Es ist ein besonders drastischer Fall von Online-Hass, den Lisa-Maria Kellermayr Ende Juni öffentlich macht. Seit Monaten erhalte die während der Covid-Pandemie durch TV-Auftritte und Interviews bekannt gewordene Landärztin aus Oberösterreich Morddrohungen aus der Szene der Maßnahmen- und Impfgegner, schreibt sie selbst auf Twitter – DER STANDARD berichtet. Tatsächlich wird in diesen Nachrichten wenig an Grausamkeiten ausgelassen, so spricht etwa ein Hassposter davon, ein "Massaker" in der Ordination der Ärztin anrichten zu wollen – samt Details, wie das konkret ablaufen soll.

Ein Behördenversagen?

In Kellermanns Schritt an die Öffentlichkeit schwingt aber auch ein Vorwurf an die Behörden mit: Diese hätten seit Monaten wenig bis nichts getan, um sie zu schützen oder gar die Täter auszuforschen. Das will die oberösterreichische Polizei natürlich nicht so einfach auf sich sitzen lassen, also folgt rasch ein Dementi. Man habe sehr wohl ermittelt, zum Teil sei man dabei aber auch an technische Grenzen gestoßen, da die Nachrichten aus dem Darknet stammten und so die Urheber nicht zurückverfolgt werden könnten.

Auftritt: Eine Hacktivistin

Was danach folgt, kommt allerdings für alle Beteiligten überraschend. Eine unter dem Namen "Nella" auftretende Hacktivistin aus Deutschland meldet sich zu Wort und bietet an, sich den Fall näher anzusehen, nachdem ihr die Geschichte zufällig in ihre Twitter-Timeline gespült worden sei. Die Ärztin nimmt Kontakt auf, und tatsächlich kann die sonst vor allem zum Thema Kindesmissbrauch recherchierende Aktivistin schon bald Erfolge vermelden. Innerhalb weniger Stunden sei es ihr gelungen, einen Täter zu identifizieren.

Das wiederum sorgt für viel Aufsehen, immerhin wirft diese Diskrepanz zu den Aussagen der Behörden grundlegende Fragen deren Ermittlungskompetenz bei Online-Verbrechen betreffend auf – oder wahlweise die Ernsthaftigkeit betreffend, mit der solchen Fällen nachgegangen wird. Während "Nella" öffentlich gefeiert wird und ihre Followerzahlen auf Twitter explodieren, stehen die Behörden mit heruntergelassenen Hosen da.

Abwarten

Also geht man in die Verteidigungsposition: Aus dem Innenministerium heißt es nun, eine solchce "Hackerin" habe eben andere Möglichkeiten, als sie einer Behörde zur Verfügung stünden. Generell scheint man aber zunächst über die von "Nella" umgehend an den Verfassungsschutz weitergeleiteten Recherchen erfreut zu sein. Was in der medialen Begeisterung allerdings auch untergeht: Ob die Behauptungen der Hacktivistin stimmen, weiß eigentlich niemand so recht, die öffentlichen Aussagen sind bei näherer Betrachtung eher vage bis mysteriös.

Ein Rechercheansatz

Gleichzeitig werfen nicht zuletzt die öffentlichen Stellungnahmen der Behörden dermaßen viele Fragen auf, dass es lohnenswert erscheint, sich die Causa einmal näher anzusehen. Die Aufgabenstellung: Was lässt sich anhand von zwei der Drohmails – jene, die laut Behörden "aus dem Darknet stammen" und Morddrohungen enthalten – mit einer simplen Online-Recherche herausfinden?

Alles startet beim Mail-Header

Ausgangspunkt in solchen Fällen ist zunächst immer der sogenannte Mail-Header. Das ist eine Art längere Form der Absende- und Empfängerinformationen, die über jeder Nachricht angezeigt wird. Darin enthalten sind Informationen, welchen Weg die Mail genommen hat, welche Software verwendet wurde und nicht zuletzt die IP-Adresse des Absenders. Also jene – mehr oder weniger – eindeutige Nummer, über die oftmals klar wird, woher die Nachricht stammt. All das ist übrigens kein Geheimwissen. Die Möglichkeit, den vollständigen Header anzuzeigen, gibt es bei so ziemlich jedem Mail-Client, und das Wissen, um ihn korrekt zu lesen, lässt sich relativ rasch aneignen.

In diesem Fall wird aber schon vorher klar, dass diese Informationen wohl kaum etwas Brauchbares liefern werden. Hat der Absender doch Wegwerfadressen bei zwei auf Anonymisierung ausgerichteten Mailanbietern verwendet. Das ist dann auch das, was der Verfassungsschutz mit dem Hinweis auf das Darknet meint. Die Nachrichten wurden dabei über das Anonymisierungsnetzwerk Tor geschickt, das heißt: Die IP-Adressen in der Mail sind nicht jene des Absenders, sondern irgendeines anderen Rechners, über den die Daten umgeleitet wurden.

Dass dieser Weg eine Sackgasse ist, betont auch einer der betroffenen Provider auf Nachfrage des STANDARD. Die minimalen Daten, die er habe, würden den Behörden in so einem Fall nichts bringen – und an andere darf er sie sowieso nicht hergeben.

Neuer Weg

Also muss ein anderer Rechercheansatz her. Auffällig ist in dem Fall, dass der Täter zweimal den gleichen Namen verwendet hat. Dass es sich dabei um den echten Absender handelt, kann aus rein logischen Gründen schnell ausgeschlossen werden. Wer sich schon die Arbeit macht, solch einen Anonymisierungsdienst zu verwenden, der wird dann kaum seinen eigenen Namen dazuschreiben. Gleichzeitig klingt der Name jetzt nicht so zufällig, als wäre er einfach nur zur Ablenkung gewählt. Und vor allem ist gerade aus der rechtsextremen Szene bekannt, dass diese Leute zum Teil bewusst Namen von politischen Gegnern verwenden, um diese anzuschwärzen.

Tatsächlich stellt sich schon nach ein paar Minuten Recherche heraus, dass dieser Ansatz durchaus vielversprechend ist. Bei dem zur Tarnung verwendeten Namen handelt es sich nämlich um eine Person, die bereits vor einiger Zeit aus rechtextremen Covid-Leugner-Kreisen "gedoxxt" wurde. Beim "Doxxing" werden die privaten Daten einer Person zusammengetragen und veröffentlicht, um dieser zu schaden – und sie natürlich auch einzuschüchtern. Im konkreten Fall scheint die betroffene Person durch konsequentes Aufdecken und Melden von rechtsextremen Twitter-Accounts den Groll der Szene auf sich gezogen zu haben.

Stück für Stück

Das wiederum hilft aber indirekt dabei, die wahren Täter einzugrenzen – ist das doch ein recht spezifischer Konflikt. So findet sich denn auch recht schnell eine Spur zu einer Reihe von einschlägigen Twitter-Konten, die bereits früher enttarnt wurden und hinter denen alle die gleiche Person zu stehen scheint. Dass einer davon nach den ersten Meldungen über den Fall recht nervös reagiert und dann die Behauptung aufstellt, es handle sich um eine linke – von der zuvor erwähnten, gedoxxten Person ausgehenden – Verschwörung gegen ihn, obwohl zu dem Zeitpunkt öffentlich noch gar kein Täterumfeld benannt wurde, passt ebenso ins Bild wie der Umstand, dass dieses Konto danach eilig gelöscht wurde. Wer aber schon länger im Netz unterwegs ist, der weiß: Das Internet vergisst (fast) nichts, also lässt sich das auch im Nachhinein noch nachvollziehen.

Vom STANDARD mit diesen Erkenntnissen konfrontiert, bestätigt "Nella" denn auch, dass sie auf dem selben Weg zu ihren Schlüssen gekommen ist. Gleichzeitig konnte sie danach – und auch weil sie die Szene und deren Methoden schon länger kennt – nach eigenen Angaben einen konkreten Verdächtigen identifizieren. Demnach soll es sich um einen amtsbekannten Rechtsextremen aus Berlin handeln, der Name ist der Redaktion bekannt.

Disclaimer

Um das an dieser Stelle klarzumachen: Ob diese Person wirklich der Täter ist, lässt sich zunächst unabhängig nicht eindeutig klären. Zumindest ist die Indizienkette aber so stark, dass man eigentlich davon ausgehen sollte, dass die Erkenntnisse von "Nella" auf viel Interesse bei den Behörden stoßen. Tatsächlich berichtet sie, dass der Verfassungsschutz zunächst sehr positiv auf ihre Recherchen reagiert habe.

Umso überraschender kommt, was dem STANDARD am Dienstag von mehreren Quellen zugetragen wird: Die oberösterreichische Polizei wolle an die Öffentlichkeit gehen, um die Hacktivistin und deren Recherchen zu diskreditieren. Gleichzeitig ist auch zu hören, dass man das beim Verfassungsschutz für keine so gute Idee hält und versucht, diesen Schritt zu verhindern.

Und plötzlich steht die Hacktivistin im Fokus

Wie diese Diskussion ausgegangen sein dürfte, wird Mittwochfrüh klar. Da erscheint nämlich ein Artikel in den "Oberösterreichischen Nachrichten", in dem Christoph Weber, Sprecher der Staatsanwaltschaft Wels, mit direkten Angriffen gegen die Hacktivistin zitiert wird. Deren Erkenntnisse seien "weder inhaltlich noch technisch nachvollziehbar" heißt es da. Und: "Die Hackerin hat online und im Darknet recherchiert (...) und daraus ihre Rückschlüsse gezogen", das sei aber "nicht, wie die Polizei ermittelt. Das darf sie auch nicht."

Einen Tag später klingt das plötzlich ganz anders: In einer (der mittlerweile zweiten) Stellungnahme gegenüber dem STANDARD betont Weber, dass er von der Zeitung falsch zitiert wurde. Niemals habe er gesagt, dass die Polizei nicht im Darknet ermitteln dürfe, allerdings gebe es hier gewisse Beschränkungen durch den gesetzlichen Rahmen, die eben für eine Hacktivistin nicht gelten. So könne die Polizei nicht einfach "irgendwelche Personen online kontaktieren und deren nicht verifizierte Angaben dann als Basis für weitere Ermittlungshandlungen oder gar Zwangsmaßnahmen heranziehen".

Auf Nachfrage des STANDARD beim Verfassungsschutz gab es zum selben Thema eine etwas andere Antwort, die aber in eine ähnliche Richtung stößt: Bei der Recherche seien teilweise einschlägige Gruppen infiltriert worden – was den Sicherheitsbehörden nach aktuellem Rechtsstand nicht erlaubt sei.

Von "nicht nachvollziehbar" zu "nicht gelesen"

Doch zurück zur Staatsanwaltschaft Wels, denn in einer weiteren Stellungnahme für den STANDARD tönt es nämlich nun auch zur Qualität der Recherche von "Nella" etwas anders. Betont Weber doch jetzt, dass man diese gar nicht "abschließend beurteilen" könne, da man noch keine der versprochenen Dokumente erhalten habe. Die Hacktivistin habe lediglich dem Verfassungsschutz fernmündliche Angaben gegeben.

"Nella" kann dem nicht ganz zustimmen, sie habe neben telefonischen Gesprächen mit der "Direktion Staatsschutz und Nachrichtendienst" zunächst einzelne Materialien wie Screenshots zum Beleg geliefert. Damit konfrontiert, bestätigt dies dann in weiterer Folge auch die Staatsanwaltschaft, diese seien tatsächlich Ende Juni eingetroffen.

Mittlerweile – konkret am Montag – wurden übrigens auch auch PDFs mit detaillierten Ausführungen der Hacktivistin an den Verfassungsschutz geschickt, wie dieser dem STANDARD bestätigt. In Wels lagen diese Dokumente am Donnerstag zwar noch nicht vor, man wisse aber davon, ansonsten habe "Nella" ohnehin angeboten, direkt mit der Polizei zusammenzuarbeiten, betont Weber.

Darknet? Online? Hacking?

Unklar bleibt auch weiterhin, warum in diesem Zusammenhang immer wieder der Begriff "Darknet" ins Spiel gebracht wird. Kennt doch DER STANDARD mittlerweile die Recherche von "Nella" im Detail und kann sagen: Nichts davon hat auch nur irgendetwas mit dem Darknet und übrigens auch nicht mit "Hacking" zu tun. All die genutzten Wege und vor allem das Hintergrundwissen sollten Ermittlern, die die Szene dauerhaft beobachten, problemlos zur Verfügung stehen.

Den Eindruck, dass hier jemand nicht so recht weiß, was all diese Begriffe bedeuten, will Weber ebenfalls nicht auf sich sitzen lassen. "Mir ist schon alleine aufgrund meiner jahrelangen Tätigkeit als Staatsanwalt auch durchaus bewusst, was das 'Darknet' ist, und ich habe auch nicht behauptet, dass die Hacktivistin ihre Erkenntnisse bezüglich der von ihr namentlich genannten in Deutschland aufhältigen Personen aus dem Darknet hat!", widerspricht Weber dem ursprünglichen Bericht der "Oberösterreichischen Nachrichten" – und damit im Endeffekt also jedem einzelnen dort befindlichen Zitat. Wie es dann überhaupt zu dem Artikel gekommen ist – zumal ja schon vorab zu hören war, dass die Staatsanwaltschaft gegen die Recherchen von "Nella" öffentlich auftreten will –, bleibt an dieser Stelle ein Mysterium.

Ein seltsamer Fokus

Wichtig ist es Weber auch, zu betonen, dass man die wahre Identität der Hacktivistin gar nicht kenne. Warum das für den vorliegenden Fall sowie die gelieferten Indizien relevant sein soll, erschließt sich ebenso wenig wie die Frage, wieso der Sprecher der Staatsanwaltschaft diesen Punkt so herausstreicht.

Warum er überhaupt mit Wortmeldungen zu "Nella" statt zum eigentlichen Fall an die Öffentlichkeit geht, erklärt der Mediensprecher der Staatsanwaltschaft damit, dass der konkrete Fall "von bestimmten Personen ständig an die Medien herangetragen wird". Die dabei erhobenen "ungerechtfertigten Vorwürfe" gegen die "äußerst engagierte Polizei" müssten richtiggestellt werden.

Zuständigkeit: Deutschland

Aber zurück zum eigentlichen Fall, immerhin geht es ja eigentlich um Morddrohungen gegen eine Ärztin. Dabei betont der Staatsanwalt, dass man zumindest bei dieser Spur gar nicht mehr zuständig ist. Bei Drohungen im Internet sei nämlich der Computer des Täters der Tatort. Also habe man die Namen der Verdächtigen an die deutschen Behörden übermittelt, die sich die Sache nun ansehen sollen. Allerdings werde in Oberösterreich weiter gegen "unbekannt" ermittelt.

Reaktion

Eine Antwort des Innenministeriums fällt da schon deutlich diplomatischer als jene aus Oberösterreich aus. Die Stoßrichtung ist aber ähnlich. Die Recherchen von "Nella" würden keine konkreten Rückschlüsse auf eine Täterschaft zulassen. Es handle sich hierbei um "Vermutungen". Allerdings solche, denen man nachgehen wolle, man stehe im Kontakt, ein neuer Zwischenbericht sei ebenfalls gerade erst an die Staatsanwaltschaft Wels übermittelt worden.

Zu den konkreten Ermittlungsschritten befragt, führt wiederum die Landespolizeidirektion Oberösterreich lediglich aus, dass man bei den besagen Nachrichten im Mail-Header gefundenen IP-Adressen nachgespürt hat, was aber – wie oben bereits ausgeführt – wenig überraschend zu keinem brauchbaren Ergebnis geführt hat. Weitere Ermittlungsschritte scheinen nicht erfolgt zu sein.

Im Fall eines anderen Drohbriefschreibers seien die technischen Ermittlungen hingegen sehr wohl erfolgreich gewesen sein. Dabei sei ein deutscher Staatsbürger als Urheber ausgeforscht und der Staatsanwaltschaft Wels gemeldet worden. Diese habe allerdings die Ermittlungen "mangels innerstaatlicher Gerichtsbarkeit" eingestellt. (Andreas Proschofsky, Mickey Manakas, 6.7.2022, größeres Update: 7.7.2022)