Zur mobilen Ansicht wechseln »

Österreich Kritik an Whistleblower-Website der Justiz.

Foto: Damian Dovarganes, ap
Seit Mittwoch gibt es in Österreich einen Whistleblower-Dienst des Justizministeriums, bei dem anonym Korruptionsfälle gemeldet werden können. IT-Experten kritisieren, dass die Anonymität der Informanten nicht ausreichend gewährleistet ist.

Das Whistleblower-Portal des Justizministeriums wird nicht von allen österreichischen Bürgern geschätzt. "Man schickt Daten an die Website, weiß aber nicht, was mit den Informationen dort wirklich passiert", kritisiert Pepi Zawodsky, Mitorganisator von sogenannten "Crypto-Partys" in Wien, die sich zum Ziel gesetzt haben, Menschen beizubringen, wie man sich im Internet sicher und anonym bewegt. "Da es sich um eine private Software-Lösung eines deutschen Unternehmens handelt, kann man nicht nachprüfen, ob IP-Adressen wirklich, wie vom Unternehmen versprochen, nicht gespeichert werden", sagt Zawodsky. Er rät, das Portal nicht zu nutzen, ohne sich vorher umfassend mit Anonymisierungsmöglichkeiten im Netz auseinandergesetzt zu haben - zum eigenen Schutz.

"Große Gefahr für Tippgeber"
"Es ist nicht einfach, sich im Internet anonym zu vehalten. Das Wissen, wie man das anstellt, kann man nicht voraussetzen. Unwissende Tippgeber bringen sich  in große Gefahr", sagt Zawodsky. Auf der Webseite der Business Keeper AG werde man zwar darauf hingewiesen, dass man die heikle Meldung nicht von seinem Firmen-Computer aus tätigen und auf eine sichere, verschlüsselte Internet-Verbindung achten sollte, doch ein Hinweis auf den Anonymisierungsdienst TOR bleibe aus. Eine entsprechende "Sicherheitswarnung" bei der Nutzung des Portals komme außerdem an relativ später Stelle, in der Mitte eines Texts in einem Pop-Up-Fenster, so Zawodsky.

Nutzer werden zudem nicht ausreichend darüber aufgeklärt, dass Dokumente in der Regel verräterische Metadaten enthalten, bei Fotos z.B. immer EXIF-Daten (inklusive GPS-Position) mitgeschickt werden, in Word-Files die Historie inklusive Änderungen (plus wer was geändert hat) im File vorhanden ist. "Es ist außerdem unklar, ob die Business Keeper AG selbst auf die heiklen Daten zugreifen kann", meint Zawodsky.

"Kein Zugriff auf Daten"
Laut Kai Leisering, Vorstand des deutschen Unternehmens, habe die Business Keeper AG keinen Zugriff auf die Daten. "Jede Meldung ist in sich verschlüsselt. Damit wir nichts ändern können, gibt es außerdem einen Hashcode, der sich verändern würde, sobald wir manipulativ tätig werden. Ein unabhängiger öffentlich bestellter Sachverständiger überprüft das regelmäßig", versucht Leisering die Bedenken zu entkräften.

Es gibt auch Bedenken, dass man als Informant aufgrund der Vorratsdatenspeicherung möglicherweise nicht ganz so anonym ist, wie es einem auf der Website verkauft wird. "Wir sind nicht vorratsdatenspeicherungspflichtig, das haben wir mehrfach prüfen lassen", erklärt  Leisering dazu. "Außerdem gibt es in unserem System keine IP-Adressen. Diese werden von vornherein gar nicht gespeichert und sind daher auch rückwirkend nicht abrufbar."

Barrierefreiheit "nicht notwendig"
Für Kritik sorgt auch, dass die Website nicht, wie andere österreichischen Behörden-Internet-Auftritte, barrierefrei ist und diesbezügliche gesetzliche Vorschriften nicht eingehalten werden. Wenn man einen Tipp meldet, muss man zudem ein optisches Captcha lösen, zu dem es keine barrierefreien Alternativen gibt. "Das liegt daran, dass wir eine Applikation Service Providing (ASP)-Anwendung bereitstellen und nicht eine bloße Website. Es ist juristisch geprüft, dass wir die Anwendung nicht barrierefrei gestalten müssen", erklärt Leisering.

Ein Hinweis darauf, dass die Anwendung von dem deutschen Unternehmen betrieben wird, fehlt auf der Seite jedoch gänzlich. Als Ansprechpartner wird die Zentrale Staatsanwaltschaft zur Verfolgung von Wirtschaftsstrafsachen und Korruption genannt.

Zawodsky findes es auch heikel, dass das Server-Backend in Java läuft. "Java ist im Enterprise-Softwarebereich zwar üblich, aber nicht, wie man in den letzten paar Wochen mitverfolgen konnte, das beste Aushängeschild für Sicherheit", so der Systemadministrator. In einem Test stellte Zawodsky zudem fest, dass man auf die Webseite nicht zugreifen kann, wenn man JavaScript im Browser deaktiviert hat. Die Whistleblowing-Plattform könne alles in allem die Anonymität des Informanten nicht ausreichend gewährleisten.

"Erprobtes System"
In der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft sieht man das freilich anders. "Ich habe keine Zweifel daran, dass die Anonymität gewährleistet ist, da es sich dabei um ein vielfach erprobtes System handelt", so die Oberstaatsanwältin Eva Habicher zur futurezone. Die Software-Lösung kommt nicht nur in Österreich, sondern seit 2003 auch beim niedersächsischen Landeskriminalamt zum Einsatz. Beschwerden gab es dort bisher keine.

Mehr zum Thema

(futurezone) Erstellt am 22.03.2013, 06:00

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Ihr Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!