© APA/HERBERT NEUBAUER / HERBERT NEUBAUER

Netzpolitik
06/17/2019

"Fälschungsskandal": Mails ohne Serverinformationen wenig wert

Die ÖVP berichtet von angeblichen gefälschten E-Mail-Nachrichten zum Ibiza-Skandal. Wir haben bei einem Experten nachgefragt.

von Thomas Prenner

Die ÖVP und Ex-Kanzler Sebastian Kurz luden am Montag überraschend zu einer Pressekonferenz ein. Als Thema wurde ein „Fälschungsskandal“ genannt. Angeblich seien einem österreichischen Medium ÖVP-interne E-Mails zum verhängnisvollen Ibiza-Skandal zugespielt worden.

„Es ist der Versuch, uns massiv zu diffamieren und unter anderem die ÖVP in die Ibiza-Enthüllungen hineinzuziehen“, sagte Kurz. Über den konkreten Inhalt der E-Mails wurde selbst auf Nachfrage allerdings nichts gesagt.

Veröffentlicht wurde stattdessen eine Echtheitsprüfung der Beratungsagentur Deloitte. Jene wurde auf Basis von Screenshots der Mails erstellt und listet Unregelmäßigkeiten bei den Nachrichten, die laut ÖVP eindeutig belegen, dass es sich um Fälschungen handelt. 

Doch welche technischen Mittel und Wege gibt es überhaupt, um eine E-Mail auf ihre Authentizität zu überprüfen? Die futurezone hat bei einem Experten nachfragt:

„Man kann Mails immer modifizieren“

„Ein E-Mail ist nicht in Stein gemeißelt. Man kann immer alles modifizieren“, erklärt der IT-Forensiker Martin Schmiedecker im Gespräch mit der futurezone. Der erste Weg für eine Prüfung der Authentizität sei immer über den Mailserver: „Ich würde mir zuallererst eine Kopie der Mailserver holen und abgleichen“, so der IT-Experte. Taucht die fragliche E-Mail am Server nicht auf, ist sie mit hoher Wahrscheinlichkeit gefälscht.

Zwar geht Schmiedecker davon aus, dass die ÖVP intern ihre Mailserver geprüft hat, aus den Unterlagen geht das allerdings konkret nicht hervor.

Analysiert werden können auch die versendeten Informationen, aber mit Vorbehalt: „Das Mail selbst ist im Vergleich zu den Serverinformationen wenig wert“, erläutert Schmiedecker. Auch im konkreten Fall muss man sich hier vollständig auf das – in dem Fall von der ÖVP zur Verfügung gestellte – Material verlassen.

Inkonsistenz bei Datum und ID

Rückschlüsse auf gefälschte Mails seien dennoch anhand einiger Faktoren möglich. Die wurden auch von Deloitte analysiert. Dort ist etwa von einer Inkonsistenz beim Datum die Rede. So wird etwas ein falscher Wochentag genannt, der nicht mit dem Datum übereinstimmt. Auch das Format (Doppelpunkt statt einfacher Punkt) ist falsch.

Ebenfalls genannt wird der Thread-Index. Dabei handelt es sich um eine eindeutige ID, die einer E-Mail-Konversation zugeordnet wird. Auch hier werden in dem Bericht Unregelmäßigkeiten genannt.

„Vor allem dass der Thread Index zwei Nachrichten bezeichnet und die Inkonsistenz beim Datum sind zwei starke Zeichen für eine Fälschung“, bestätigt auch Schmiedecker die Ergebnisse von Deloitte.

SPF lässt Fragen offen

SPF steht für Sender Policy Framework und soll verhindern, dass E-Mail-Adressen von Absendern gefälscht werden können. Inhaber einer Domain können über das entsprechende Protokoll festlegen, wer darüber E-Mails versenden darf.

Auch hier ist bei den Nachrichten eine Unregelmäßigkeit auffällig: So wird dort die IP-Adresse 92.51.182.1 genannt. Einerseits stellt sich die Frage, ob diese Überprüfung bei der angeblichen internen Kommunikation überhaupt notwendig wäre. Andererseits ist die IP-Adresse nicht auf wien.oevp.at, sondern auf hosteurope.de registriert.

Auf Twitter merkten inzwischen mehrere Nutzer an, dass die IP-Adresse http://neuevolkspartei.wien mit 92.51.182.37 im selben Bereich wie die im Bericht genannte Mail-Adresse liegt. Heißen muss das laut Schmiedecker allerdings nichts, an jener Stelle könnte der Fälscher auch einfach jede beliebige IP-Adresse eingetragen haben.

Screenshots unüblich

Insgesamt stuft der Experte den Bericht als durchaus schlüssig argumentiert ein. Dass jener auf Basis von Screenshots gemacht wurde, bezeichnet Schmiedecker zwar als „unüblich, aber möglich“. Normalerweise würde man eher das ganze E-Mail weiterleiten. Auch für den angeblichen Fälscher mache das wenig Sinn: „Es wäre leichter, das Mail zu fälschen, als den Screenshot“. Insgesamt wirken die Fälschung zwar als solche erkennbar, aber nicht laienhaft: „E-Mails sind komplexe Sachen, diese Fehler können auch einem Profi passieren.“

„Mein Bauchgefühl ist, dass jemand ein echtes E-Mail hergenommen und einige Sachen eingefügt hat“, so Schmiedecker. Anschließend dürfte das modifizierte Mail als Anhang weitergeleitet worden sein, um den Anschein zu erwecken, echt zu sein.

Grundsätzlich seien E-Mails sehr schwierig, um irgendetwas zu belegen: „Im Prinzip ist ein Mail nur eine Textdatei. Darum sind E-Mails nur mäßig für etwas Belegbares zu verwenden“.