Stellungnahme Nr. 3

In unserem Statement Nr. 2 haben wir uns bereits zu Vorwürfen gegen uns geäußert und angekündigt, uns separat zu einigen technischen Aspekte zu äußern.
Das tun wir hiermit und stellen die Ergebnisse einiger Analyse-Aufträge vor.
Zunächst vorweg: Die gesamte Debatte um den Umgang mit sexualisierter Gewalt ist dank Szenegetratsche, mehr als fragwürdigem Verhalten vermeintlicher Genoss:innen und Falschanschuldigungen völlig verrutscht. Technische Laien spekulieren sehr fantasievoll über den Header einer einzigen E-Mail, statt sich mit dem eigentlichen Sachverhalt auseinanderzusetzen.

Zu einigen Ergebnissen der (technischen) Überprüfung:

1. Die Header der zahlreichen E-Mails, die zwischen jennifer.hills@skymail.de und den Mailadressen von X und M. ausgetauscht wurden, wurden einer Plausibilitätsprüfung unterzogen. Server-Daten und IDs sind von Skymail, die Referenz-IDs sind schlüssig. Alle E-Mails sind über die IP-Adresse des in Sachsen stehenden Servers von Skymail gelaufen.

2. Die Emailkorrespondenz zwischen „Jennifer Hills“ und X lief über einen Gmailaccount von X. Allein dadurch ist eine Nichtexistenz der Skymailadresse faktisch ausgeschlossen, denn um einen Googleaccount zu faken, benötigt es herausragende technische Fähigkeiten. Weltweit dürften nur wenige Institutionen (zB. die NSA) dazu in der Lage sein. Die Untersuchung des Gmailaccounts von X ergab, dass eine geschlossene E-Mail-Kette mit passenden Metainformationen vorliegt. Die eindeutigen Merkmale wurden von skymail.de und gmail.com erzeugt, sind schlüssig und ineinandergreifend.

3. Der Header der ersten E-Mail von jennifer.hills@skymail.de an M. ist auffällig. Wir gehen von einer Manipulation aus, obwohl es für fast alle einzelnen Auffälligkeit eine denkbare andere Erklärung gibt. Dazu unten mehr.

4. Alle anderen Header des Mailverkehres zwischen jennifer.hills@skymail.de und den Mailadressen sowohl von X als auch von M sind korrekt. Die von K3 und deren Umfeld in Zweifel gezogene Versendung von Nacktbildern (auf denen X eindeutig zu erkennen ist und die ohne ihre Einwilligung gemacht wurden) durch jennifer.hills@skymails.de an die Gmailadresse von X hat nachweislich stattgefunden.

5. Zu den von K3 und ihrem Umfeld verbreiteten Merkmalen der Manipulation eines Mailheaders.
Generell gilt, dass die Beweiskraft von E-Mails vor Gericht höchst umstritten ist, da E-Mails von verschiedenen Seiten veränderbar sind.
* gleiche X-Sender-IP
Es ist seit Anfang der 90er Jahre klar, dass der Zahlenbereich der IPv4-Adressen endlich ist. Deshalb gibt es für die IPv4-basierte Kommunikation im Internet nur einen überschaubaren Zahlenraum. Es ist also durchaus möglich, dass jemand auch bei einem TOR-Exit-Node eine IP-Adresse erneut erhält.
* Spam-Score
Es ist möglich, dass durch mangelhafte Serverkonfiguration Mails in bestimmten Zeiträumen den gleichen (falschen) Spam-Wert zugewiesen bekommen.
* identische Received-Header
Gleichwohl es auch hier serverbedingt zur Fehlern bei der Generierung von ESMTP-IDs und damit zur Identität derselben kommen kann, sehen wir hier ein Merkmal einer Veränderung des Headers.
* Manipulierte Message ID
Eine E-Mail kann nicht zwei Message IDs haben. Zwar gibt es bei dem von M verwendeten Mailprogramm viele bekannte Fälle des Vermischens von Nachrichteninhalten und Headern verschiedener Mails1, dennoch sehen wir hier ein Merkmal einer Veränderung des Headers.
* falsche Zeitstempel
Die „Zeitreise“ der E-Mail könnte schlichtweg auf fehlerhafte Zeiteinstellungen von E-Mail-Servern beruhen.
* Fehlender X-UIDL-Header
Alle E-Mail-Header, die mit X beginnen, sind nicht standardisiert, ob und wie sie benutzt werden, entscheiden die Mailserver. Ein Abruf einer E-Mail über ein Webinterface kann andere Auswirkungen haben als der Abruf derselben E-Mail über ein POP3-Account etc.
* unterschiedliches Aussehen der Header als Indiz für Manipulationen
Das Aussehen hängt vom jeweilig verwendeten Tool/Programm ab und ist kein Indiz für Manipulation.

6. Warum wir von einer bewussten Veränderung des Headers ausgehen
Gleichwohl eine Reihe der von K3 als unschlagbare „Beweise“ vorgetragenen Behauptungen nicht überzeugen können, gehen wir von einer bewussten Veränderung des Headers einer E-Mail aus. Der Server von skymail.de verwendet für den Teil vor dem @-Zeichen der Message-ID nur Hexadezimal-Zeichen – in dem veränderten Header kommen jedoch auch die Buchstaben „u“ sowie „z“ vor. Hierfür gibt es keine uns bekannte plausible Erklärung jenseits der absichtlich herbeigeführten Veränderung.

7. Warum ist euch das nicht sofort aufgefallen?
Wir räumen hier selbstkritisch einen Fehler ein. X und M haben eine Vielzahl von E-Mails erhalten, um deren Inhalt wir uns gekümmert haben. Wir hatten damals keinen Grund zu der Annahme, dass jemand den Header einer E-Mail auf einem Rechner verändern würde. Wir wissen heute: Wären die manipulierte E-Mail bzw. alle E-Mails sofort nach Empfang ausgedruckt und sicher gelagert worden, wären wir heute in einer besseren Lage, da Ausdrucke wesentlich schwerer im Nachhinein zu manipulieren sind als digitale Daten.

8. Wenn der Header der ersten E-Mail manipuliert wurde, von wem und zu welchem Zweck?
Wir können nachweisen, dass die diversen Behauptungen von K3 und ihrem Umfeld, die darauf abzielen, X und M zu diskreditieren, falsch sind – so etwa diese Behauptung: „Die Mails, die die Düsseldorfer IL-Mitglieder M und X angeblich von der anonymen Quelle empfangen haben, sind allesamt komplette Fälschungen“.

Wenn auch wir davon ausgehen, dass der Header der ersten E-Mail verändert wurde, dann stellen wir die Fragen „Wer hätte das tun können?“ und „Warum tat dies jemand?“.

Die bisherigen Analysen der Manipulationsmöglichkeiten ergaben verschiedene Antworten: M selbst hätte die Veränderungen vornehmen können, andere Menschen mit berechtigten Zugriff auf seinen Rechner hätten dies tun können und Menschen ohne berechtigten Zugriff auf seinen Rechner hätten das tun können.

Einig sind sich die von uns angefragten Analyst:innen darin, dass die Manipulationen auffällig „plump“ sind. So etwas macht scheinbar nur jemand, der keine IT-Kenntnisse hat. Oder es macht jemand, der will, dass die Veränderungen später auffallen, damit dadurch X unglaubwürdig wird. 

Wir fragen also: Wem nützt die Diskreditierung von X und M?


  1. Siehe u.a. https://www.thunderbird-mail.de/forum/thread/89818-darstellungsfehler-nach-update-102-0/ oder https://www.thunderbird-mail.de/forum/thread/94814-thunderbird-ersetzt-vermischt-eine-mail-mit-einer-anderen-betreff-und-inhalt-wer/ ↩︎

Erstellt am