Österreich: Whistleblower-Website zur Korruptionsbekämpfung

Österreich hat eine offizielle Whistleblower-Seite eingerichtet, über die anonyme Tippgeber ihre brisanten Hinweise einreichen können. Leider weist das Portal einige Mängel auf.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
Lesezeit: 3 Min.

Seit Mittwoch gibt es in Österreich eine offizielle Whistleblower-Website: Eine Abteilung der Staatsanwaltschaft, die für die Bekämpfung von Wirtschaftskriminialität und Korruption zuständig ist, hofft auf anonyme Online-Hinweise. So sollen mögliche Straftaten in der Privatwirtschaft wie auch im öffentlichen Bereich besser untersucht werden können. Hinweisgeber können, wenn sie möchten, ein Konto einrichten. Darüber können sie dann gegebenenfalls Rückfragen der Ermittler beantworten.

Das österreichische Justizministerium setzt auf ein System der Business Keeper AG aus Berlin. Diese verspricht, die Eingaben seien anonym und könnten nicht zurückverfolgt werden. Das Unternehmen betreibt ähnliche Anti-Korruptions-Webseiten für Marokko, Kenia, Indonesien und das Landeskriminalamt Niedersachsen. Auch einige Unternehmen gehören zu den Kunden.

Allerdings hat es die Business Keeper AG versäumt, die österreichischen gesetzlichen Vorschriften zur Barrierefreiheit einzuhalten. Unmittelbar fällt auf, dass Impressum und Kopf nicht als Text, sondern als Bilddatei wiedergegeben werden. Der Alt-Text besteht aus den jeweils vier gleichen Zeichen: "Logo". Mehr war die Zielgruppe dem Justizministerium offenbar nicht wert. Ebenso muss man für einen Tipp an die Staatsanwaltschaft ein optisches Captcha lösen, zu dem es keine barrierefreien Alternativen gibt.

Auch in anderen Bereichen hat das neue Angebot noch Optimierungspotenzial. Während es keinen Hinweis auf TOR gibt, wird immerhin gewarnt, "für die Meldung nicht einen von Ihrem Arbeitgeber zur Verfügung gestellten PC" zu verwenden. Dies sollte ernst genommen werden. Leider findet man diese Warnung erst in der Mitte eines Texts in einem Pop-Over, welches zum Vorschein gelangt, wenn man eine Frage zum Thema Rückmeldungen anklickt. Zu diesem Zeitpunkt ist das leicht zuordnenbare Session Cookie bereits im Browser gelandet. Es bleibt dort, bis der Browser neu gestartet wird. Das Schließen des Tabs reicht nicht aus.

Die Website setzt auf verschlüsselte Übertragung. Das Zertifikat ist von Comodo. Auch wenn technisch nichts daran auszusetzen ist, stellt dies doch eine interessante Wahl dar, wenn es darum geht, das Vertrauen potenzieller Whistleblower zu gewinnen. Verschlüsselt wird übrigens mit RC4 128-bit. RC4 ist alt und bekanntermaßen problematisch – aber mangels ausreichend verbreiteter, sicherer Alternativen wohl ein saurer Apfel, in den man beißen muss.

Die sichere Verschlüsselung ist allerdings nur die halbe Seite der Medaille. Wichtig ist nämlich auch, sicherzustellen, wem man den anonymen Hinweis übermittelt. Doch auf den Einsatz von DNSSEC hat die Business Keeper AG verzichtet. Die Wirtschafts- und Korruptionsstaatsanwaltschaft hat übrigens auch eine E-Mail-Adresse: wksta.leitung@justiz.gv.at. Einen dazu passenden PGP/GPG-Schlüssel konnten wir nicht finden. (axk)