S te n og rap h i sch e s P r otokol l
Pi l n a c e k - Un te r su c h u n g sa ussc h u ss
Untersuchungsausschuss betreffend Klärung politischer Einflussnahme auf Ermittlungen in der Causa Pilnacek
9. Sitzung | medienöffentlich
11. März 2026
XXVIII. Gesetzgebungsperiode Lokal 1 | Erwin Schrödinger
Abteilung 1.4/2.4
Stenographische Protokolle
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Ich darf mich an Sie wenden, Herr Hummel, Herr Mag. Prinz. Sie haben Personaldatenblätter ausgefüllt. Ich nehme an, das hat seine Richtigkeit? (Die Auskunftsperson und ihre Vertrauensperson bestätigen die Richtigkeit der Daten.) – Danke schön.
Ich darf Sie jetzt als Auskunftsperson belehren, Herr Hummel: Sie werden vor dem Untersuchungsausschuss betreffend Klärung politischer Einflussnahme auf Ermittlungen in der Causa Pilnacek als Auskunftsperson angehört. Sie haben mit der Ladung eine schriftliche Belehrung über Ihre Rechte und Pflichten als Auskunftsperson erhalten. Ich weise Sie auf diese schriftliche Belehrung hin.
Sie sind verpflichtet, die an Sie gerichteten Fragen wahrheitsgemäß und vollständig zu beantworten. Eine vorsätzlich falsche Aussage vor dem Untersuchungsausschuss kann gemäß § 288 Abs. 3 StGB wie eine falsche Beweisaussage vor Gericht mit einer Freiheitsstrafe von bis zu drei Jahren geahndet werden.
Es besteht vor dem Untersuchungsausschuss kein generelles Recht zur Aussageverweigerung. Die Aussageverweigerungsgründe konnten Sie der mit der Ladung zugestellten schriftlichen Belehrung entnehmen. Die Gründe für eine Aussageverweigerung sind anzugeben und über Verlangen glaubhaft zu machen.
Auch weise ich Sie auf die bereits schriftlich mitgeteilte Geheimhaltungspflicht nach dem Informationsordnungsgesetz hinsichtlich klassifizierter Informationen hin. Dies gilt auch noch nach Beendigung der Befragung. Dem Untersuchungsausschuss vorgelegte Akten und Unterlagen dürfen nicht veröffentlicht werden. Heute vorgelegte Unterlagen dürfen weder von Ihnen noch von der Vertrauensperson an sich genommen werden; weder Sie noch Ihre Vertrauensperson dürfen davon Kopien, Notizen oder Auszüge anfertigen.
Sie sind berechtigt, Beweisstücke vorzulegen, die Zulässigkeit an Sie gerichteter Fragen zu bestreiten und den Ausschluss der Öffentlichkeit jederzeit zu beantragen.
Ich darf mich jetzt an Sie wenden, Herr Mag. Prinz: Ich belehre auch Sie über die strafrechtlichen Folgen einer falschen Aussage. Auch eine allfällige Mittäterschaft an einer vorsätzlich falschen Aussage vor dem Untersuchungsausschuss kann gemäß § 288 Abs. 3 StGB mit einer Freiheitsstrafe von bis zu drei Jahren bestraft werden.
Auch für Sie gilt das Informationsordnungsgesetz.
Die Auskunftsperson kann Sie als Vertrauensperson jederzeit um Rat fragen, und Sie können sich mit der Auskunftsperson ohne zeitliche Beschränkung beraten. Die Auskunftsperson darf dabei jedoch nicht bei der Ablegung einer freien und vollständigen Aussage beeinflusst oder gar daran gehindert werden. Sie selbst sind nicht berechtigt, das Wort im Untersuchungsausschuss zu ergreifen.
Bei Verletzung der Verfahrensordnung oder Eingriffen in die Grund- oder Persönlichkeitsrechte der Auskunftsperson steht es Ihnen frei, sich unmittelbar an mich oder den Verfahrensanwalt zu wenden. – Danke schön.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke, Herr Verfahrensrichter.
Herr Hummel, als Auskunftsperson haben Sie das Recht, eine einleitende Stellungnahme abzugeben. Diese soll 20 Minuten nicht überschreiten. Wollen Sie von diesem Recht Gebrauch machen?
Auskunftsperson David Hummel, MSc: Ja, bitte.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Dann steht das Wort bei Ihnen.
Einleitende Stellungnahme
Auskunftsperson David Hummel, MSc: Hört man mich gut? – Perfekt.
Sehr geehrter Herr Nationalratspräsident! Sehr geehrter Herr Verfahrensrichter! Sehr geehrte Damen und Herren Abgeordnete! Ich darf mich kurz vorstellen: Mein Name ist David Hummel. Ich bin in meinem achten Dienstjahr bei der Justizbetreuungsagentur für die österreichische Justiz als IT-Experte tätig. Ich bin hauptsächlich für den OStA-Sprengel Graz sowie die WKStA und die Europäische Staatsanwaltschaft zuständig. Grundsätzlich kann man aber – wie auch in diesem Fall – von jeder Staatsanwaltschaft und jedem Gericht als IT- Experte beigezogen werden.
Vorab möchte ich kurz die Rolle der IT-Expert:innen erläutern, vielleicht zur Veranschaulichung: Wir sind als Übersetzer für IT-Fragestellungen in Strafverfahren tätig. Das reicht von sehr einfachen Fragen, wie: Bei wem kann ich E-Mails sicherstellen?, über: Kannst du diese Festplatte entschlüsseln?, bis hin zu tief reichenden forensischen Analysen, die sich über Wochen und Monate ziehen können. Wir sehen uns nicht als reine Techniker:innen, sondern als starkes Bindeglied zwischen einem Strafverfahren und der IT.
Ich wurde in diesem Verfahren zunächst bei der WKStA zugeteilt und beauftragt, relevante Daten der Smartwatch im Hinblick auf mögliche Interventionen auszuwerten. Nach langwieriger Auseinandersetzung mit den Daten stieß ich auf Datensätze mit möglicher Relevanz für das Kremser Verfahren, was in meinem ursprünglichen - -, was ich in meinem Bericht festhielt. Dieser Bericht gelangte im Rahmen einer Amtshilfe zur Staatsanwaltschaft Krems. Danach wurde ich dem dortigen Verfahren ebenfalls zugeteilt, um weitere Auswertungen vorzunehmen. Dieses Verfahren wurde wie bekannt dann an die Staatsanwaltschaft Eisenstadt übertragen.
Mir ist bewusst, dass sich der U-Ausschuss bisher stark auf mögliche Fehler der Polizei im Zuge des Verfahrens konzentriert. Ich möchte gleich festhalten, dass
ich zur operativen Polizeiarbeit keine Aussagen treffen kann, da meine Arbeit erst mit dem Erhalt der Sicherung der Smartwatch überhaupt begonnen hat. Die übermittelte Sicherung der Polizei ist sehr gut. Ich persönlich war positiv überrascht, dass die Smartwatch gesichert wurde und extra Hard- und Software dafür angeschafft wurde. Smarte Geräte finden in der Strafverfolgung oftmals sehr wenig Berücksichtigung. Was man jedenfalls positiv sehen kann, ist, dass dieses Verfahren bedingt durch die Medienwirksamkeit vielleicht zu einem Umdenken beim Sichern solcher Beweismittel führt.
Zur Sicherung selber ist nur zu sagen, dass diese mit den üblichen Abschlägen im Bereich von Forensiksoftware einwandfrei ist. Das kann ich mittlerweile sagen, da wir im Zuge der Übergabe der Smartwatch von Landesgerichtspräsidentin Mag. List eine erneute Sicherung durchgeführt haben.
Der medial bekannt gewordene 1 200-seitige Bericht wurde im Rahmen der Sicherung automatisch von der Forensiksoftware erstellt und von der Polizei mit den gesamten Rohdaten übermittelt. Der Bericht enthält jedoch nicht alles, was an Informationen auf diesen Rohdaten auslesbar ist. Wichtige Daten sind in ihm nicht inhaltlich dargestellt, sondern nur vermerkt. Man kann sich das so vorstellen, dass das Vorhandensein von Datenbanken in diesem Bericht zwar vermerkt wurde, deren Inhalt jedoch nicht dargestellt wird. Diese Daten wurden von der eingesetzten Forensiksoftware nicht analysiert und interpretiert und sind daher nicht Teil ebendieses Berichts. Die relevanten Daten wurden von mir durch forensische Arbeit aufgefunden, lesbar gemacht und aufbereitet.
Die IT-Expert:innen der Justiz erstellen nicht nur Sicherungen von Beweismitteln, sondern sind auch in laufenden Ermittlungen eingebunden. Wir haben Aktenwissen und stehen den Staatsanwält:innen laufend für ergänzende Fragen zur Verfügung. Das hat im vorliegenden Fall dazu geführt, dass Daten gefunden wurden, welche man sonst nicht gefunden hätte. Ich glaube, dass die Justiz mit dem Modell, dass Ermittler und IT-Fachkräfte bei der Aufklärung von Sachverhalten eng zusammenarbeiten, ein sehr gutes Modell gefunden hat.
Abschließend möchte ich auch noch die Medienberichterstattung ansprechen, welche eine Präsentation von meiner Seite in Aussicht gestellt hat. Ich habe im Vorfeld die Parlamentsdirektion gefragt, ob es möglich ist, bei der Beantwortung von Fragen vereinzelt Folien einzuspielen, um meine Antworten besser zu veranschaulichen. Eine Präsentation habe ich in dem Sinn nicht geplant.
Ich beende mein Eingangsstatement. – Vielen Dank für Ihre Aufmerksamkeit.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Herr Verfahrensrichter, ich bitte um die Erstbefragung.
Erstbefragung
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Danke schön.
Herr Hummel, ich darf Ihnen zu meiner Frage ein Dokument zeigen, und zwar 1298, und dabei auf die Seite 2 verweisen. (Der Auskunftsperson wird ein Schriftstück vorgelegt.) Sie sehen es auf Ihrem Bildschirm.
Auskunftsperson David Hummel, MSc: Moment, ich scrolle noch zur Seite 2 hinunter. Ja, perfekt. Ich sehe eine Tabelle und ein bisschen Text.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Ja. Auf der Seite 2 im vorletzten Absatz finden Sie die Formulierung: „Eine allgemeine Lesbarmachung aller vorliegenden Rohdaten ist nicht praktikabel, da abhängig vom Kontext der Datenanalyse die notwendige Repräsentation von Rohdaten variieren kann“, und dann den Satz: „Die IT-Expert:innen der Justiz stehen jedenfalls [...] potentiell notwendige, ergänzende Erläuterungen zur
Verfügung.“ – Das tun Sie ja jetzt dankenswerterweise für uns.
Meine Frage: Diese Rohdaten, die gesichert wurden: Wurden die alle ausgelesen? Waren das alle Daten, die auf dem Datenträger waren, oder gibt es noch unausgelesene? Beziehungsweise: Kann es sein, dass noch Daten vorhanden sind, die Sie nicht kennen?
Auskunftsperson David Hummel, MSc: Dazu ein kurzer Ausflug: Es wurden schon im Zuge der Sicherung der Smartwatch – und das betrifft meistens sämtliche Geräte, die man in irgendeinem Echtzustand sichert – nicht alle Daten von der Uhr abgezogen – um das vorauszusenden. Das ist aber bei Handys und bei Smartwatches nicht unüblich, dass gewisse Dateien nicht ausgelesen werden können. Das sieht man sogar in einem - - (die Auskunftsperson blickt in das vorgelegte Schriftstück), in dieser Tabelle ist ein Dokument vermerkt, wo man das auch nachvollziehen könnte – was ich mich erinnere.
Und sonst, soweit ich das beurteilen kann: Die relevanten Daten, die ich in der Smartwatch gefunden habe, habe ich mir eigentlich alle auch angesehen und aufbereitet. Ich kann allerdings nicht ausschließen, dass noch Daten vorhanden sind, die eine weitere Relevanz zutage bringen könnten.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Danke.
Sie finden dann in der Tabelle, die Sie angesprochen haben, unter anderem die Bemerkung, dass Daten gelöscht worden sind: „Verweise zu gefundenen gelöschten Dateien und Daten“.
Wie kann man sich die Löschung von Daten auf einer Smartwatch vorstellen? Werden die Daten dann von dem Datenträger, der auf die Smartwatch überträgt, gelöscht oder auf der Smartwatch selber?
Auskunftsperson David Hummel, MSc: Es gibt höchstwahrscheinlich beide Möglichkeiten. Also man kann wahrscheinlich von einem Mobilgerät aktiv eine Löschung auf der Uhr anregen. Die Uhr verwendet allerdings auch eine Art - - – Garbage-Collection heißt das in der Informationstechnologie –, die holt halt gewisse Daten, die jetzt nicht an Relevanz verlieren, sondern die einfach zu alt sind, die werden dann irgendwann gekübelt, also die werden verworfen. Die werden dann höchstwahrscheinlich auch als gelöscht markiert.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Danke.
Ich darf jetzt zum Laptop kommen, ohne zu lange aufzuhalten. Ich darf um das Dokument 21 982 bitten – das ist das vorläufige Protokoll der Einvernahme von Dr. Peter Pilz – und darf auf Seite 28 verweisen. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Ungefähr in der Mitte der Seite 28 gibt Dr. Peter Pilz bei seiner Einvernahme vor dem Untersuchungsausschuss an: „Es gibt [...] einen IT-Bericht – ich glaube, in Auftrag von Oberstaatsanwaltschaft Purkart, WKStA [...] – zu den Daten des Laptops. Dann finden Sie dort eine Ordnerstruktur: ein Ordner Mikl-Leitner, ein Ordner Sobo Kabi“ – und so weiter; und: diese „Ordner sind leer“.
Dann – im nächsten Absatz – spricht Dr. Pilz von einer roten Festplatte, die er dann – in der vierten Zeile – der „WKStA übergeben“ hat, und dann – nächste Zeile –: „dort, wo am Laptop alles gelöscht war und nur noch die Ordnerstruktur sichtbar“ war, haben sich auf der roten Festplatte Tausende Objekte befunden. – Das war die Aussage von Dr. Pilz zu dieser mittlerweile ominösen roten Festplatte.
Ich darf jetzt um Einspielung des Dokuments 263 bitten; das ist das letzte, das ich Ihnen zeigen möchte. Das ist ein „Aktenvermerk über forensische Auffälligkeiten“ vom 7. April 2025, und dort ist im dritten, vierten Absatz auch von einer externen Festplatte die Rede. (Die Auskunftsperson blättert in dem vorgelegten Schriftstück.)
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: So, haben Sie es?
Auskunftsperson David Hummel, MSc: Ja, ich habe es. Wie war nochmals die Frage bitte? Ich bin jetzt ein bissl - -
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Die Frage war: Dr. Pilz hat von einer Ordnerstruktur auf der Festplatte gesprochen, die sich auch am Laptop findet, und am Laptop sollen die Daten gelöscht worden sein.
Kann man feststellen, wann diese Daten auf den Laptop gekommen sind beziehungsweise wann sie gelöscht wurden? Oder: Haben Sie das festgestellt?
Auskunftsperson David Hummel, MSc: In dem Detailgrad habe ich das nicht ausgearbeitet. Mir war aber diese Datenlöschung bis dato auch nicht bekannt. Ich bin mir auch nicht sicher, ob die stattgefunden hat. Wenn es eine Löschung gegeben hat, könnte man höchstwahrscheinlich auch feststellen, wann die stattgefunden hat.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Also man kann das feststellen?
Auskunftsperson David Hummel, MSc: Höchstwahrscheinlich, ja.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Okay. Dann darf ich Sie noch auf den zweiten Absatz – dann bin ich schon fertig – verweisen: „Es wurden auf USB-Sticks Daten gefunden, die am 10. und 11. November [...] – nach dem Tod des Mag. [...] PILNACEK – trotz Löschung wiederhergestellt wurden“. – Können Sie sagen, wann diese Daten gelöscht wurden, in Bezug auf den 20. Oktober? (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Nein, dazu habe ich keine Wahrnehmungen.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Okay. Dann nur noch eine kurze Frage: Die Kreutner-Kommission hat Ihnen beziehungsweise der Justiz zunächst Datensticks übergeben und erst, ich glaube, im Juni oder im Mai war es, die Hardware dazu – ohne jetzt wieder ein Dokument zu bemühen.
Konnten Sie aus den Datensticks dieselben Erkenntnisse gewinnen, wie Sie später dann durch Laptop, Festplatte und so weiter gewonnen haben? Mit anderen Worten: Waren auf den Sticks, die Sie bekommen haben, dieselben Informationen, die später auf der Hardware waren?
Auskunftsperson David Hummel, MSc: Wenn Sie die Sticks meinen: Geht es da um die Datenübergabe von der Kreutner-Kommission oder geht es um die USB- Sticks?
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Ja, die Kreutner- Kommission.
Auskunftsperson David Hummel, MSc: Ich bin mir nicht ganz sicher, aber das Datenkonvolut - - Ich bin mir nicht sicher, ob das identisch war. Das kann ich jetzt nicht sagen.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Okay. Gut. –
Danke schön.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke, Herr Verfahrensrichter.
Erste Fragerunde
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Wir starten somit mit der Fragerunde. Die Redezeitvereinbarung ist Ihnen bekannt.
Als Erster zu Wort gemeldet ist Herr Abgeordneter Elian. – Bitte.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank.
Guten Morgen, Herr Hummel! Ich möchte über den Laptop und die Datenträger sprechen. Der Weg des Geräts von Rossatz über mehrere Stationen bis zur WKStA ist weitgehend nachvollziehbar. Entscheidend ist jedoch, was technisch mit dem Laptop und den Sicherungen passiert ist. Ihren Berichten zufolge wurde nach dem Tod von Mag. Pilnacek mehrfach mit dem Gerät gearbeitet. Es wurde in Betrieb genommen, Daten wurden gelesen, gelöscht, ergänzt oder verändert. Bei einem Beweismittel halte ich es daher für zulässig, in diesem Zusammenhang durchaus von Manipulation zu sprechen.
Ich möchte, dass wir uns zu Beginn den Passwortschutz genauer ansehen, und möchte das Dokument mit der Ordnungszahl 6, Dokument Nummer 1 322 vorlegen. (Die Auskunftsperson blättert in dem vorgelegten Schriftstück.)
Wir beziehen uns hier nun auf Seite 1 und Seite 2. Können Sie bestätigen, dass die Bitlocker-Verschlüsselung wegen eines sogenannten Clear Key seit
März 2023 keinen effektiven Schutz mehr geboten hat und der Laptop ohne Eingabe eines Passworts auslesbar war?
Auskunftsperson David Hummel, MSc: Ja, das war der Fall.
Abgeordneter Ing. Thomas Elian (ÖVP): Für das Benutzerkonto „cp“ haben Sie festgestellt, dass das Passwort technisch gesehen leer war und ein Login ohne Passworteingabe möglich war. Heißt das somit richtig, dass niemand ein Passwort knacken musste, um den Laptop zu starten und um darauf zugreifen zu können?
Auskunftsperson David Hummel, MSc: Genau.
Abgeordneter Ing. Thomas Elian (ÖVP): Also wir können festhalten, dass jede Person, die physisch Zugriff auf diesen Laptop hatte, ihn ohne besondere Hürden einschalten, durchsuchen und verändern konnte?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordneter Ing. Thomas Elian (ÖVP): Im Zeitraum zwischen dem Tod von Mag. Pilnacek und dem Einlangen des Laptops bei der Justiz sind die handelnden Personen wie Monschein, Mattura, Rauball und Vogl durchaus bekannt, und dadurch lassen sich auch die Systemmanipulationen – auf Seite 4 im
Dokument – klar zuordnen. Anfang November 2023, also rund zwei Wochen nach dem Tod, wurde laut Ihrem Bericht die Powershell-History gelöscht. Sie bezeichnen das als offenkundigen Versuch, Spuren zu verwischen.
Können Sie erläutern, was diese Powershell-History dokumentiert, wann sie angelegt und wann sie gelöscht wurde, und warum Sie hier von einer gezielten Systemmanipulation oder einem gezielten Spurenbeseitigungsversuch sprechen?
Auskunftsperson David Hummel, MSc: Die Powershell-History ist mehr oder weniger die Geschichte von den Befehlen, die ich in die Powershell eingebe. Kurzer Ausflug: Die Powershell ist unter Windows ein Programm, quasi das klassische schwarze Kastl, wo wir ITler ganz gerne drinnen arbeiten, und die hält quasi auf, was in sie eingegeben wird, und es gibt da - - Ich glaube, es ist in meinem Bericht später auch vermerkt: Die wurde bewusst gelöscht. Das ist eine relativ gängige Methode, um Spuren, die man sonst hinterlassen hätte, verschwinden zu lassen.
Abgeordneter Ing. Thomas Elian (ÖVP): Für Anfang Dezember 2023 halten Sie
fest, dass „zwei externe Datenträger“ angeschlossen wurden und Dokumente
„höchstwahrscheinlich exfiltriert“ wurden. Können Sie näher ausführen, woran
Sie diese Exfiltration festmachen?
Auskunftsperson David Hummel, MSc: Das ergab sich, was ich mich erinnere, aus der Registry-Analyse. Das ist auch wieder ein kurzer Exkurs: In der Windows-Registry stehen sehr viele Informationen drinnen, die historische Sachen, Konfigurationen et cetera beinhalten. In oder aus dieser Registry kann man auch gewisse Informationen herausziehen, was zum Beispiel das Anstecken von USB-Sticks angeht.
Und in diesem Fall war ersichtlich, dass USB-Sticks angesteckt wurden, und man sieht auch einen vermehrten Zugriff auf Daten. Das erkennt man zum Beispiel an den Access- und Modification-Zeitstempeln. Um jetzt nicht zu technisch zu werden: Wenn man Dateien kopiert, sieht man das, wenn man genau genug hinschaut, und daraus kann man eben zum Beispiel auf einen Kopier- oder einen Lesevorgang schließen, und in dem Fall hat sich das einfach sehr gut überschnitten.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank.
Können Sie kurze Angaben dazu machen, was hier heruntergezogen wurde, welche Daten das waren?
Auskunftsperson David Hummel, MSc: Das habe ich so nicht im Kopf. Das war einfach an der schieren Masse quasi nicht - - also das hätte ich mir nicht merken können, weil es relativ viel war.
Abgeordneter Ing. Thomas Elian (ÖVP): Ein Punkt noch kurz dazu: Mitte März wurde dann offenbar mit der Software Nirsoft versucht, Passwörter auszulesen. War für Sie ersichtlich, ob der Versuch auch erfolgreich war?
Auskunftsperson David Hummel, MSc: Ja, ich bilde mir ein – also ich bin mir jetzt nicht mehr ganz sicher –, dass ich Dokumente gefunden habe, wo zum Beispiel der WLAN-Access-Point mit den dazugehörigen Passwörtern rauskopiert wurde. Nirsoft wäre da genau das Tool der Wahl, um solche Sachen umzusetzen.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank.
Ich darf bitten, die ON 8, Dokument Nummer 263 vorzulegen, ein Bericht zu den forensischen Auffälligkeiten. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Hier steht auf Seite 1: „Im März 2024 wurden offenbar Daten des Mag. Christian PILNACEK aus der Cloud von seinem Google-Account gesichert“. – Ist es naheliegend, dass das Passwort für die Cloud durch die eben besprochenen Ausleseversuche, also Nirsoft und so weiter, gefunden wurde?
Auskunftsperson David Hummel, MSc: Das weiß ich leider nicht.
Abgeordneter Ing. Thomas Elian (ÖVP): Und Ihre Wahrnehmung, um welche Daten auf der Cloud es sich hier gehandelt hat und was hier genau gesichert wurde?
Auskunftsperson David Hummel, MSc: Das weiß ich auch nicht im Detail.
Abgeordneter Ing. Thomas Elian (ÖVP): Wurden Daten aus der Cloud gelöscht?
Auskunftsperson David Hummel, MSc: Dazu habe ich auch keine Wahrnehmungen.
Abgeordneter Ing. Thomas Elian (ÖVP): Weiter steht auf Seite 1: „So wurden auf USB-Sticks Daten gefunden, die am 10. und 11. November 2023 – nach dem Tod des Mag. Christian PILNACEK – trotz Löschung wiederhergestellt
wurden“. – Was wurde hier wiederhergestellt? Gibt es hierzu nähere Angaben?
Auskunftsperson David Hummel, MSc: Gibt es dazu eine Vorlage? Weil: Es gab relativ viele USB-Sticks, ich bin gerade nicht - - unsicher, um welchen konkret es sich - -
Abgeordneter Ing. Thomas Elian (ÖVP): Genau, auf der Seite 1, zweiter Absatz.
(Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Ah nein, da ist mir nichts bekannt.
Abgeordneter Ing. Thomas Elian (ÖVP): Sie halten auch in diesem Dokument fest: „Im April 2024 fand ein Zugriff auf die externe Festplatte statt“, und zeigen dazu einen Screenshot der Ordnerstruktur. Nach unserem Wissensstand sprechen die Struktur und die bekannten Dateien dagegen, dass Mag. Pilnacek selbst diese Daten angelegt hat. Insbesondere wäre es kaum plausibel, dass er Redeunterlagen für Sobotka verfasst. Teilen Sie diese Einschätzung, oder was haben Sie für eine Wahrnehmung?
Auskunftsperson David Hummel, MSc: Dazu kann ich nichts sagen.
Abgeordneter Ing. Thomas Elian (ÖVP): Gibt es hier Zeitstempel der Dateien, wann sie erstellt wurden?
Auskunftsperson David Hummel, MSc: Ja, dazu wird es Zeitstempel geben, ja.
Abgeordneter Ing. Thomas Elian (ÖVP): Aber die wurden jetzt nicht ausgewertet?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht.
Abgeordneter Ing. Thomas Elian (ÖVP): Wie haben Sie generell diesen Festplattenzugriff festgestellt?
Auskunftsperson David Hummel, MSc: Zu welcher Festplatte?
Abgeordneter Ing. Thomas Elian (ÖVP): Die eben für April 2024 erwähnt wurde, Beilage 3. (Die Auskunftsperson berät sich mit ihrer Vertrauensperson.)
Auskunftsperson David Hummel, MSc: Also da bin ich nicht im Detail – genug tief – drinnen: wahrscheinlich anhand korrelierender Zeitstempel.
Abgeordneter Ing. Thomas Elian (ÖVP): Ich darf Ihnen das vorläufige Befragungsprotokoll von Erich Vogl vorhalten. Das ist die ON 9, Dokument - -, Seite 55 unten und Seite 56. (Die Auskunftsperson blättert in dem vorgelegten Schriftstück.)
Wir haben ihn mit der roten Festplatte und den Vorgängen im April 2024 während seiner Besitzphase des Laptops konfrontiert. Er verweist auf das Redaktionsgeheimnis. Meine Frage dazu war, ob jemand eine bestimmte Motivation gehabt haben könnte, eine externe Festplatte an den Laptop anzuschließen, und welche das sein kann. Können Sie uns hier vielleicht weiterhelfen? (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Können Sie mir die genaue Passage aus dem Steno-Protokoll noch mal nennen?
Abgeordneter Ing. Thomas Elian (ÖVP): Seite 56, der dritte Absatz, diese Frage von Herrn Abgeordneten Grüner.
Auskunftsperson David Hummel, MSc (aus dem Schriftstück vorlesend): „Ob Sie persönliche Wahrnehmungen haben, ob jemand eine bestimmte Motivation gehabt haben könnte, eine externe Festplatte im April an den Laptop anzuschließen.“ – Ist das die - - Nein.
Abgeordneter Ing. Thomas Elian (ÖVP): Sie sind ja hier im U-Ausschuss als Experte geladen: Was könnte der Grund gewesen sein, dass man hier die externe Festplatte ansieht? Datensicherung, -extraktion: Gibt es hier irgendwelche Spuren in Logs oder Ähnliches?
Auskunftsperson David Hummel, MSc: Da könnte ich nur spekulieren – und das ist, glaube ich, der falsche Ort.
Abgeordneter Ing. Thomas Elian (ÖVP): Dann abschließend noch eine Frage zu dem Thema Laptop: Mich interessiert der aktuelle Stand Ihrer Auswertungen zum Laptop und zu der roten Festplatte. Welchen konkreten Auftrag hatten Sie hier? Liegen dazu bereits weitere schriftliche Berichte vor?
Auskunftsperson David Hummel, MSc: Es gibt meinen Bericht vom - -, den Sie mir vorher schon eingespielt haben. Dazu würde ich das gerne dann noch wahrscheinlich erörtern, diesen Bericht. Nein, das war die Antwort. Es gibt noch keinen neuen Bericht, falls das Ihre Frage war.
Abgeordneter Ing. Thomas Elian (ÖVP): Okay. Gut, dann gehen wir kurz hinüber zur Smartwatch. Ich darf Ihnen hierzu die ON 4, Dokumentennummer 434, Seite 23, vorlegen. Es handelt sich hier um ein Besprechungsprotokoll vom 25.9.2025. Gehen wir bitte auf Seite 27! (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Ich möchte kurz noch einmal das Thema der Datei namens „report-gelöschte Daten“ ansprechen, da diese Datei ja für Spekulationen sorgte. Sie geben hier an, dass diese Datei von Windows automatisch erstellt wurde und „kein Beweismittel“ sei und somit „unspektakulär“ ist.
Können Sie uns noch einmal genau erklären, was es mit dieser Datei auf sich hat
und warum diese „unspektakulär“ ist?
Auskunftsperson David Hummel, MSc: Ja, und dazu würde ich eine von meinen Folien einspielen, wenn das funktioniert. (Die Auskunftsperson unterstützt ihre Ausführungen mittels einer Präsentation.)
Es ist leider sehr klein, man kann das aber mit Worten auch erklären. Und zwar wird hier gezeigt, wie es überhaupt zu dieser Datei gekommen ist. Konkret: Alice schaut sich auf einem Netzlaufwerk eine Excel-Datei an, die heißt Datei.xlsx, und in dem Moment, wo man das mit Libre Office oder mit Excel aufmacht, entsteht diese zweite Datei, wo der schwarze Pfeil hinzeigt, diese ~$xlsxDatei.xlsx – das ist ein bisschen ein grauslicher Dateiname –, die wird eben automatisch erstellt. Das ist in unserem vorliegenden Fall auch der, der sich auf dem Datenträger befunden hat.
Ich habe nur zur Veranschaulichung auch noch den Bob hinzugenommen – mit den orangen Pfeilen –, der mehr oder weniger symbolisieren soll, warum diese Datei angelegt wird: damit es in einem Netzlaufwerk nicht versehentlich dazu kommt, dass zwei Leute auf eine Datei zugreifen. Bob würde dann diese Fehlermeldung bekommen; da steht mehr oder weniger: Diese Datei ist von einem anderen Benutzer bereits geöffnet. – Das ist der Hintergrund zu dieser Datei. In dieser Datei selber ist auch nur der Benutzername des Nutzers, in dem Fall Alice, vermerkt und sonst nichts Weiteres.
Ich hoffe, das hilft ein wenig, dass man den Hintergrund nachvollziehen kann.
Abgeordneter Ing. Thomas Elian (ÖVP): Wenn ich das somit richtig verstanden habe, ist das eine automatisch generierte Datei, und es erschließt sich jetzt nicht daraus, dass hier eine Datenlöschung seitens der Polizei stattgefunden hat.
Auskunftsperson David Hummel, MSc: Nein, und wenn ich das noch ein bisschen elaborieren darf: Der Dateiname hätte auch ein beliebiges anderes
Excel-File sein können, und dann hätte in dem Fall – um auf das Beispiel zurückzukommen: Datei.xlsx – die Datei eben ~$xlsxDatei.xlsx geheißen. Also es geht um - - Die darunterliegende Datei ist eben diese gelöschte Daten.xlsx – die hat halt den spannenden Namen „gelöschte Daten“. In dieser Datei geht es um gelöschte Daten in der Smartwatch, wie vorhin der Herr Verfahrensrichter schon angesprochen hat, da sind Sachen drinnen vermerkt, die zum Beispiel die Uhr von sich aus im Zuge einer Garbage-Collection gelöscht hat.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank.
Im Besprechungsprotokoll Seite 25 unten und Seite 26 steht, dass „sehr wenig über einen“ längeren „Zeitraum“ – Bluetooth – „kommuniziert“ wurde, „nicht so wie in den Medien berichtet“, und: „Vor allem gesendet wurde wenig!“.
Könnten Sie dem Ausschuss erläutern, was Sie damit konkret meinen, also welche Art von Bluetooth- und WLAN-Aktivitäten Sie meinen?
Auskunftsperson David Hummel, MSc: Prinzipiell: Bluetooth, das Protokoll – in dem vorliegenden Fall Bluetooth-Low-Energy – verfügt auf dem Gerät über einen Sender, der Sachen empfängt und senden kann, und in gewissen Zeitintervallen gab es auf dieser Protokollebene Kommunikation. Viel mehr kann man dazu eigentlich auch gar nicht sagen, also man sieht nicht, warum, wieso, woher. Das habe ich versucht, zu ergründen, das war aber ergebnislos.
Abgeordneter Ing. Thomas Elian (ÖVP): Auf Seite 26 steht weiters:
„Verwunderlich wären Bluetooth-Geräte in der Nähe“.
Ist dieser Satz nun so zu verstehen, dass es anhand der vorhandenen Daten sehr verwunderlich wäre, wenn Bluetoothgeräte in der Nähe gewesen wären?
Auskunftsperson David Hummel, MSc: Ich weiß nicht genau, was der Satz bedeuten soll. Mittlerweile wundert es mich nicht mehr, wenn man auf der Protokollebene Kommunikation findet, weil es einfach sehr viele - - Sehr viele ist
übertrieben, aber es gibt immer wieder vereinzelt Geräte, die auf der Protokollebene kommunizieren.
Abgeordneter Ing. Thomas Elian (ÖVP): Das heißt, einfach so aussenden: Ist da jemand?, oder einfach nur Kommunikation in den leeren Raum hinein? Oder was meinen Sie da konkret?
Auskunftsperson David Hummel, MSc: Da müsste ich wieder spekulieren. Aber wenn Geräte miteinander - - – die machen quasi ein Announcement: Hallo, es gibt mich!, ein anderes Gerät sagt: Ja, mich gibt es auch! –, dann würde man diese Kommunikation höchstwahrscheinlich auf dem Gerät sehen.
Abgeordneter Ing. Thomas Elian (ÖVP): Aber das war in dem Protokoll nicht der Fall?
Auskunftsperson David Hummel, MSc: Geht es gerade um dieses Protokoll, das mir noch vorliegt?
Abgeordneter Ing. Thomas Elian (ÖVP): Na dieses Besprechungsprotokoll, das vorliegt. Es geht jetzt nur darum, ob es Ihnen bei Ihrer Analyse aufgefallen ist.
Auskunftsperson David Hummel, MSc: Es liegt schon auf der Protokollebene Kommunikation vor.
Abgeordneter Ing. Thomas Elian (ÖVP): Gibt es einen klaren Hinweis auf bluetoothfähige Geräte in der Nähe oder lediglich den Aspekt, dass die Uhr bildlich gesagt hat - -, also diese Grundkommunikation stattgefunden hat, die eben systemtechnisch bedingt ist?
Auskunftsperson David Hummel, MSc: Es gibt - - Im Zuge einer Osint- Recherche habe ich entdeckt, dass es Geräte in der Nähe gegeben hat. Ob die zu diesem Zeitpunkt aktiv waren, kann man aber nicht mehr sagen. Aber es gab in der Nähe bluetoothfähige Geräte – Low Energy nämlich, das ist auch noch wichtig.
Abgeordneter Ing. Thomas Elian (ÖVP): Gibt es dazu einen konkreten Zeitablauf?
Auskunftsperson David Hummel, MSc: Nein. Es gibt prinzipiell - - Es gibt eine Webseite, auf der man schauen kann – zum Beispiel, wenn ich als Wanderer mein Handy mitnehme, kann ich sogenanntes Wardriving, so heißt das - -; das ist eigentlich etwas schon sehr Altes: da geht man spazieren, hat sein Handy aufgedreht und das Handy vermerkt alle Wi-Fi-Spots, die vorhanden sind –, da kann man sich online Karten anschauen, und da sehe ich: Da gibt es irgendeinen Wi-Fi-Spot Parlament, der wird dann dort vermerkt, und dann sehe ich auf einer Karte diesen Wi-Fi-Spot.
Das Gleiche gibt es auch für Bluetoothgeräte, und man sieht quasi in dieser Quelle, dass es zu dem Zeitpunkt in der Nähe Bluetooth-Low-Energy-fähige Geräte hat. Nämlich: zu diesem Zeitpunkt – das ist immer sehr schwierig, weil die Detektion von diesen Hotspots oder in dem Fall von den Bluetoothgeräten halt immer nur punktuell stattfindet. Das heißt, ich habe ein relativ - -, ich habe oft ein Intervall, da wird dieses Gerät einmal detektiert, da wird dieses Gerät ein zweites Mal detektiert. Was dazwischen damit passiert, weiß man dann halt wieder nicht. Also man hat eine relativ große Unschärfe, was den Zeitpunkt angeht. Konkreten Zeitpunkt – im vorliegenden Fall auf der Smartwatch – sieht man eigentlich keinen, da sehe ich nur: In einem Intervall hat Bluetooth-Low- Energy-Kommunikation stattgefunden.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank. Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke. Kollege Krainer, bitte.
Abgeordneter Kai Jan Krainer (SPÖ): Danke.
Zur Geschäftsbehandlung: Wir hätten da auch einen Ordner, damit man Sachen auf Papier sehen kann – nur für die Auskunftsperson. Wir würden es dann
immer dazusagen, damit alle anderen das elektronisch sehen, aber vielleicht ist es einfacher für die Auskunftsperson, manche Dokumente auf Papier zu sehen. Das kann ja dann die Auskunftsperson entscheiden, wie sie das verwendet. (Abg. Krainer [SPÖ) überreicht der Auskunftsperson einen Ordner.)
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Ist das schon verteilt bei uns? (Abg. Krainer [SPÖ]: Ja, das sind nur Sachen aus dem Datenbestand!)
Also wenn ich das jetzt recht verstanden habe, sind das alles Dokumente, die Teil des Aktes sind, die alle Ausschussmitglieder kennen (Abg. Krainer [SPÖ]: Ja!), die auch hier elektronisch eingespielt sind, und das ist ein zusätzliches Service, dass es in Papierform vorliegt. Habe ich das richtig verstanden?
Abgeordneter Kai Jan Krainer (SPÖ): Ja, hätte ich auch so verstanden.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Gut, dann Ihre Fragen, bitte.
Abgeordneter Kai Jan Krainer (SPÖ): Vielleicht machen wir einfach gleich dort weiter. Es gibt ja diese Besprechungsnotiz, die hier noch am Bildschirm von der vorhergehenden Befragung vorgelegt ist. Die finden Sie ganz hinten beim letzten Reiter auch auf Papier, weil das ja nur ein paar Seiten sind.
Sie haben gesagt, dass Sie quasi in einem Zeitintervall Kommunikation auf Protokollebene mit Low-Energy-Bluetoothgeräten auf der Uhr finden.
Auskunftsperson David Hummel, MSc: Ja.
Abgeordneter Kai Jan Krainer (SPÖ): Können Sie aufgrund der Berichte auch genauer sagen, in welchen Zeitintervallen das war?
Auskunftsperson David Hummel, MSc: Ja, ich muss nur kurz in meinen Aufzeichnungen nachschauen. (Die Auskunftsperson blättert in den Unterlagen.)
Das war – und wie gesagt, das sind immer Intervalle, die muss man ein wenig mit Vorsicht genießen – am 20.10.2023 im Intervall „01:15:38“ Uhr bis 20.10.2023,
„03:55:15“ Uhr, da findet Kommunikation statt, und dann im Intervall 20.10.2023 – nämlich das, wo wir vorher hingekommen sind –, „03:55:15“ Uhr bis – und jetzt Vorsicht – nämlich zum 21.10.2023, „03:21:30“ Uhr. In dem Intervall findet sehr viel Kommunikation statt und davor sehr wenig. Und wie gesagt: Die Intervalle geben halt nur das Intervall an. In diesem findet eine gewisse Kommunikation statt. Das sammelt die Uhr mehr oder weniger und sagt: Okay, ich habe jetzt so viele Bluetooth-Low-Energy-Packerl reinbekommen!, sagt aber nicht, wann diese eingelangt sind.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Entschuldigung, Herr Abgeordneter!
Herr Hummel, ist das aus dem 1 300-seitigen Bericht, was Sie uns gerade vorgelesen haben?
Auskunftsperson David Hummel, MSc: Nein, das ist aus einem Bericht, der mir eigentlich vorher schon eingespielt wurde.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Also es ist Aktenbestand, das, was Sie - - (Auskunftsperson Hummel: Ja!) – Okay, danke.
Auskunftsperson David Hummel, MSc: Meines Wissens ja.
Abgeordneter Kai Jan Krainer (SPÖ): Ich nehme an, das ist 1303, der Bericht. Den haben Sie im Ordner ganz hinten, beim letzten Reiter, oder am Schirm – 1303. (Die Auskunftsperson blättert in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Können Sie mir nur eine Seite nennen, ich habe da ein 26-seitiges Dokument. Seite 10, das schaut bei mir nicht nach meinem - -, dem, was mir bekannt ist - - Ich sehe eine Gebührennote. Also da sind wir irgendwo falsch abgebogen, außer es ist irgendein Abschlussbericht von der Polizei, dann könnte es sein, dass das da dabei ist, das wüsste ich aber nicht.
Abgeordneter Kai Jan Krainer (SPÖ): Also im elektronischen Dokument ist es ab Seite 37, in der Papierform ist es erst ab 37 vorliegend.
Auskunftsperson David Hummel, MSc: So, das schaut besser aus. Ja, auf Seite 37, ich schaue nur kurz mal. (Die Auskunftsperson liest in den Unterlagen.)
Abgeordneter Kai Jan Krainer (SPÖ): Also auf der Seite 45 haben Sie hier ein
Kapitel „Bluetooth-Ereignisse“. (Die Auskunftsperson liest in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Danke sehr. Genau, das ist das.
Abgeordneter Kai Jan Krainer (SPÖ): Und was sagt diese Tabelle da?
Auskunftsperson David Hummel, MSc: Die gibt die Intervalle an, also von – ich kürze jetzt das Datum kurz weg – 22.45 Uhr bis 1.15 Uhr am nächsten Tag passieren in diesem Fall 13 Empfänge und acht Sendeereignisse, und das schreitet dann so fort.
Man sieht, es passiert am 19. bis 20., 1 Uhr in der Früh sehr wenig. Es passiert von 20., 1.15 Uhr in der Früh bis 20., 3.55 Uhr sehr wenig, und es passiert von
3.55 Uhr bis am nächsten Tag um 3.21 Uhr in der Früh sehr viel.
Abgeordneter Kai Jan Krainer (SPÖ): „Sehr viel“ bedeutet, die Uhr war die ganze
Zeit von Bluetooth-Low-Energy-Geräten umgeben?
Auskunftsperson David Hummel, MSc: Das kann man nicht sagen. Man kann daraus schließen – und selbst da wäre ich vorsichtig –, dass da einfach auf der Protokollebene sehr viel passiert.
Was man jetzt dazusagen muss: Da war ja zum Beispiel – korrigieren Sie mich, wenn ich falsch liege – der Fund der Leiche des Mag. Pilnacek. Deswegen ist das jetzt - -, also überrascht es mich nicht, dass da dann sehr viel auf dieser Ebene kommuniziert wurde. Wenn da Leute zum Beispiel mit Smartwatches, mit Handys hinkommen, dann würde ich mir ungefähr vorstellen, dass das so ausschaut.
Abgeordneter Kai Jan Krainer (SPÖ): Und in der Zeit zwischen 1.15 Uhr und
3.55 Uhr am 20. Oktober waren 75 Datenpakete, die empfangen wurden, und 23, die gesendet wurden?
Auskunftsperson David Hummel, MSc: Genau.
Abgeordneter Kai Jan Krainer (SPÖ): Ja, und empfangen heißt: irgendein anderes Bluetoothgerät. Wie nahe muss denn das sein?
Auskunftsperson David Hummel, MSc: Das ist schwer zu beantworten. Das habe ich auch nicht ausprobiert in meinen Feldtests, aber das hängt sehr stark auch von der Topologie ab. In einem flachen Feld geht das wahrscheinlich schon mehrere Meter, mehrere 10 Meter, also 10, 20, 30, 40, 50, so was in dieser Kategorie. Ich beschreibe auch irgendwo, in der Uhr ist ein Klasse-1- Bluetoothsender verbaut, der ist, glaube ich - -, der darf bis zu 100 Meter senden. Das wird aber eher eine theoretische Schranke sein als in der Praxis erreichbar.
Abgeordneter Kai Jan Krainer (SPÖ): Wir reden von einem Seitenarm der Donau, also flaches Gewässer. Also: Flacher geht es ja nicht, oder?
Auskunftsperson David Hummel, MSc: Mir ist die Topologie von dort nicht ganz bekannt. Bäume zum Beispiel wären ein Problem oder Senken wären ein Problem, aber wenn es eine flache Ebene ist, dann würde das möglicherweise sehr weit reichen – kann ich aber auch nur spekulieren, wie gesagt, ich habe es nicht ausprobiert.
Abgeordneter Kai Jan Krainer (SPÖ): Das bedeutet aber, dass quasi in diesem Zeitraum zwischen 1.15 Uhr und 3.55 Uhr 75-mal irgendein anderes Bluetooth- Low-Energy-fähiges Gerät gesagt hat: Hallo, hier bin ich!, vereinfacht gesagt (Auskunftsperson Hummel: Ja, das kann auch ein - -!), oder dass Datenpakete von anderen Bluetooth-Low-Energy-fähigen Geräten empfangen wurden?
Auskunftsperson David Hummel, MSc: Dabei könnte es sich auch um ein Gerät handeln, das das immer wieder sagt, also man kann da keinen Rückschluss machen, um wie viele Geräte es sich handelt.
Abgeordneter Kai Jan Krainer (SPÖ): Aber: Es könnte eines oder es könnten maximal 75 gewesen sein?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordneter Kai Jan Krainer (SPÖ): Okay, na das hilft dann schon sehr weiter.
Ich wollte noch einmal ein bissel zum Anfang gehen: Wann sind Sie das erste Mal – jetzt beruflich – mit dem Ableben von Herrn Pilnacek und allen Datenauswertungen rundherum konfrontiert worden?
Auskunftsperson David Hummel, MSc: Da weiß ich nicht mehr genau, wann die Beauftragung gekommen ist.
Abgeordneter Kai Jan Krainer (SPÖ): Circa?
Auskunftsperson David Hummel, MSc: Weiß ich auch nicht, also mir ist kein Datum bekannt. Mir ist ehrlich gesagt nicht einmal mehr ein Jahr bekannt, weil das bei mir mittlerweile alles schon sehr stark verschwimmt, einfach aufgrund der Länge.
Was man vielleicht ergänzen kann, ist das Datum, wann der Bericht fertig wurde. Das war, glaube ich - - Es müsste stehen, das habe ich auch nicht im Kopf.
Abgeordneter Kai Jan Krainer (SPÖ): Ich glaube, der erste war im Mai 2025 von Ihnen.
Auskunftsperson David Hummel, MSc: Ja, das klingt gut: im Mai, und da war die Beauftragung natürlich schon länger. Also wenn man mich zum Raten zwingen würde, würde ich sagen: wahrscheinlich Anfang 2025.
Abgeordneter Kai Jan Krainer (SPÖ): Und das im Auftrag der WKStA, Laptop und USB-Sticks betreffend?
Auskunftsperson David Hummel, MSc: Am Anfang war es, glaube ich, nur die Smartwatch.
Abgeordneter Kai Jan Krainer (SPÖ): Und diesen 1 200-Seiten-Bericht, der da auch drin ist, den Sie selber erwähnt haben, haben Sie da bekommen?
Auskunftsperson David Hummel, MSc: Der war in dieser Datenlieferung dabei, ja. Da hätte ich dann auch eine Folie dazu, warum der für mich nicht relevant war, wenn das - -
Abgeordneter Kai Jan Krainer (SPÖ): Ja, bitte. Wir schauen uns gern gleich alle Folien an, die Sie mithaben.
Auskunftsperson David Hummel, MSc: Das ist eine sehr unspektakuläre Folie, die eigentlich Teilmengen der Mathematik, echte Teilmengen erklären soll, weil es sich bei dem Bericht genau um so etwas handelt. (Die Auskunftsperson unterstützt ihre Ausführungen mittels einer Präsentation.) Der Bericht – der ist in der Mitte in diesem - - ja, es war einmal orange, ich würde es mittlerweile eher als beige bezeichnen – ist halt wirklich eine echte Teilmenge von den Rohdaten. In dem Bericht ist weniger drin als in den Rohdaten. Da gibt es auch nichts darüber hinaus, was da vielleicht außerhalb dieses grünen Bereichs wäre, sondern der Bericht war für mich dahin gehend einfach nie wirklich relevant. Mir war von Anfang an klar, dass der auf den Rohdaten aufbaut und dass da nichts drin ist, was über die Rohdaten hinausgeht.
Ich hoffe, dass das ein bisschen beim Verständnis hilft, denn das war bisher medial - - Also ich konnte nicht nachvollziehen, warum man das nicht verstanden hat, aber es war anscheinend nicht richtig oder nicht gut kommuniziert.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Und Ihr Bericht über die Smartwatch: Wie würden Sie den in dieser Mengenlehre darstellen?
Auskunftsperson David Hummel, MSc: Eine disjunkte echte Teilmenge vom Grünen, also disjunkt vom Bericht, aber immer noch eine echte Teilmenge von den Rohdaten.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Jetzt eine blöde Frage: Sie haben diesen Bericht bekommen und haben sich gedacht, der sei nicht relevant, weil da ja nichts wirklich ausgewertet ist. Haben Sie mit dem noch weiter gearbeitet?
Auskunftsperson David Hummel, MSc: Mit dem Bericht selber damals nicht. Ich habe ihn mir dann, wie das medial ein bisschen aufgekocht ist, einmal zu Gemüte geführt – würde ich fast sagen – und ihn dann aber sehr schnell auch wieder ad acta gelegt, weil er einfach wie gesagt in meiner Arbeit nicht relevant war.
Abgeordneter Kai Jan Krainer (SPÖ): Haben Sie eine Wahrnehmung, wer diesen Bericht erstellt hat? Das steht nämlich nicht da. Da steht auf der ersten Seite
„Name des Ermittlers“ und das Feld ist leer. Es ist das Dokument 17545. (Die Auskunftsperson liest in dem vorgelegten Schriftstück.) Sie haben es aber auch auf Papier (Auskunftsperson Hummel: Ja, ich - -!), es ist der dicke Teil.
Auskunftsperson David Hummel, MSc: Ich kenne ihn eh relativ gut.
Ja, ich kann mir vorstellen, wie das zustande gekommen ist. Prinzipiell wird dieser Bericht automatisch von dieser Forensiksoftware erstellt. Links oben ist eh der Name: Mobiledit Forensic, so heißt diese Software. Da kann man sich mehr oder weniger baukastenmäßig zusammenklicken, was man gerne hätte. Eine Möglichkeit, die man in diesem Baukasten dazunehmen kann, ist eben dieser PDF-Bericht. Wenn man den dazunimmt und man trägt zum Beispiel die
„Fallbezeichnung“, die „Fallbeweisnummer“, Beweismittel, Details des Falls - -, wenn man das nicht zusätzlich in seinem Baukasten ausfüllt, fehlt das dann einfach in dem Bericht. So ist das ziemlich sicher zustande gekommen.
Abgeordneter Kai Jan Krainer (SPÖ): Aber Sie haben jetzt meine Frage nicht beantwortet, ob Sie Wahrnehmungen haben, wer diesen Bericht erstellt hat.
Auskunftsperson David Hummel, MSc: Ah, nein.
Abgeordneter Kai Jan Krainer (SPÖ): Haben Sie mit irgendjemandem vom Bundeskriminalamt, von den Auswertern dort, in der Frage Smartwatch Kontakt gehabt?
Auskunftsperson David Hummel, MSc: Ich habe es im Eingangsstatement, glaube ich, kurz erwähnt, dass wir diese Sicherung dann auch noch mal gemacht haben, nachdem uns die Frau Landesgerichtspräsidentin die Uhr übergeben hat. Im Zuge dieser zweiten Sicherung habe ich mit jemandem vom C4 Kontakt gehabt, weil die uns dieses Gerät freundlicherweise zur Verfügung gestellt haben, damit wir diese Sicherung noch mal machen können, weil man dafür eine bestimmte Hard- und Software benötigt. Also ja, da habe ich schon mit jemandem Kontakt gehabt. Ich weiß aber nicht, wer die Sicherung gemacht hat. Ich weiß auch nur, dass da kein Name oder Vergleichbares dabeisteht.
Abgeordneter Kai Jan Krainer (SPÖ): Könnten Sie uns den Namen der Person hier sagen? – Bitte kurz weghören! – Wir streichen es dann aus dem Protokoll, aber wir würden den Namen gerne wissen.
Auskunftsperson David Hummel, MSc: Da würde ich kurz gerne ein Okay haben, ob das - - (Vorsitzender-Stellvertreter und Verfahrensrichterin-Stellvertreter beraten sich. – Die Auskunftsperson berät sich mit ihrer Vertrauensperson.)
Abgeordneter Kai Jan Krainer (SPÖ): Es ist total okay. Wir streichen dann den Namen eh oder anonymisieren den Namen im Protokoll. Das machen wir gewohnheitsmäßig hier. (Heiterkeit bei Abgeordneten der FPÖ.)
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Also ich würde vorschlagen, dass wir kurz unterbrechen und die Öffentlichkeit hinausbitten (Abg. Krainer [SPÖ]: Oh!) und dann diese Frage beantworten.
Abgeordneter Kai Jan Krainer (SPÖ): Die vollziehen das Mediengesetz. Die schalten kurz auf Durchzug. Das machen die auch gewohnheitsmäßig, wenn Namen hier genannt werden.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Nein, bitte. Wir wollen hier dieses juristische Restrisiko nicht eingehen. Wenn Sie bei der Frage bleiben, würde ich die Sitzung kurz unterbrechen und die Öffentlichkeit zur Beantwortung hinausbitten. (Die Auskunftsperson berät sich mit dem Verfahrensrichterin-Stellvertreter. – Vorsitzender-Stellvertreter und Verfahrensrichterin-Stellvertreter beraten sich.)
Abgeordneter Kai Jan Krainer (SPÖ): Na, Wandertag brauchen wir jetzt keinen zu machen. Entschuldigung, zur Geschäftsbehandlung!
(Zur Geschäftsbehandlung:) Da geht es um folgende Frage, dass wir bis jetzt nicht wissen, wer im Bundeskriminalamt überhaupt weiß, wer diese Uhr ausgewertet hat. (Die Auskunftsperson berät sich mit ihrer Vertrauensperson und dem Verfahrensrichterin-Stellvertreter.)
Dass die Auswertung für die Arbeit nicht sinnstiftend war, haben wir jetzt eh schon gehört. Es gibt natürlich Alternativen, wie man den Namen erfährt, aber wenn die Auskunftsperson hier weiß, mit wem sie gesprochen hat, dann können wir zumindest bei dieser Person nachfragen, ob sie das ausgewertet hat.
Dass das normal schon gesagt wird: Die Vertreter der Medien wissen ja, dass sie aufgrund des Mediengesetzes diese Namen nicht bekannt machen dürfen, und wir anonymisieren ja bei unserem Protokoll dann ohnehin standardmäßig auf Antrag des Verfahrensrichters oder der Verfahrensrichterin. (Abg. Hanger [ÖVP] hebt die Hand.)
Abgeordneter Mag. Andreas Hanger (ÖVP) (zur Geschäftsbehandlung): Danke, Herr Vorsitzender.
Ich verstehe manche Debatten hier herinnen nicht. Der Herr Vorsitzende hat ganz klar eine Vorgangsweise festgelegt, und dann diskutieren wir wieder
2 Minuten darüber, dass wir es heute anders machen wollen. Herr Kollege Krainer, ich würde dich einfach bitten, das so zu akzeptieren. Dann kann ja gerne die Frage gestellt werden, es können ergänzende Beweisverlangen eingebracht werden und die Person kann geladen werden – alles gut, aber ich würde schon wirklich dafür plädieren, sich an Regeln zu halten. (Der Vorsitzender-Stellvertreter berät sich mit einer Mitarbeiterin der Parlamentsdirektion.)
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Frage an die Auskunftsperson: Würde die Antwort Personen betreffen, mit denen Sie privat korrespondiert haben, oder sind das Organe, die der öffentlichen Verwaltung zurechenbar sind?
Auskunftsperson David Hummel, MSc: Letzteres.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Gut, dann bitte ich Sie, die Frage zu beantworten.
Abgeordneter Kai Jan Krainer (SPÖ): Super, vielen Dank. – Auch danke, Herr Vorsitzender, dass wir das jetzt ohne Wandertag erledigen konnten.
Kennen Sie – das sage ich auch gleich dazu – den Akt 781? Das ist auch auf Papier, direkt vor dem dicken Teil. Nur für alle anderen: Da geht es um die handschriftliche Notiz vom Landeskriminalamtsmitarbeiter, der auf diesem
1 Abgelehnte erhobene Einwendung der Auskunftsperson: „Cyber Crime Competence Center“ […] statt
„Cyber Competence Center“
2 Angenommener Einspruch der Verfahrensrichterin gem. § 20 Abs. 3 VO-UA: Von der Veröffentlichung des Klarnamens wurde abgesehen.
Bericht, den wir vorher gesehen haben, schreibt: keine Gesundheitsdaten - - (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Entschuldigung, Seite 138. Da sehen Sie ganz unten den handschriftlichen
Vermerk: „Keine Gesundheitsdaten (Herzschlag) od Standortdaten vorhanden!“
Auskunftsperson David Hummel, MSc: Ja, der ist mir bekannt. Ich kenne ihn allerdings aus den Medien; also er ist mir in seiner Rohform nicht untergekommen.
Abgeordneter Kai Jan Krainer (SPÖ): Jetzt haben Sie es schwarz auf weiß. Also inhaltlich, würden Sie sagen, ist das richtig, weil in diesem 1 200-Seiten-Bericht wirklich keine drinnen sind, aber auf der Uhr sind sie schon?
Auskunftsperson David Hummel, MSc: Ja. Also im Bericht - - (Abg. Krainer [SPÖ]: Sind sie auch, aber jetzt nicht so im Kapitel!) – Nein. Nein, sie sind eigentlich nicht im Bericht. Also die Daten sind nicht im Bericht. Es ist ein Hinweis auf die Daten im Bericht, so würde ich das formulieren.
Abgeordneter Kai Jan Krainer (SPÖ): Ja, genau, sehe ich auch so.
Jetzt eine Frage: Als Sie jetzt mit dem Mitarbeiter vom Bundeskriminalamt, vom C4, gesprochen haben, haben Sie da über den Bericht gesprochen, dass der eigentlich so wertlos ist?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht mehr in dem Detail. Ich weiß nur: Wir haben inhaltlich eigentlich nicht über dieses Verfahren gesprochen. Also wir waren sehr abstrakt. Wir haben gefragt, ob sie uns das zur Verfügung stellen würden, weil wir gerne eine Sicherung machen würden. Wir haben aber über das konkrete Verfahren eigentlich nicht gesprochen.
Abgeordneter Kai Jan Krainer (SPÖ): Mhm. Und die Sicherung, die Sie jetzt gemacht haben: Ich glaube, das war Ende Jänner? (Die Auskunftsperson blättert in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Wahrscheinlich. Wenn Sie ein genaues Datum haben wollen, kann ich auch schnell nachschauen.
Abgeordneter Kai Jan Krainer (SPÖ): Ende Jänner reicht mir. (Auskunftsperson Hummel: Okay!) Ich glaube, es war Ende Jänner. Da haben Sie die Uhr für ein paar Stunden gehabt. Haben Sie hier - - Weil: Zumindest Medienberichten konnte ich entnehmen, dass man gewisse Daten nur mit der Originaluhr auslesen kann.
Auskunftsperson David Hummel, MSc: Ja, das stimmt. Also manche Daten kann man sich nur auf der Uhr anschauen, die waren aber nicht mehr vorhanden. Die Daten werden nicht sehr lange vorgehalten.
Also wenn man kurz noch zu diesen gelöschten Daten zurückkommt: Da passiert etwas sehr Ähnliches. Im Zuge einer Garbage-Collection werden die relativ schnell wieder verworfen, beziehungsweise verschwinden sie in dieser – auch mehrfach in meinen Berichten erwähnten – S-Health-Datenbank3 und werden dort verschlüsselt vorgehalten, sodass man sie sich nicht mehr anschauen kann, weil diese Gesundheitsdaten einen relativ hohen Schutz durch den Hersteller der Smartwatch genießen.
Abgeordneter Kai Jan Krainer (SPÖ): Erste Frage: Was ist „relativ schnell“?
Auskunftsperson David Hummel, MSc: Relativ schnell auf was bezogen? Ich bräuchte eine ganze Frage. Sorry, ich bin - -
Abgeordneter Kai Jan Krainer (SPÖ): Sie haben verwendet: „relativ schnell“, die
verschwinden relativ schnell. Sind das Minuten, Stunden, Tage, Monate?
3 Abgelehnte erhobene Einwendung der Auskunftsperson: „.shealth-Datenbank“ statt „S-Health- Datenbank“
(Hinweis: Entsprechend der redaktionellen Regelung der Parlamentsstenographinnen und Parlamentsstenographen werden Eigennamen ohne Großbuchstaben innerhalb des Wortes geschrieben; sind Einzelbuchstaben oder Abkürzungen enthalten, wird ein Bindestrich gesetzt. Der Fußnoten-Ausweis erfolgt nur bei der ersten Fundstelle im Kommuniqué.)
Auskunftsperson David Hummel, MSc: Meinen Recherchen nach werden die immer einen Tag vorgehalten.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Und dann sind sie nur noch verschlüsselt?
Auskunftsperson David Hummel, MSc: Ja, und man kriegt auch keine - - Man sieht keine Zeitreihe, im Sinne von: Hier ist der Puls so, hier ist der Puls so, hier ist der Puls so!, auf irgendeine Zeiteinheit aufgeschlüsselt, sondern man kriegt nur den Mittelwert des Tages. Also das war eigentlich sehr wenig an Daten, die man auf der Uhr selber sieht.
Abgeordneter Kai Jan Krainer (SPÖ): Okay, dann kommen wir aber vielleicht noch einmal zu dem Bericht, den Sie dann im Dezember gemacht haben. (In einem dicken Aktenordner blätternd:) Des is a brada Weg.
Das ist 1303, ab Seite 37.
Auskunftsperson David Hummel, MSc: Ja. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Abgeordneter Kai Jan Krainer (SPÖ): Vielleicht noch dazwischen: Haben Sie irgendeine Wahrnehmung, wieso die Berichte auswerten oder erstellen, die eigentlich unbrauchbar sind?
Auskunftsperson David Hummel, MSc: Da muss ich für meine Kollegen eine Lanze brechen: Die meisten Forensiktools spucken das immer schon mit aus. Da kann man sich oft gar nicht dagegen wehren, dass man so einen vielleicht nicht sinnlosen, aber halt einen Bericht mitbekommt, in dem nicht alles drin ist. Also das ist Usus bei uns.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Und haben die dann so etwas Ähnliches gemacht wie Sie, dann nämlich einfach genauer hingeschaut und
einzelne Datenbanken aufbereitet, Zahlen aufbereitet und dann ausgewertet? Haben Sie dazu Wahrnehmungen?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht, nein.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Bei Ihrem Bericht hier haben Sie zum Beispiel „Herzrate-Ereignisse“ unter dem Kürzel 3.2. Das ist auf den Seiten 42, 43. (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Ja, ich sehe das.
Abgeordneter Kai Jan Krainer (SPÖ): Da sagen Sie, dass es fünf „Herzrate- Ereignisse“ oder fünf verschiedene Sensoren oder Datenbanken gibt. (Die Auskunftsperson berät sich mit ihrer Vertrauensperson.)
Auskunftsperson David Hummel, MSc: Es gibt in einer Datenbank fünf unterschiedliche Ereignistypen, wobei – ich glaube, auf der nächsten Seite, ich bin mir nicht ganz sicher; ja – die da auch tabellarisch aufgeschlüsselt werden, und man sieht eh, dass das einfach sehr wenig ergiebig war, was man aus den Daten deduzieren konnte.
Abgeordneter Kai Jan Krainer (SPÖ): Ja, und Sie haben dann so eine Grafik auf der nächsten Seite quasi gebaut, wo Sie sagen, dass „Herzrate-Ereignisse“ bis kurz nach 4 Uhr aufgezeichnet wurden, und dann nicht mehr bis zur Bergung kurz vor 9 Uhr.
Auskunftsperson David Hummel, MSc: „Herzrate-Ereignisse“, ja – um es darauf einzuschränken, weil man eigentlich nicht weiß, was hinter diesen Ereignissen steht.
Abgeordneter Kai Jan Krainer (SPÖ): Ja, ich habe gehofft, dass Sie das besser wissen als wir.
Auskunftsperson David Hummel, MSc: Nein, leider. Also außer bei dem einen, da hat man gesehen, was es damit auf sich hat, aber die restlichen Ereignisse waren leider inconclusive.
Abgeordneter Kai Jan Krainer (SPÖ): Was ist das eine Ereignis, das Sie jetzt ansprechen, wo man das gesehen hat?
Auskunftsperson David Hummel, MSc: Bei „HR13“ – das ist die vierte Zeile – steht bei der Funktion, was die macht: Die sagt quasi, wie viel Zeit seit dem letzten HR13-Ereignis vergangen ist.
Abgeordneter Kai Jan Krainer (SPÖ): Und wissen Sie, was bei „HR18“, „HR05“,
„HR13“, „HR16“, „HR11“ jeweils dahintersteckt?
Auskunftsperson David Hummel, MSc: Nein.
Abgeordneter Kai Jan Krainer (SPÖ): Drei davon liefern ja auch Daten bei der Bergung. Also da hat man den Eindruck, dass es da um mechanische Daten geht. Das können auch Stoßdaten oder dergleichen sein.
Auskunftsperson David Hummel, MSc: Ich weiß es leider nicht.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Sie haben das bei Samsung nicht nachgefragt?
Auskunftsperson David Hummel, MSc: Doch, wir haben bei Samsung Electronics Austria, glaube ich – also der genaue Verbandsname ist mir jetzt nicht erinnerlich –, nachgefragt, aber einen Negativbescheid bekommen. Also die Information konnte man uns nicht geben.
Abgeordneter Kai Jan Krainer (SPÖ): Die konnten Ihnen nicht sagen, was ihre eigene Uhr macht?
Auskunftsperson David Hummel, MSc: Nein, leider.
Abgeordneter Kai Jan Krainer (SPÖ): Haben Sie es in Korea auch einmal probiert?
Auskunftsperson David Hummel, MSc: Nein, tatsächlich nicht.
Abgeordneter Kai Jan Krainer (SPÖ): Haben Sie, als Sie physisch die Uhr hatten, mit Samsung selber irgendwie wegen Entschlüsselungen oder dergleichen gesprochen?
Auskunftsperson David Hummel, MSc: Nein.
Abgeordneter Kai Jan Krainer (SPÖ): Sind die Daten, die Sie jetzt Ende Jänner runtergeladen oder gesichert haben, ident mit den Daten, die Ihnen bereits durch eine Datensicherung vom Bundeskriminalamt vorgelegen sind, oder unterscheiden sie sich wesentlich?
Auskunftsperson David Hummel, MSc: Das sind in der Forensik immer sehr schwer zu beantwortende Fragen, weil die Sicherungen natürlich nicht identisch sind – wobei ich damals festgehalten habe, dass sie hinreichend ähnlich sind, dass man grobe Manipulationen ausschließen kann.
Abgeordneter Kai Jan Krainer (SPÖ): Und jetzt arbeiten Sie mit der neuen Sicherungskopie an einem neuen Bericht?
Auskunftsperson David Hummel, MSc: Nein, wie gesagt, da waren keine neuen Erkenntnisse in den Datenbanken drin, die für mich relevant waren, und sonst wurden keine neuen interessanten Datenbanken oder Vergleichbares mitgeliefert. Die Sicherungen waren inhaltlich wahrscheinlich fast identisch, mit den üblichen Abschlägen für: Wir haben die Uhr erneut in Betrieb genommen, dadurch wurde sie natürlich in gewissen Punkten manipuliert, und wir haben auch eine wesentlich neuere Version von dieser Software verwendet, die womöglich auch noch mehr Informationen rausgezogen hat.
Abgeordneter Kai Jan Krainer (SPÖ): Haben Sie irgendwelche Wahrnehmungen oder einen Hinweis – noch einmal zurückkommend auf diesen 1 200-Seiten- Bericht –, ob das Bundeskriminalamt in irgendeiner Art und Weise auch eine vernünftige Arbeit bei der Auslesung der Uhr geleistet hat?
Auskunftsperson David Hummel, MSc: Dazu habe ich keine Wahrnehmung, also ich weiß nicht, was die Polizei mit den Daten genau gemacht hat. Dazu weiß ich eigentlich gar nichts.
Abgeordneter Kai Jan Krainer (SPÖ): Weil: Sie haben ja Akteneinsicht, Ihnen ist der Akt bekannt – das haben Sie, glaube ich, beim Einleitungsstatement gesagt –, oder Sie haben „Aktenwissen“, glaube ich, war das.
Auskunftsperson David Hummel, MSc: Ja, in ausgewählten, für mich relevanten Aktenstücken. Also es ist ein bisschen kompliziert, weil: Ich glaube, im WKStA- Akt habe ich Akteneinsicht, in Krems und Eisenstadt war das aber nicht der Fall.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Haben Sie irgendeine Wahrnehmung, dass über diese 1 200 Seiten – unter Anführungszeichen –
„Sinnlosauswertung“ hinaus auch irgendetwas Sinnvolles seitens des Bundeskriminalamts passiert ist, außer dass sie Ihnen die Software und die Hardware zur Verfügung gestellt haben?
Auskunftsperson David Hummel, MSc: Dazu habe ich keine Wahrnehmungen.
Abgeordneter Kai Jan Krainer (SPÖ): Okay. Danke schön.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Frau Abgeordnete Wotschke, bitte.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Vielen Dank.
Sie haben eben gesagt, dass Sie die Smartwatch mit den Sicherstellungen dieser Smartwatch verglichen haben und dass die Daten im Wesentlichen ident waren.
Sie haben gesagt, Sie haben das schriftlich festgehalten. Haben Sie dazu einen Bericht gemacht?
Auskunftsperson David Hummel, MSc: Nur damit es richtig im Protokoll ist: Ich habe die zwei Sicherungen verglichen, also die erste Sicherung mit der zweiten Sicherung, nicht - -
Es gibt dazu von mir einen Bericht.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wissen Sie, von wann der war?
Auskunftsperson David Hummel, MSc: Nach dem Untersuchungszeitraum.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Können Sie das noch irgendwie circa einordnen? Ich frage, weil wir meines Wissens diesen Bericht nicht vorliegen haben. (Die Auskunftsperson berät sich mit dem Verfahrensanwalt.)
Auskunftsperson David Hummel, MSc: Ich schaue nur kurz in meinen Aufzeichnungen nach. (Die Auskunftsperson blättert in den Unterlagen.) Der ist von mir signiert am 30.1.2026.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Vielen Dank, der fehlt uns noch.
Eine allgemeine Frage: Wie würden Sie denn den Unterschied zwischen der Auswertung einer Smartwatch und der Auswertung eines Handys zum Beispiel beschreiben?
Auskunftsperson David Hummel, MSc: Smartwatchsicherungen hat man wesentlich seltener am Tisch. Es ist einfach nicht üblich, dass man die macht. Also das ist jetzt kein Österreichspezifikum, sondern das weiß ich, dass das europaweit eher noch wenig Aufmerksamkeit findet. Und es ist vom Volumen her viel weniger. Ein Handy hat immer gigabyteweise an Daten, und die vorliegende Smartwatchsicherung hat, glaube ich, 1,9 Gigabyte inklusive allen
Berichten drumherum. Also ich glaube, netto waren das 900 Megabyte oder so, was für einen Forensiker eigentlich lächerlich wenig Daten sind. Moderne Handys gehen so bis 200, 500 Gigabyte. Also wir sprechen da von einem winzig kleinen Datensatz bei der Smartwatch.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Das macht es jetzt schwerer oder leichter?
Auskunftsperson David Hummel, MSc: Ich würde sagen, das macht es im vorliegenden Fall leichter. Man kann auch besser in die Tiefe gehen, sage ich.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Weil Sie gerade ansprechen, dass auf einer Smartwatch weniger gespeichert wird: Was wird denn auf dieser Smartwatch wirklich gespeichert und was wird nicht darauf gespeichert?
Auskunftsperson David Hummel, MSc: Das kann man pauschal nicht sagen, weil das sehr stark von der Smartwatch abhängt. Ich bringe zwei Beispiele: Auf der vorliegenden Smartwatch waren relativ viele Sensordaten zum Beispiel gespeichert – auf der Smartwatch selber. Dafür gab es, was man sich vielleicht auch so erwarten würde, fast keine Chats et cetera; also Whatsapp, Signal et cetera, das wird nicht auf der Smartwatch gespeichert.
Ich habe hier zum Beispiel eine Garmin, die speichert noch weniger ab, vor allem, weil ich zum Beispiel das Bluetooth immer deaktiviert habe. Dann ist überhaupt noch weniger an Daten drauf. Also das ist nicht nur von der Smartwatch abhängig, sondern auch sehr stark vom Benutzerverhalten.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Beim Durchsehen der Berichte kam uns auch vor, dass sehr wenige Daten oben sind. Haben Sie da Wahrnehmungen, wieso das so ist? Also zum Beispiel: Wurde die Smartwatch sehr spät gekauft? Konnten Sie eruieren, wann die Smartwatch von Christian Pilnacek in Betrieb genommen wurde?
Auskunftsperson David Hummel, MSc: Das ist mir - - Also daran kann ich mich nicht erinnern, dass ich ein konkretes Inbetriebnahmedatum oder so was entdeckt hätte.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Konkret nicht, aber ungefähr?
Auskunftsperson David Hummel, MSc: Auch nicht.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Sie haben gemeint, dass es gewissermaßen leichter gewesen ist, die Smartwatch auszuwerten. Da würde ich gerne einen Vorhalt machen, nämlich das Dokument Nummer 124: Das ist der Bericht vom 19. Mai. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Da auf Seite 13 in der Mitte.
Auskunftsperson David Hummel, MSc: Ja, das ist bei mir das Kapitel 1.2.7 in der Mitte.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm, dann gehen wir zu
1.3 Anmerkungen und nehmen da den zweiten Absatz. Da geht es um das Schlüsselmaterial – wenn Sie das kurz lesen.
Auskunftsperson David Hummel, MSc: Ja, also ich kenne den Absatz eh sehr gut.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Perfekt. Das Zentrale an so einer Smartwatch ist ja, nehme ich an, die Datenbank, die hier referenziert ist, nämlich die Health-Datenbank. Können Sie mir mal erklären, was dieses Schlüsselmaterial dann ist, das hier nötig ist?
Auskunftsperson David Hummel, MSc: Die Datenbank ist im vorliegenden Fall mit einem sogenannten, ich glaube, AES-128-Schlüssel verschlüsselt. Das ist eine 128 Bit lange Folge, die sich darum kümmert, dass man sich die Daten nicht anschauen kann. Also das ist ein kryptografischer Schlüssel. Deswegen rede ich hier in dem Bericht öfters von Schlüsselmaterial, weil das in diesem Fall diese eine Bitfolge ist. Die kümmert sich mehr oder weniger mathematisch darum, dass man sich diese Datenbank nicht anschauen kann.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Sie haben vorher gemeint, einen Tag lang kann man sich die Daten anschauen und dann nicht mehr. Ist da dann dazwischen die Verschlüsselung?
Auskunftsperson David Hummel, MSc: Meinem Verständnis nach ja. Die Daten wandern halt in die Datenbank rein und sind selbst für die Uhr selber nicht mehr ersichtlich.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wie bekomme ich dieses Schlüsselmaterial dann?
4 Abgelehnte erhobene Einwendung der Auskunftsperson: „iFixit“ statt „I-Fixit“
(Hinweis: Entsprechend der redaktionellen Regelung der Parlamentsstenographinnen und Parlamentsstenographen werden Eigennamen ohne Großbuchstaben innerhalb des Wortes geschrieben; sind Einzelbuchstaben oder Abkürzungen enthalten, wird ein Bindestrich gesetzt.)
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Bekommt man es, wenn man die physische Uhr hat?
Auskunftsperson David Hummel, MSc: Mir ist kein Weg bekannt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Über den Hersteller?
Auskunftsperson David Hummel, MSc: Vielleicht. Weiß ich nicht, könnte ich nur spekulieren.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Das heißt dann, um mein Verständnis abzutesten, diese Health-Datenbank kann sich danach eigentlich niemand mehr anschauen? Denn wenn es der Hersteller nicht hat, wenn es mit der Uhr nicht geht - -
Auskunftsperson David Hummel, MSc: Ich fürchte, in Kombination mit dem Handy. Das ist quasi der magische Schlüssel, wo man dann wieder an diese Daten kommt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und das Handy bräuchte man physisch?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Sie haben vorher schon den Bericht des Bundeskriminalamtes angesprochen, der auch vor Ihnen liegt, in dem genau diese Daten eben nicht drinnen sind, oben auch mit der Notiz geziert.
Hätte nicht eigentlich dem Bundeskriminalamt, weil sie ja diesen Bericht auf Basis der Software vor sich liegen hatten, schon auffallen können, dass man hier noch einen Schlüssel braucht?
Auskunftsperson David Hummel, MSc: Das war schon ziemlich versteckt, diese Information, denn da hat man sich schon durch die einzelnen Datenbanken durcharbeiten müssen. Also das ist schwierig. Vor allem kenne ich die Aufträge, die die Polizei damals nicht bekommen hat. Aber ich glaube nicht, dass man in
diese Richtung quasi gut kommt, dass man sich so weit in das Detail hineinfuchst.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Aber Sie sind so weit gekommen?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Gut. Sie haben die Uhr dann ja auch physisch erhalten. Was hat das dann extra gebracht? Oder: Hat das dann extra Erkenntnisse gebracht?
Auskunftsperson David Hummel, MSc: Auf der einen Seite wollten wir ausschließen können, dass der Hardwarehersteller – also der Hardwarehersteller für die Sicherungssoftware – nicht vielleicht eine Möglichkeit gefunden hat, um das Secure Element zu umgehen. Auf der anderen Seite wollten wir einfach mit einer neueren Version der Software – es sind in der Zwischenzeit, glaube ich, doch fast eineinhalb Jahre oder so vergangen – noch mal eine Sicherung machen, damit wir den neuesten Datenbestand auch wieder zur Verfügung haben.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Die Ergebnisse daraus finden sich auch in dem Bericht von Ende Jänner?
Auskunftsperson David Hummel, MSc: Kursorisch, ja; also nicht in die Tiefe gehend, aber kursorisch wird zum Beispiel aufgezeigt, welche Unterschiede es auf Dateiebene gegeben hat.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Jetzt haben Sie vorher das Handy angesprochen, das es ja nicht mehr gibt. Jetzt habe ich da eine Frage, die mehr die Hardware betrifft: Wenn ich ein Handy mit einem Bunsenbrenner zerstöre, was wäre die chemische Reaktion des Handys? Oder: Gäbe es dann eine chemische Reaktion? Also was würde dann passieren – wenn Sie das beurteilen können?
Auskunftsperson David Hummel, MSc: Meines Wissens sind Akkubrände von Lithium-Ionen-Akkus meistens weniger gefährlich, als das mal klingen würde, weil die normalerweise durchbrennen. Wenn man ihn also nicht gerade in der Hose eingesteckt hat, passiert da wahrscheinlich gar nicht so viel, wie man befürchten würde. Ich habe es aber selber noch nie gemacht. Der Klassiker ist eher, dass die Lithium-Ionen-Akkus physisch beschädigt werden, nicht thermisch, und dass sie dann an der entsprechenden Stelle durchbrennen. Das ist meistens die große Gefahr. Ich bin aber kein Akkuexperte.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Was heißt dann durchbrennen?
Auskunftsperson David Hummel, MSc: Der brennt einfach so lange, bis es nichts mehr zum Brennen gibt. Das ist vielleicht zum Beispiel von Elektroautos bekannt, dass das Brände sind, die sehr unangenehm zu löschen sind. Meistens kommt das dann in eine Sandsenke, weil sich die immer wieder selbst entzünden.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Es ist dann also sehr wohl wirklich eine Flamme auch außerhalb des Mobilgerätes oder rundherum? Es ist nicht nur im Innenleben, oder doch?
Auskunftsperson David Hummel, MSc: Die Flamme schießt dann meistens so ein bisschen raus. Ich kenne nur Videos. Das ist jetzt kein klassischer Brand, sondern schaut meistens recht spezifisch aus, dass an der zerstörten Stelle des Akkus die Energie austritt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Weil wir vorhin die Herzraten besprochen haben und Sie auch gemeint haben, dieses Schlüsselelement ist eigentlich sehr unklar, und auch noch gesagt haben, dass Sie noch nicht an Samsung herangetreten sind: Ist geplant, noch an Samsung in Korea heranzutreten?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht. Ich denke nicht. Ich erwarte mir da wenig bis gar nichts.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Finden Sie es sinnvoll?
Auskunftsperson David Hummel, MSc: Eigentlich nicht, nein. Vor allem, wenn ich mir den Zeitaufwand durchrechne, dann - - Die Rechtshilfeersuchen dauern immer sehr, sehr lange, und ich bin mir ehrlich gesagt nicht einmal sicher, ob Samsung selbst da wirklich aushelfen kann. Das wird das nächste Problem.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Es ist ja auch sehr oft die Rede davon, vor allem medial, dass man eine werkseitige Auswertung machen könnte. Was würde das denn IT-mäßig überhaupt heißen?
Auskunftsperson David Hummel, MSc: Mir sagt der Begriff werkseitige Auswertung nichts. Meint man damit, dass man an Samsung herantritt und die eine werkseitige Auswertung machen?
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Genau.
Auskunftsperson David Hummel, MSc: Dazu habe ich nur sehr wenige Wahrnehmungen. Ich weiß, dass es Möglichkeiten gibt, zum Beispiel sogenannte Chip-Off-Verfahren umzusetzen. Wir haben im vorliegenden Fall halt auch noch das Problem, dass die Uhr sehr alt ist und vor allem softwareseitig schon länger nicht mehr unterstützt wird. Das wird also noch eine weitere Baustelle, die ein großes Hindernis ist.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Ist ein Herantreten jetzt nicht an Samsung, sondern zum Beispiel an Meta bezüglich Daten und Messengernachrichten üblich? Und: Wie würde das ablaufen?
Auskunftsperson David Hummel, MSc: Allgemein oder auf das konkrete Verfahren bezogen? Das würde mich noch interessieren.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Gern zuerst allgemein.
Auskunftsperson David Hummel, MSc: Die Rechtshilfeersuchen – Cloud- Sicherungen im Allgemeinen sind fast immer mit einem Rechtshilfeersuchen verbunden – sind eine ziemlich frustrierende Angelegenheit, muss man leider dazusagen. Also man kriegt auch oft nicht das, was man haben will. Das läuft meistens so ab, dass man über das BMJ an das entsprechende Land herantritt und denen dann mehr oder weniger darlegen muss, warum man ein berechtigtes Interesse daran hat, diese Cloud-Daten zu erhalten. Das ist eine sehr langwierige und oftmals auch komplizierte Angelegenheit, und wir haben in der Vergangenheit – allgemein gesprochen – damit auch nicht so gute Erfahrungen gemacht, leider. Es wäre sehr wichtig, dass man das viel öfter macht, aber es funktioniert leider - - Vor allem bei den amerikanischen Konzernen hat man immer wieder Probleme.
Auf das konkrete Verfahren bezogen: Ich erwarte mir da sehr wenig, denn was man nicht vergessen darf: Es handelt sich um Gesundheitsdaten, die oftmals dann noch in einer besonders hohen Schutzklasse drinnen sind, sodass die meistens wahrscheinlich auch Ende-zu-Ende-verschlüsselt sind und mir da wahrscheinlich auch Samsung nicht mit dem Schlüsselmaterial aushelfen kann.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Also auch Samsung bräuchte das Handy?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Jetzt haben Sie gemeint, Sie haben keine guten Erfahrungen gemacht: Was meinen Sie damit genau?
Auskunftsperson David Hummel, MSc: Meine Erfahrungen beschränken sich natürlich immer nur darauf, dass ich als Techniker aushelfe. Aber wenn man glaubt, dass das so funktioniert, dass man einen Brief nach Amerika schreibt und dann Auskunft bekommt, liegt man ziemlich falsch. Die Rechtshilfeersuchen sind eine sehr langwierige und zermürbende Angelegenheit, in die man sehr viel Zeit investieren muss, und wir müssen dann meistens aushelfen, das Ganze irgendwie
auch technisch zu erklären. Sobald diese Schnittmenge an Technik und Gesetzen und Gesetzen anderer Länder - - Dieser Schnittpunkt da in der Mitte, der ist nicht sehr leicht zu treffen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Rein technisch gesprochen: Gibt es da Höchstfristen? Ich kann kurz erklären, wieso: weil in Medien auch öfter mal vorkommt, man hat dafür sechs Monate Zeit und dann gibt es diese Daten quasi nicht mehr bei Meta. Wie ordnen Sie das ein?
Auskunftsperson David Hummel, MSc: Da habe ich keine konkreten Wahrnehmungen zu Fristen, aber es wird Fristen geben im Sinne von: Wenn sich zum Beispiel ein Account seit Jahren nicht mehr eingeloggt hat, dann wird der irgendwann verschwinden. Da gibt es, glaube ich, mittlerweile auch schon Gesetze in unterschiedlichen Ländern, die das auch regeln. Aber wie gesagt, ich bin da immer nur technischer Begleiter. Wie das juristisch ist, weiß ich nicht.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Gut, dann würde ich sehr gern zur Besprechung zurückgehen. Das ist das Dokument Nummer 434, die Besprechung vom 25. September, Seite 23. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): In der Mitte wird von
„markanten Handgelenksbewegungen“ gesprochen, „die über“ – das steht da unten drunter – „ein Gehen hinausgehen“. Dazu meine Frage: Woraus leiten Sie ab, dass diese Handgelenksbewegungen über ein Gehen hinausgehen?
Auskunftsperson David Hummel, MSc: Primär aus dem Intervall, in dem sie vorkommen. Bei einem normalen Gehen schlagen die nämlich eigentlich nicht aus. Es geht wirklich um diese Bewegung, dass man auf die Uhr schaut, erst dann löst das aus. Beim Gehen hat man das eigentlich gar nicht. Deswegen sind die in
dem Fall - - Die kommen in sehr kurzen Intervallen, so im Sekunden-, 2- Sekunden-Intervall. Das sind einfach sehr viele Handgelenksbewegungen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wann fand dieses eineinhalb Minuten lange Intervall statt?
Auskunftsperson David Hummel, MSc: Dazu schaue ich kurz noch einmal nach. (Die Auskunftsperson blättert in den Unterlagen.) Das fängt ungefähr um 1.47 Uhr an, am 20.10., da beginnen diese Handgelenksbewegungen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Danke.
Eine Nachfrage zu dem, was Sie vorher gesagt haben: Das heißt, hier war es kein Gehen wegen der Intervalle, aber ein Gehen würde auch aufgezeichnet werden, es wäre dann nur anders aufgezeichnet?
Auskunftsperson David Hummel, MSc: Nur wenn man während des Gehens auf die Uhr schaut.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Das müssen Sie mir jetzt erklären.
Auskunftsperson David Hummel, MSc: Diese Handgelenksdetektion hat bei der vorliegenden Uhr hauptsächlich damit zu tun, dass das Licht angeht, wenn man die Hand hochnimmt. Viele von Ihnen kennen das wahrscheinlich: Wenn man die Uhr quasi in diese Position (das Handgelenk anhebend und auf die Smartwatch schauend) bringt, fängt sie an zu leuchten. Damit das möglich ist, brauche ich irgendeine Möglichkeit, um zu identifizieren: Okay, das Handgelenk ist jetzt in einer Position, ich mache das Licht an. – Bei einem normalen Gehen wird der Programmierer tunlichst vermeiden, dass dauernd das Licht angeht, weil das für die Akkuleistung von diesen Geräten sehr schlecht ist.
Deswegen gibt es eben diesen Indikator. Der wird höchstwahrscheinlich über den Drehsensor der Uhr programmiert und ausgerechnet. Wenn die x-Achse
und die y-Achse einen gewissen Schwellenwert überschreiten, dann wir das detektiert als: Handgelenk nach oben gehoben; und dann geht das Licht an. Und das ist im vorliegenden Fall - -, das passiert einfach in sehr kurzen Abständen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm. Also ein normales Gehen, ohne auf die Uhr zu schauen, würde dann via GPS ermittelt werden?
Auskunftsperson David Hummel, MSc: Oder über das Pedometer, also den Schrittsensor, das gibt es auch. Dazu gibt es auf der Uhr allerdings auch keine Daten. GPS war im vorliegenden Fall ebenfalls nicht aktiv, aber prinzipiell kann man das natürlich über GPS oder über ein Pedometer - - oder über den Drehmomentsensor könnte man das wahrscheinlich auch abbilden. Im vorliegenden Fall habe ich dazu aber auch keine Indikation entdeckt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Also Sie haben in den Rohdaten keine Indikation entdeckt?
Auskunftsperson David Hummel, MSc: Ganz genau, ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann gehen wir eine Seite weiter: 24, ebenso in der Mitte. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.) Da steht: „Der Ausschlag um ca 4 Uhr ist nicht erklärlich, Todeszeitpunkt geschätzt 3 Uhr“. Meine Frage: Wie kommen Sie auf die Aussage „Todeszeitpunkt geschätzt 3 Uhr irgendwas“?
Auskunftsperson David Hummel, MSc: Ich bin mir nicht sicher. Zum Todeszeitpunkt habe ich eigentlich nie Aussagen getätigt, sondern ich sage immer nur: Handgelenksbewegungen ja/nein. Man sieht aber, das die Handgelenksbewegungen, die einfach recht markant waren, irgendwann aufhören.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und was bedeutet dann weiter unten: „Zeitraum [...] 3 Uhr 20 bis 4 [...] Uhr nicht erklärbar, da nicht stetig“? (Die Auskunftsperson blättert in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Ich schaue nur kurz in meinen Aufzeichnungen nach. Ich kann das noch nicht ganz verorten, was das bedeutet. (Die Auskunftsperson blättert in den Unterlagen.)
In diesem Intervall sind die Handgelenksbewegungen vorhanden, aber westlich weniger intensiv. Vielleicht war das mit dieser Aussage gemeint. Das hat zwar mit Stetigkeit wenig zu tun, aber ich denke, das geht in diese Richtung.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann eine Seite weiter –
25 am Anfang beziehungsweise Anfang/Mitte: „Die Kürzel Baro diff vehicle; Avh usw“: Was heißt das? (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Das schlägt in dieselbe Kerbe wie die Herzrateereignisse von Herrn Abgeordneten Krainer von vorhin. Die kommen nämlich tatsächlich auch aus der gleichen Datenbank, und von denen weiß man nicht genau, was sie bedeuten.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Vermutet die Uhr hier – aus der Ausführung eine Zeile darunter –, dass Herr Pilnacek in ein Auto gestiegen ist?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht. Im Kürzel kommt
„vehicle“ vor. Ich wollte das nie verorten, weil ich keinen Indikator dafür
gefunden hätte, dass das irgendeine Bedeutung hat.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und dann das Letzte hier in diesem Bericht: die Seite 27. Hier geht es um Handbewegungen, und dann die Conclusio: „Nicht erklärbar (Sturz oder ausrutschen)“. Wie kommt man auf „Sturz oder ausrutschen“? (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Ich kann den Satz auch nur für mich selber interpretieren. Ich hätte ihn so verortet, dass man sich anhand der Daten,
die ich auf der Uhr gefunden habe, nicht erklären kann, ob ein Sturz oder ein Ausrutschen passiert ist.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Aber eins von beiden?
Auskunftsperson David Hummel, MSc: Nein, Entschuldigung; also man kann daraus nichts in diese Richtung schließen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und ganz unten steht noch:
„Besprochen wird die Hinzuziehung eines weiteren“ IT-Experten. – Wieso hat man das erwogen?
Auskunftsperson David Hummel, MSc: Es wurde auch jemand Zweiter hinzugezogen, weil im Zuge - -, also wir haben in den meisten Verfahren immer zwei IT-Experten zugeordnet, einfach dass man ein Vieraugenprinzip, mit zwei Technikern, fahren kann.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Also aus demselben Pool, aus dem Sie sind, ein Kollege?
Auskunftsperson David Hummel, MSc: Ganz genau.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm. Wer war das?
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm, danke schön. Hat die Uhr einen Sturzmesser?
Auskunftsperson David Hummel, MSc: Meines Wissens gibt es so was. Das steht zumindest, was ich mich erinnere, in der Anleitung der Uhr. Der hätte aber - -, also ich habe keinen Indikator dafür gefunden, dass der auslöst. Als
5 Angenommener Einspruch der Verfahrensrichterin gem. § 20 Abs. 3 VO-UA: Von der Veröffentlichung der Textpassage wurde abgesehen.
jemand, der selber eine Smartwatch mit einem Sturzmesser hat, kann ich allerdings sagen, dass die eine – zumindest am eigenen Leib erfahrene – relativ große Unschärfe mit sich bringen. Ich hatte einmal einen Fahrradsturz, da hat er dann schon ausgelöst, aber sonst, wenn man tatsächlich auch einmal irgendwie hinfällt oder so, hat er nicht ausgelöst. Die haben meinen Wahrnehmungen nach eine ziemlich große Unschärfe.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann zum Dokument 1303 bitte, Seite 45. Da waren wir vorher schon. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Ja?
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wieder die Tabelle unten,
„3.4. Bluetooth-Ereignisse“. Was ich mir nicht ganz erklären kann: Hier sind ja die Intervalle, und hier gibt es ein Intervall von 22.45 Uhr bis 1.15 Uhr, da sind 25 Ausschläge – das ist das Intervall, wo Christian Pilnacek zu Hause war –, und dann das Intervall 1.15 Uhr bis 3.55 Uhr – das ist das Intervall, wo er bei der Donau war. Jetzt ist meine Frage: Sind 75 Ausschläge denn viel? Mir scheint das nämlich gerade viel, im Vergleich zu den 25, wo er in einem Haus war und in der Ortschaft selber war. Da ist meine Frage, ob Sie sich das irgendwie herleiten können. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Rein intuitiv würde ich sagen, dass da – die Intervalle 22.45 Uhr bis 1.15 Uhr, 1.15 Uhr bis 3.55 Uhr – sehr, sehr, sehr wenig passiert. Wenn wir jetzt auf eine Uhr hier in dem Raum schauen, sind wir wahrscheinlich eher in der letzten Spalte der Tabelle; also ob 75 oder 25 oder 13 – intuitiv hätte ich das als Techniker als sehr wenig verortet.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und welche Schlussfolgerung kann man dann daraus für den Zeitraum drei viertel elf bis eins in der Früh ziehen?
Auskunftsperson David Hummel, MSc: Dass es da wahrscheinlich relativ wenig Bluetoothgeräte in der Umgebung gegeben hat; ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und können Sie das damit in Einklang bringen, dass er zu dem Zeitpunkt mit dem Auto gefahren ist und eben in einer Ortschaft war?
Auskunftsperson David Hummel, MSc: Autofahrt: ja; durch den Ort durchgehen: müsste man sich wieder anschauen, ob es da in der Nähe sehr viele, quasi, Bluetoothgeräte gegeben hat.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Gut. Danke.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke. Frau Kollegin Tomaselli, bitte.
Abgeordnete Mag. Nina Tomaselli (Grüne): Danke schön.
Herr Hummel, Sie haben vorhin gesagt, dass diese Bewegungen um 1.47 Uhr angefangen haben. (Auskunftsperson Hummel: Mhm!) In Ihrem Bericht skizzieren Sie aber den Zeitpunkt, als die Uhr ins Wasser gelangt, mit 1.35 Uhr. – Was wäre Ihrer Meinung nach eine mögliche Erklärung? (Die Auskunftsperson blättert in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Können Sie mir das nur einspielen? (Abg. Tomaselli [Grüne]: Mhm, klar, das wäre - -!) Ich möchte nicht ausschließen, dass ich mich im Intervall einfach vertan habe.
Abgeordnete Mag. Nina Tomaselli (Grüne): 1305; Seite 6 wäre sozusagen das Intervall – das mit dem Handgelenk, was Sie gesagt haben –, und der Zeitpunkt, wo die Uhr ins Wasser gerät, das ist - - (Die Rednerin blättert in den Unterlagen.) Entschuldigung, ich habe es gerade gehabt. (Auskunftsperson Hummel: Ich sehe es prinzipiell am Schirm. Ich kann dazu - -!) Seite 13 ist der Zeitpunkt:
„Möglicherweise handelt es sich hierbei um den Zeitpunkt, wo die Smartwatch in das Wasser gelangt ist.“
Auskunftsperson David Hummel, MSc: Nur kurz: Ich habe vorher das Intervall auch falsch angegeben, wenn ich das jetzt richtig sehe. (Die Auskunftsperson blättert in den Unterlagen.) Das Richtige wäre: Von kurz vor 1.25 Uhr bis 1.45 Uhr passieren diese markanten Handbewegungen – nur für das Protokoll, dass das stimmt. (Abg. Tomaselli [Grüne]: Okay!) Danke dafür. Würden Sie mir Ihre Frage noch einmal sagen? – Verzeihung.
Abgeordnete Mag. Nina Tomaselli (Grüne): Genau, nochmals wiederholend: Sie haben gesagt, dass die markanten Handbewegungen ab 1.47 Uhr waren – das haben Sie jetzt richtiggestellt –, und skizzieren gleichzeitig den Zeitpunkt, dass die Uhr ins Wasser gelangt ist mit 1.35 Uhr. So passt das für mich jetzt logischerweise besser zusammen. – Dann hätten wir den Widerspruch meiner Meinung nach schon aufgelöst.
Auskunftsperson David Hummel, MSc: Zu dem – Uhr ins Wasser – gibt es auf Seite 8, glaube ich – nein; auf Seite 10 müsste das sein (die Auskunftsperson blättert in den Unterlagen und liest in dem vorgelegten Schriftstück) –, eine Grafik, die das relativ gut erklärt, wenn man ein bissl einen Background dazu hat: Das sind die Barometerdaten, ich hoffe, Sie sehen die alle. Das ist ein relativ großes Diagramm, und da sieht man relativ genau, wann die Uhr – wann die Uhr, muss man dazusagen! – ins Wasser gelangt, nämlich dann, wenn dieses Diagramm nach unten schwenkt. Das wäre der beste Indikator, den man meiner Meinung nach dafür hat, wann die Uhr ins Wasser gerät.
Abgeordnete Mag. Nina Tomaselli (Grüne): Interessant ist ja auch Ihre Feststellung – da sind wir auf Seite 15; das ist wieder ein Cluster: 3.25 Uhr bis, hochgerechnet, 4.14 Uhr –, dass Sie sagen, „zum Ende dieses Clusters befindet sich die Smartwatch offenbar nicht mehr im Wasser“. – Was ist da ein mögliches Erklärungsmuster? (Die Auskunftsperson blättert in den Unterlagen und liest in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Da kann ich leider nur sagen, dass da die Uhr nicht mehr im Wasser war, mit einer sehr hohen Wahrscheinlichkeit, denn die Barometerdaten sind ziemlich - -, also die sind sehr exakt. Warum, wieso? – Ich weiß es nicht.
Abgeordnete Mag. Nina Tomaselli (Grüne): Reicht es, dass die Uhr an der Wasseroberfläche ist, dass sie dann nicht mehr als im Wasser befindlich verzeichnet wird?
Auskunftsperson David Hummel, MSc: Streng genommen nicht die Uhr, sondern der Sensor, aber ja, im Sukkus ist es genau das, ja.
Abgeordnete Mag. Nina Tomaselli (Grüne): Okay, wunderbar. Danke schön.
Bei den Daten auf der Uhr ist uns aufgefallen, dass nicht alle Daten vorhanden sind. Zum Beispiel waren unter den verschiedenen Kontakten andere Telefonate auf der Uhr verzeichnet, wie Sie dann auswerten konnten. Können Sie uns das erläutern?
Auskunftsperson David Hummel, MSc: Ich kann es leider nicht mit Sicherheit sagen, aber ich kenne es von meiner und anderen Uhren, dass die nur synchronisieren - - Also es gibt quasi eine Einwegkommunikation vom Handy zur Uhr. Wenn das Handy - -, wenn ich einen Anruf erhalte und die Uhr zu diesem Zeitpunkt abgelegt ist – nicht verbunden et cetera –, dann fällt dieser auch aus dem Protokoll raus. Es gibt meines Wissens zumindest bei der vorliegenden Uhr keine Zweiwegekommunikation, also die Uhr fragt dann nicht nach, wenn sie sich neu verbindet: Hey, was ist seit dem letzten Mal passiert?, sondern sie bleibt quasi immer bei ihrem Zustand.
Abgeordnete Mag. Nina Tomaselli (Grüne): Das wäre also zum Beispiel auch eine Erklärung – ich muss es Ihnen, glaube ich, nicht vorlegen; für das Protokoll: 1299, Seite 34 –, dass zum Beispiel bei den Kontaktdaten der Anna Polz ein
anderer Anruf verzeichnet ist, als sie ausgesagt hat, zum Beispiel: Sie habe am Vorabend, also am 19. Oktober, noch mit ihm telefoniert.
Auskunftsperson David Hummel, MSc: Das wären Möglichkeiten, ja, dass das aus diesem Grund aus dem Protokoll rausfällt. Man weiß es aber nicht mit Sicherheit.
Abgeordnete Mag. Nina Tomaselli (Grüne): Macht es einen Unterschied, mit welchem Programm kommuniziert worden ist? Also: Können Sie uns sagen, mit welchen Programmen sich die Smartwatch synchronisiert hat? – Zum Beispiel verschiedene Messengerdienste: Whatsapp, Signal, I-Message – nein, er hatte ein Samsung: Nachrichtendienst auf Samsung.
Auskunftsperson David Hummel, MSc: Meiner Wahrnehmung nach waren auf dem Gerät eigentlich nur SMS- und MMS-Nachrichten, auch keine Benachrichtigungen, also keine Notifications.
Abgeordnete Mag. Nina Tomaselli (Grüne): Auch keine Notifications? Sind Notifications zum Beispiel Melder, wenn irgendein Ereignis auf einer News-App auftaucht, wäre das eine Notification?
Auskunftsperson David Hummel, MSc: Ganz genau, oder - - Anrufe sind offensichtlich verzeichnet, weil man die sieht, was ich mich erinnere. Aber zum Beispiel: Man sieht ja bei Whatsapp zum Beispiel auch manchmal einen Teil der Nachricht auf seiner Smartwatch; so was hätte ich nicht wahrgenommen.
Abgeordnete Mag. Nina Tomaselli (Grüne): Sind das standardisierte Einstellungen oder hat das der Nutzer so eingestellt?
Auskunftsperson David Hummel, MSc: Da kenne ich mich mit Samsung- Smartwatches zu wenig aus – weiß ich nicht.
Abgeordnete Mag. Nina Tomaselli (Grüne): Alles klar.
Jetzt würde mich zu den Ausführungen, die Sie bereits getätigt haben, noch interessieren: Sie haben gesagt, Sie sind Ihrer Erinnerung nach etwa
Anfang 2025 damit beauftragt worden, die Uhr auszulesen. Haben Sie Wahrnehmungen, wieso das nach Beginn der Ermittlungen dann doch einige Monate später war? Diese waren im März 2024.
Auskunftsperson David Hummel, MSc: Das hat eine relativ einfache Erklärung: Ich habe am Anfang auch einfach nichts gefunden, also das war mein Fehler sozusagen, dass das einfach sehr lange gedauert hat. Durch die Berichterstattung habe ich dann aber irgendwann den Herrn Oberstaatsanwalt gefragt, ob ich noch einmal reinschauen soll, und bin dann auf die Daten gestoßen. Das war aber tatsächlich eigentlich relativ spät. Also das war nicht so, dass ich die Uhr, die Sicherung, bekommen habe und gleich: Aha, ja, da ist alles!, sondern das hat eigentlich ziemlich lang gebraucht, bis ich auf diese Daten gestoßen bin, weil ich mit mir selber mit diesem Beweismittel bis zu einem gewissen Grad auch eigentlich schon abgeschlossen gehabt habe.
Abgeordnete Mag. Nina Tomaselli (Grüne): Und was war da die Schwierigkeit, an diese Daten zu kommen?
Auskunftsperson David Hummel, MSc: Eigentlich keine, also man musste es sich nur anschauen; aber das ist halt oft leichter gesagt als getan.
Abgeordnete Mag. Nina Tomaselli (Grüne): Es ist ja dem Bundeskriminalamt am Anfang offenbar auch nicht gelungen. Sie haben in Ihrem Eingangsstatement gesagt, Sie möchten es sogar positiv herausstreichen, dass sie sich einen Datenträger angeschaut haben und eine Software dafür angeschafft haben. Ist das also so außergewöhnlich? – Ich hätte die Vorstellung gehabt, dass das standardisiert ist.
Auskunftsperson David Hummel, MSc: Meiner Wahrnehmung nach ist das schon eher die Ausnahme, auch im Internationalen6. Wir haben auch Austausch, zum Beispiel mit Deutschland – da ist das auch nicht Usus, dass man sich diese IOT-Devices, diese smarten Geräte, mal anschaut.
Es ist halt auch eine gewisse Kapazitätssache. Wenn man wirklich anfängt, den Kühlschrank, die Smartwatch, den Router - -, dann wird das sehr schnell sehr viel; das wird dann eher eine Ressourcenfrage als eine Frage: Ist das schwierig, das umzusetzen?
Abgeordnete Mag. Nina Tomaselli (Grüne): Ich würde meinen, in einigen Fällen würde es auch nicht so wichtig sein, denn wenn ich ein Handy dabeihabe, liefert das sicher bessere Daten als die Smartwatch; aber in dem Fall gab es halt nur die Smartwatch.
Haben Sie da Wahrnehmungen: Was hat das Bundeskriminalamt da für Ressourcen? Von wie vielen Personen reden wir, und auch von welchen Softwareressourcen, wenn sich das irgendwie beantworten lässt?
Auskunftsperson David Hummel, MSc: Da habe ich zu wenig Einblick. Meine Wahrnehmung ist nur: Bei denen ist die Forensik und die Ermittlung sehr stark getrennt, und das ist halt immer wieder mal – in dem vorliegenden Fall auf jeden Fall – ein Problem, weil ich da eigentlich in der Ermittlung einen ITler brauche.
Also ein Ermittler wird das, was ich gemacht habe, einfach nicht machen können, weil ihm die Ausbildung fehlt, weil er die Zeit nicht hat, weil er die Software dafür nicht hat; denen fehlen bis zu einem gewissen Grad einfach die Tools und das Know-how. Beim C4 wäre es wahrscheinlich kein Problem, aber die kriegen, glaube ich, ihre Aufträge - - Meiner Wahrnehmung nach kriegen die den Auftrag: Sichere mir bitte die Smartwatch!, und das haben sie eigentlich super umgesetzt.
6 Abgelehnte erhobene Einwendung der Auskunftsperson: „Internationalen Vergleich“ statt
„Internationalen“
Aber wenn ich dann die Zeit nicht habe beziehungsweise auch den Auftrag nicht habe, mich da wirklich ins Detail hineinzuarbeiten, dann kommt man eben einfach nicht zu diesen Ergebnissen.
Abgeordnete Mag. Nina Tomaselli (Grüne): Passieren solche Aufträge schriftlich?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht genau. Ich habe meine Aufträge - - Ich schreibe die immer in den Bericht; oben zum Beispiel. Ich glaube, die sind mit a) und b) in dem Bericht vom 25.5. von der WKStA punktiert. Also ich schreibe das immer rein, was mein konkreter Auftrag ist. Wie das beim BMI gehandhabt wird, weiß ich nicht genau.
Abgeordnete Mag. Nina Tomaselli (Grüne) (zur Geschäftsbehandlung): Zur Geschäftsbehandlung!
Herr Vorsitzender, ich würde gerne eine Vorlage einspielen, Vorlage Nummer 1. Ich will es nur von vorneherein gleich sagen – nicht dass jemand erschrickt –: Das ist sozusagen ein Konvolut aus bestehenden Akten beziehungsweise Screenshots der Ordnerstruktur der Smartwatch. Wir haben es nur neu zusammengestellt, aber es wäre in dem Fall wieder als Stufe 1 einzustufen.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Das ist bereits Teil des Aktes, es ist Klassifizierungsstufe 1. Wir nehmen es zu uns, es kriegt eine eigene neue Nummer. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Abgeordnete Mag. Nina Tomaselli (Grüne): Was ich bei diesem Auswertungsbericht vom Bundeskriminalamt nicht ganz verstehe: Die schreiben ja – beziehungsweise diese Software, das haben Sie erklärt –, dass die Dateien sozusagen leer sind und sie sehen nur 0 Byte. Jetzt haben wir ja zusätzlich als
Untersuchungsausschuss auch die Rohdaten der Uhr beantragt und wenn man sich die Rohdaten anschaut – ich bin völlige Informatiklaiin, aber ich habe mich einfach mal so durchgeklickt –, dann sieht man, ohne dass ich jetzt eine spezielle Software dafür habe, dass da überall Daten vorhanden sind. Das Bundeskriminalamt hat festgestellt, geschrieben, dass keine Gesundheitsdaten und keine Bewegungsdaten vorhanden sind; ich sehe quasi mit einem Klick in die Ordnerstruktur – ohne zu wissen, was es für Daten sind – immerhin, dass die Daten da sind. Können Sie mir das erklären?
Auskunftsperson David Hummel, MSc: Ich habe die Frage noch nicht ganz verstanden. Geht es darum, warum man mehr oder weniger zum Beispiel diese
S-Health-Datenbank nicht in der Ordnerstruktur gesehen hat? Ungefähr in diese Richtung?
Abgeordnete Mag. Nina Tomaselli (Grüne): Na, sie ist ja eben in der Ordnerstruktur sichtbar. Sie ist in der Ordnerstruktur sichtbar. Wir haben die Ordnerstruktur quasi in Screenshots beigelegt, wo man dann ganz normal am Computer eben auch sieht, dass da Daten vorhanden sind. Gleichzeitig macht das Bundeskriminalamt aber einen Bericht – auch den haben wir in die Vorlage reingenommen –, in dem es für genau diese Apps, zum Beispiel S-Health-Data, 0 Byte anzeigt. Ohne jetzt also zu wissen – das ist ein bissl unfair, denn er hat es eigentlich nochmal - - –, was für Daten da sind, kann ich zumindest feststellen, dass es Daten gibt. Ich verstehe also nicht, wieso im Bericht dann 0 Byte aufläuft.
Auskunftsperson David Hummel, MSc: Zu dieser 0-Byte-Geschichte: Gibt es da eine konkrete Vorlage, denn die S-Health-Datenbank, die ich kenne, ist, glaube ich - -
Abgeordnete Mag. Nina Tomaselli (Grüne): Seite 3, zum Beispiel. (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Jeweils auf der darauf folgenden Seite sehen Sie die Ordnerstruktur, in der die Daten eben da und sichtbar sind.
Auskunftsperson David Hummel, MSc: Mhm. Ich glaube, ich weiß, was das Problem ist. Da ist von der Cache-Größe die Rede. Da geht es höchstwahrscheinlich darum, wie viel die Uhr von dieser konkreten Applikation im Moment im Cache vorhält. Cache ist normalerweise eine Form von Hauptspeicher oder von schnellem Speicher, wo ich Sachen drinnen ablege.
Wenn da jetzt Cache-Größe 0 Byte steht, dann heißt das wahrscheinlich einfach, dass zum Zeitpunkt der Sicherung im Cache nichts vorgehalten war. Das ist ein bissl verwirrend.
Die Samsung-Health-Datenbank hat meines Wissens 14,9 Megabyte oder so, die hat also schon eine gewisse Größe. Das ist, glaube ich, einfach nur im Bericht schlecht ausgegeben. Ich wüsste auch nicht aus dem Effeff, wie ich das interpretieren soll, aber es heißt, glaube ich, nicht, dass die Datei leer ist.
Zu „App-Analyse ist leer“: Das ist dahin gehend für mich nachvollziehbar, als die Datenbank verschlüsselt ist und man in diese S-Health-Datenbank nicht hineinschauen kann. Ich glaube, Frau Abgeordnete Wotschke hat mir vorhin kurz diese S-Health-Datenbank eingespielt. Deswegen konnte die Applikation nichts rausziehen, weil sie quasi nicht in die Datenbank hineinkommt, deswegen wird das da als „App-Analyse ist leer“ ausgewiesen.
Aber wie gesagt, dieser Bericht ist mit Vorsicht zu genießen, weil er halt - - Allein auf der Seite stehen schon wieder einige Sachen, die ich eher als problematisch erachte, denn zum Beispiel wäre es mir lieber, wenn statt „App-Analyse ist leer“ dastehen würde: Die Datenbank war verschlüsselt, ich konnte nicht hineinschauen.
Aber das ist ein wiederkehrendes Problem mit Forensiksoftware, dass man keine expliziten Problemmeldungen erhält.
Abgeordnete Mag. Nina Tomaselli (Grüne): Ja, aber das ist a) so wertlos und b) schreibt dann die Polizei daraus einen Bericht und sagt, es sind keine Gesundheits- und Bewegungsdaten vorhanden, und das führt dann wenige Tage später zur Einstellung des Verfahrens. Das ist ja hochproblematisch.
Auskunftsperson David Hummel, MSc: Dazu muss ich sagen: über die Probleme mit Forensiksoftware, das ist fast schon ein philosophischer Diskurs, weil es da immer wieder Probleme gibt. Im konkreten Fall stimme ich aber zu, dass das einfach sehr wenig aussagt beziehungsweise in dem konkreten Fall, den ich vorliegen habe, halt eigentlich auch etwas Falsches aussagt, denn die App- Analyse - - – okay, die ist von mir aus leer, aber das führt mich halt in eine komplett falsche Richtung. Da stimme ich schon zu. Das ist ein wiederkehrendes Problem mit Forensiksoftware, das hat man bei Mobiltelefonen, das hat man offensichtlich bei Smartwatches und bei normalen Computern genauso.
Abgeordnete Mag. Nina Tomaselli (Grüne): Das eine ist ja die Software, aber dazu braucht es ja eben Personen auch im Polizeidienst, damit ich so ein Ergebnis kritisch hinterfragen kann. Selbst wenn man – so wie ich als Laiin – einfach durch die Ordner klickt und auf die Daten kommt, hätte man schon feststellen können: Es sind Daten da. Da kann ich mir nachher einen Weg überlegen, wie ich zu diesen Daten komme, oder?
Auskunftsperson David Hummel, MSc: Es ist meines Erachtens schwierig, wenn der Ermittler quasi dann vor dieser Aufgabe steht. Als ITler muss ich sagen, ja, da könnte man diesen Schluss wahrscheinlich schaffen; bei den Ermittlern ist es halt schwierig. Ich weiß auch nicht, wie beliebt zum Beispiel so 1 200-seitige Berichte bei den Ermittlern sind, weil das natürlich schon auch allein wegen der Menge sehr abschreckend ist, vor allem wenn dann überall steht, die App- Analyse ist leer. Ich glaube, es waren 800 Seiten oder so Bilder oder Vergleichbares im Bericht. Das führt halt nicht dazu, dass sich die Leute das bereitwillig ansehen sozusagen, weil man initial schon einmal den Eindruck von
dem Dokument bekommt, dass das eher ohne zielführende Ermittlungsansätze bleiben wird.
Abgeordnete Mag. Nina Tomaselli (Grüne): Ich würde mir wünschen, dass man sich das anschaut, denn es war zu diesem Zeitpunkt schlussendlich immer noch nicht die Todesursache feststellbar. – Danke.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke. Kollege Hafenecker, bitte.
Abgeordneter Christian Hafenecker, MA (FPÖ): Danke, Herr Vorsitzender.
Herr Hummel, danke, dass Sie uns zur Verfügung stehen. Ich habe 78 Fragen an Sie vorbereitet, aber mittlerweile ist ein großer Teil davon weggefallen, das heißt, wir werden Sie nicht über Gebühr strapazieren. Nur eines vorab: Es kann sein, dass ich jetzt ein bisschen springe, weil natürlich die Reste meiner Fragen aus verschiedenen Themengebieten sind. Das ist keine Schikane, sondern es ergibt sich aus der Befragung. Ich möchte trotzdem probieren, jetzt einmal halbwegs chronologisch vorzugehen.
Ich habe noch eine Nachfrage zu den USB-Sticks, die angesteckt worden sind – es geht jetzt um die Auswertung des Laptops –: Dazu haben Sie eben gesagt, dass man das noch feststellen konnte. Wissen Sie: Korreliert das Anstecken dieser USB-Sticks mit dem Zeitpunkt oder Zeitraum, zu dem der Laptop bei Herrn Monschein gewesen sein soll?
Auskunftsperson David Hummel, MSc: Das habe ich nicht im Kopf. Es gibt aber in dem einen Bericht einen Passus, wo nach Zeitintervallen aufgeschlüsselt wurde, wann sehr viel passiert ist. Aber das genaue Datum, wann ein USB-Stick angesteckt wurde, habe ich jetzt nicht im Kopf.
Abgeordneter Christian Hafenecker, MA (FPÖ): Gut, dann werden wir uns das noch im Detail mit den Akten anschauen.
Dann noch eine Frage zur Nirsoft, das ist diese Software, mit der man diese Passwörter ausgelesen hat. Für Wi-Fi-Verbindungen, haben Sie gesagt, geht das. Kann die auch andere Passwörter irgendwie detektieren?
Auskunftsperson David Hummel, MSc: Ja, das kann man sich online anschauen. Nirsoft stellt sehr viele unterschiedliche Programme zur Verfügung. Eines ist zum Beispiel das Auslesen, ich glaube, vom Systempasswort, das gesetzt ist. Ein anderes wäre das Auslesen von abgespeicherten Wi-Fi-Passwörtern, und das gibt es noch in ganz vielen anderen Varianten, für verschiedene andere Orte, an denen man Passwörter quasi rausziehen kann.
Abgeordneter Christian Hafenecker, MA (FPÖ): Wissen Sie, wann diese Nirsoft- Applikation am Laptop installiert worden ist? War die originär drauf oder ist sie später gekommen?
Auskunftsperson David Hummel, MSc: Die wurde extern draufkopiert. Zumindest in meiner Erinnerung ging das relativ klar aus den Daten hervor. Das konnte man auch nachvollziehen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Nach dem Ableben von Christian Pilnacek?
Auskunftsperson David Hummel, MSc: Ja, meines Wissens ja, aber ich glaube, es steht, wenn ich kurz nachschauen kann - - Dazu habe ich eigentlich das Intervall in meinem Bericht angegeben. Ich suche das nur schnell heraus. (Die Auskunftsperson blättert in den Unterlagen.) Das müsste ungefähr im Zeitraum – ich habe hier das Intervall angegeben – 15.3.2024 bis 18.3.2024 gewesen sein.
In meinem Bericht schreibe ich auch, dass das von einem externen Datenträger geöffnet wurde. Es wurde, glaube ich, nicht draufkopiert, sondern von einem externen Datenträger geöffnet. Das sieht man aber trotzdem in den Daten, also man kann das trotzdem nachvollziehen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Das heißt, zur Erklärung für Nichttechniker: Es wurde ein USB-Gerät angesteckt, auf dem diese Software war, und die hat versucht, am Laptop in diesen Datenbanken das auszulesen ?
Auskunftsperson David Hummel, MSc: Ganz genau, ja. Nicht nur versucht, sondern das war, glaube ich, auch ein Erfolg, quasi die Passwörter auszulesen – zumindest aus bestimmten Datenbanken.
Abgeordneter Christian Hafenecker, MA (FPÖ): Lässt sich nachvollziehen, welche Passwörter ausgelesen wurden?
Auskunftsperson David Hummel, MSc: Meiner Erinnerung nach ja. Ich habe es jetzt nur nicht konkret – das steht auch, glaube ich, im Bericht nicht drinnen –, welche Passwörter ausgelesen wurden.
Abgeordneter Christian Hafenecker, MA (FPÖ): Steht nicht drinnen?
Auskunftsperson David Hummel, MSc: Glaube ich nicht, nein.
Abgeordneter Christian Hafenecker, MA (FPÖ): Okay, das ist nämlich vielleicht interessant.
Sie haben weiters gesagt, dass die Ordnerstruktur, die Sie gefunden haben, über die wir vorhin diskutiert haben, vermutlich nicht von Christian Pilnacek stammt. Was lässt diese Vermutung zu?
Auskunftsperson David Hummel, MSc: Welche Ordnerstruktur? Gibt es dazu eine Vorlage?
Abgeordneter Christian Hafenecker, MA (FPÖ): Dokument 263, gleich auf Seite 1. (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Ja, ich kann mich an die Ordnerstruktur erinnern, und die Frage war, glaube ich, ob sie von Herrn Mag. Pilnacek stammt. Das weiß ich nicht genau. Das weiß ich nicht genau.
Abgeordneter Christian Hafenecker, MA (FPÖ): Sie haben vorhin gesagt, dass Sie vermuten, dass sie nicht von Pilnacek stammt und eher Frau Polz zuzuordnen ist.
Auskunftsperson David Hummel, MSc: Ich gehe stark davon aus, dass sie nicht von Mag. Pilnacek ihren Weg auf den Datenträger gefunden hat.
Abgeordneter Christian Hafenecker, MA (FPÖ): Sie haben auch zuvor – ich glaube, bei der ersten Befragung – gesagt, dass die Zeitstempel dieser Dateien nicht ausgewertet worden sind. Wissen Sie, warum?
Auskunftsperson David Hummel, MSc: Nein, das weiß ich nicht genau.
Abgeordneter Christian Hafenecker, MA (FPÖ): Das wäre aber etwas, was grundsätzlich noch möglich ist?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordneter Christian Hafenecker, MA (FPÖ): Gut, dann kommen wir zur Smartwatch. Sie haben vorhin einmal gesagt, Sie haben sich auch dabei schwergetan, von ihr Daten auszulesen, weil die eben so verschüttet sind. Ich kann mir schon vorstellen, dass das eine Vielzahl an Daten ist. Gleichzeitig haben Sie aber auch gesagt, es wurde sowohl vom BMI als auch dann von Ihnen eine Software verwendet, wo man sozusagen anklicken kann, welche Auswertung man haben möchte. Trotzdem ist es schwierig, wesentliche Dinge zu finden? Ich möchte es nur verstehen.
Auskunftsperson David Hummel, MSc: Das ist auch eine gute Frage. Ja, denn in dem 1 200-seitigen Bericht, der rauskommt, ist, wie wir schon festgestellt haben, einfach nicht alles drin, wenn ich noch an meine Folie von vorhin erinnern darf.
Die restlichen Daten, die in meinen Bericht auch quasi hineingeflossen sind, kann man sich nur erarbeiten, wenn man sich die Rohdaten anschaut. Über die forensische Software, die verwendet wurde, kriege ich diese einfach gar nicht. Das ist das Hauptproblem.
Abgeordneter Christian Hafenecker, MA (FPÖ): Das heißt, die muss man sozusagen zu Fuß holen und einfügen.
Auskunftsperson David Hummel, MSc: Ja, das beschreibt es sehr gut. Da komme ich nicht aus, mir im vorliegenden Fall diese Datenbanken eben anzuschauen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Ich habe noch eine Frage zur Smartwatch: Wissen Sie, hat diese Smartwatch ein GPS-Modul verbaut gehabt?
Auskunftsperson David Hummel, MSc: Meiner Erinnerung nach war ein GPS- Modul und sogar ein LTE-Modul verbaut. Beide waren aber nicht aktiv, und ich glaube, die wurden tatsächlich auch selten verwendet.
Abgeordneter Christian Hafenecker, MA (FPÖ): Gibt es – jetzt salopp gesprochen – auf dieser Uhr so etwas wie ein Verzeichnis von GPS-Daten?
Auskunftsperson David Hummel, MSc: Nein, nach so etwas hätten wir auch explizit gesucht, und es gab - - Ich glaube, einmal ist es irgendwo vermerkt, dass man mehr oder weniger indizierte GPS-Daten gefunden hat, wobei bei den Koordinaten, ich glaube, die letzten zwei Stellen rausgegeben wurden, weil die Applikation, die das protokolliert hat, selbst keine zu genaue Bestimmung zulassen wollte. Also es war jetzt nichts Malversives, sondern da war das Programm einfach so programmiert, dass es eben nicht zu genaue Daten aufzeichnen wollte. Da ist aber eher die Vermutung, dass diese Daten im Zuge einer Synchronisierung vom Handy auf die Smartwatch gewandert sind. Das waren aber gefühlt alles automatisierte Prozesse, wo niemand eine Benutzerinteraktion oder Ähnliches getätigt hat, um zum Beispiel eine GPS- Koordinate zu vermerken.
Abgeordneter Christian Hafenecker, MA (FPÖ): Bezug nehmend auf Ihre Grafik von vorhin, auf der Sie gezeigt haben, was ausgewertet wird und was das
Datensubstrat eigentlich ist: Ist es denkbar, dass irgendwo noch GPS-Daten versteckt sind? Es geht natürlich um ein mögliches Bewegungsprofil.
Auskunftsperson David Hummel, MSc: Ich habe nach GPS-Koordinaten im Datenbestand gesucht und bin nur über diese indizierten gestolpert. Ich kann jetzt nicht ausschließen, dass es noch welche gibt, ich bin mir aber sehr sicher, dass es im Tatzeitraum oder im Zeitraum der Geschehnisse keine Aufzeichnungen gibt, weil das GPS nicht aufgedreht war. Das kann man eigentlich ausschließen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Sind diese indizierten GPS- Daten, die Sie gefunden haben, auch mit dieser Bit-Verschlüsselung versehen gewesen?
Auskunftsperson David Hummel, MSc: Nein, die waren in einer Protokolldatei.
Abgeordneter Christian Hafenecker, MA (FPÖ): Sie haben vorhin davon gesprochen, dass es eine Zeit lang sehr wenig Bluetoothverkehr gegeben hat. Ergeben sich generell Hinweise darauf, dass die Uhr vielleicht zwischenzeitlich abgenommen und gar nicht bei Herrn Pilnacek war? Kann man das in irgendeiner Art und Weise herausfinden?
Auskunftsperson David Hummel, MSc: Das hätte man, glaube ich, erkannt, denn in meinem Bericht schreibe ich, glaube ich, dass sich um 1.07 Uhr – ich bin mir der genauen Uhrzeit nicht sicher – die Uhr vom Handy trennt. Das konnte man also schon nachvollziehen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Wenn jetzt die Uhr sozusagen ohne Handy bei Herrn Pilnacek verbleibt und er dann die Uhr runternimmt und sie irgendwo hinlegt, wie es auch hin und wieder bei Besprechungen der Fall ist, um meine Smartwatch nicht mitzunehmen: Hätte man bei Ihrer Auswertung gesehen, ob die Uhr abgenommen worden ist?
Auskunftsperson David Hummel, MSc: Das kann ich im Moment nicht beantworten. Ich habe keinen Indikator dafür gefunden, dass das in einer Protokolldatei oder in einer Datenbank vermerkt wird. Denkbar ist es schon, zum Beispiel bei den Herzrateereignissen, die, glaube ich, auch in meinem Bericht ersichtlich sind. Wenn man die Uhr abnimmt, würden die, glaube ich, ausbleiben, weil die Uhr natürlich tunlichst vermeidet, zu viel Strom zu ziehen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Es gibt ja vielleicht auch eine andere Möglichkeit: Ich habe eine Apple-Smartwatch und wenn ich die abnehme und wieder montiere und raufgebe, muss ich auf der Uhr irgendein Passwort eingeben, damit sie wieder weitermacht und sich wieder connecten kann. Haben Sie irgendwelche Dateien gefunden, dass so ein Vorgang stattgefunden hat?
Auskunftsperson David Hummel, MSc: Nein, die Uhr war auch nicht durch einen PIN oder Vergleichbares gesichert. Also die - -
Abgeordneter Christian Hafenecker, MA (FPÖ): Plug and Play?
Auskunftsperson David Hummel, MSc: Im Prinzip, ja.
Abgeordneter Christian Hafenecker, MA (FPÖ): Was ich auch interessant gefunden habe, war das mit den Low-Energy-Bluetoothgeräten in der Nähe der Smartwatch, wo wir gesagt haben, diese 100 Meter im Umkreis sind wahrscheinlich ein theoretischer Wert. Im Optimalfall können es dann vielleicht bis zu 50 Meter werden. Sie haben dann auch von einer Osint-Recherche gesprochen, wobei Sie gesagt haben, Sie haben dort in der Umgebung Geräte ausmachen können, die zumindest irgendwann einmal eingetragen worden sind. Können Sie uns konkret sagen, welche Geräte das waren und wie weit diese von der vermuteten Einstiegsstelle weg waren?
Auskunftsperson David Hummel, MSc: Konkret in meiner Osint haben sich zwei Gerätschaften ergeben.
Zu den Geräten selber kann man eigentlich nichts sagen. Eines findet sich an der Kreuzung, ich weiß nicht mehr, wie der Weg heißt, ich glaube, ich habe das - - – nein, habe ich nicht genau aufgeschrieben. Das ist, wenn man sich aus Rossatz am Weg zu dem Fundort hin bewegt, und das zweite befindet sich tatsächlich auf der Donau.
Das wären zwei Geräte, die man im Zuge der Osint entdeckt hat, wobei das Gerät auf der Donau nicht - -
Abgeordneter Christian Hafenecker, MA (FPÖ): Sicher weiter weg ist.
Auskunftsperson David Hummel, MSc: Ja, unklar – und wie gesagt, man muss immer die Topologie im Hintergrund behalten. Wenn man hoch genug ist, könnte es zum Beispiel auch sein, dass man über die 100 Meter drüber kommt, aber das ist halt alles - -
Abgeordneter Christian Hafenecker, MA (FPÖ): Das würde halt bei der Donau wegfallen, weil die ja sozusagen das niedrigste Niveau dort ist.
Auskunftsperson David Hummel, MSc: Mhm.
Abgeordneter Christian Hafenecker, MA (FPÖ): Das andere: Ich meine, ich habe mir das selbst auch angesehen. Was ich mit meinem Telefon gespürt habe, war, dass das WLAN zum Beispiel vom Musikheim anschlägt, wenn man mit einem technischen Gerät vorbeigeht. Das ist auf dem Weg dorthin, zur Einstiegsstelle. Ansonsten habe ich keine Geräte bemerkt. Kann man zu dem ersten Gerät, auf das Sie Bezug nehmen, vielleicht noch ein bissel mehr sagen?
Auskunftsperson David Hummel, MSc: Sehr wenig. Das dürfte sich neben dem Weg – ich glaube, es ist der Treppelweg – befinden. Da wären wahrscheinlich auch ein paar Bäume.
Ich habe auch versucht, über die MAC-Adresse des Geräts – die wäre nämlich online ersichtlich gewesen, im Zuge der Osint – herauszufinden, was es für ein
Gerät ist. Das war früher nämlich möglich, aber im Zuge dessen, dass die Hersteller von Hardware auch alle ein bissel sicherer geworden sind, kann man auch keine Rückschlüsse mehr aus der MAC-Adresse über das Gerät ziehen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Noch einmal Bezug nehmend auf Ihre Erfahrungswerte und auf Ihren Bericht: Also wir sprechen davon, dass in dem für uns interessanten Zeitraum 75 Mal solche Kontaktaufnahmen stattgefunden haben.
Jetzt können wir unter Umständen einmal dieses Donauding ausschließen, weil da ja so ein bissel eine Böschung dazwischen ist und das doch weit weg ist, ja? Das heißt, wir reden dann nur mehr von dem anderen Ding, das am Weg zur Einstiegsstelle war. Also der müsste dann 75 Mal dort vorbeigegangen sein, um diesen Request zu bekommen: Hallo, ich bin da! – Oder verstehe ich das falsch?
Auskunftsperson David Hummel, MSc: Die Geräte können auch öfters - -, also mehr hintereinander senden; also das kann man auch nicht ausschließen. Wenn das irgendwas ist, was sehr offensiv und sehr aggressiv zum Beispiel broadcastet, kann das auch sein, dass das nur ein Gerät ist, was diese
75 Kontaktversuche auf der Uhr protokollieren lässt, also das - - Man kann aus dieser Zahl 75 nicht wirklich eine Anzahl an Geräten ableiten.
Abgeordneter Christian Hafenecker, MA (FPÖ): Aber man kann es ja vielleicht anhand der MAC-Adresse herausfinden, oder sind das immer verschiedene?
Nein, oder?
Auskunftsperson David Hummel, MSc: Es gibt schon - -, MAC-Randomization heißt das. Das machen mittlerweile auch sehr viele Geräte; immer wenn die neu gestartet werden, haben die eine neue MAC-Adresse. Das weiß man im vorliegenden Fall aber nicht. Das sieht man, glaube ich, auch nicht im Zuge meiner Osint, weil da immer nur eine vermerkt war.
Ich vermute, wenn es mehrere Geräte - - Also wenn es das gleiche Gerät mit unterschiedlichen MAC-Adressen gewesen wäre, dann hätte ich an dem Ort mehrere Geräte mit unterschiedlichen MAC-Adressen gesehen. Ich hoffe, das ist verständlich. (Vorsitzender-Stellvertreter und Verfahrensrichterin-Stellvertreter beraten sich.)
Man sieht aber eigentlich an dieser Stelle nur ein Gerät, also das würde eher das unterstützen, dass es sich um ein Gerät handelt und nicht um mehrere.
Abgeordneter Christian Hafenecker, MA (FPÖ): Bei der Osint-Analyse, kann man das irgendwie - - Ich habe jetzt leider keine Karte zum Vorlegen, aber kann man das irgendwie genauer beschreiben, wo dieses Gerät stehen soll, weil es ja wieder um diese 50 Meter geht, ob sich das überhaupt ausgeht, bis hin zu dieser Einstiegsstelle, wo man ja dann auch sozusagen weiter unten ist, nicht?
Auskunftsperson David Hummel, MSc: Diese Idee habe ich auch gehabt. Die ist aber, glaube ich, wurscht, weil man dort auf jeden Fall vorbeikommt, an dieser Stelle. Wie gesagt, das ist diese Kreuzung Treppelweg mit - - Ich habe den Namen der Straße leider vergessen, aber man darf natürlich die Geräte am Weg dorthin – und ich habe mir nur den Umkreis angeschaut – auch nicht vergessen, dass die möglicherweise was auslösen, und das sind potenziell wahrscheinlich relativ viele BLE-Geräte am Weg selbst.
Abgeordneter Christian Hafenecker, MA (FPÖ): Haben Sie dort irgendwie so was gefunden wie eine Webcam oder eine Wildkamera oder sonstiges?
Auskunftsperson David Hummel, MSc: Nei- -, also nein kann ich auch nicht sagen – kein Indikator dafür. Ein Indikator wäre zum Beispiel, wenn man die MAC-Adresse eingibt: Früher haben wie gesagt alle Hersteller markante Stellen innerhalb der MAC-Adresse gehabt, die einen Rückschluss auf den Hersteller zulassen. Da wäre mir bei den vorliegenden MAC-Adressen, die ich mir angeschaut habe - - Das waren alles negative Ereignisse, also die haben keinen konkreten Hersteller hinterlegt. Das muss heutzutage aber nichts mehr heißen,
weil mittlerweile alle eigentlich auf randomisierte MAC-Adressen umgestiegen sind.
Abgeordneter Christian Hafenecker, MA (FPÖ): Gut, aber wir können sagen: Im Wesentlichen sind diese 75 Kontaktaufnahmen von ein und demselben Gerät durchgeführt worden?
Auskunftsperson David Hummel, MSc: Das weiß ich auch nicht. Ich habe mir nämlich nur das in einem sehr begrenzten Umkreis angeschaut – und auch dort traue ich es mich nicht zu sagen, weil ich eben diese Geräte nur in Intervallen sehe.
Ob die dann in der Zwischenzeit dort waren, ob andere Gerätschaften dort waren, das weiß man halt leider nur, wenn ein Wardriver vorbeikommt und das aufzeichnet. Es gibt eine sehr große Unschärfe einfach in diesem Teil von Recherchen in offenen Quellen.
Abgeordneter Christian Hafenecker, MA (FPÖ): Gut, ich werde dann in der zweiten Runde noch etwas dazu fragen.
Eine Frage noch grundsätzlich, wenn es sich ausgeht: Ist bei den Daten, die auf der Watch gespeichert sind, auch das Telefonbuch des Handys drauf?
Auskunftsperson David Hummel, MSc: Es waren Kontakte auf der Smartwatch vermerkt. Ich bin mir nur nicht sicher, ob die quasi on demand mit dem Anruf mitkommen und dann vermerkt werden, oder ob es wirklich eine Kopie des Kontaktbuches gegeben hat.
Abgeordneter Christian Hafenecker, MA (FPÖ): Gut, danke. Dann gebe ich mal in die nächste Runde weiter.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke.
Bevor wir zur nächsten Runde kommen, unterbreche ich die Sitzung für 20 Minuten.
Sitzungs unterb rec hu n g von 12 . 4 7 U hr b i s 1 3 . 10 U hr.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth : Ich nehme die unterbrochene Sitzung wieder auf.
Zweite Fragerunde
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Zu Wort gelangt Abgeordneter Elian.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank, Herr Vorsitzender.
Ich möchte zum ersten Smartwatch-Bericht kommen und darf das Dokument mit der Nummer 124, ON 1 vorlegen. (Der Auskunftsperson wird ein Schriftstück vorgelegt.) Ich habe zu dem Bericht eigentlich nur wenige Fragen, weil – so ehrlich muss man sein – mir der Bericht nicht so aussagekräftig wie der zweite Bericht vorkommt. Der war deutlich besser. Daher: Welchen konkreten Auftrag hatten Sie zum Zeitpunkt der Erstellung des ersten Berichtes und auf welche Fragestellungen waren Sie dabei inhaltlich beschränkt?
Auskunftsperson David Hummel, Msc (in dem vorgelegten Schriftstück blätternd): Das steht in dem Bericht auf Seite 1 im ersten Absatz. (Zwischenbemerkung der Vertrauensperson.) Verzeihung, Seite 2.
Abgeordneter Ing. Thomas Elian (ÖVP): Gab es nur diesen schriftlichen Auftrag oder auch mündliche?
Auskunftsperson David Hummel, MSc: Es gab eigentlich nur diesen schriftlichen Auftrag. Wir haben - - Im Zuge gab es natürlich schon Besprechungen, aber das
war eben der Sukkus, dass für das Verfahren irgendwie versucht werden soll, diese zwei Fragen zu klären.
Abgeordneter Ing. Thomas Elian (ÖVP): Auf Seite 13 unter Punkt „1.2.7 Analyse Kommunikationsdaten“ geben Sie an, dass Sie Herrn Oberstaatsanwalt Purkart 206 Chatnachrichten in Form einer Tabellenkalkulation zur Verfügung gestellt haben. (Auskunftsperson und Vertrauensperson blättern in dem vorgelegten Schriftstück.) War diese Auswertung von Ihrem ursprünglichen Auftrag dann nicht erfasst? Und hier haben Sie dann nochmals nachgefragt?
Auskunftsperson David Hummel, MSc: Die Frage verstehe ich nicht ganz. (Die Auskunftsperson blättert in dem vorgelegten Schriftstück.)
Abgeordneter Ing. Thomas Elian (ÖVP): Sie schreiben hier: „Im Zuge der Sichtung von SQLite Datenbanken ist aufgefallen, dass in der Datenbank“ soundso „in Summe 206 Chatnachrichten aus dem Zeitraum [...] vorhanden sind. Diese wurden Oberstaatsanwalt Mag. Purkart [...] nach Rücksprache mit ihm zur Beurteilung in Form einer Tabellenkalkulation zur Verfügung gestellt.“
Wie kann man sich so eine Rücksprache vorstellen? Was war dann quasi der erweiterte Auftrag?
Auskunftsperson David Hummel, MSc: Es gab eigentlich keinen erweiterten Auftrag. Im Zuge der Klärung der anderen zwei Fragen gab es unerwartet diesen Fund mit diesen Chats, den wir nicht erwartet hätten, weil er auch in diesem großen Bericht zum Beispiel nicht drinnen ist. Ich habe das dann dem Herrn Oberstaatsanwalt gemeldet und ihm das in Form einer Excel-Datenbank zur Verfügung gestellt.
Abgeordneter Ing. Thomas Elian (ÖVP): Sie haben auch ein Schreiben an Samsung erstellt, das wäre die ON 3, Seite 357, Dokument Nummer 63, in dem Sie einige Nachfragen bezüglich der Datenbank „SurveyLog.db“ und insbesondere der Tabelle „use_app_feature_survey“ hatten. Hat es jemals eine
Antwort von Samsung gegeben, die brauchbar war? Oder: Was stand in dieser Antwort? Was haben Sie daraus für Erkenntnisse gewonnen? (Auskunftsperson und Vertrauensperson blättern in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Samsung hat uns eine Antwort zukommen lassen, die war aber wenig ergiebig. Das war quasi ein: Wir verkaufen nur Handys in Österreich, wir können inhaltlich dazu nichts sagen!
Abgeordneter Ing. Thomas Elian (ÖVP): Das heißt, ist dann der Bericht so zu verstehen, dass Teile davon nicht genau beschrieben waren – was eigentlich diese Inhalte bedeuten –, und Sie haben es halt nach Ihren Erkenntnissen und nach Ihren Analysen erstellt?
Auskunftsperson David Hummel, MSc: Im Feldversuch mit meiner Smartwatch habe ich die, die für mich auch relevant waren, versucht nachzuvollziehen. Dass da einiges noch an Unschärfe übrig bleibt, ist leider so.
Abgeordneter Ing. Thomas Elian (ÖVP): Genau. Somit, wie Sie auch richtig sagten, kommen wir zum zweiten Smartwatch-Bericht, der dann schon deutlich besser formuliert und auch mit den Tests besser war.
Ich möchte hier die ON 5, Dokument Nummer 1305, vorlegen. (Die Auskunftsperson blättert in dem vorgelegten Schriftstück.) Es war ja mehrfach auch bereits Thema, dass aus dem Bericht – auf Seite 13 – erkennbar ist, dass um
1.07 Uhr die Verbindung zum Handy verloren gegangen ist. (Auskunftsperson und Vertrauensperson blättern in dem vorgelegten Schriftstück.) Kurz danach sind sogenannte No-Service-Ereignisse protokolliert worden. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.) Können Sie vielleicht kurz ausführen, was das konkret ist?
Auskunftsperson David Hummel, MSc: Da trennt sich die Uhr offensichtlich vom Mobilgerät und verfügt dann nicht mehr über eine Internetverbindung und
schreibt dann immer wieder mal diese No-Service-Ereignisse in die Surveylog- Datenbank.
Abgeordneter Ing. Thomas Elian (ÖVP): Weil da ja dann erkennbar ist, dass die Uhr in den Schwimmmodus wechselt: Das erfolgt aber meistens etliche Minuten nachdem sich der Barometerwert ändert. Ist dieser Wert – wann das passiert – irgendwo dokumentiert oder sind Sie im Feldversuch draufgekommen? (Die Auskunftsperson liest in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Das wird in Kapitel 3.6 erwähnt, dass in der Datenbank die Zeichenketten „swimming [...] swimming(auto), 10m-20m, 0- 10%“ vermerkt werden. Das ist um 1.35 Uhr.
Abgeordneter Ing. Thomas Elian (ÖVP): Auf Seite 15 haben Sie die Graphen der Handgelenksbewegungen und der Barometerdaten im zeitlichen Verlauf dargestellt. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.) Dieser erste farblich hinterlegte Bereich ist dann wahrscheinlich der Bereich des Ins-Wasser-Gehens, wenn man das jetzt mit diesen Erkenntnissen verknüpft?
Auskunftsperson David Hummel, MSc: Den Schluss, würde ich sagen, lassen die Barometerdaten recht klar zu, dass die Uhr da erst ins Wasser gelangt.
Abgeordneter Ing. Thomas Elian (ÖVP): Eine Frage noch dazu: Darauf folgen rund 2 Stunden Ruhe. Kann dies dann eigentlich auf ein reines Treiben im Wasser zurückzuführen sein?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht.
Abgeordneter Ing. Thomas Elian (ÖVP): Gut, dann möchte ich noch einmal kurz zu dem Thema der roten Festplatte übergehen und möchte hierzu nochmals die ON 8 aufrufen. Da steht, dass die Festplatte mit einer mittlerweile bekannten Ordnerstruktur im April 2024 an den Laptop angeschlossen wurde. Können Sie
bestätigen, dass Ihnen das auch so aufgefallen ist? (Die Auskunftsperson blättert in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Das ist nicht mein Bericht, deswegen kann ich es jetzt nicht bestätigen oder widerlegen. Das müsste ich mir im Detail noch einmal anschauen. (Auskunftsperson und Vertrauensperson blättern in dem vorgelegten Schriftstück.)
Abgeordneter Ing. Thomas Elian (ÖVP): Also in den Logdaten, Registry-Daten und so weiter haben Sie keine Auffälligkeiten gefunden?
Auskunftsperson David Hummel, MSc: Keine, an die ich mich jetzt erinnere.
(Auskunftsperson und Vertrauensperson blättern in dem vorgelegten Schriftstück.)
Abgeordneter Ing. Thomas Elian (ÖVP): Haben Sie die rote Festplatte physisch gehabt und haben Sie sie ausgewertet?
Auskunftsperson David Hummel, MSc: Ich habe die rote Festplatte physisch zur Verfügung gehabt und habe davon ein Image erstellt. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Abgeordneter Ing. Thomas Elian (ÖVP): Ich möchte Ihnen nun einen Artikel von
„Zackzack“ vorlegen, das ist die ON 80. (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Ja?
Abgeordneter Ing. Thomas Elian (ÖVP): Hier gleich auf der ersten Seite steht, dass im April 2025 eine Ordnerstruktur auf dem Laptop durch die WKStA sichtbar gemacht werden konnte. Das ist die darunter angeführte Struktur, die wir auch aus dem forensischen Bericht kennen. Diese Ordnerstruktur wurde auf der roten Festplatte entdeckt, nachdem diese im Haus von Karin Wurm gefunden wurde. Das steht unter dem Bild hier angeführt.
Daher die Frage: Kann die Ordnerstruktur auf dem Laptop ihren Ursprung im April 2024 finden, als die Festplatte mit diesen Daten dann an den Laptop angeschlossen wurde? Haben Sie dazu Wahrnehmungen?
Auskunftsperson David Hummel, MSc: Nein, eigentlich nicht, nein.
Abgeordneter Ing. Thomas Elian (ÖVP): Aber technisch wäre das durchaus möglich gewesen?
Auskunftsperson David Hummel, MSc: Da muss man dazusagen: Technisch ist immer sehr viel möglich. Die Frage ist halt immer, wie groß der Aufwand ist.
Aber schwierig: kann man pauschal nicht sagen.
Abgeordneter Ing. Thomas Elian (ÖVP): Ich weiß, die nächste Frage ist auch sehr spekulativ: Aber ist es dann auch möglich, dass im April 2024, als die beiden Geräte verbunden wurden, eine bewusste forensische Manipulation stattgefunden hat, um die Ordnerstruktur auf dem Laptop so zu hinterlassen, wie sie dann vorhanden war?
Auskunftsperson David Hummel, MSc: Da habe ich auch keine Wahrnehmungen dazu. Anschließend an das, was ich vorher gesagt habe: Technisch ist natürlich alles immer möglich.
Abgeordneter Ing. Thomas Elian (ÖVP): Ich möchte dann noch schnell die ON 10, Dokumentennummer 1031 vorlegen. Das ist der Bericht der Volksanwaltschaft. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Die Volksanwaltschaft beschäftigt sich hier mit den Ermittlungen in der Causa Pilnacek, bewertet und trifft Schlussfolgerungen. Für diese sind auch die Ermittlungsergebnisse relevant. Ihre technischen Ergebnisse finden jedoch keine Berücksichtigung in diesem Bericht. Hatten Sie mit der Volksanwaltschaft Kontakt?
Auskunftsperson David Hummel, MSc: Nein.
Abgeordneter Ing. Thomas Elian (ÖVP): Also die Volksanwaltschaft hat nie versucht, irgendwelche Informationen einzuholen?
Auskunftsperson David Hummel, MSc: Ich kann jetzt nur für mich sprechen. Ob es im Zuge der Staatsanwaltschaft – also WKStA oder wer anderer – Kommunikation gegeben hat, weiß ich jetzt aus dem Effeff nicht. Ich bin weder aktiv noch passiv quasi von der Volksanwaltschaft kontaktiert worden.
Abgeordneter Ing. Thomas Elian (ÖVP): Also bei den Feststellungen der Volksanwaltschaft wurden dann Ihre fachlichen Einschätzungen nicht einbezogen, beziehungsweise Volksanwalt Luisser ist dann mit Ihnen nicht in Kontakt getreten. Ist das soweit richtig?
Auskunftsperson David Hummel, MSc: Zur zweiten Frage: Mit Herrn Volksanwalt Luisser habe ich keinen Kontakt gehabt. Wie war noch einmal die erste Frage?
Abgeordneter Ing. Thomas Elian (ÖVP): Ob die Volksanwaltschaft mit Ihnen überhaupt zu Ihrer fachlichen Einschätzung in Kontakt getreten ist. (Abg.
Hafenecker [FPÖ] hebt die Hand.)
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Entschuldigung, zur Geschäftsordnung.
Abgeordneter Christian Hafenecker, MA (FPÖ) (zur Geschäftsbehandlung):
Danke, Herr Vorsitzender.
Es wäre jetzt nur interessant für mich zu wissen, in welchem Kontext zum Untersuchungsgegenstand steht, was der Herr Volksanwalt macht oder nicht macht – nur dass wir wissen, welche Erkenntnisse uns das hier bringen soll.
Abgeordneter Ing. Thomas Elian (ÖVP) (zur Geschäftsbehandlung): Zur Geschäftsordnung: Es gibt hier den Bericht der Volksanwaltschaft zu den Untersuchungen zu Mag. Pilnacek, und daher, finde ich, ist der Bezug gegeben.
Abgeordneter Christian Hafenecker, MA (FPÖ) (zur Geschäftsbehandlung): Es gibt den Bericht der Volksanwaltschaft. Und noch einmal, die Frage ist: Was hilft uns das jetzt im Zusammenhang mit dem Untersuchungsgegenstand? Was hat der Herr Volksanwalt für persönliche Wahrnehmungen zur Causa Pilnacek und in weiterer Folge dann auch mit dem Gutachter? Was hätte er da austauschen sollen? Ich verorte da eher die Fortsetzung des Bashings von Kollegen Hanger, das er immer gegenüber dem Volksanwalt macht. (Heiterkeit des Abg. Hanger [ÖVP].)
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Darf ich dazu sagen: Ich glaube, die eine Frage hat die Auskunftsperson ohnehin beantwortet: Er hatte keinen Kontakt. An die andere Frage kann ich mich jetzt gar nicht erinnern. Im Übrigen sind wir jetzt ein bisschen außerhalb des Untersuchungszeitraums. Vielleicht können Sie eine Frage stellen, die einen Bezug zu unserem heutigen Thema hat.
Abgeordneter Ing. Thomas Elian (ÖVP) (zur Geschäftsbehandlung): Wir können es vielleicht abkürzen: Meine Frage mit Volksanwalt Luisser ist beantwortet worden, also ich bin zufrieden.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Am Wort ist Herr Abgeordneter Krainer.
Abgeordneter Kai Jan Krainer (SPÖ): Danke, Herr Vorsitzender.
Ich würde gerne eine Vorlage auf Papier machen, und zwar ist das ein Ausdruck aus Google Maps von der Umgebung der Auffindung der Leiche des Herrn Pilnacek. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Herr Hummel, Sie haben vorhin von einem Osint-Gerät gesprochen, an einer Kreuzung einer Straße mit einem Treppelweg. Finden Sie den Ort auf der Karte?
Auskunftsperson David Hummel, Msc (in das Schriftstück blickend): Ja, und zwar: Wenn man bei Parkplatz Tölling quasi nach Osten in das Feld hineinsticht, trifft dann irgendwann der Treppelweg auf, ich glaube, An der Tölling oder so heißt das, und ungefähr dort befindet sich mein Fund – oder: die öffentlich erfassten Bluetooth-Low-Energy-Geräte.
Abgeordneter Kai Jan Krainer (SPÖ): Das ist dann schon unmittelbar beim Seitenarm?
Auskunftsperson David Hummel, MSc: Nein, das ist noch eines vor dem - - Also ich würde sagen, wir haben den „Rollfährerweg“, dann parallel dazu den Treppelweg – ich habe es da, glaube ich, als Treppelweg benannt – und parallel zu dem noch einmal die Böschung entlang einen Weg. Es wäre aber bei dem mittleren dieser drei eben genannten Wege, ungefähr dort, wo sich An der Tölling mit dem Treppelweg trifft. Da ist so eine T-Kreuzung. Ziemlich genau bei dieser T-Kreuzung befindet sich das.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Pardon! – Herr Abgeordneter Hafenecker zur Geschäftsordnung.
Abgeordneter Christian Hafenecker, MA (FPÖ) (zur Geschäftsbehandlung): Ja, danke. Das ist eine sehr, sehr wichtige Frage. Ich würde dazu den Vorschlag machen – wenn es Kollegen Krainer auch recht ist –: Vielleicht kann man das Dokument 1032 dazu vorlegen, das ist nämlich das Foto, das wir im Akt haben. Dann können wir das ein bisschen visualisieren und sehen es auch auf dem Bildschirm.
Abgeordneter Kai Jan Krainer (SPÖ): Ja, das 1032er kommt jetzt gleich. Ich wollte nur schauen, ob der Ort innerhalb vom 1032 - - Das ist dann quasi das Reinzoomen, das 1032er. (Der Auskunftsperson wird ein Schriftstück vorgelegt.) Das ist jetzt ein näherer Ausschnitt. Das heißt, quasi unten auf dieser T- Kreuzung in etwa ist dieses Osint-Gerät?
Auskunftsperson David Hummel, MSc: Ganz genau; kein Osint-Gerät, sondern irgendein Gerät, das Bluetooth-Low-Energy spricht.
Abgeordneter Kai Jan Krainer (SPÖ): Also irgendeine Webcam oder was auch immer?
Auskunftsperson David Hummel, MSc: Ich würde - - Also Webcam wahrscheinlich eher nicht, denn dafür würde man nicht BLE verwenden, sondern normales Bluetooth, weil man normalerweise größere Datensätze transferieren will; ist aber nur eine Vermutung.
Abgeordneter Kai Jan Krainer (SPÖ): Gut, dann hätten wir geklärt, wo dieses Osint-Gerät circa ist, denn dann kann man von dort aus sagen, ob das das mögliche wäre oder nicht.
Dann darf ich den Akt 434, Seite 25 vorlegen. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Da steht in der Mitte – das ist das Gesprächsprotokoll der Staatsanwältin von einer Besprechung mit Ihnen, das ist schon öfters vorgelegt worden –: „Am Vortag 2 GPS Einträge – eventuell ‚Geisterfahrt‘ das sind Geodaten; vermutlich kommen die sogar von seinem Handy“.
Können Sie uns Näheres dazu sagen, welche GPS-Einträge das sind und wo die sind und zu welcher Uhrzeit, oder wie genau ist da die Qualität?
Auskunftsperson David Hummel, MSc: Das war vorher schon kurz Thema, ich glaube, wie Frau Abgeordnete Tomaselli gefragt hat. Das waren diese indizierten
GPS-Einträge. Mein Kollege hat damals die Idee gehabt, dass man die trianguliert, denn es waren genug, dass man mehr oder weniger diese Unschärfe bei den Koordinaten hinten losbekommt. Das haben wir dann auch geschafft.
Die Vermutung war, dass die vom Handy kommen, weil das GPS auf der Uhr, soweit ich das beurteilen kann, eigentlich nie verwendet wurde, und die waren auf der Autobahn effektiv – also die Geodaten waren auf der Autobahn. Das ist bei mir in die Berichte nicht hineingewandert, weil es streng genommen außerhalb meines Auftrags war.
Abgeordneter Kai Jan Krainer (SPÖ): Und da haben Sie quasi GPS-Daten, dass sich die Uhr jedenfalls – oder das Handy, oder beide gemeinsam – auf der Autobahn befunden hat?
Auskunftsperson David Hummel, MSc: Ich habe die genauen Koordinaten nicht mehr in Erinnerung, aber es war, glaube ich, bei einer Raststation oder was Vergleichbarem, wo man mit dem Auto stehenbleiben konnte. Wie gesagt, das war aber trianguliert, also das hat auch noch eine gewisse Unschärfe. Aber für uns war das schlüssig, dass da vom Vortag diese Koordinaten eben ersichtlich waren. Warum und wieso? – Die waren in Protokolldateien drinnen, also in so Logdateien. Wir haben uns das angeschaut, und es war jetzt ein kurzes Aha- Erlebnis, weil wir das mit der Triangulation zusammengebracht haben. Aber sonst war es dann eher - - Also der weitere Erkenntnisgewinn war überschaubar, außer dass das die einzigen Geokoordinaten waren, die wir halt in dem Datenbestand gefunden haben. Also das war es zumindest: dass wir eine Belegstelle für Geokoordinaten hatten und dann auch genau wussten, dass es offenbar keine weiteren gibt. Zumindest in diesen Protokolldateien waren keine weiteren ersichtlich.
Abgeordneter Kai Jan Krainer (SPÖ): Mhm. Diese Geodaten, sind die mit Zeitstempel versehen?
Auskunftsperson David Hummel, MSc: Ja, die konnte man eben auf die Fahrt einschränken.
Abgeordneter Kai Jan Krainer (SPÖ): Gibt es dazu irgendwelche Notizen oder dergleichen, die Sie oder Ihr Kollege angefertigt haben? Berechnungen?
Auskunftsperson David Hummel, MSc: Da gehe ich davon aus, ja. Das, dieses Minifaktum, hat damals mein Kollege bearbeitet, und da wird es wahrscheinlich irgendein Programmschnipsel oder was Vergleichbares geben, wo man diese Triangulation ausgeführt hat.
Abgeordneter Kai Jan Krainer (SPÖ): Ja, also das heißt, wenn jemand die anfordern würde, über ein Verlangen zum Beispiel, dann würden die lieferbar sein? (Die Auskunftsperson nickt.)
Auskunftsperson David Hummel, MSc: Ja, da gehe ich davon aus, dass wir die auf jeden Fall liefern könnten.
Abgeordneter Kai Jan Krainer (SPÖ): Okay, gut, weil das wäre auch, finde ich, nicht uninteressant.
Dann hätte ich noch einen Bereich, da geht es um den Akt 1303, und zwar die Seiten 46 und 47. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Sie haben eingeschränkt: 75 Sekunden lang empfangende Daten über Low- Energy-Bluetooth zwischen 1.15 Uhr und 3.55 Uhr. Sie haben aber gleichzeitig – auf Seite 46 gibt es die dazugehörigen Tabellen – den Stromverbrauch ausgewertet, womit Sie dann einschränken konnten, dass zwischen 1.55 Uhr und 3.55 Uhr diese Low-Energy-Bluetoothverbindungen stattgefunden haben müssen.
Habe ich das richtig verstanden, dass diese 75 Sekunden Kommunikationseingang von einem anderen Low-Energy-Bluetoothgerät zwischen 1.55 Uhr und 3.55 Uhr stattgefunden haben müssen – wenn ich diese zwei Tabellen übereinanderlege? (Die Auskunftsperson blättert in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Ja.
Abgeordneter Kai Jan Krainer (SPÖ): Also zu einem Zeitpunkt – wenn Sie auf die Seite 44 gehen –, als die Uhr offenbar großteils unter Wasser war – in dem gesamten Zeitraum, großteils.
Auskunftsperson David Hummel, MSc: Ja.
Abgeordneter Kai Jan Krainer (SPÖ): Kann ich davon ausgehen, dass, wenn die Uhr unter Wasser ist – und da doch bis zu 50, 60 Zentimeter –, die Reichweite von Bluetooth massiv minimiert ist?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordneter Kai Jan Krainer (SPÖ): Von was für einer Reichweite reden wir da?
Auskunftsperson David Hummel, MSc: Das weiß ich leider nicht genau, wie weit das die Reichweite hemmt.
Abgeordneter Kai Jan Krainer (SPÖ): Aber wir reden davon, dass zu dem Ort, wo dieses eine Osint-Gerät war, dass da dazwischen noch die Böschung ist. Das heißt, dass man von dem Punkt gar nicht zur Lage der Leiche bei Auffindung oder zur vermuteten Einstiegsstelle hinsieht, weil ja da die Böschung dazwischen ist? (Die Auskunftsperson nickt.) Das heißt, da gibt es keinen direkten Sichtkontakt? (Die Auskunftsperson blättert in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Also das Bild, das ich hier vorliegen habe, schaut für mich schon so aus, als wäre da quasi kein direkter Sendeweg. Aber: Die Perspektive ist für mich nicht ganz klar, aber die Böschung ist sicherlich tiefer als oben der Treppelweg An der Tölling.
Abgeordneter Kai Jan Krainer (SPÖ): Ja. Und der Zeitraum muss aufgrund der Energiedaten, also der Stromverbrauchsdaten zwischen 2 und 4 Uhr gelegen sein? Das ist noch einmal die Tabelle auf Seite 46, wo Sie genau sagen, welcher Teil der Uhr Energie gezogen oder Energie verbraucht hat.
Auskunftsperson David Hummel, MSc: Genau, das ist immer stundenweise aufgeschlüsselt.
Abgeordneter Kai Jan Krainer (SPÖ): Genau.
Auskunftsperson David Hummel, MSc: Mhm.
Abgeordneter Kai Jan Krainer (SPÖ): Und das andere ist ja quasi in einem 3- Stunden-Intervall, deswegen kann man das näher eingrenzen, weil da ja nichts passiert.
Auskunftsperson David Hummel, MSc: Sie meinen, dass man bei Bluetooth hier keinen Stromverbrauch sieht? Oder was meinen Sie genau?
Abgeordneter Kai Jan Krainer (SPÖ): Na man sieht einen Stromverbrauch um
1.55 Uhr.
Auskunftsperson David Hummel, MSc: Ja. Wobei: Was man bei dieser Tabelle im Kopf behalten muss, ist, dass Bluetooth-Low-Energy halt nicht umsonst so heißt. Es verbraucht also extrem wenig Strom, und ich habe da halt das Problem, vor allem, wenn andere Sensoren, zum Beispiel das Gyroskop, der Luftdrucksensor et cetera, unverhältnismäßig viel Strom ziehen, dann sehe ich da den Stromverbrauch von Bluetooth leider nicht.
Abgeordneter Kai Jan Krainer (SPÖ): Okay, gut, das wäre es für diese Runde. Vielen Dank.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Frau Abgeordnete Wotschke, bitte.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Vielen Dank. Wir würden gerne zum Bericht vom BK gehen. Das ist Dokument Nummer 1299. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Jetzt haben Sie vorher schon gesagt, dass es normal ist, dass von der Software so ausgewertet wird, also dass auch vorne Dinge frei sind, weil es die Software quasi nicht direkt in diesem Dokument beantwortet. Aber ist es Usus, dass ein Dokument so zu Ihnen kommt und dass dieser Bericht vorne eben nicht vollständig ausgefüllt wird?
Auskunftsperson David Hummel, MSc: Das ist schon vorgekommen, ja. Es ist jetzt nicht immer so, aber dass man quasi gewisse Sachen nicht ausgefüllt hat, das passiert.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Gibt es da gewisse Vorgaben?
Auskunftsperson David Hummel, MSc: Weiß ich nicht. Bei uns intern schon: Wir schreiben immer die Dienstnummer rein. Wie es bei anderen Dienststellen ist, weiß ich nicht.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wer würde diese Vorgaben machen? Oder: Wo würden die herkommen?
Auskunftsperson David Hummel, MSc: Von oben, ganz blöd gesagt, also normalerweise wird das - - Die in der Dienststelle sind ja auch sehr fragmentiert und haben Unterdienststellen und Unterdienststellen. Ich gehe davon aus, dass das normalerweise BK-weit oder C4-weit irgendwie geregelt ist, weiß ich aber - - Also wie gesagt, das sind nur Vermutungen meinerseits.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Das heißt, das ist aber eher der Ausnahmefall?
Auskunftsperson David Hummel, MSc: Normalerweise steht schon zumindest die Dienstnummer vom Beamten, der die Sicherung gemacht hat, drinnen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann haben wir unten eben die Software. Da haben Sie vorher erklärt, dass es ein Baukastensystem ist
und dass man aber gleichzeitig ein bisschen darauf angewiesen ist, was die Software ausspuckt. Jetzt habe ich mich hier gefragt, inwieweit das zusammenpasst. Also: Wie viel kann ich dieser Software vorgeben, was da rauskommen muss und bei wie viel bin ich einfach auf die Software angewiesen?
Auskunftsperson David Hummel, MSc: Wenn man in dem Bericht, glaube ich, eine Seite weitergeht, sieht man dieses Inhaltsverzeichnis. Ich weiß nicht, ob es bei der vorliegenden Software der Fall war, aber bei vielen Forensiksoftwares könnte man hier zum Beispiel einzelne Punkte abwählen. Ich könnte zum Beispiel sagen: Mich interessieren keine Apps! Oder: Mich interessieren keine Kontakte! – Bei Kontakten ist es wahrscheinlich eher abwegig, dass die jemanden nicht interessieren. Das wäre ein Teil dieses Baukastensystems. Ich könnte also da wirklich gewisse Teilbereiche, die mich in meiner Ermittlung nicht interessieren, einfach auswählen beziehungsweise abwählen; oder: zum Beispiel mit der neuen StPO-Reform muss ich dann auch gewisse Kategorien abwählen, weil ich die überhaupt nicht in das Ergebnis der Datenaufbereitung mitnehmen darf. Also das wird immer mehr und mehr ein Thema.
Was ich mit dem Baukastensystem vorher eigentlich auch gemeint habe, ist: Ich kann die Form, wie dieser Bericht ausgegeben wird, auch spezifizieren. Ich kann sagen: Ich möchte es als PDF haben!, was in dieser Vorlage der Fall ist. Ich kann auch sagen: Ich möchte die Rohdaten haben! – Die haben wir auch bekommen. Man kann es sich auch als HTML ausgeben lassen. Im vorliegenden Fall gibt es diesen HTML-Bericht auch. Also man kann einfach alles anhaken, dann kriegt man auch alle unterschiedlichen Arten des Berichtes. Ich hoffe, das war nicht zu verwirrend.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wurde im vorliegenden Fall etwas abgewählt?
Auskunftsperson David Hummel, MSc: Meines Erachtens nicht, nein; vor allem: wir haben den gleichen Bericht ja dann später nochmal gemacht, da haben wir definitiv nichts abgewählt und die Berichte waren großteils übereinstimmend.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Das heißt aber – weil kurz im Raum stand, die 1 200 Seiten sind sehr viel, um sie durchzusehen –, man hätte auch einen kürzeren Bericht generieren können?
Auskunftsperson David Hummel, MSc: Ja, da muss man nur immer aufpassen – eh klar –, dass man um nichts umfällt, was da auch relevant gewesen ist. In dem Bericht – wenn man noch einmal auf das Inhaltsverzeichnis zurückkommt – sieht man zum Beispiel relativ gut, dass das mit den Bildern ziemlich aufgebläht wurde, was ich mich - - (Im Schriftstück blätternd:) Ich kann da nur nicht runterscrollen. Die Bilder haben den Bericht also einfach sehr aufgebläht, und das waren keine Bilder, die jemand bewusst gemacht hat, sondern das sind zum Beispiel die ganzen Icons auf der Uhr et cetera, und die blähen im konkreten Fall diesen Bericht einfach sehr stark auf.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Auf der Seite 2 sieht man ganz oben, dass es zur Software ein Update gegeben hätte. Da steht: „Neue Version verfügbar“. – Hätte das Update einen gravierenden Unterschied gemacht?
Auskunftsperson David Hummel, MSc: Nein, es war aber mit ausschlaggebend dafür, dass wir noch eine Sicherung machen wollten. Man sieht, dass es sich da konkret um das Security-Bypassing-Modul handelt, das eigentlich dafür gedacht ist, um quasi einen privilegierten Zugriff auf das System zu erhalten. Deswegen war unsere Hoffnung, dass wir, wenn wir es in einer neueren Variante probieren, vielleicht dieses vorher schon thematisierte Schlüssel- - – jetzt habe ich den genauen Begriff, den ich verwendet habe, vergessen (Abg. Wotschke [NEOS]: Schlüsselmaterial!) –, Schlüsselmaterial vielleicht doch rausbekommen, was dann aber nicht der Fall war. Da muss man auch dazusagen: Das bezieht sich auch nur auf dieses eine Softwarepaket und nicht auf die gesamte Software. Die Software
selber ist so modulartig aufgebaut und kann verschiedene Sachen machen und für eines von diesen kleinen Teilgebieten, für dieses Modul, gab es eine neue Version.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Okay, vielen Dank. Ich würde gerne zu Seite 44 gehen: Da sind wir mitten in den Kontakten, die ja auch in dem Bericht abgefragt wurden, von denen es ganz, ganz viele gibt. Da gibt es eben zu jedem Kontakt einige Daten und ganz unten steht dann immer:
„Geändert“. Hier haben wir jetzt einen Kontakt – jetzt plakativ gewählt: Otto
„Dietrich“ – und da sehen wir unten: „Geändert“ und das Datum „2023-05-13“ und dann „23:14[...]“ Uhr. Das ist deshalb interessant für uns, weil dieses Änderungsdatum bei ganz, ganz vielen Kontakten vorkommt. Das heißt, meine Frage ist: Woran kann das liegen?
Auskunftsperson David Hummel, MSc: Da weiß ich nicht genau, wie dieses Datum zustande kommt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Welche technischen Möglichkeiten gäbe es, dass sich an einem spezifischen Datum ganz viele Kontaktdaten ändern oder hier einfach nur ein „Geändert“ ersichtlich ist?
Auskunftsperson David Hummel, MSc: Das kann man pauschal auch nur sehr schwer sagen. Denkbar wäre zum Beispiel ein Umstieg auf ein neues Handy, die Kontakte werden einmal neu synchronisiert, was man bei Samsung-Geräten vielleicht irgendwie aktiv anstoßen kann. Ein genaues Ereignis wäre mir aber dazu nicht bekannt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann bitte zu Seite 96, da beginnt eine Anrufliste: Das sind insgesamt 795 Anrufe, die ersichtlich sind, und davon sind „295 gelöscht“, das ist dieses rote Zeichen daneben. Was heißt
„Gelöscht“? Können Sie das einordnen?
Auskunftsperson David Hummel, MSc: Das ist entweder das, was ich vorher schon ein paar Mal angesprochen habe, diese Garbage-Collection, die sich einfach alte Anrufe abholt; im vorliegenden Fall weiß ich es aber nicht genau, vor allem sind eigentlich auch Anrufe dabei, die nicht sehr alt sind, deswegen weiß ich nicht genau, wie das zustande kommt. Es gibt auf dem Gerät ziemlich sicher die Möglichkeit, dass man aus der Anrufliste aktiv Sachen rauslöscht. Das ist aber - - Das weiß ich jetzt auch nicht im Detail.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Das wäre dann aber eine Möglichkeit?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Jetzt gibt es auf dieser Liste eben auch Telefonate, die fehlen. Da haben Sie vorhin gemeint, das kann an einer Synchronisierung liegen. Was mich jetzt aber auch wieder verwundert, ist, dass eben nicht zu einem gewissen Zeitpunkt ganz viele Telefonate fehlen, sondern dass zwischendrin Telefonate fehlen. Das heißt, da ist meine Frage: Wie funktioniert denn diese Synchronisierung?
Auskunftsperson David Hummel, MSc: Synchronisierung von der Anrufliste ist wahrscheinlich das falsche Wort, sondern ich vermute, dass die Anrufliste immer so gehalten wird, dass, wenn ich einen Anruf auf mein Telefon bekomme und das zu dem Zeitpunkt mit meiner Uhr verbunden ist, in der Anrufliste dann auch ein Anruf entsteht. Wenn das nicht der Fall ist – das habe ich vorhin, glaube ich, schon einmal kurz angesprochen: das Telefon ist nicht in der Nähe; sie sind nicht verbunden; was es noch gibt, da fallen mir sonst gerade keine guten Beispiele ein –, dann wären die wahrscheinlich auch nicht auf der Smartwatch ersichtlich.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Das heißt, die werden nicht im Nachhinein synchronisiert?
Auskunftsperson David Hummel, MSc: Das glaube ich nicht, nein.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Was mich dann aber verwundert, ist: Es gibt zwei Telefonate, von Anna Polz und Karin Wurm, eben am 19. Oktober, die recht zeitnahe sind. Ein Telefonat ist ersichtlich und eines nicht. Woran kann das dann liegen?
Auskunftsperson David Hummel, MSc: Da wären für mich wieder die Szenarien, die ich vorher kurz angesprochen habe: Das Handy ist zu weit weg oder Bluetooth ist abgedreht; alles Mögliche ist erdenklich.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Hätte man den Anruf aber gelöscht, dann wäre er als gelöscht ersichtlich?
Auskunftsperson David Hummel, MSc: Dann, vermute ich, würde man ihn so sehen, wie man ihn jetzt auf dieser Seite 96 erkennen würde, nämlich als
„Gelöscht“, ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Auf Seite 149 haben wir wieder so eine App – diesmal ist es „Contacts“ – und auch hier steht: „App- Analyse ist leer“. Sie haben vorhin erklärt, dass das sein kann, weil dieses Schlüsselmaterial fehlt. „Contacts“: Wie wir vorher gesehen haben, gibt es aber ganz viele Daten, die auslesbar waren. Das heißt: Wo kommt dieses „App- Analyse ist leer“ her?
Auskunftsperson David Hummel, MSc: Das könnte in dem Fall auch einfach nur ein Fehler in dem Programm sein, dass es das da als „App-Analyse ist leer“ ausweist, obwohl die Kontakte ja nachweislich ausgelesen wurden.
Was mir zum Beispiel auch noch einfällt, ist, dass er sich die Kontakte nicht aus dieser „Contacts“-App – weil das ja eine konkrete App ist – rausholt, sondern aus der darunterliegenden Datenbank, und dann wäre diese Aussage richtig, weil er aus der „Contacts“-App quasi keine Ergebnisse herausgeholt hat, sondern aus der darunterliegenden Datenbank. Auf Seite 96 sieht man nämlich auch quasi die Datenbank, aus der er die Daten herausholt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm; und der Programmfehler wäre dann ein Programmfehler der Firmware oder der
„Contacts“-App oder der Software auf der Uhr?
Auskunftsperson David Hummel, MSc: Das wäre alles möglich.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Okay, dann auf Seite 203 (die Auskunftsperson blättert in dem vorgelegten Schriftstück – Auskunftsperson Hummel: Mhm!): Da ist unten bei „Bilder“ zuerst die Musik-App und dann die Signal-App, die – wenn man sich den Pfad anschaut – unter „music-player“ abgespeichert sind: Da haben wir uns gefragt, wie das sein kann.
Auskunftsperson David Hummel, MSc: Das weiß ich nicht genau im Detail, aber es würde mich nicht wundern, wenn die Icons teilweise on demand auf das Gerät rübergeholt werden, wenn diese Applikation irgendwas, irgendeine Notification, bringt, denn ich gehe stark davon aus, dass man auf der Uhr Notifications gehabt hat, die aber offenbar nicht auf der Uhr vorgehalten wurden. Das heißt, immer wenn per Signal eine Nachricht reingekommen ist, ist dieses Icon kurz auf der Uhr aufgepoppt, mit: Nachricht ist eingegangen! – Deswegen wundert es mich nicht, dass dieses Icon auf dem Gerät vorhanden ist. Warum das in diesem Pfad liegt, das weiß ich nicht.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Braucht man die Signal-App auf der Smartwatch für das Anzeigen nur des Bildes?
Auskunftsperson David Hummel, MSc: Auf der Smartwatch wird es Signal ziemlich sicher nicht geben – also ausschließen kann ich es nicht, aber ich gehe stark davon aus, dass es das nicht gibt – und das Icon kommt ziemlich sicher nur auf die Uhr, weil am Handy Notifications dazu eingehen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und jetzt ist da bei
„Geändert“ ein Datum ersichtlich, nämlich der 18. Oktober. Was würde da dann
„Geändert“ heißen – dass es da das letzte Mal aufgepoppt ist oder dass es da gelöscht wurde oder - -?
Auskunftsperson David Hummel, MSc: Da würde ich schon davon ausgehen, dass „Geändert“ bedeutet, dass es zu diesem Zeitpunkt im Dateisystem auftrifft; oder was natürlich auch sein kann, ist, dass, wenn die Signal-App ein Update bekommt und sich das Icon im Zuge dieses Updates ändert, das dann auch lokal auf der Smartwatch wieder upgedatet wird, und dann würde höchstwahrscheinlich auch so ein „Geändert“ zustande kommen. Da gibt es mehrere Möglichkeiten.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Danke schön.
Dann zu Seite 768: Da sehen wir Dateien. (Die Auskunftsperson liest in dem vorgelegten Schriftstück.) Da gibt es „Div. Dateien“ und „Interne Dateien“. Könnten Sie da den Unterschied erklären oder erklären, was das jeweils ist?
Auskunftsperson David Hummel, MSc: Ah, nein. Also „Div. Dateien“ sagt mir nichts, „Interne Dateien“ sind offensichtlich die, die – logisch – auf der Uhr abgelegt sind.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Die also wirklich am Speicher der Uhr sind?
Auskunftsperson David Hummel, MSc: Ganz genau, ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann gibt es eine Spalte mit „Zugegriffen“, die – wie ich zumindest gerade sehe – leer, nämlich gänzlich leer, ist. Das heißt, da ist meine Frage: Wann wäre denn ein Zugriff ausgewiesen?
Auskunftsperson David Hummel, MSc: Die Smartwatch verwendet eigentlich Linux als darunterliegendes Betriebssystem und da ist es offensichtlich deaktiviert, dass man sogenannte Access-Timestamps verwendet. Das ist dahin
gehend nicht verwunderlich, weil es – Zugriffszeiten sind halt wie gesagt Zeitstempel, die in den Metadaten der Dateien vermerkt werden – eine relativ häufige Optimierung ist, dass man die A-Times, also die Access-Times – das sind in diesem Fall eben die Zugriffszeiten – bei Geräten deaktiviert, um Schreibzugriffe auf das Speichermedium einzusparen. Es ist also eigentlich eine Optimierung, dass wir die hier nicht sehen. Das wird bei IoT-Devices wahrscheinlich bei fast allen immer so gehandhabt, aus Gründen des Stromspeichers, wobei das größere Problem das sogenannte Wear-Leveling bei Solid-State-Speichern ist: Die Festplatte wird einfach kaputt, wenn ich oft sehr kleine Daten schreibe. Höchstwahrscheinlich ist das hier einfach deswegen leer.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Für „Erstellt“ gilt dann
dasselbe?
Auskunftsperson David Hummel, MSc: Ja. Vor allem: Man verwendet auch ganz gerne den „Geändert“-Zeitstempel als „Erstellt“-Zeitstempel so ein bissl mit. Das ist zwar nicht ganz sauber, aber das ist hier sicher auch aus Gründen der Optimierung.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm, und die Optimierung macht der Hersteller?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Auf Seite 1 070 – da sind wir noch bei den Daten – finden wir ganz oben eine Datei oder einen Pfad mit
„health“ im Namen. Sie haben vorhin gemeint, im Bericht gab es Hinweise, dass
es Gesundheitsdaten gibt. Haben Sie darauf angespielt?
Auskunftsperson David Hummel, MSc: Das wäre zum Beispiel eines dieser Beispiele. Ich meine: Im Datenbanknamen kommt etwas mit Health vor, das ist jetzt zwar nicht der super, super Hint, dass es sich da um Gesundheitsdaten handelt, aber es lässt zumindest den Schluss zu.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Welche weiteren Hinweise haben Sie im Bericht gesehen?
Auskunftsperson David Hummel, MSc: Es ist ein bissl billig zu sagen, weil ich mir zuerst die Rohdaten angeschaut habe und dann kommt man natürlich viel einfacher zu den relevanten Sachen, aber die S-Health-Datenbank war, glaube ich, eh der größte Indikator dafür. Vor allem ist das auch eine Datenbank, die man online recherchieren kann, und die ist jetzt nicht gänzlich unbekannt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Also auch das BK hätte die Gesundheitsdaten finden können?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht genau, wie gesagt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Sie haben gemeint, Sie haben sich die Rohdaten angesehen. Wie kann ich mir das vorstellen?
Auskunftsperson David Hummel, MSc: Das sind ziemlich genau die Sachen, die
wir hier bei „Dateiname“ sehen. Ich glaube, vorher ist oben irgendwas von
10 000 irgendwas Dateien gestanden: Das sind tatsächlich die Daten, die sich auf der Uhr befanden, und die habe ich mir mit meinen forensischen Werkzeugen angeschaut. Die liegen in einer Ordnerstruktur einfach abgelegt. Also: Jede dieser Dateien kann man sich, wenn man die notwendigen Mittel dazu hat, auch anschauen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und die forensischen Werkzeuge wären dann gewisse Softwares?
Auskunftsperson David Hummel, MSc: Genau, ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Haben Sie da andere Software als das BK?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht im Detail, was die alles verwenden. Das Werkzeug, das ich dafür verwendet habe – X-Ways Forensics heißt das –, ist aber eigentlich sehr gängig.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm, dann auf Seite 1 246, der erste graue Block von unten: Da sind mehrere Pfade mit „call“ drinnen, die jeweils ein Änderungsdatum von 19. Oktober aufweisen, einmal „23:02[...]“ Uhr, einmal „23:44[...]“ Uhr. Würde sich davon ablesen lassen, dass zu diesem Zeitpunkt Telefonate geführt wurden?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht im Detail; ist aber nicht auszuschließen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Worauf könnte das noch zurückzuführen sein?
Auskunftsperson David Hummel, MSc: Also das Einzige, was ich aus dem rauslese, ist, dass die Datei zu diesem Zeitpunkt angegriffen und manipuliert wurde.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wo kann diese Manipulation herkommen?
Auskunftsperson David Hummel, MSc: Die kommt ziemlich sicher aus dieser
„com.samsung.w-call“-Applikation, das ist die Anrufapplikation von Samsung, also von der Samsung Galaxy Watch in dem Fall.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wann würde die aktiviert werden?
Auskunftsperson David Hummel, MSc: Da müsste man sich die Inhalte der Dateien anschauen. Ich habe mir ähnliche Dateien, glaube ich, angeschaut und da stehen sehr kryptische Sachen drinnen.
Deswegen kann ich dazu keinen genaueren Kontext liefern, weil ich nicht genau weiß, was da drinnen steht. Es hängt aber offensichtlich mit der Anrufapplikation der Smartwatch zusammen. Den Schluss kann man schon ziehen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wann würde die – neben Anrufen – noch aktiv werden?
Auskunftsperson David Hummel, MSc: Für alle anderen Belange, für die diese App verantwortlich ist. Was das genau ist - - Es beschränkt sich wahrscheinlich sehr stark auf Anrufe.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Ich frage so genau wegen der Uhrzeiten, weil die letzte Änderung um 0.28 Uhr – am 20. Oktober – war. Das heißt, meine Frage ist einfach: Wo kann das herkommen – abgesehen von Anrufen?
Auskunftsperson David Hummel, MSc: Das kann einfach auch ein automatisierter Prozess sein. Das würde mich auch nicht wundern. Wenn man sich gewisse Protokolle anschaut – zum Beispiel in der Surveylog-Datenbank sieht man das auch –: Es gibt ziemlich viele Applikationen, die einfach zu beliebigen Zeiten Sachen auf der Uhr machen. Das sind ganz unterschiedliche - - Wir nennen das in der IT auch manchmal Bookkeeping; also da werden Speicherbereiche wieder frei gemacht, da wird zum Beispiel, wenn sich der Tag ändert, die Anzeige von Donnerstag auf Freitag umgestellt und, und, und, also das kann sehr viel sein.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Frau Abgeordnete Tomaselli, bitte.
Abgeordnete Mag. Nina Tomaselli (Grüne): Danke.
Ich würde gerne noch einmal auf das Thema des Laptops zurückkommen – spielt einfach einmal das Dokument 1322 ein, Seite 4, bitte. (Die Auskunftsperson blättert in dem vorgelegten Schriftstück.)
Jetzt würde mich noch einmal interessieren, damit wir das genau verstehen: Sie haben am Anfang der Befragung ausgeführt, dass der Laptop keinen Passwortschutz hatte. Heißt das, dass der Passwortschutz entfernt worden ist oder dass nie ein Passwortschutz darauf war? Also quasi: War da zu Lebzeiten des Christian Pilnacek ein Passwortschutz oder nicht? Können Sie das noch feststellen?
Auskunftsperson David Hummel, MSc: Da gibt es eine Anmerkung dazu, nämlich - - Es gab zum Zeitpunkt, wie man das bekommen hat, keinen Passwortschutz mehr. Es gibt allerdings - - Ich glaube, das ist in Kapitel 1.2: Da schreibe ich, dass das Passwort, glaube ich – ja –, am 24.7. zuletzt gesetzt wurde. Das heißt jetzt nicht, dass es davor ein anderes gegeben hat, aber es wurde offenbar halt in irgendeiner Art und Weise verändert. (Auskunftsperson und Vertrauensperson blättern in dem vorgelegten Schriftstück.)
Abgeordnete Mag. Nina Tomaselli (Grüne): Am 24.7.?
Auskunftsperson David Hummel, MSc: Ja.
Abgeordnete Mag. Nina Tomaselli (Grüne): Okay. Dann auf Seite 4, das ist Punkt 1.4, „Manipulationen auf dem System“: Sie sagen, Sie haben vor allem sozusagen die intensiven Intervalle verzeichnet, wenn ich das richtig verstanden habe. (Die Auskunftsperson nickt.) Gab es darüber hinaus auch weniger intensive Bearbeitung? Oder wie kann ich mir das vorstellen?
Auskunftsperson David Hummel, MSc: Man sieht auch immer in dem Beisatz bei den Intervallen, dass es da eine gewisse Betrachtungsbreite gegeben hat, denn das Problem war: Wenn man zum Beispiel zum Zeitpunkt X quasi das Notebook aufdreht und darauf arbeitet, passieren da auch relativ oft Zeitstempel aus dem vorherigen Zeitraum. Zum Beispiel: Wenn Programmupdates heruntergeladen werden, dann haben die immer nicht nur den Zeitstempel, wann ich sie runterlade, sondern auch, wann sie zum Beispiel von Microsoft paketiert
wurden. Das heißt, da sind auch außerhalb dieses Zeitraumes vereinzelt Ereignisse, die stattgefunden haben.
Das waren aber schon die großen Blöcke, wobei zum Beispiel (die Auskunftsperson liest in dem vorgelegten Schriftstück) die letzten zwei mit zweimal knapp 30 000 Ereignissen: Da passiert inhaltlich gefühlt schon sehr wenig. Ich habe auch immer dazugeschrieben, dass Benutzerinteraktion nicht ersichtlich ist. Dazu habe ich jetzt keine unmittelbare Erklärung, aber ich kann mir vorstellen: Da hat es jemand aufgeklappt, es dreht sich einmal kurz auf, und es wird dann wieder zugemacht – oder etwas Vergleichbares. Also da passiert im System viel, aber wenig, was irgendwie auf Benutzerinteraktion hindeutet.
Abgeordnete Mag. Nina Tomaselli (Grüne): Okay, das ist verständlich. Sie fokussieren sich da besonders auf drei intensivere Intervalle: 1. November bis
3. November 2023, dann ein Monat später, 3.12. – Dezember –, und dann im Jahr 2024 am 17.3. Jetzt haben Sie vorhin bei der Befragung gesagt: Es lässt sich aus den Akten - - – Entschuldigung, pardon! Haben Sie wiederherstellen können, wer sozusagen höchstwahrscheinlich darauf Zugriff genommen hat?
Auskunftsperson David Hummel, MSc: Nein, das habe ich nicht gemacht. Ich glaube, das hat eher - - also wahrscheinlich ergibt sich das aus der Medienberichterstattung. Aber ich habe mich immer auf diese Intervalle beschränkt, weil ich anhand der Daten auch kein Mascherl festmachen kann.
Abgeordnete Mag. Nina Tomaselli (Grüne): Wir wissen jetzt aus Befragung und Akten, dass der Laptop ja zuerst bei den beiden Mitbewohnerinnen Wurm und Polz war. Also das Todesdatum ist der 20. Oktober, vier Tage später soll Anna Polz ihn dem Informatiker Monschein übergeben haben, der hatte ihn wiederum auch nur ein paar Tage, und er ging dann wieder zurück an Anna Polz. Dann sagt Herr Mattura, dass er den Laptop am 7. November bekommen hat – auch von Frau Polz –, er hatte ihn zehn Tage, hat ihn aber nicht aufgemacht, und übergab ihn dann Herrn Rauball. Herr Vogl sagt, er hat ungefähr im März das Notebook
gehabt. Würde das mit diesen ausschlagenden Intervallen sozusagen zusammenpassen?
Auskunftsperson David Hummel, MSc: So, wie ich das jetzt mitgenommen habe, würde das manche der Intervalle ganz gut treffen, ja.
Abgeordnete Mag. Nina Tomaselli (Grüne): Darüber hinaus konnten Sie aber keinen User feststellen, haben Sie gesagt.
Auskunftsperson David Hummel, MSc: Nein.
Abgeordnete Mag. Nina Tomaselli (Grüne): Hat Sie die Staatsanwaltschaft damit beauftragt, es zu versuchen? Oder würde in dem Fall die Staatsanwaltschaft selber versuchen, das mit den Akten zu rekonstruieren? (Die Auskunftsperson blättert in den Unterlagen.)
Auskunftsperson David Hummel, MSc: Ich bin aktuell damit beauftragt, dass ich das im WKStA-Verfahren näher erörtern will.
Abgeordnete Mag. Nina Tomaselli (Grüne): Ach so? Welches Verfahren?
Auskunftsperson David Hummel, MSc: Ich bin mir nicht genau sicher, welches es war. Es gibt, glaube ich - - Ich weiß es nicht, ob es zwei waren. Für mich ist das alles hauptsächlich einmal ein Strang, für den ich quasi Arbeit abliefere.
Abgeordnete Mag. Nina Tomaselli (Grüne): Welche beiden Verfahren kämen dann infrage?
Auskunftsperson David Hummel, MSc: Das sind, glaube ich, 17 St 6/24 sowie 17 St 27/23w. Ich merke mir die Zahlen teilweise besser als die Inhalte, weil meine Aufgaben immer sehr auf die Beweismittel bezogen sind.
Abgeordnete Mag. Nina Tomaselli (Grüne): Das verstehe ich gut. (Heiterkeit der Rednerin.)
Was ist genau der Auftrag? Von dem haben wir in den Akten jetzt noch nichts. Dass Sie versuchen, entlang der Daten festzustellen, wer da aller Zugriff gehabt haben könnte? Oder wie kann man sich das vorstellen?
Auskunftsperson David Hummel, MSc: Ich glaube, es geht weniger darum, wer Zugriff gehabt hat – das weiß man bis zu einem gewissen Grad, glaube ich, ohnehin schon –, sondern was gemacht wurde, welche Daten kopiert wurden et cetera.
Abgeordnete Mag. Nina Tomaselli (Grüne): Aha, okay. Geht es da sozusagen auch um die Daten, die mutmaßlich von der roten Festplatte gespiegelt sind?
Auskunftsperson David Hummel, MSc: Ich glaube, dass das dann auch ein Teil des Auftrags wird, ja.
Abgeordnete Mag. Nina Tomaselli (Grüne): Welche Auffälligkeiten sind Ihnen dann sonst noch bekannt?
Auskunftsperson David Hummel, MSc: Im Moment ist das ziemlich das, was ich in den Intervallen kursorisch quasi aufbringe. Vor allem diese Geschichte mit Nirsoft ist jetzt noch spannend, weil man da wahrscheinlich mehr herausfinden wird: was zum Beispiel mit den Passwörtern, die exfiltriert wurden – oder exfiltriert wurden ist ein bisschen hart, sondern mit den Passwörtern, die gefunden wurden - - (Die Auskunftsperson liest in den Unterlagen.) Sonst ist wahrscheinlich auch relevant, welche Dokumente gesichtet wurden et cetera. (Die Auskunftsperson liest in den Unterlagen.)
Abgeordnete Mag. Nina Tomaselli (Grüne): Für Anfang November schreiben Sie
auch im Bericht: „In diesem Intervall“ – da reden wir von November 2023 –
„wurden offenbar Dokumente eingesehen. Darunter waren insbesonders Dokumente, welche Karin Wurm und Rossatz betreffend sind aber auch medizinische Befunde des Mag. Pilnacek.“ – Ist das so eine Auffälligkeit? (Auskunftsperson und Vertrauensperson lesen in dem vorgelegten Schriftstück.)
Auskunftsperson David Hummel, MSc: Ganz genau, ja. Da erkennt man teilweise ganz gut, was sich jemand auf einem Computer angeschaut hat. Das ist nicht immer perfekt, aber oft kriegt man – in diesem Fall zum Beispiel – ein relativ klares Bild.
Wenn alle Daten einfach abgezogen werden, dann sehe ich wieder nur ein riesiges Konvolut an Dingen, die auf dem Gerät passieren.
Abgeordnete Mag. Nina Tomaselli (Grüne): Mmh, okay, das ist ja interessant. Jetzt würde ich Sie gerne noch fragen: Auch auf Seite 4 ganz unten schreiben Sie: „Aus den analysierten Artefakten ergeben sich keine offensichtlichen Änderungen des Passwortes oder andere Umgehungen von Sicherheitsmechanismen.“ Hier schreiben Sie dann: „Ganz im Gegenteil impliziert die Tatsache, dass Cluster an intensiver Nutzung identifiziert werden können, dass die Vorgehensweise aus forensischer Sicht eher amateurhaft war, da offenkundig am Echtsystem gearbeitet wurde.“ – Wie dürfen wir das verstehen?
Auskunftsperson David Hummel, MSc: Wenn jemand, der seine Handlungen verschleiern will, so was macht, dann würde man einmalig die Festplatte kopieren und auf dieser Kopie arbeiten. Dadurch würden wir diese Cluster in meinem Bericht nicht sehen, was ja - - Das sind ja relativ starke - -, sage ich einmal, das ist so, als würde ich den Leuten zuschauen, wie sie sich da durch den Computer durchklicken. Das war vermutlich nicht gewollt, und das hätte man umgehen können, indem man eben ein forensisches Abbild der Festplatte erstellt. Das ist aber nicht passiert, und deswegen kam es zu diesem Nachsatz.
Da ging es insbesondere auch darum, ob man halt im Nachhinein feststellen konnte, ob der Passwortschutz ausgehebelt, umgangen wurde et cetera, aber aus den Daten, die ich gesehen habe, war das einfach kein möglicher Schluss.
Abgeordnete Mag. Nina Tomaselli (Grüne): Alles klar. Danke Ihnen.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke, Frau Kollegin.
Ich weise darauf hin, dass die Befragungsdauer gemäß § 37 Abs. 4 der Verfahrensordnung bereits über 3 Stunden beträgt. Die Befragung soll grundsätzlich eine Dauer von 3 Stunden nicht überschreiten.
Ich weise darauf hin, dass ich die Befragung nach längstens 4 Stunden jedenfalls zu beenden habe.
Frau Kollegin, Sie sind mit der zweiten Runde fertig, und am Wort ist Abgeordneter Hafenecker.
Abgeordneter Christian Hafenecker, MA (FPÖ): Danke, Herr Vorsitzender.
Ich möchte ganz kurz zu Beginn an die Fragen von Kollegen Krainer anknüpfen, weil er da wirklich einen sehr, sehr interessanten Aspekt gebracht hat. Danke dafür, dass Sie uns auf der Karte noch einmal visualisiert haben, wo dieses Gerät circa gewesen sein soll, das Sie da bei Ihrer Recherche gefunden haben!
Wir haben es jetzt nachgemessen: Dieses Gerät ist, wenn der Ort in etwa der ist, der ausgewiesen worden ist, etwa 100 Meter von der Fundstelle weg. Das heißt, das würde ausfallen. Jetzt komme ich eben noch einmal zu den Aussagen von Kollegen Krainer.
Erschwerend hinzukommt, dass wir mittlerweile auch recherchiert haben, dass, wenn man so eine Smartwatch, die mit diesem Low-Energy-Bluetooth arbeitet, 50 Zentimeter unter Wasser hat, dann funktioniert die drahtlose Verbindung im besten Fall noch 30 Zentimeter weit, vielleicht einen halben Meter, aber dann sind wir durch. Man hätte weder den Punkt auf der Donau von dort aus sozusagen erreichen können – abgesehen davon, dass ja dazwischen auch noch die Erhebungen im Gelände sind – noch den anderen. Diese Informationen sind wirklich sehr interessant. Danke dafür, Herr Hummel!
Was ich noch gerne gefragt hätte, wäre das Thema Rufdatensynchronisierung – ja oder nein? Wir machen es so ähnlich wie Sie: Wir haben auch einen Selbstversuch mit einer anderen Samsung-Watch gemacht und wir haben dann
festgestellt, dass es schon so ist, dass es einen Transfer zwischen der Uhr und dem Smartphone in beide Richtungen gibt. Das heißt, wenn die Uhr eine Zeit lang getrennt vom Smartphone ist, dann synchronisiert sich das nach. Ich weiß natürlich jetzt nicht, ob das bei diesem Typ schon so war, aber bei den neueren Samsung-Galaxy-Watches geht das jedenfalls. Das eröffnet dann natürlich einige Fragen.
Ich möchte Ihnen dazu auch ein Dokument vorlegen, jenes mit der
Nummer 17545. Das sind die berühmten Anruflisten, und da geht es um die Seite 119. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Da ist Folgendes interessant: Nehmen wir zum Beispiel die letzten beiden Anrufe her, bevor die gelöschten beginnen – einer ist schon gelöscht –, die zwei Anrufversuche bei Karin Wurm. Die sind noch drinnen. Das ist ja für uns, wenn man zumindest der bisherigen Theorie folgt, auch ein Indikator dafür, dass die Uhr von ihm getragen worden sein muss. Das sind die Anrufversuche, vermutlich nach der Führerscheinabnahme, wo er versucht hat, Frau Wurm zu erreichen.
Dann ist aber ein Anruf dabei, wo es dann keinen Zeitstempel mehr gibt, obwohl er noch nicht gelöscht ist. Gibt es eine Erklärung dafür? – Ah, der ist schon gelöscht, Entschuldigung.
Entschuldigung, ich muss das noch einmal konkretisieren: Das sind die beiden Anrufe, wo wir wissen, dass er offenkundig die Uhr oben gehabt hat, zumindest wenn es nur in diese eine Richtung Synchronisation gegeben hätte.
Frau Polz hat uns bei der letzten Befragung gesagt, dass er sie danach angerufen hat, was ja auch nachvollziehbar ist, weil Frau Polz Herrn Pilnacek dann von diesem Ort der Führerscheinabnahme abgeholt hat. Haben Sie eine Erklärung dafür, warum diese Telefonate mit Frau Polz nicht drauf sind?
Auskunftsperson David Hummel, MSc: Nein, ich habe keine Erklärung dafür.
Abgeordneter Christian Hafenecker, MA (FPÖ): Ähnlich verhält es sich auch mit den Anrufdaten davor. Wir sehen da also bei diesem betreffenden Tag, dem 19.10., dass der erste Anruf – ich sehe es gerade nur schlecht, weil da das Wasserzeichen drüber ist –, der da dokumentiert ist, glaube ich, um 13.43 Uhr passiert ist.
Das Bemerkenswerte ist, dass ich kurz davor mit Mag. Pilnacek zusammen war und wir ausgemacht haben, dass wir zwecks einer Terminvereinbarung unsere Telefonnummern austauschen. Das ist folgendermaßen abgelaufen: Ich kann es jetzt nicht beschwören, ob ich ihn angerufen habe oder er mich, aber jedenfalls hat es einen Anruf gegeben, und es hat dann das jeweils andere Telefon geläutet; dann haben wir beide unsere Nummern gehabt und er hat das eingespeichert.
Und wir sehen ja auch da, dass verpasste Anrufe mitprotokolliert worden sind. Haben Sie eine Erklärung dafür, warum dieser Anruf zwischen Herrn Pilnacek und mir nicht da drinnen ist?
Auskunftsperson David Hummel, MSc: Nein, auch nicht – abgesehen von dem vorhin schon Erwähnten: Handy nicht verbunden, Synchronisierungsproblem et cetera.
Abgeordneter Christian Hafenecker, MA (FPÖ): Können Sie da noch ein bissel weiter runter schauen? Können Sie uns dann noch sagen, warum da bei den Gelöschten die Quelldateien nicht da sind und auch keine Zeitstempel mehr da sind?
Auskunftsperson David Hummel, MSc: Die Quelldatei ist, glaube ich, eh da,
diese „privacy/.contacts-svc.db“.
Abgeordneter Christian Hafenecker, MA (FPÖ): Ah, das sind diese Adressen, die es da gibt.
Da werden dann teilweise – auch weil Sie vorhin angesprochen haben, dass da der Zeitstempel fehlt – gewisse Sachen rausgelöscht und andere Sachen sind dann aber noch vorhanden. Also: Den Anruf sehe ich noch, aber ich weiß eigentlich nicht, von wann der ist. Das ist einfach so, weil die Information nicht mehr vorhanden ist.
Die Erklärung dahinter ist, dass das nicht nur aus einer Datenbankspalte kommt, sondern da werden über einen sogenannten Datenbank-Join verschiedene Daten aus verschiedenen Quellen in dieser Datenbank aggregiert. Und im Fall von diesen gelöschten Daten ist es höchstwahrscheinlich so, dass zum Beispiel die Spalte mit den Timestamps schon verworfen wurde, der eigentliche Anruf allerdings noch nicht verworfen wurde, der ist noch vorhanden. Deswegen fehlt in diesem Fall einfach der Zeitstempel. – Das ist ein bissel abstrakt, aber ich hoffe, das kommt halbwegs rüber.
Abgeordneter Christian Hafenecker, MA (FPÖ): Ja, weil wir vereinzelt auch welche gefunden haben, die gelöscht sind, aber trotzdem einen Zeitstempel haben, Seite 96 zum Beispiel.
7 Abgelehnte erhobene Einwendung der Auskunftsperson: „sqlite“ statt „SQ-Lite“
(Hinweis: Entsprechend der redaktionellen Regelung der Parlamentsstenographinnen und Parlamentsstenographen werden Eigennamen den Regeln der Grammatik folgend geschrieben [also keine Kleinschreibung von Eigennamen, Anm.]; sind Einzelbuchstaben oder Abkürzungen enthalten, wird ein Bindestrich gesetzt. Der Fußnoten-Ausweis erfolgt nur bei der ersten Fundstelle im Kommuniqué.)
8 Abgelehnte erhobene Einwendung der Auskunftsperson: „FREELIST“ statt „Free List“
(Hinweis: Entsprechend der redaktionellen Regelung der Parlamentsstenographinnen und Parlamentsstenographen werden substantivische Bildungen aus Adjektiv und Substantiv auseinandergeschrieben, beide Bestandteile werden großgeschrieben.)
Auskunftsperson David Hummel, MSc: Das wundert mich auch nicht, denn, wie gesagt: Wie dieses Aggregat zusammenkommt und wann diese einzelnen Tabellen verworfen werden, ist halt ganz unterschiedlich. Da ist man quasi dem Datenbankprogramm ein bisschen ausgeliefert, weil es bei den gelöschten Daten relativ frei entscheiden kann, wann die tatsächlich wegkommen und wann nicht.
Abgeordneter Christian Hafenecker, MA (FPÖ): Danke schön.
Ich habe noch eine Frage zu diesem Sturzsensor oder zu dieser Aufzeichnung von allfälligen Stürzen – Sie haben ja das vorhin anhand Ihres eigenen Beispiels mit dem Fahrrad geschildert – und möchte Ihnen dazu ein Dokument vorlegen, nämlich mit der Nummer 781, Seite 101. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Auf dem unteren Bild sehen wir da die Einstiegsstelle des Mag. Pilnacek, wo ja auch Spekulationen vorhanden sind, dass er dort hinuntergestürzt wäre. Ich bin ja froh, dass wir einen Lokalaugenschein gemacht haben und uns das dort angeschaut haben, wie weit es da hinuntergeht.
Jetzt aus Ihrer Erfahrung heraus: Ich würde sagen, es sind circa 2,5 Meter, vielleicht sogar mehr, wo man da runterstürzen müsste, um dann dorthin zu gelangen. Würde da so ein Sturzsensor anschlagen?
Auskunftsperson David Hummel, MSc: Das kann ich nur sehr schwer einschätzen; also das weiß ich einfach nicht.
Abgeordneter Christian Hafenecker, MA (FPÖ): Ich habe da noch eine Frage zu den Daten, die Sie ja verglichen haben – das erste und das zweite Gutachten sind ja alle auf die gleiche Kopie zurückzuführen –: Haben Sie dann Unterschiede zwischen den Daten, die auf der ersten Kopie drauf waren, und den Daten, die Sie von der Original-Smartwatch heruntergezogen haben, gefunden?
Auskunftsperson David Hummel, MSc: Es geht um den Vergleich von der ersten Sicherung der Smartwatch mit der zweiten Sicherung der Smartwatch – nur dass
ich es richtig verstehe? (Abg. Hafenecker nickt.) – Ja, da gab es Unterschiede. Das wird man nie verhindern können, weil in dem Moment, wo ich die Uhr wieder in Betrieb nehme, ändert sich einfach ziemlich viel auf der Uhr. Es waren aber keine - - In den für mich relevanten Datenbanken, da waren - -, die waren – ident möchte ich jetzt nicht sagen, weil ich es nicht genau weiß, aber – hinreichend ähnlich, dass ich mir da jetzt keine Sorgen aufgrund irgendwelcher anderen Manipulationen oder Ähnliches gemacht habe.
Abgeordneter Christian Hafenecker, MA (FPÖ): Sie haben vorher gesagt, dass Sie Kontakt mit Samsung Österreich hatten und dass Sie da eine eher unbefriedigende Antwort bekommen haben, also dass sie gesagt haben, sie verkaufen nur die Uhren.
Jetzt nur eine Frage zum Verständnis: Haben Sie da sozusagen den Samsung- Vertrieb für Österreich erreicht oder erwischt, und die haben gesagt: Wir handeln nur mit diesen Dingen, aber wir haben da keinen technischen Einblick!? Oder wie muss man das verstehen?
Auskunftsperson David Hummel, MSc: Ich habe mir - - Wo habe ich da angerufen? Es steht in meinem Bericht, glaube ich, drin. Ich habe mehr oder weniger bei der Verbindung angerufen und gefragt, ob ich mit der Chefin von der Rechtsabteilung sprechen kann. Der habe ich dann auch mein Fragenkonvolut geschickt. Also ich habe nicht einfach irgendeinen Point-of-Sale- Mitarbeiter gefragt, sondern schon das im Weg, den ich mir vorgestellt hätte, eskaliert.
Abgeordneter Christian Hafenecker, MA (FPÖ): Ich hätte Ihnen auch nicht zugetraut, dass Sie beim A1-Shop angerufen haben. Vielleicht habe ich mich missverständlich ausgedrückt. Nein, es geht darum: Also es gibt natürlich eine Handelsniederlassung von Samsung hier, die halt sozusagen hier alles administriert, und dann muss man wahrscheinlich gerade, um zu solchen technischen Geschichten zu kommen, wahrscheinlich woanders anrufen.
Deswegen wollte ich nur wissen, wo Sie sozusagen in Ihren Versuchen, Samsung zu erreichen, geendet haben.
Gut. Dann habe ich noch ein paar kleine Fragen in der nächsten Runde. Danke.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke.
Dritte Fragerunde
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Abgeordneter Elian.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank.
Ich habe nur noch zwei kleine Fragen: Sie hatten ja für kurze Zeit das Originalgerät. Sind da, als Sie das Ganze gehabt haben, irgendwelche neuen Erkenntnisse durch das Originalgerät aufgetaucht?
Auskunftsperson David Hummel, MSc: Ja, und zwar haben wir – ich schaue nur kurz nach (in den Unterlagen blätternd) – relativ schnell festgestellt, dass wir auf der Uhr quasi diesen zeitlichen Verlauf von den Herzraten nicht bekommen. Das war jetzt keine neue Erkenntnis, aber es war gut, dass wir das dann auch wirklich quasi an der Uhr feststellen konnten. Das war aber auch schon das Größte, also das war eigentlich der größte Wissensgewinn.
Ich schaue noch einmal kurz nach, weil ich da im Hinterkopf noch habe - - (Die Auskunftsperson liest in den Unterlagen.) – Da ist es, genau. Was für uns nämlich relevant war, waren diese Fragen, ob eine stetige Pulsmessung stattfindet. Das kann man bei den Samsung-Watches nämlich prinzipiell einstellen. Das war aber nicht der Fall.
Das war es dann eigentlich auch schon. Also viel mehr Erkenntnisse hat es an dem Livegerät nicht gegeben. Die Hauptmotivation war, dass wir dieses: alte Softwareversion wurde verwendet!, aus dem Bericht mit einer neuen Sicherung
wegbekommen und dass wir es mit einer wesentlich neueren Version der Software erneut sichern.
Abgeordneter Ing. Thomas Elian (ÖVP): Vielen Dank. Somit bedanke ich mich noch einmal für Ihre Expertise und Ihre Ausführungen. Vielen Dank, dass Sie uns mit Ihren Antworten bei unseren Fragen zur Verfügung gestanden sind. Vielen Dank.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke. Abgeordneter Krainer, bitte.
Abgeordneter Kai Jan Krainer (SPÖ): Ja, noch einmal zum Dokument 1303, Seite 49. (Der Auskunftsperson wird ein Schriftstück vorgelegt.) Da haben Sie die drei Auswertungen Handgelenksbewegungen, Herzratenereignisse und Barometerdaten übereinandergelegt. Wieso haben Sie das getan?
Auskunftsperson David Hummel, MSc: Da war einfach sehr spannend, wie die miteinander korrelieren, vor allem: Wann befindet sich die Uhr im Wasser, und wie hängt das mit den - -, vor allem mehr mit den Barometerdaten eigentlich zusammen? Das war der - - Lustigerweise hat es dann mit den Herzrateevents auch eben - - Dass die dann mehr oder weniger mit dem Gelangen der Uhr ins Wasser aufhören war ein Erkenntnisgewinn, den ich erst durch diese Grafik dann überhaupt bekommen habe.
Die Hauptmotivation war: Wie verhalten sich die Handgelenksbewegungen zu den Barometerdaten?
Haben Sie den Bericht in Farbe auch? Weil: In Farbe ist er schöner zu lesen.
Abgeordneter Kai Jan Krainer (SPÖ): Ich habe mir gedacht, vielleicht haben Sie so eine farbige Folie mit.
Auskunftsperson David Hummel, MSc: Leider nicht, nein.
Abgeordneter Kai Jan Krainer (SPÖ): Ja. Nein, ich hätte jetzt auch keine farbige Version zur Hand.
Was lesen Sie da heraus, wenn Sie diese drei Sachen übereinanderlegen?
Auskunftsperson David Hummel, MSc: Nun, dass es in dem ersten, dem rot hinterlegten Intervall sehr viele Handgelenksbewegungen gibt, die mit höheren Werten beim Barometer übereinstimmen, und dass die „HR18“- und „HR05“- Events aufhören zu senden – bis zu einem späteren Zeitpunkt, nämlich bis zu dem bei mir gelb markierten. Also es stimmt nicht ganz, weil die „HR18“ und die
„HR05“ dann kurz vor 3 Uhr auch wieder anfangen. Das hängt, glaube ich, damit zusammen, dass man da diesen einen einzelnen Strich sieht, der höchstwahrscheinlich diesen Mechanismus, wo man nicht genau weiß, was das ist, wieder aktiviert, dass der dann wieder etwas tut.
Und im gelben Intervall war dann eben auch wieder spannend, dass es da doch wieder zu einer bei Weitem nicht so stark intensiven Kaskade an Handgelenksbewegungen kommt wie im ersten Intervall, aber dann doch zumindest markant mehr als diese doch eher Leere, die sich da im Intervall von 1 Uhr – ich glaube, 7 – nein! Was ist das? –, 1.47 Uhr bis 3.27 Uhr – da unten steht es –, 3.25 Uhr befindet.
Also das war hauptsächlich die Aufgabe, und der Wunsch war, dass man das in irgendeiner Art und Weise visualisiert, dass das mehr Kontext bekommt.
Abgeordneter Kai Jan Krainer (SPÖ): Vielleicht kann man das Dokument 1305 einblenden. Ich glaube da wäre es nämlich in Farbe, Seite 6 einmal. (Der Auskunftsperson wird ein Schriftstück vorgelegt.)
Auskunftsperson David Hummel, MSc: Da muss man jetzt nur aufpassen, das ist ein bisschen ein anderes Intervall, weil in der Zusammenfassung - - (Abg. Krainer [SPÖ]: Ja, ja!) –Okay.
Abgeordneter Kai Jan Krainer (SPÖ): Auf Seite 15 haben Sie dann das Ganze farbig. Also das ist jetzt das, wovon Sie gemeint haben, dass es mit Farben schöner zu sehen ist.
Wie interpretieren Sie das jetzt?
Auskunftsperson David Hummel, MSc: Ich glaube, ich habe es eh gerade schon angemerkt. Also im ersten Intervall gab es sehr viele Handbewegungen, und da befindet sich die Uhr dann auch - - Na ja, die Barometerdaten steigen an, also das ist prinzipiell ein Indikator, dass sich die Uhr höchstwahrscheinlich unter Wasser befand, und diese „HR18“- und „HR05“-Events bleiben aus.
Im zweiten Intervall gibt es dann wieder vermehrt, allerdings weit weniger intensiv wie im ersten Intervall, Handbewegungen.
Abgeordneter Kai Jan Krainer (SPÖ): Ganz am Schluss vom Intervall sind schon wieder recht viele Handbewegungen.
Auskunftsperson David Hummel, MSc: In der Zusammenfassung oder in der vorherigen Seite?
Abgeordneter Kai Jan Krainer (SPÖ): Jetzt auf dieser Seite 15.
Auskunftsperson David Hummel, MSc: Ja. Ja, wobei man dazusagen muss – deswegen war es mir auch wichtig, dass man es in Farbe sieht –, diese roten Striche in diesem Ereignisdiagramm sind eigentlich, soweit ich das im Feldversuch auch eruiert habe, wesentlich stärkere Indikatoren, dass - -, denn da greift jemand - - Ah, jetzt können wir doch noch meine Folie Nummer 1 einspielen, jetzt passt sie thematisch ganz gut dazu. (Die Auskunftsperson unterstützt ihre Ausführungen mittels einer Präsentation.)
Das sind diese drei Ereignisse, die ich hier abgebildet habe. Das sind die roten, also die gehören zur Menge dieser roten Ereignisse. Die habe ich extra vermerkt,
weil das für mich ein wesentlich stärkerer Indikator war, dass da jemand mit der Uhr interagiert, als eine reine Handgelenksbewegung.
Wir haben hier drei Bewegungen, nämlich: Wir haben die sogenannte Rotary Move – ich nenne es jetzt einfach „Rotary“, so wie es auch in der Datenbank steht –, das ist: Die Samsung-Galaxy-Watches haben so ein Rotationselement, mit dem man die Menüführung bedienen kann. Also ich kannte das bisher noch nicht, aber es dürfte nicht so unüblich sein.
Die zweite Art von Berührung ist eben ein „Touch“-Event, also wenn ich in irgendeiner Art und Weise mit dem Touchscreen der Uhr interagiere.
Und das Letzte ist ein sogenannter „Palm“-Touch, so heißt das. Man kann Samsung-Watches - - Wenn man den Handballen auf die Uhr legt, dreht die Uhr den Bildschirm ab.
Diese drei Ereignisse sieht man da einfach vermehrt, und die haben meiner Meinung nach mehr Aussagekraft als eine reine Handgelenksbewegung.
Abgeordneter Kai Jan Krainer (SPÖ): Das heißt, das, was Sie hier nach 4 Uhr registrieren, ist quasi also eben eine dieser drei Aktivitäten.
Auskunftsperson David Hummel, MSc: Ganz genau, ja.
Abgeordneter Kai Jan Krainer (SPÖ): Können Sie auch unterscheiden, welche der drei?
Auskunftsperson David Hummel, MSc: Ja, das wird nur in der Grafik nicht erörtert, weil es dann zu viele Farben gewesen wären.
Abgeordneter Kai Jan Krainer (SPÖ): Und in Ihren Unterlagen?
Auskunftsperson David Hummel, MSc: Die Daten, die ersten zwei Tabellen,
also – Entschuldigung! – die ersten zwei Diagramme kommen aus der Surveylog- Datenbank, und die dritte kommt aus den Barometerdaten. Die ersten zwei kann
man eigentlich, weil das nicht nur Werte sind, sondern da hat man immer diese Zeichenkette mit einem Wertebereich beziehungsweise mit einer zusätzlichen Qualifizierung in der Spalte „extra“, glaube ich – da hat man einfach - - –, sehr genau unterscheiden, ja – um die Frage zu beantworten.
Abgeordneter Kai Jan Krainer (SPÖ): Können Sie uns sagen, welche dieser drei Sachen das da gegen Ende der Aufzeichnung waren? Nachher endet ja abrupt jede Herzmessung.
Auskunftsperson David Hummel, MSc: Ah, nein, weil ich die Datenbank gerade nicht parat habe, aber man kann diese Information schon erörtern, ja.
Abgeordneter Kai Jan Krainer (SPÖ): Mhm. Wie viele Folien haben Sie noch mit, die Sie noch nicht hergezeigt haben?
Auskunftsperson David Hummel, MSc: Keine einzige.
Abgeordneter Kai Jan Krainer (SPÖ): Na geh. (Allgemeine Heiterkeit.)
In diesem Besprechungsprotokoll, Dokument 434, haben Sie etwas angesprochen – das ist auch schon einmal gefragt worden (der Auskunftsperson wird ein Schriftstück vorgelegt) –, das steht auf Seite 25: „Die Kürzel Baro diff vehicle; AvH usw
Wird durch Uhr vermutet, dass aufgrund von Änderungen glaubt ‚möglich ist er ins Auto gestiegen‘
Vermutung weil Frequenz von Barometerdaten eintrifft“.
Um wie viel Uhr ist das?
Auskunftsperson David Hummel, MSc: Das habe ich leider nicht im Detail in meinem Bericht vermerkt. Ich weiß nur, es war außerhalb dieses Zeitraumes. Also einmal ist es nach 8 Uhr, wo es diesen dritten Cluster noch gibt, und die
anderen Male weiß ich gerade nicht. Ich bin mir auch nicht sicher, ob in dem Intervall das nicht auch einmal vorkommt, muss ich auch dazusagen.
Abgeordneter Kai Jan Krainer (SPÖ): Mhm. Wenn wir das so ergänzend nachfragen würden, würden Sie uns das dann noch genauer sagen können?
Auskunftsperson David Hummel, MSc: Ja, das ist prinzipiell alles in dieser Surveylog-Datenbank sogar vorhanden. Ich weiß nicht, ob die Abgeordneten auf die direkten Zugriff haben.
Abgeordneter Kai Jan Krainer (SPÖ): Ich glaube nicht. Ich glaube, da würden wir uns eher darauf verlassen, dass wir Ihnen Fragen stellen und Sie dann einfach sagen, um wie viel Uhr diese Ereignisse waren. Da sind wir alle auf der sicheren Seite. Wir wollen uns ja dann nicht als so ähnlich wie Mitarbeiter des Bundeskriminalamts präsentieren. Da verlassen wir uns wirklich eher auf die echten IT-Experten. Vielen Dank.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke. Frau Abgeordnete Wotschke, bitte.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Vielen Dank.
Ich würde gerne zum Dokument 256 gehen, auf Seite 7 in der Mitte. (Der Auskunftsperson wird ein Schriftstück vorgelegt.) Das ist ein Amtsvermerk zur Übergabe von den Datenträgern von der Kreutner-Kommission, und darin eben das Übergabeprotokoll. Da steht unter Ziffer 3 eben, das Benutzerkonto weise einen Namen oder eine Bezeichnung – Zitat – „hansw“ auf. Ist bekannt, wer oder was dieses „hansw“ sein soll?
Auskunftsperson David Hummel, MSc: Sorry, ich muss schon ein bisschen lachen. Das ist jetzt kein Spaß: Das ist Hans Wurst, weil das tatsächlich damals als Benutzername festgelegt wurde, und da wurde das auf „hansw“ geshorthandelt. (Allgemeine Heiterkeit.)
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Von wem wurde das festgelegt?
Auskunftsperson David Hummel, MSc: Das weiß ich nicht. Also das ist - - Ich weiß nicht, ob das nicht sogar in einem meiner Berichte vermerkt ist. Ich glaube nämlich, schon, aber das hat mich damals auch sehr zum Schmunzeln gebracht, aber es gibt - - Also es ist weniger spektakulär, als man vermuten würde.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Wir kennen es nicht. (Die Auskunftsperson liest in den Unterlagen.) Das heißt, vielleicht mal auch allgemein die Frage: Welche Berichte haben Sie denn verfasst?
Auskunftsperson David Hummel, MSc: Dann habe ich es wahrscheinlich damals einfach nicht niedergeschrieben, weil den alle haben.
Also ich weiß schon, ich habe schon eine Vorstellung, warum das da nicht reingewandert ist. (Die Auskunftsperson liest in den Unterlagen.) Das war nämlich die E-Mail-Adresse, die, glaube ich, für den - -, für das Notebook hinterlegt war, aber die ist da anscheinend nicht reingewandert. – Nein, das war auch nicht die E-Mail-Adresse, sehe ich gerade.
Nein, muss ich - - Also dann weiß ich nicht, warum das nicht reingewandert ist, aber der Hintergrund ist der Hans Wurst. Da kam es zum „hansw“. Das war ein sehr bizarrer Fund.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und die Namenswahl kommt von Ihnen oder woher?
Auskunftsperson David Hummel, MSc: Nein, nein. Das war - - Also ich weiß nicht, wer das war, aber irgendwer anderer hat diesen Namen gewählt. Also ich habe nicht den Namen Hans Wurst gewählt, nein.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Und das war im Laptop?
Auskunftsperson David Hummel, MSc: Ja, das war meines Wissens im Laptop,
ja, mit gleicher Bezeichnung, „hansw“, ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann trotzdem noch einmal meine Frage: Welche Berichte haben Sie insgesamt in der Causa Pilnacek verfasst?
Auskunftsperson David Hummel, MSc: Ich habe den Bericht für die Wirtschafts- und Korruptionsstaatsanwaltschaft verfasst, den Passwortbericht, der schon öfters ein Thema war, mit den Intervallen der Manipulationen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Warten Sie! WKStA: Datum
19. Mai?
Auskunftsperson David Hummel, MSc: Ja. (Abg. Wotschke [NEOS]: Mhm!)
Der Passwortbericht war, glaube ich, vom - - (Die Auskunftsperson blättert in den Unterlagen.) Wo ist meine Unterschrift? Bei mir ist es immer, wann ich signiert habe. Das war, glaube ich, am 9.12.2025.
Dazu muss ich jetzt eh fragen: Die sind streng genommen außerhalb des Untersuchungsgegenstandes, kann ich über die trotzdem - - Also die sind offensichtlich eh schon beim U-Ausschuss. (Die Auskunftsperson berät sich mit Verfahrensanwalt und Verfahrensrichterin-Stellvertreter.) – Wunderbar.
Dann gab es den Passwortbericht, wie ich ihn nenne. Der ist von – den haben wir, glaube ich, gerade gehabt – mir am 9.12.2025 signiert. (Abg. Wotschke [NEOS]: Mhm!)
Dann gibt es – ich nenne ihn – den Hauptbericht für die StA Eisenstadt. Der ist von mir signiert (die Vertrauensperson wendet sich an die Auskunftsperson) – nein, ich will immer die Zeit sagen –, am 18.12.25. (Abg. Wotschke [NEOS]: Mhm!)
Danach kamen noch drei Ergänzungsaufträge (in den Unterlagen lesend): Einer ist vom 12.2.2026, einer ist vom 12.2.2026 und einer ist noch vom 5.3.2026, heute vor sechs Tagen.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm, die drei fehlen uns. Gut, danke schön.
Was war jeweils von den Berichten, die 2026 verfasst wurden, der Gegenstand?
Auskunftsperson David Hummel, MSc: Da ging es um Fragen, also quasi um nähere Ausführungen zu meinen vorhergehenden Berichten. Die sind eigentlich im großen Teil heute ohnehin beantwortet worden. (Die Auskunftsperson blättert in den Unterlagen.) Ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Sind noch Auswertungen offen?
Auskunftsperson David Hummel, MSc: Wenn ich weitere - - Also ich habe im Moment einen Auftrag von der WKStA mit Bezug zum Laptop. In Eisenstadt ist im Moment nichts. Also da bin ich eigentlich fertig, wobei das nicht heißt, dass nicht noch quasi ein Nachauftrag kommt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Was ist der Auftrag von der WKStA in Bezug zum Laptop?
Auskunftsperson David Hummel, MSc: Da geht es konkret um die im Bericht genannten - - – wie habe ich es genannt? –, wo relativ viele Ereignisse auf dem Laptop stattfinden; dass man das erörtert, das ist eigentlich das große Thema, ja.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Also eine inhaltliche Auswertung?
Auskunftsperson David Hummel, MSc: Inhaltlich möchte ich fast nicht sagen, sondern es geht darum, dass, wenn man die Fakten aufbereitet, die - -, wer sich welche Dateien angeschaut hat.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Okay.
Auskunftsperson David Hummel, MSc: Also: Wer wird man nicht beantworten können, sondern dass sich jemand Daten auf dem Notebook angeschaut hat.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Gibt es sonst Auswertungen zum Laptop?
Auskunftsperson David Hummel, MSc: Mir ist nur meine bekannt. Das ist aber keine Auswertung vom Laptop, sondern da geht es um diese Intervalle, in denen viel passiert ist. Das würde ich jetzt noch nicht als Auswertung benennen, sondern quasi einfach als ein Bild, ein kurzes Bild von dem, was auf dem
Laptop - - oder wann auf dem Laptop womöglich etwas passiert ist, denn da ist inhaltlich wenig da.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Sonst sind Ihnen keine Berichte zum Laptop bekannt?
Auskunftsperson David Hummel, MSc: Fällt mir jetzt spontan nichts ein. Ich möchte aber nicht ausschließen, dass es dazu etwas geben wird oder vielleicht auch schon gibt. Ich weiß nicht, ob es im Akt schon etwas gibt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Mhm.
Hatten Sie schon vor diesem Fall mit Geräten von Christian Pilnacek zu tun? (Der Verfahrensanwalt berät sich mit der Auskunftsperson. )
Auskunftsperson David Hummel, MSc: Ich wurde informiert, dass ich diese Frage nicht beantworten muss.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Aber Sie dürfen. (Allgemeine Heiterkeit.) Gut.
Dann abschließend, weil die Frage zu Ihrer Ausbildung noch nicht gekommen ist: Was ist denn Ihre Ausbildung, und was sind allgemein die Anforderungen, um in der Justiz als IT-Experte zu arbeiten?
Auskunftsperson David Hummel, MSc: Ich habe einen Bachelor und einen Master, wobei wir innerhalb der IT-Experten eigentlich jetzt darauf nicht ein Riesenaugenmerk legen. Die meisten von uns haben eine akademische Ausbildung, aber nicht alle, sondern wir suchen eigentlich, wir haben in der Vergangenheit immer Leute gesucht, die aus der Praxis kommen und die auch möglichst breit aufgestellt sind, weil wir die Erfahrung gemacht haben, dass, wenn jemand mal in einer großen Firma gearbeitet hat, das gerade in Wirtschaftsstrafsachen halt ein großer Vorteil ist. Also da gibt es keine Punkteliste – was brauche ich, um IT-Experte zu werden? –, sondern uns ist eigentlich das Wichtigste, dass die Leute gut ins Team passen und dass sie sich fachlich gut auskennen. Das ist in der IT kaum über ein akademisches Studium wirklich abzubilden; es hilft zwar, aber es ist nicht notwendig. Das war es im Großen und Ganzen eigentlich.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Weil es irgendwie im Raum steht, frage ich Sie einmal sehr direkt: Gibt es in der Expertise zwischen IT- Technikern, die beim BK sind, versus IT-Technikern, die bei der Justiz direkt sind, Unterschiede im Niveau der Expertise?
Auskunftsperson David Hummel, MSc: Die Leute, die ich vom C4 und von der AB 6 ein bisschen kennengelernt habe, sind eigentlich alle ähnlich wie wir. Wir9 sind alle ein bisschen Nerds und kennen sich halt mit Computern sehr gut aus. Also mir wären da keine Qualitätsunterschiede bekannt. Die Polizei hat teilweise den Vorteil, dass die halt relativ coole internationale Events leichter besuchen können als wir. Wir haben aber auch immer wieder Möglichkeiten, dass wir da ein bissel einen Beifang abbekommen, gerade zum Beispiel das Olaf ist
9 Ursprünglicher Text: […] Die sind alle […]
Angenommene Einwendung der Auskunftsperson: „Wir sind alle […]“
wahrscheinlich den meisten von Ihnen ein Begriff, aber im Großen und Ganzen sind wir, glaube ich, eigentlich alle auf einem sehr ähnlichen Niveau. Jeder ist für sich sehr spezialisiert. Es gibt Leute, die kennen sich mit Elektronik sehr gut aus, es gibt Leute, die kennen sich mit Programmierung sehr gut aus. Also da sind die Abstufungen innerhalb des Teams einfach sehr groß.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Verfügt die Justiz Ihrer Meinung nach oder Ihrer Wahrnehmung nach über ausreichend ITler?
Auskunftsperson David Hummel, MSc: Ich sage es einmal so: Man kann eigentlich nie genug ITler haben, weil das schon oft eine - - Wir haben oft eine Ressourcenknappheit – BMI, BMJ, überall. Die meisten von Ihnen werden es kennen: Man hat immer zu wenig Zeit für seine Arbeit. Das ist bei uns genauso. Ich finde, das BMJ hat es einfach sehr gut gemacht, dass man gesagt hat, man möchte das haben und das dann auch umgesetzt hat. Ich hätte immer noch gerne mehr Ressourcen, aber im Großen und Ganzen sind wir als IT-Experten, glaube ich, sehr gut aufgestellt.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Im Verfahren haben wir doch einige Berichte, die dann quasi in Auftrag gegeben wurden. Dann wurde ein Datum fixiert und dann haben die Berichte doch etwas länger gedauert, als avisiert war. Ist das auf diese – wie soll ich sagen? – angespannten Personalverhältnisse zurückzuführen?
Auskunftsperson David Hummel, MSc: Das würde ich weniger sagen, sondern mehr mit den - - Sachen, die so medial hochkochen, sind einfach intern immer - -
, werden halt ganz einfach mit Samthandschuhen angegriffen. Da nimmt man sich einfach mehr Zeit, als man das woanders machen würde. Das ist zwar nicht die Wunschvorstellung, aber es ist nun mal so: Wenn die ganzen Medien - - – also ich weiß ja zum Beispiel, dass meine Berichte meistens früher oder später in den Medien landen –, dann ist man da natürlich einfach noch - -, man versucht, das besser zu machen, als das woanders der Fall ist.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Also Sie arbeiten dann vor allem genauer?
Auskunftsperson David Hummel, MSc: Vor allem im Zuge des Vieraugenprinzips arbeitet man viel mehr mit anderen Kollegen zusammen. Dann kriegt man wieder Feedback, das muss man wieder einbauen, also hat man viel mehr Feedback-Schleifen. Das ist, glaube ich, der Großteil der zusätzlichen Aufgabe.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Ist das so, wie Sie wahrnehmen, beim Bundeskriminalamt dann auch so, dass die genauer arbeiten, wenn es medienrelevante Fälle sind?
Auskunftsperson David Hummel, MSc: Dazu habe ich wieder zu wenig Einblick beim BMI. Vor allem mit den Ermittlern haben wir sehr wenig Schnittpunkte.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Dann eine letzte Frage: In welchem Verfahren wurden die Chats ausgewertet?
Auskunftsperson David Hummel, MSc: Ich glaube, in 17 St 27/23w, bin mir aber nicht ganz sicher.
Abgeordnete Mag. Sophie Marie Wotschke (NEOS): Gut. Vielen lieben Dank für Ihre Zeit. (Abg. Tomaselli [Grüne]: Keine Fragen!)
Abgeordneter Christian Hafenecker, MA (FPÖ): Danke, Herr Vorsitzender.
Jetzt nur noch ein paar wenige Fragen. Also, mich hat das mit den Bewegungen und Berührungen, die Sie da vorhin geschildert haben, auch anhand Ihrer Grafiken, auch interessiert.
Das ist natürlich schon bemerkenswert, dass das besonders gehäuft auftritt, bevor sozusagen die Vitalzeichen – wenn man es jetzt salopp so formulieren kann – zu Ende sind. Haben Sie einen Reim darauf, warum es da plötzlich zu so vielen Bewegungen, Berührungen kommt?
Auskunftsperson David Hummel, MSc: Zu dem ersten Cluster hätte ich ungefähr eine Vorstellung, dass man da halt, weiß ich nicht, wenn man ins Wasser kommt, irgendwie Schwimmbewegungen oder etwas Vergleichbares macht. Zu dem zweiten Cluster ab 3.25 Uhr, glaube ich - -
Abgeordneter Christian Hafenecker, MA (FPÖ): Die Touch-Dinger sind das dann, nicht?
Auskunftsperson David Hummel, MSc: Auch, ja, nicht nur, aber auch. – Keine Ahnung, wie das zustande kommt.
Abgeordneter Christian Hafenecker, MA (FPÖ): Vielleicht sind Sie dafür die falsche Auskunftsperson, aber zumindest nach meinem Dafürhalten kann man auch nicht ausschließen, dass da sozusagen, weiß ich nicht, jemand anderer diese Uhr berührt hat. Ich sage es jetzt einmal so.
Auskunftsperson David Hummel, MSc: Dazu habe ich keine Wahrnehmungen. Ich sehe nur diese Bewegungen der Uhr und diese Touch-Events.
Abgeordneter Christian Hafenecker, MA (FPÖ): Gut, dann möchte ich nur ganz kurz an Frau Kollegin Wotschke anschließen, auch was die Ressourcenfrage betrifft: Sie haben ja vorhin gesagt, dass viele Dinge auch einfach nicht ausgewertet werden können, weil das den personellen Rahmen sprengen würde. Ich möchte mich übrigens gleich jetzt ganz herzlich bei Ihnen dafür bedanken, dass Sie aus meiner Sicht wesentlich mehr gemacht haben, als Sie hätten machen müssen. Sie haben ja auch versucht, im Sinne Ihrer Auswertungen dann Korrelationen herzustellen und sich Dinge technisch zu erklären.
Wäre es aus Ihrer Sicht begrüßenswert, dass die Justiz – vielleicht gerade, weil es um technische Spezifika dieser Uhr geht – wirklich noch einmal versucht, mit Samsung direkt Kontakt aufzunehmen und zu sagen: Was kann die Uhr? Was ist vielleicht noch in irgendwelchen Speicherbereichen abgespeichert, was uns vielleicht noch helfen kann und so weiter und so fort? Denn eines nehme ich
schon mit: Sie haben großartige Daten ausgewertet, aber Sie sind kein – unter Anführungszeichen, und das ist nicht despektierlich gemeint – „Samsung- Fachmann“. Würden Sie der Ermittlungsbehörde raten, in diesem Zusammenhang anhand dessen, was noch nicht aufgeklärt worden ist, zu versuchen, einen Fachmann für Samsung zu bekommen, am besten mit Samsung Kontakt aufzunehmen, oder zumindest einen Gutachter, der sich da auskennt, beizuziehen?
Auskunftsperson David Hummel, MSc: Ich tendiere eher dazu, das nicht zu tun, weil ich mir eigentlich sehr wenig davon erwarte. Das ist mein Hauptproblem, was ich sehe. Ich sehe sehr viel Arbeit mit kaum einem Ergebnis.
Abgeordneter Christian Hafenecker, MA (FPÖ): Na ja, mir geht es darum, dass wir viele Fragen ja gar nicht klären konnten, zum Beispiel: Synchronisiert die Uhr in beide Richtungen oder nicht? Werden irgendwo versteckte GPS-Daten gespeichert oder nicht? Warum gibt es eben diese Nichtquellen und so weiter und so fort? Warum wird das gelöscht und so weiter? Wir haben sehr viel gemutmaßt, deswegen wollte ich das einfach von Ihnen wissen. Jetzt ist aber leider Gottes meine Zeit aus. Danke für Ihr Kommen, es war sehr spannend.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke.
Wir kommen zum Ende der Befragung. Da die nach der Verfahrensordnung vorgesehene Befragungsdauer noch nicht erschöpft ist, frage ich abschließend den Verfahrensrichter, ob er noch ergänzende Fragen an die Auskunftsperson richten will.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Danke, Herr Vorsitzender.
Ich habe noch eine kurze Frage, und zwar: Wir haben schon das Dokument 263 gehabt, das sind die forensischen Auffälligkeiten am Laptop, wenn Sie sich erinnern. Ich will es nicht noch einmal einspielen. Dort ist davon die Rede, dass
Daten am 10. und 11. November trotz Löschung wiederhergestellt wurden. Jetzt wäre meine Frage dazu: Benötige ich zur Wiederherstellung dieser Daten den Laptop körperlich oder wäre das auch auf einem anderen Wege möglich?
Auskunftsperson David Hummel, MSc: Man benötigt dazu zumindest entweder den Laptop tatsächlich physisch oder eine Sicherung von diesem Laptop.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Also wäre es auch möglich, dass ich – ohne dass ich ihn physisch bei mir habe – mit einer Sicherung diese Daten wiederherstelle, die dann am Laptop wieder ersichtlich sind?
Auskunftsperson David Hummel, MSc: Ich glaube, ich habe Ihre Frage missverstanden. Es geht darum, ob man auf dem Laptop die Daten wiederherstellen könnte?
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Es wurden Daten gelöscht und dann ergibt sich aus Dokument 263, dass am 10. und
11. November gelöschte Daten wiederhergestellt wurden.
Auskunftsperson David Hummel, MSc: Da kenne ich mich in dem genauen Sachverhalt jetzt zu wenig aus, dass ich das gut beantworten kann. Wenn auf dem Gerät eine Löschung - - Kurzer Ausflug zur Forensik: Wenn man etwas auf einem Computer löscht, dann ist nichts weg. Dateisysteme sind extrem faul. Ein Dateisystem macht genau eine Sache, nämlich – wenn man sich das bildlich vorstellt –: Ein Pfeil zeigt auf meine Datei und im Dateisystem in meinem Filebrowser sehe ich dann die Dateien, weil da lauter Pfeile in mein Dateisystem hineinzeigen. Es tut mir leid, das ist jetzt sehr abstrakt. (Verfahrensrichterin- Stellvertreter Köller: Okay!) Wenn das gelöscht wird, passiert nichts anderes, als dass dieses Pfeilchen entfernt wird. Die darunterliegenden Daten sind eigentlich alle noch da. Das heißt, wenn ich etwas lösche, ist es auf dem Gerät, je nachdem wie viel Zeit vergeht – also es ist auch eine Frage, wie viel Zeit vergangen ist –, eigentlich ziemlich einfach, die Daten wiederherzustellen. Da gibt es teilweise Programme, da sehe ich quasi, wenn ich die ausführe: Diese gelöschten Daten
sind noch auf dem Gerät drauf. Da kann ich dann klicken und sagen: wiederherstellen.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Und das Ganze ohne Gerät? Es ist hier die Rede von den USB-Sticks. Auf USB-Sticks wurden Daten gefunden, die dann trotz Löschung wiederhergestellt wurden. Das heißt: Könnte ich auf einem anderen Gerät Daten wiederherstellen und dann auf diesen konkreten Laptop mit dem USB-Stick überspielen, oder brauche ich den Laptop? Ich beharre jetzt auf meiner Frage.
Auskunftsperson David Hummel, MSc: Ja, ja. Also ich brauche den Laptop physisch, damit ich den USB-Stick anstecken kann und die Daten wieder hinüberspielen kann, das schon. Ich muss ja irgendwie die gelöschten Daten auch wieder vom Laptop bekommen, außer wir gehen davon aus, dass es diese Daten einmal an mehreren Orten gegeben hat. Dann wäre es schon möglich, dass ich natürlich - - Am Laptop sind die Daten gelöscht, auf dem USB-Stick sind sie aus welchen Gründen auch immer aber oben, und ich komme dann in den Besitz des Laptops und stecke den USB-Stick an. Dann kann ich die Daten natürlich wieder hinüberkopieren und würde das wahrscheinlich sogar in der gleichen Datenstruktur zusammenbringen, also dass das genauso ausschaut wie vorher. Da würde es allerdings ziemlich viele forensische Auffälligkeiten geben.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Wurden solche Auffälligkeiten hier festgestellt?
Auskunftsperson David Hummel, MSc: Mir sind keine bekannt, aber in der Thematik war ich noch nicht so tief drinnen, um das beurteilen zu können.
Verfahrensrichterin-Stellvertreter Mag. Dr. Wolfgang Köller: Okay, danke schön.
Vorsitzender-Stellvertreter Mag. Norbert Nemeth: Danke.
Da keine weiteren Fragen mehr vorliegen, erkläre ich die Befragung der Auskunftsperson für beendet. – Ich bedanke mich für Ihr Erscheinen.