscht wären. Darüber lässt sich auf Basis der bisher freigegebenen Informationen keine seriöse Aussage treffen.

Disclaimer:

Das bessere Argument ist der Feind des schlechteren. Ich bin für weiterführende Hinweise und Gegenargumente hier im Kommentarbereich dankbar. Sollte auf Basis von Korrekturen oder neueren Erkenntnissen grundlegende Änderungen am obigen Text notwendig werden, so werde ich diesen gerne aktualisieren.

Michael Eisenriegler
Genealogie, (Online-)Medien, Journalismus, (Netz-)Politik, Mongolei, Buddhismus, Single Malts, Analogue Audio.

17 Kommentare

  1. Sie sollten vielleicht einen Satz im Fazit korrigieren. Er sollte wohl lauten: Das bedeutet nicht, dass diese Mails nicht doch gefälscht sein können.

    1. Nein, das ist schon so gemeint: Auch, wenn Nehammers Argumente schwach sind, müssen die Mails nicht gefälscht sein.

  2. Was hier abgeht, ist nicht nur verblüffend und dilettantisch, es ist eigentlich sagenhaft.

    E-Mail Header zu analysieren gehört bei mir seit rund 20 Jahren zum Geschäft.
    Stattdessen, dass man einen richtigen E-Mail Header zur Verfügung stellt, werden hier Fragmente der Mail in Form eines Screenshots angeboten.

    Das ist einmal das eine.

    Hätte man einen Mail-Header – und als „Forensiker“ würde ich überhaupt nur dann beginnen zu recherchieren – könnte man tatsächlich feststellen, wie plausibel die Mails sind und man kommt der Wahrscheinlichkeit näher, ob die mails gefälscht sind oder nicht (wenn man es auch nicht genau bestimmen kann, aber mit viel Glück könnte man wohl Indizien in die eine oder andere Richtung finden).

    Dazu kommt, dass auf Twitter alle möglichen Experten ihre Meinung kundtun, weil sie schon einmal Domaintools gefunden haben oder WHOIS kennen.

    Zur Tage-Verschiebung stimme ich dem Argument nicht zu, dass dies ein Konfigurationsfehler am Rechner sei.
    Die Mailserver (ja, auch die von Microsoft) setzen die Tage in den Header alle richtig.

    „Das untersuchte Mail wurde am Montag, den 27. Februar 2018 versendet. Der Tag war aber tatsächlich ein Dienstag.“

    erklärt sich gleich mit der nächsten Zeile:

    „Als Zeitzone wurde im Mail die „Pacific Standard Time“ angegeben.“

    Und dass als TZ PST angegeben war, hat auch nicht mit einer Fehlkonfiguration zu tun, dazu müsste man nur im Mailheader nachsehen, von welchem Server das mail gesendet wurde – es kann ja durchaus sein, dass der Sender ein VPN in den USA genutzt hat.

    „Twitter-User @e_radler hat dafür eine einfache Erklärung:

    das Mo Di Problem kann entstehen wenn der Wochentag numerisch gespeichert ist und die Woche für die Rechner mal mit Sonntag, mal mit Montag beginnt.— E. ???? Radler (@e_radler) 18. Juni 2019

    Diese Erklärung ist tatsächlich _einfach_: Auf Linux Maschinen ist die numerische Nummer des Wochentages Sonntags _immer_ 0. In die Woche beginnt nicht mal mit Sonntag, mal mit Montag. Es gibt eine numerische Speicherung der Wochentage und für Mail ist vollkommen egal, ob das Wochenbeginn ist oder nicht. Tatsächlich aber wird im Header nicht der numerische Wert eingetragen, sondern tatsächlich der Tag im Form des Namens, die Uhrzeit und die Timezone. (einfach mal selber probieren:
    $ date +FORMAT – mehr dazu unter man date)

    „Weiters führte Nehammer diese Behauptung als „Nachweis 5“ auch als Beleg dafür an, dass mit dieser Adresse keine Konversation stattgefunden haben könne. Als Empfangsadresse funktioniert sie nämlich schon, sagt auch Nehammer.“

    Dazu sollte man einfach die Logfiles beim Betreiber des senden Servers (den man wiederum im Mailheader findet) ausheben lassen. Dort steht dann drinnen, ob das mail zugestellt wurde, an welche IP Adresse und mit welchem Status.

    Dann kann man die Logs beim Empfänger Mailserver ausheben lassen, dort steht dann drinnen, in welche Mailbox das mail gelegt wurde und wer (IP) es wann abgeholt hat.

    Der Thread-Index, den ein Mailprogramm erzeugt ist ohnehin nicht geeignet, den Weg eines E-Mails zu verfolgen, über welche Mailserver es ging und ob die überhaupt plausibel sind, das ist ein interner Index für das Mailprogramm, emails in einem Thread darzustellen.

    WHOIS freut sich offensichtlich großer Beliebtheit und jeder der sie gefunden hat, meint damit schon ein Profi zu sein, weil er feststellen kann, bei welchem Provider die Domain registriert ist.

    WO eine Domain registriert ist, sagt einmal nichts darüber aus, WO und über welche Server das Mailservice abgewickelt wird. Dazu bedarf es Nameserver abfragen (dig) um zu schauen, wo die IP Adressen hingehören über welche das/die Mail/s gesendet wurden.

    IP-Adressen sind nicht „derzeit registriert auf“ – es werden AS Netze an verschiedene Provider von der RIPE delegiert. Die Delegation kann sich zwar ändern, aber das sind bitte keine dynamischen IPs, so dass man von einer „derzeitigen Registrierung auf einen Provider“ ausgehen kann.

    Mit den Mailheadern der besagten mails, wenn man nur 5 bis 10 davon analysiert, würde man der Wahrscheinlichkeit ob die mails gefälscht oder nicht gefälscht sind rund zu 80% heran kommen.

    Alles andere, was hier betrieben wird ist im wesentlichen Cafesud lesen.

    Das einzig gute, was ich daran erkennen kann ist, dass das mit der geplanten Überwachung seitens des Staates so schnell nicht funktionieren wird, solange sie nicht mal Mailheader analysieren können und Deloitte mit Forensikern einen Wikipedia-Artikel über SPF kopiert.

    Liebe Grüße
    Bernd Hilmar

    1. ich stimme ihnen zu, gebe aber folgendes szenario zu bedenken:
      die mail von blümel stammt nicht von einem mail-server sondern von einem zb. selbst programmierten newsletter-system zb. als plugin für wordpress das bei hosteurope gehostet wird. blümel schreibt einen newsletter und gibt als absender seine övp-adresse an. die newsletter-software setzt einen spf-eintrag um die herkunft der email irgendwie plausibel zu machen. sebastian antwortet auf die mail und so ergibt sich die email-konversation zwischen den beiden und die auffälligen header-informationen ergeben plötzlich sinn. sogar der punkt statt doppelpunkt ließe sich so erklären (schlampige php-programmierung)!

      zusammen mit den nicht technischen fakten…
      – die övp dementiert noch vor dem skandal
      – es werden NUR jene daten gezeigt, die verdächtig sind, alles andere wird versteckt
      – der övp-pressebericht zeigt ’screenshots‘ als beweis, die jeder selbst anfertigen könnte und die auf nicht mehr schliessen lassen als auf das, was man auf den screenshots ablesen kann: nämlich den versuch alles zu verbergen und nur das zu zeigen, was evtl. belegen könnte, dass es sich um fälschungen handle.

      … würde ich eher zum schluß kommen, dass die emails zu 60% keine fälschungen sind!

  3. @Herr Hilmar

    Es spielt keine Rolle in welcher Zeitzone man sich befindet – An einem bestimmten Zeitpunkt (Datum + Uhrzeit) ist der Wochentag weltweit der gleiche – die Uhrzeit variiert nur abhängig vom Standort.

    Die Mails wurden angeblich im Februar 2018 gesendet – Logfiles, sowohl auf Server wie auch auf Empfängerseite werden Sie da kaum noch finden.

    Ich bin kein Forensiker, würde aufgrund der in dem Bericht ersichtlichen Screenshots aber ebenfalls von einer Fälschung ausgehen – einzig schon aufgrund der falschen Formatierung des Datums „Mon, 27 Feb 2018 11.04:05“

  4. Mit den der Öffentlichkeit vorliegenden „Fakten“ lässt sich nicht sehr viel anfangen würde ich mal meinen.

    Davon mal abgesehen, dass wir hier NUR von Screenshots sprechen (oder besser gesagt: von Monitoren abfotografierte Bilder *facepalm*) sind das so gesehen ja noch nicht einmal richtige Mails.
    Also, wo sind sie diese Mails? Ich frag mich ja warum bei der Suche nach einer Echtheit keiner danach fragt wie die Mails an die Medien gekommen sind oder ist dies schon in irgendeiner Form bekannt?

    Gesetzt den Fall, ich bin ein Fälscher (wenn auch ein sehr schlechter) bediene ich mich der Möglichkeit über eine IP Adresse bei hosteurope.de Mails mit falscher Absenderadresse zu versenden und lasse den Fisch anbeißen.
    Und alle Stürzen sich wie die Geier auf diese Verbindung zwischen hosteurope.de und wien.oevp.at bzw. neuevolkspartei.wien obwohl tatsächliche und echte Mails @wien.oevp.at lt. SPF gar nicht von dieser IP Adressen versendet werden.

    Hab ich echt toll gemacht ;)

  5. Zum Thread-Index:

    Laut der Microsoft-Beschreibung auf https://docs.microsoft.com/en-us/openspecs/exchange_server_protocols/ms-oxomsg/9e994fbb-b839-495f-84e3-2c8c02c7dd9b ergibt sich ein Datum einer ursprünglichen Mail mit:

    Mon, 07 Jan 2019 06:05:00 +0000

    Das Datum der aktuellen Mail (Antwort / Weiterleitung der Ursprungsmail) lässt sich nicht bestimmen. Laut Fußzeile 3 in oben angegebenem Link wird diese in heutigen Microsoft-Mail-Servern nicht mehr im Thread-Index gespeichert.

    „Exchange 2013, Exchange 2016, and Exchange 2019 set the Delta Code field to 1 and do not calculate the Time Delta field based on TimeDiff.“

    Insgesamt würde Jan 2019 auf eine „Fälschung“ oder Modifikation hindeuten (auch wenn selbst dieses Datum vor der Veröffentlichung in den Medien war). Am besten beurteilen könnte man das natürlich erst mit dem Text der Email. Laut Betreff wurde diese ja weitergeleitet und beantwortet. Es sind also mindestens drei Emails im Spiel.

  6. Ich brauche keine Forensik mehr in dem Fall, mir reicht mein Hausverstand: Bei reinem Gewissen hätten Basti und Karli Deloitte Forensic nicht für das Wochenende (!!) mit einer deshalb fünf mal teureren Analyse beauftragt und wären am Montag nicht hektisch vor die Presse getreten!!!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert