Wien, im Frühsommer dieses Jahres. Der Nationalratswahlkampf nimmt gerade an Fahrt auf, die EU-Wahl ist aus türkiser Sicht erfolgreich geschlagen, und Heinz-Christian Strache, damals noch FPÖ, hat gerade auf sein Mandat im EU-Parlament verzichtet. Da lädt die ÖVP am Morgen des 17. Juni überraschend zu einer Pressekonferenz. Spitzenkandidat Sebastian Kurz und Parteigeneral Karl Nehammer treten vor die verdutzten Journalisten und sprechen von einem massiven "Fälschungsskandal". Es kursierten getürkte E-Mails, erklärten die beiden, die "mit hoher krimineller Energie" lanciert werden. Er sei "geschockt", sagte Kurz. Die E-Mails sollten Kurz und seinen Vize Gernot Blümel direkt mit dem berüchtigten Ibiza- Video in Zusammenhang bringen, das knapp einen Monat zuvor die Republik erschüttert hat.

Heute ist klar: Die E-Mails waren tatsächlich eine glatte Fälschung. Fünf Wochen nachdem Kurz und Blümel ihre Pressekonferenz abgehalten hatten, stand die Polizei vor der Tür von Robert L., einem jungen Oberösterreicher. Sein Hauptwohnsitz in der Nähe von Wels wurde ebenso durchsucht wie seine Wohnung in Wien-Liesing. Ermittler verdächtigen ihn, "sich zu einem noch festzustellenden Zeitpunkt zwischen 24. 7. 2017 und 14. 6. 2019" unbefugten Zutritt in ein Computersystem verschafft zu haben – genauer gesagt in den Server der Agentur für die Modernisierung der Ukraine. Das zu dem einzigen Zweck, von dort E-Mails sowie Ton- und Filmaufnahmen zu FPÖ- und ÖVP-Politikern zu stehlen. Die Agentur war im März 2015 vom ukrainischen Oligarchen Dmitri Firtasch gegründet worden, um Reformvorschläge für das osteuropäische Land zu erarbeiten. Dafür engagierte Firtasch auch ehemalige Mitarbeiter der ÖVP sowie den einstigen Vizekanzler Michael Spindelegger. Firtaschs Sprecher ist wiederum der PR-Berater Daniel Kapp, der besonders auf sozialen Medien gern in Verschwörungstheorien zur angeblichen ÖVP-Beteiligung an Ibiza genannt wird – wofür es keinerlei Indizien gibt. Die von L. verbreitete Story passte aber perfekt zu diesem Narrativ, das in sozialen Medien herumgeisterte.

"Videomaterial. Strache+Gudenus"

Sie könnten der Grund dafür gewesen sein, warum L. behauptete, die E-Mails aus dem Server der Agentur abgesaugt zu haben. Eine andere Vermutung: "Alles, was mit der Ukraine zu tun hat, regt ja in der Politik gerade die Fantasie an", sagt Bernhard Schragl, einst Pressesprecher der Agentur. Das Material, das der Pseudohacker zu besitzen vorgab, wäre brisant gewesen: Es hätte belegen sollen, dass Kurz und Blümel schon im Frühjahr 2018 von dem Ibiza-Video gewusst hätten.

"Wir haben mehrstündiges Videomaterial, das jeder Überprüfung standhält. Strache+Gudenus. Da sind alle anderen obsolet", soll etwa in einer (gefälschten) E-Mail gestanden sein.

L. schwebte am Rande der Wiener Politszene; er war mit der Ex-Affäre eines prominenten Politikersohns liiert. Der Pseudohacker klapperte der Reihe nach prominente Politikberater ab, um seine Fälschung zu verkaufen. Einer trifft sich mehrfach mit L. und leitet dessen Chats an Journalisten weiter, ein anderer wird von ihm über mehrere Hundert Euro abgezockt. Manche Investigativjournalisten treffen sich mehrere Male mit ihm. Er tischt ihnen die "wildesten Geschichten" auf, wie eine Person erzählt, die bei Treffen dabei war – etwa, dass er "Auslandseinsätze" für einen Geheimdienst absolviert. Einmal läuft er davon, als Journalisten bei ihm daheim auftauchen.

Schlussendlich landen die E-Mails beim Blog EU-Infothek von Gert Schmidt, der auch für den Glücksspielkonzern Novomatic aktiv ist und sich journalistisch vor allem den Hintermännern des Ibiza-Videos widmet – und in dieser Causa auch schon für falsche Informationen bezahlt hat. Auch hier greift Schmidt in sein Portemonnaie: Er überweist L. rund 3000 Euro – und konfrontiert die ÖVP mit den E-Mails.

Dann passiert ein echter Hackerangriff

Die heuert hastig externe Prüfer von Deloitte an, um die von Schmidt übermittelten Screenshots zu prüfen. Bei ihrer Analyse finden die Deloitte-Mitarbeiter mehrere Ungereimtheiten – allerdings nicht genug, um die Zweifel der politischen Konkurrenz auszuräumen. Für FPÖ-Generalsekretär Christian Hafenecker war die Pressekonferenz von Blümel und Kurz etwa eine "Flucht nach vorn". Monatelang versuchen Journalisten, mehr über die E-Mails zu erfahren. Die Causa gewinnt noch einmal an Fahrt, als die ÖVP von einem "echten" Hackerangriff berichtet. Zeitgleich werden Interna an Medien geleakt, etwa die Liste an ÖVP-Großspendern an den STANDARD, finanzielle Interna an den Falter. Mit L.s vermeintlichen Hacks dürften sie nichts zu tun haben.

Denn zu diesem Zeitpunkt haben die Ermittler den Oberösterreicher schon lange mit ihren Verdachtsmomenten konfrontiert. Kurz vor Weihnachten ist er noch immer in U-Haft, wie die Staatsanwaltschaft Wien bestätigt. Die Anklage lautet auf schweren gewerbsmäßigen Betrug, es droht eine Freiheitsstrafe von bis zu fünf Jahren. Allerdings sind noch immer nicht alle Daten auf den beschlagnahmten IT-Geräten ausgewertet – und die Ermittler sind mittlerweile auch auf kinderpornografisches Material gestoßen. Es gilt die Unschuldsvermutung. Bis Oktober teilen sich übrigens L. und Johann Gudenus denselben Anwalt.

"Die Angelegenheit wäre recht einfach zu durchschauen gewesen", sagt Schragl: Denn zu dem Zeitpunkt, als er die E-Mails gestohlen haben wollte, war die Agentur schon längst aus dem Gebäude ausgezogen, das L. als Ort seines Hacks angegeben hatte. (Fabian Schmid, 20.12.2019)