Forsvarets Efterretningstjeneste stoppede forsøget på at genskabe Mette Frederiksens slettede SMS'er med en begrundelse om, at alle computere, 'som kan have taget back up af mobiltelefoner mv. er blevet sendt til Rigspolitiet.' 

Det viser sig nu at være forkert.

Lige præcis i de dage, hvor politiet forsøgte at genskabe statsminister Mette Frederiksen og hendes topembedsmænds slettede SMS'er fra minksagen, blev der fundet en backup-fil på en computer i Statsministeriet.

Det afslører et notat, som B.T. og Berlingske har fået aktindsigt i. 

Backup'en tilhørte topembedsmand Pelle Pape. 

Altså en fra Mette Frederiksens inderkreds - en af dem, der havde slettet sine SMS'er under minksagen, og hvis beskeder Minkkommissionen ville have genskabt og krævede udleveret.

Alligevel undlod Statsministeriet at sende computeren til undersøgelse hos politiet. 

I stedet undersøgte ministeriet den selv, og det får nu tre eksperter til at rejse alvorlig kritik af forløbet.

»For mig virker det helt vildt, at man rent faktisk finder noget - en interessant backup - men at man så undlader at sende den til undersøgelse hos politiet,« siger Jan Kaastrup, chief information officer i cybersikkerhedsfirmaet CSIS.

Mette Frederiksen afviser kritikken. Hendes svar vender vi tilbage til. 

Undersøgte selv backup

Oplysningerne i notatet fra Statsministeriet modsiger direkte den udtalelse fra myndighederne, som lukkede SMS-sagen. 

Her meddelte ledelsen i Forsvarets Efterretningstjeneste (FE) 7. december 2021, at tjenesten ikke kunne gøre mere for at genskabe beskederne end det, politiets teknikere uden held havde forsøgt. 

Den melding blev skrevet ud fra det grundlag, at alle 'eventuel tilknyttede PC'er og MAC's, som kan have taget back up af mobiltelefoner mv., er sendt til Rigspolitiet'. 

Men nu viser det sig altså, at i hvert fald en computer med en relevant backup ikke blev sendt til undersøgelse hos politiet. 

Politiet bekræfter over for B.T., at dets teknikere ikke undersøgte computere.

Den fejlbehæftede udtalelse blev overleveret til Minkkommissionen.

Udtalelsen blev også af daværende justitsminister Nick Hækkerup (S) og forsvarsminister Trine Bramsen (S) brugt til politisk at pacificere et ellers yderst kritisk granskningsudvalg i Folketinget, der ville have enhver sten i sagen vendt - men som gav op, da landets efterretningstjeneste forsikrede alle om, at alt var forsøgt.

Internt i FE blev udtalelsen genstand for et dramatisk forløb, hvor medarbejdere var vrede og frustrerede, fordi der netop var foreslået andre metoder, end det politiet havde forsøgt. 

Igennem forløbet har Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste netop understreget vigtigheden af, at computere i Statsministeriet blev undersøgt af specialister.

I oktober kunne B.T. og Berlingske afsløre et referat af en telefonsamtale, hvor en IT-specialist fra CFCS over for politiet understregede, at CFCS ville bruge en anden metode end politiet. 

For i telefonsamtalen kom det frem, at politiet havde fået en instruks fra Justitsministeriet på kun at undersøge mobiler og iPads, sim-kort og cloud-konti – men ikke computere.

'Vi ville bruge en anden metode i stedet. Denne metode ville fokusere mindre på mobilerne og værktøjerne, men mere på de devices (PC'er/Mac's), som telefonerne har været koblet til i den omtalte periode, samt interview med den IT-ansvarlige, som måske kunne skabe andre metoder for gendannelse,' står der i telefonnotatet.

Men specialisterne fra CFCS fik aldrig lov til at undersøge noget som helst, selvom der altså fandtes en backup-fil på en computer i Statsministeriet.

'For useriøst'

Filen blev fundet på en computer tilhørende IT-afdelingens tidligere telefonmedarbejder.

Det var en backup fra en iPhone tilhørende Pelle Pape, en topembedsmand fra Mette Frederiksens inderkreds under minksagen, og som også deltog på det afgørende møde, hvor beslutningen om at aflive alle mink blev truffet.

Pelle Pape var en af de i alt fem centrale figurer, der havde slettet deres beskeder.

Pelle Pape, da han ankom til afhøring i Minkkommissionen. I en SMS omtalte han minkerhvervet som »lortet«, hvilket han senere undskyldte. 
Pelle Pape, da han ankom til afhøring i Minkkommissionen. I en SMS omtalte han minkerhvervet som »lortet«, hvilket han senere undskyldte.  Philip Davali/Ritzau Scanpix

Hvis det var lykkedes at finde beskeder på hans backup, ville man potentielt kunne se samtaler mellem ham og Mette Frederiksen, departementschef Barbara Bertelsen og stabschef Martin Justesen.

Netop de beskeder, som Minkkommissionen gerne ville have genskabt og krævede udleveret til sin undersøgelse af forløbet, hvor Mette Frederiksen beordrede alle mink aflivet uden lovhjemmel.

Men i stedet for at sende computeren til undersøgelse hos politiets teknikere, der i de samme dage undersøgte mobiler og iPads, valgte IT-afdelingen i Statsministeriet selv at undersøge backup-filen 5. november 2021. 

Filen blev åbnet med programmet iBackup Viewer, et program som alle og enhver kan downloade og bruge. Da IT-afdelingen ikke fandt nogen beskeder, foretog den sig ikke mere. 

Se notatet her: 

Notat fra Statsministeriet. STM står for statsministeren. MJU står for Martin Justesen (stabschef). BBB står for Barbara Beatrice Bertelsen (departementschef) og PPA står for Pelle Pape, (departementsråd). Notatet blev underskrevet af ministeriets daværende IT-chef. 
Notat fra Statsministeriet. STM står for statsministeren. MJU står for Martin Justesen (stabschef). BBB står for Barbara Beatrice Bertelsen (departementschef) og PPA står for Pelle Pape, (departementsråd). Notatet blev underskrevet af ministeriets daværende IT-chef. 

Forløbet er »dybt kritisabelt,« mener Jacob Isaksen. 

Han arbejder som Director of Advanced Solutions hos DataExpert til daglig med at uddanne specialister i både virksomheder og myndigheder i at anvende avancerede efterforskningsværktøjer. 

»Det er ikke professionelt, at Statsministeriets egne it-folk foretager sig noget som helst omkring den her undersøgelse. Så snart de opdagede backup’en, skulle de have sagt: 'vi rører ikke ved den computer' og lade specialister undersøge den,« siger Jacob Isaksen og uddyber:

»Det er umuligt for en almindelig IT-medarbejder med værktøjer, man downloader fra internettet, at afgøre, om der er udført en tilbundsgående undersøgelse. Det er uprofessionelt, hvis ledelsen i Statsministeriet har stillet sig tilfreds med, at IT-afdelingen har gjort det.«

Jacob Isaksen forklarer, at man først skal bruge anerkendte værktøjer til at lave en datasikring af computeren, så man har en fuld kopi af indholdet på maskinen. 

Så bruger man bagefter et ligeledes anerkendt forensisk analyseværktøj – ikke et standardprogram som iBackup Viewer.

»Det er dybt, dybt kritisabelt, at man foretager nogen som helst undersøgelse med iBackup Viewer, hvor man overhovedet ikke kan verificere, hvordan man udfører analysen,« siger han.

Ifølge Jacob Isaksen har Statsministeriet også undladt at gøre brug af en basal metode inden for digital efterforskning: begrebet dual tool verification.

Det vil sige, at man efter at have foretaget en undersøgelse med et værktøj gentager undersøgelsen med et andet værktøj for at efterprøve resultatet - uanset om man fandt noget, eller om man ikke fandt noget.

Altså at verificere resultatet samt undersøge: Kan man finde mere?

Ifølge notatet fra Statsministeriet er der udelukkende brugt ét værktøj, standardprogrammet iBackup Viewer.

»Jeg kan ikke sige noget om sandsynligheden for, at man kunne finde noget med en professionel undersøgelse. Det kommer an på, hvornår backup er taget, og hvad indstillingerne har været. Men det er for useriøst at konkludere, at der ikke kan findes noget,« siger Jacob Isaksen og slår fast: 

»Det skal gøres af trænede specialister, som bruger anerkendte værktøjer. Alt andet er dybt kritisabelt.«

Mette Frederiksen afviser

B.T. har forelagt kritikken fra eksperter til Statsministeriet. 

»Jeg har bedt Statsministeriet udlevere alt det materiale, der var muligt. Det omtalte dokument, som Statsministeriet har oversendt til Folketinget, bekræfter, at der blev undersøgt computere,« udtaler statsministeren med henvisning til notatet, som hun valgte at sende til Folketinget samme dag, som B.T. og Berlingske fik det udleveret via aktindsigt.

B.T. har desuden sendt en række spørgsmål til Statsministeriet, som hverken ministeriet eller Mette Frederiksen har villet svare på: 

Hvorfor sendte Statsministeriet ikke computeren med backup på til undersøgelse hos politiet, når man i samme dage var i gang med at sende mobiler og iPads til undersøgelse?

Har Statsministeriet i løbet af de sidste fire år gjort noget for at forklare Forsvarsministeriet eller FE eller CFCS, at FE har lagt noget forkert til grund for deres udtalelse på Forsvarsministeriets hjemmeside?

Hvis nej, hvorfor har Statsministeriet ikke gjort FE/FMN/CFCS opmærksom på, at der fandtes en computer med en backup-fil?

Hvornår var den omtalte backup fra Pelle Papes mobiltelefon taget. Var det under minksagen?

Hvor er computeren Lenovo C1726409 med backup-filen i dag?

»Jeg har ikke nogen problemer med at undskylde for det her forløb, for der er begået fejl,« sagde Mette Frederiksen under et besøg på en minkfarm i november 2020.
»Jeg har ikke nogen problemer med at undskylde for det her forløb, for der er begået fejl,« sagde Mette Frederiksen under et besøg på en minkfarm i november 2020. Mads Nissen/Ritzau Scanpix

Keld Norman, cybersikkerhedsekspert og såkaldt etisk hacker i firmaet Dubex, siger, at han »ikke ved, om der kunne findes spor på den computer, men jeg ved, at man ikke kan udelukke det.«

»Måske ser det ud som om, at beskeder er slettede, er væk, og så er der alligevel en shadow et sted, et fragment, en lille tråd, der kan trevles op,« forklarer Keld Norman og tilføjer: 

»Mulighederne er uendelige, og det er derfor, at den slags opgaver skal udføres ekstremt grundigt af professionelle folk, der kigger i ethvert hjørne, hvor beskeder kunne være.«

Troels Lund: Statsministeriet må forklare

B.T. og Berlingske har spurgt forsvarsminister og Venstre-formand Troels Lund Poulsen, om han vil rette udtalelsen fra FE, som ligger på Forsvarsministeriets hjemmeside

Han svarer: 

»Det er ny oplysning for mig, og jeg er derfor ikke vidende om den konkrete sag. Sagens sammenhæng må Statsministeriet forklare.«