© Kurier/Gerhard Deutsch

Politik Inland
09/12/2019

Datenklau-Affäre: Was sie für Politik und Medien bedeutet

Die Folgen des Datenklaus sind für die ÖVP nicht abzusehen, defacto alle ihre Interna sind in fremden Händen.

von Florian Christof, Christian Böhmer, Daniela Kittner

In der ÖVP ist das Entsetzen groß. Der Partei dürfte praktisch alles geklaut worden sein, was im Datenraum vorhanden war: gespeicherte eMails. Schriftverkehr. Bankverbindungen. Spenderlisten. Leute, die auf der VP-Payroll stehen. Personaldaten. Und das alles über Jahre zurück. Niemand weiß, was noch auftauchen wird.

Klar ist, es gibt eine Person, die praktisch alle Informationen über die ÖVP besitzt. Diese Person gibt das Material schubweise weiter.

Es geht um Daten im Umfang von 1.300 Gigabyte, wie Avi Kravitz, Spezialist für Cyberkriminalität, sagt. Er ermittelt gemeinsam mit der Polizei in der ÖVP-Zentrale.

Zum Vergleich: Eine DIN-A4-Seite hat ca 10 Kilobytes. Umgerechnet auf DIN-A4-Seiten ergäbe sich ein Papierstapel in der Höhe von 13,6 Kilometern, würde man die gestohlenen Daten ausdrucken.

Spuren gefunden

Um diese Menge herunterzuladen, braucht es ein bis fünf Tage, je nach Geschwindigkeit. Laut Kravitz haben sich die Diebe zwischen 11. und 27. August ungehindert im ÖVP-Datenraum bewegt. Der Hacker muss die Infos in Tranchen runtergeladen haben, sonst wäre er aufgefallen. Beim Verlassen des Datenraums hinterließ er jedoch so viele Spuren, dass Kravitz glaubt, ihn zu finden.

Am 3. September hat Kravitz bei der ÖVP den Stecker gezogen, sie ging offline. Derzeit wird das System wieder hochgefahren, alle mit der eMail-Adresse @oevp.at bekamen die Aufforderung, ihre Passwörter zu ändern.

Datendiebstahl ist strafbar

Datenklau ist strafbar. Am Ende geht es um einen Einbruch – auch wenn es sich  „nur“ um einen in eine Datenbank handelt: Wer Computersysteme „hackt“, dem drohen empfindliche Strafen. Der „widerrechtliche Zugriff auf ein Computersystem“ wird in Österreich mit bis zu sechs Monaten Gefängnis geahndet; handelt es sich um „Bestandteile der kritischen Infrastruktur“, steigt die Strafdrohung auf bis zu drei Jahre. Das Gesetz macht naturgemäß keinen Unterschied zwischen dem  tatsächlichen Täter und allfälligen Auftraggebern.  „Beiden droht dieselbe Strafhöhe“, sagt Strafrechtsexperte Frank Höpfel von der Uni Wien.

Wichtig ist: So lange die Daten nicht verändert oder manipuliert worden sind, darf die Justiz nur dann ermitteln, wenn die Gehackten zustimmen.
Warum? Im Wesentlichen geht es darum, dass Betroffene selbst entscheiden sollen, ob der Computer-Einbruch für sie  so schlimm ist, dass sich die Justiz damit beschäftigen soll – und so ihrerseits die Daten zu Gesicht bekommt.

Gefängnis droht

Werden bei einem Hack Daten verändert oder zerstört, wird es deutlich ungemütlicher:  Hiefür gibt es einen eigenen Tatbestand, die „Datenbeschädigung“. Und bei dieser wird die Justiz in jedem Fall aktiv –  auch ohne Zustimmung des Gehackten. Der Gesetzgeber ahndet Beschädigungen viel schärfer,  bei Schäden von mehr als 300.000 Euro drohen bis zu fünf Jahre Gefängnis.

Medien dürfen nicht anstiften

Bei Medien, die geklaute Daten veröffentlichen, verhält es sich anders. „Die journalistische Verwertung der ÖVP-Leaks ist, auch wenn diese aus einem illegalen Datenzugriff stammen sollten, grundsätzlich rechtlich zulässig“, sagt Anwalt Michael Borsky, der den KURIER in Medienrechtsfragen vertritt. Sollten bei der Beschaffung von Informationen Gesetze verletzt worden sein, lassen sich daraus trotzdem „keine Sanktionen für die Medien ableiten“, wenn sie diese Informationen verwerten.

Die Quelle an sich, „auch wenn diese noch so pflichtwidrig agiert, muss ein Journalist nicht verraten“. Medien dürfen jedoch nicht zur Beschaffung solcher Information auffordern bzw. diese bezahlen. Einzelne Dokumente aus dem Leak könnten jedoch anderweitig geschützt sein, so Borsky, etwa durch das Briefgeheimnis. Ob diese „veröffentlicht werden dürfen (Stichwort höchstpersönlicher Lebensbereich), wäre gesondert zu prüfen“.

Sicherheitsrat fasst Beschlüsse

Mit dem Datendiebstahl beschäftigte sich am Mittwoch der Nationale Sicherheitsrat unter Vorsitz von Kanzlerin Bierlein. Die anderen Parteien glauben, dass ein ÖVP-Maulwurf die Daten klaute, der Angriff nicht von außen kam. Beschlossen wurde: Es soll künftig wieder einen separaten Rechtsextremismusbericht geben. Das Extremismusreferat im BVT soll mehr Budget und Personal bekommen. Zu dem von der ÖVP geforderten Verbot der Identitären müssen Innen- und Justizministerium einen Bericht vorlegen, der die Für und Wider beinhaltet. ÖVP-Klubchef August Wöginger kündigt an, dass die ÖVP im Nationalrat am 25. September einen „Maßnahmenmix“ gegen Identitäre beantragen wird.