Der heutige Verhandlungstag startete erst mit einiger Verspätung, dafür gab es detailliertere Informationen zu technischen Ermittlungsmethoden der österreichischen Polizei, dem Umgang der Angeklagten Nazis mit Computersicherheit und dem weiteren Verhandlungsplan.
Zur Erinnerung: Am Landesgericht für Strafsachen Wien läuft seit einigen Monaten ein Verfahren gegen drei österreichische Neonazikader, denen die Administration bzw. der Betrieb der Neonazi-Homepages Alpen-Donau.info und des daran angeschlossenen alinfodo Forums vorgeworfen wird. Den drei Angeklagten Gottfried Küssel, Felix Budin und Wilhelm Anderle wird der Prozess wegen Wiederbetätigung nach dem Verbotsgesetz gemacht.
Ermittlungen in der BRD gegen weiteren Nazi-EDVler
Gegen einen weiteren Beschuldigten aus Hamburg (dem deutschen Staatsbürger Robert Marquardt) wird in Deutschland ermittelt, bisherigen Ladungen leistete dieser jedoch nicht Folge. Nun soll für den nächsten Verhandlungstag am 7.11. eine Einvernahme per Videozuschaltung versucht werden - allerdings nur für den Fall, dass Marquardt nicht ohnehin vorhat, sich der Aussage zu entschlagen.
Im Laufe der ersten Verhandlungstage stellte sich heraus, dass der Angeklagte Anderle gemeinsam mit Marquardt die "Arbeitsgemeinschaft Perfect Privacy" gegründet und betrieben hat, die zu den größten und bekanntesten Anbietern von Anonymisierungsdiensten per VPN zählt. Anderle versorgte andere Nazikader sowie seine Mitangeklagten mit Perfect-Privacy Accounts, welche diese dann unter anderem für den Betrieb und die Verwaltung der jetzt inkriminierten Homepages nutzten. Mehr zu Marquardts Aktivitäten und Perfect-Privacy findet sich auf linksunten.indymedia.org: 1, 2 und 3.
Weitere Ermittlungen in Österreich - Gleich und Gleich gesellt sich gern!
Der heutige Verhandlungstag im Wiederbetätigungsprozess gegen Gottfried Küssel, Felix Budin und Wilhelm Anderle begann mit weiteren Verzögerungsversuchen durch Küssels Verteidiger: dieser beantragte den Ausschluss eines beisitzenden Richters, da dieser auch im Ermittlungsverfahren (das immer noch unter der gleichen Aktenzahl fortgeführt wird) gegen den mittlerweile ebenfalls Beschuldigten Richard Pfingstl Ermittlungsmaßnahmen genehmigt habe.
Bei Pfingstl handelt es sich um einen jener Grazer Neonazis, die in Graz gerade eine Verurteilung wegen schwerer Körperverletzung ausgefasst und einen zweiten Prozess wegen Wiederbetätigung am Hals haben - sh. Artikel der Gruppe Mayday aus Graz.
Der Richter kommentierte den Antrag indem er angab, den Hausdurchsuchungsbefehl gegen Pfingstl offensichtlich nicht unterschrieben zu haben (sein Name fand sich auch nicht darauf), die Anordnung zur Datenübermittlung betreffend des Mobiltelefons von Pfingstl jedoch schon, allerdings nur in Vertretung.
Nach 45 Minuten Beratung lehnte das Gericht den Antrag ab, da gegen Pfingstl zum Zeitpunkt der Ausgliederung der drei heute Angeklagten aus dem Ermittlungsverfahren (aufgrund der Anklage) noch gar nicht ermittelt wurde - der Richter also nicht in das Ermittlungsverfahren gegen die jetzt im Hauptverfahren Angeklagten involviert gewesen sei.
Die Nazis und das Urheberrecht
Mit über einer Stunde Verspätung begann dann die eigentliche Verhandlung mit der Vernehmung des Zeugen S. Dieser war als freischaffender Fotograf tätig, als ihm von einem Kunden mitgeteilt wurde, das zwei seiner Fotos auf der Neonazi-Seite Alpen-Donau.info widerrechtlich und ohne Nennung seines Namens verwendet werden. Daraufhin versuchte er, herauszufinden wer hinter der Seite steckt und schrieb schließlich eine Rechnung und Unterlassungsaufforderung an die in der whois-Datenbank angeführt Administrations-Adresse. Eine Antwort blieb - wie von ihm selbst auch erwartet - aus. Dieser Rechnung kam jedoch später noch größere Bedeutung zu.
Die Nazis und die EDV
Ermittlungsarbeit des BVT - Unterstützung durch das FBI
Als nächster Zeuge am heutigen Verhandlungstag betrat Christian Herndler den Verhandlungssaal. Herndler kann nicht nur mit einer langen Liste an IT-Zertifizierungen aufwarten (sh. seine Homepage), er bietet auch eine Reihe an Diensten im Bereich Internet-, Netzwerk- und Computersicherheit an. Hauptberuflich ist er jedoch beim Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) für forensische Datensicherung und Auswertung zuständig. In dieser Funktion hat er auch die Sonderkommission bei ihren Ermittlungen gegen ADI unterstützt, indem er die vom FBI aus den USA gelieferten Daten ausgewertet, die Inhalte des ADI-Webservers gesichert sowie die beschlagnahmten Datenträger der Angeklagten ausgewertet hat.
Herndler begann seine Schilderungen damit, dass der Angeklagte Anderle als Betreiber von ADI ausgeforscht werden konnte, da den österreichischen Behörden vom FBI die Zugangsdaten zum Admin Panel des Accounts beim Hostingprovider Dreamhost, bei dem ADI über Marquardt eingemietet war, zur Verfügung gestellt bekommen hatten. Weiters erhielt das BVT eine Logdatei mit 10200 Einträgen über vergangene Zugriffe auf dieses Admin Panel, welches zum Administrieren des Hostingpakets (auf dem neben ADI und dem zugehörigen Forum noch zig andere Neonazi-Homepages gehostet wurden) verwendet wird.
Aus diesem Logfile war ersichtlich, dass die meisten Zugriffe anonymisiert über Proxy- bzw. VPN-Server erfolgten. 17 der Zugriffe erfolgten jedoch von einer IP-Adresse, die dem österreichischen Provider Chello/UPC zugeordnet wurden - diese IP gehörte zum Internetanschluss des Angeklagten Anderle - und legten nahe, dass von demselben Rechner aus die Registrierung der beiden Domains für Alpen-Donau.info und das Forum erfolgte. Diese Zuordnung erfolgte aufgrund der Tatsache, dass ein Teil der anonymisierten Zugriffe identische (ungewöhnliche) Merkmale wie die 17 Zugriffe von Anderles Anschluss aufwiesen und daher mit hoher Wahrscheinlichkeit vom selben Rechner aus erfolgten (Herndler erwähnte hier eine bestimmte selten vorkommende Software, die auf Anderles Rechner installiert war und sowohl bei den anonymisierten als auch den direkten Zugriffen im Logfile aufschien).
Der Angeklagte Küssel wiederum geriet ins Visier der ErmittlerInnen, weil bei einer Hausdurchsuchung bei ihm (die aufgrund eines anderen Ermittlungsverfahren stattfand) auf einem beschlagnahmten Datenträger die vom Zeugen S. an ADI gestellte Rechnung gefunden wurde - was ohne eine (enge) Verbindung zwischen Küssel und ADI wenig Sinn ergeben würde. Im Zuge der Auswertung der Datenträger und darauf befindlicher Mails nach den Hausdurchsuchungen im jetzigen Verfahren konnte später herausgefunden werden, dass Anderle diese Mail an Küssel und Budin mit dem Vermerk "FYI" ("For Your Information/Interest") weitergeleitet hatte.
Sicherung von Alpen-Donau
Nachdem Herndler vom FBI nicht nur die Logdatei, sondern auch die Logindaten für das Admin-Panel übermittelt bekam, begann dieser die komplette ADI Seite inkl. Forum (von den AdministratorInnen unbemerkt) monatlich zu sichern und den ermittelnden Beamten eine lokale Kopie im Polizei-Intranet zur Verfügung zu stellen. Dabei wurden jedoch alle Passwörter ersetzt, so dass es den SachbearbeiterInnen nicht möglich war, sich auf der Original ADI Seite oder dem Forum einzuloggen. Die Frage, warum zu diesem Zeitpunkt die Seite nicht gleich komplett gelöscht wurde wurde von Herndler einerseits mit rechtlichen Bedenken beantwortet (zumal der Server sich nicht in Österreich, sondern den USA befand), andererseits wäre ADI vermutlich kurz danach aus einem Backup auf einem anderen Server wiederhergestellt worden, ohne das es möglich gewesen wäre, die BetreiberInnen auszuforschen.
Arbeitsspeicherdumps, Passwortlisten & entschlüsselte E-Mails
Anschließend folgte eine detaillierte Aufschlüsselung, bei wem welche Rechner und Datenträger beschlagnahmt wurden. Bei Budin und Anderle wurden jeweils gerade eingeschaltete Computer vorgefunden, aus dessen Arbeitsspeicher die Keys für die Festplattenverschlüsselung auslesbar waren. Sowohl Budin als auch Anderle (bzw. dessen ebenfalls bei der Hausdurchsuchung anwesende Lebensgefährtin) versuchten, den Zugriff der Polizei auf die laufenden Rechner durch Ausschalten bzw. Sperren zu verhindern. In Anderles Fall gelang dies seiner Lebensgefährtin sogar, nach einigem Zureden durch die PolizistInnen gab diese jedoch das Passwort preis. Die Angeklagten selbst verrieten keinerlei Passwörter oder Zugangsdaten, allerdings fanden sich auf den entschlüsselten Rechnern von Budin und Anderle umfangreiche Passwort- und Zugangsdatenlisten (unter anderem für das Administrationsinterface des Hostingpakets, Logins für ADI und das Forum, bei Anderle auch für Server von Perfect-Privacy). Zudem konnte später auf einem Rechner von Anderle ein privater PGP-Schlüssel wiederhergestellt werden (für den sich die Passphrase scheinbar entweder auch in einer Passwortliste fand oder für den bei der Generierung keine Passphrase eingegeben wurde), so dass ein Großteil seiner verschlüsselten Nachrichten entschlüsselt werden konnte (mehr dazu weiter unten).
Auf Budins Rechner fanden sich Hinweise darauf, dass ca. 20 ADI-Beiträge am Rechner selbst bearbeitet oder erstellt worden sind (z.b. durch bearbeitete Bilder, die sich nachher identisch in Einträgen auf der Seite fanden). Weiters fand sich dort ein Programm (vermutlich ein FTP-Client) zum Hochladen von Dateien auf Server, das laut Logfiles mehr als 1000 Mal aufgerufen wurde. In diesem Programm war als letzter verwendeter Host der ADI-Server sowie der Dateipfad eingetragen, in dem sich die ADI-Seite am Server befand. Ein weiteres belastendes Beweismittel gegen Felix Budin war das in seinem PGP-Schlüsselbund gefundene PGP-Schlüsselpaar für die Adresse kontakt@alpen-donau.info, dessen öffentlicher Schlüssel auch auf der Kontaktseite der Homepage angeführt war. Das Kennwort für den dazugehörigen privaten Schlüssel - mit dem die Entschlüsselung von verschlüsselt an Alpen-Donau gerichteten Kontaktanfragen möglich war - fand sich in der bei Budin gefundenen Passwortliste. Einzig bei Gottfried Küssel konnten keine Daten entschlüsselt werden, da sein Rechner zum Zeitpunkt der Hausdurchsuchung ausgeschaltet war. Teile des belastenden Mailverkehrs zwischen Küssel und Anderle konnten jedoch auf Anderles Rechnern sichergestellt werden.
Zur Zuordnung von Nicknames aus dem AD-Forum zu realen Personen konnte Herndler nicht viel aussagen, dies würde eher in den Bereich inhaltliche Auswertung fallen, für die er nicht zuständig sei. Einzige Ausnahme: Felix Budin schickte an Franz Radl (wiederum ein steirischer Neonazikader, der gemeinsam mit Pfingstl in Graz wegen Wiederbetätigung angeklagt ist - s.o.) eine E-Mail, um diesem das Kennwort für eine Mailadresse (felix_budin@gmx.net) mitzuteilen. Laut Herndler hat sich dann herausgestellt hat, dass genau dieses Passwort auch für die Entschlüsselung der privaten Nachrichten des Accounts "Heiler" im AD-Forum funktioniert hätte, war sich dann aber auf Nachfrage nicht 100% sicher. Er hätte daraus geschlossen, dass es sich bei "Heiler" im ADF um Budin handelte.
Unabsichtliche Klartext-Mails, Kehrtwenden in der Verhandlungsstrategie und überraschende Ermittlungsergebnisse
Weiters betonte Herndler dass Anderle - entgegen seinen Aussagen zur Wichtigkeit von Verschlüsselung in allen Lebensbereichen - nur sehr wenig verschlüsselt kommuniziert hätte, nämlich in erster Linie mit seinen beiden Mitangeklagten, mit seinem Geschäftspartner und Kameraden Marquardt sowie weiteren Personen aus der rechtsextremen bzw. neonazistischen Szene. Nur einer seiner beiden Rechner und ca. 10% seiner Mails waren verschlüsselt. Anschließend führte er nochmals ein nicht unspannendes Detail der Ermittlungsergebnisse betreffend des Mailverkehrs zwischen den Angeklagten aus. Zu Verhandlungsbeginn lagen die entschlüsselten Mails von Anderle noch nicht vor, der Mailverkehr präsentierte sich folgendermaßen (Anderle, der ursprünglich als einziger Angeklagter bereit war Aussagen zu machen, baute seine Verantwortung fast ausschließlich auf diesen Mails auf - ein wie sich später herausstellte schwerer Fehler).
Küssel fragte per unverschlüsseltem Mail bei Anderle an, ob dieser zwei Domains für ADI und ADF registrieren könne. Kurz danach fragt er (wiederum per unverschlüsselter Mail) nach, ob seine Mails eh verschlüsselt ankommen würden. Anderle antwortet unverschlüsselt, er wolle mit diesen Seiten nichts zu tun haben. Anderle präsentierte sich am ersten Verhandlungstag als integrer Geschäftsmann, dem Anonymität im Internet und Meinungsfreiheit ein Anliegen sind, der aber nichts (mehr - er ist bereits einmal aufgrund einer Friedhofschändung wegen Wiederbetätigung verurteilt worden) mit Neonazis zu tun haben will und auch außer bei diesem kurzen Mailwechsel nichts mit Küssel zu tun hatte.
Nach der Entschlüsselung der Mails brach diese Verteidigungslinie wie ein Kartenhaus in sich zusammen: Parallel zu seiner unverschlüsselten Ablehnung antwortete Anderle Küssel nämlich verschlüsselt einerseits, dass Küssels Mails unverschlüsselt gewesen sind und daher für alle lesbar - und in einer zweiten Mail, dass er sich um die Registrierung der Domains kümmern werde. Gleichzeitig fragt er bei seinem deutschen Kameraden Marquardt an, ob das über "Hunter Wallace" organisierbar wäre. Bei Hunter Wallace handelt es sich um einen amerikanischen Rechts-Außen Politiker, auf dessen Namen das (von Marquardt bezahlte) Hostingpaket bei Dreamhost angemeldet wurde. Einige Zeit und zwei Urgenzen durch Budin später erfolgte dann die Registrierung der beiden Domains, die Zugangsdaten schickte Anderle verschlüsselt an Budin und Küssel, woraufhin sich ein weiterer Neonazi, der mit der Installation der Forensoftware betraut war, wegen technischer Schwierigkeiten bei Anderle meldete. Aufgrund dieser Fülle an zwischenzeitlich bekannt gewordenem belastendem Material entschloss sich Anderle (nach einem Verteidigerwechsel) bereits im Sommer, in Zukunft wie seine Mitangeklagten jegliche Aussage zu verweigern.
Einen Versuch des Küssel-Anwalts, Küssels falsche PGP-Konfiguration - durch welche die unabsichtlich unverschlüsselten Mails von Küssel an Anderle zustande kamen - so darzustellen, als würde dadurch ein Entschlüsseln und Lesen der verschlüsselten Mails von Anderle an Küssel unmöglich gemacht werden, entkräftete Herndler gemeinsam mit dem ebenfalls anwesenden IT-Sachverständigen des Gerichts. Allerdings musste er einräumen, dass es natürlich theoretisch möglich wäre, dass Küssel zwischen dem Verschicken seines öffentlichen Schlüssels an Anderle und dem Empfang der verschlüsselten Mail mit der Domainregistrierungs-Zusage von Anderle am selben Tag den für die Entschlüsselung notwendigen privaten Schlüssel gelöscht oder PGP deinstalliert habe - dies erscheint allerdings ziemlich weit hergeholt. Andere Hinweise technischer Natur, dass Küssel ADI administriert oder mit Inhalten gefüllt hat gibt es laut Herndler nicht, allerdings wären fast alle administrativen Zugriffe auf ADI mittels Perfect-Privacy erfolgt und Küssel Rechner konnte nicht entschlüsselt werden - es gibt also dementsprechend kaum verwertbares bzw. aussagekräftiges Material.
Fortsetzung folgt
Der restliche Verhandlungstag drehte sich um ein unfertiges Sachverständigengutachten darüber, ob die Ermittlungsarbeit und -ergebnisse aus (computer-)technischer Sicht nachvollziehbar und korrekt sind. Der Sachverständige hat bis jetzt ca 20% der Daten stichprobenartig ausgewertet und dabei keinerlei Hinweise auf Manipulationen durch die Polizei gefunden. Seiner Meinung nach wurden technische Sachverhalte durchwegs korrekt wiedergegeben, inhaltliche Schlüsse zu bewerten sei nicht seine Aufgabe. Er gab aber an, sich nicht sicher zu sein, was der an ihn gerichtete Auftrag umfasst, so bestehe das meiste Aktenmaterial aus ausgedruckten Dokumenten, Mails, usw. bzw. deren inhaltlicher Auswertung - wenn er jede ausgedruckte Seite mit den digitalen Originaldateien aus den Sicherungskopien vergleichen muss, um sicherzugehen, dass hier keine Verfälschungen vorgenommen wurden, dann sei er noch "zwei Jahre" beschäftigt.
Weiters habe er nur drei von zwanzig beschlagnahmten Rechnern als Image zur Verfügung gestellt bekommen - ob auf den restlichen nichts Relevantes oder Verwertbares (z.B. wegen Verschlüsselung) zu finden war, kann er nicht beurteilen. Falls er diese Rechner auch noch auswerten soll, würde das mindestens einige Monate dauern. Nach einiger Diskussion wurde sich schließlich darauf geeinigt, den Sachverständigen für 9.1.2013 zur Gutachtenserstattung zu laden (LG Wien, Saal 203, 9:30). Für 10.1. ist der vorraussichtlich letzte Verhandlungstag angesetzt, an diesem sollen etwaige Verlesungen, die Schlussplädoyers sowie die Urteilsfindung durch die Geschworenen stattfinden (Saal 106, 9:30).
Der nächste Verhandlungstag findet bereits am 7.11.2012 ab 9:30 im Saal 203 statt, falls möglich soll an diesem Tag die Videoeinvernahme von Marquardt stattfinden. Weiters sind von der Staatsanwaltschaft die Zeugen Horst Leitgeb und Werner Puchegger vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung geladen. Leitgeb hat bereits einmal im Verfahren ausgesagt, er war für die Aktenführung bei der ermittelnden Sonderkommission zuständig. Dieses Mal soll er nicht nur zu technischen Belangen befragt werden, außerdem ergaben sich seit seiner Einvernahme neue Beweismittel (s.o.). Puchegger war der operative Leiter der Sonderkommission, er soll Details zu den inhaltlichen Auswertungen des Aktenmaterials erörtern. Im Gegenzug kündigte die Verteidigung trotzig an, ebenfalls ZeugInnen erneut oder neu zu laden, wodurch sich das Verfahren eventuell noch weiter in die Länge ziehen wird.
Danke
Vielen Dank für den guten Artikel!
Danke auch von mir
Ein wirklich sehr informativer Artikel!