Der bayerische Datenschützer Thomas Petri hat seinen Prüfbericht zur Nutzung der Quellen-TKÜ durch bayerische Behörden veröffentlicht. Da das Land Bayern ausschließlich Software der Firma Digitask benutzt, liegt somit eine weitere Beurteilung neben der des Bundesdatenschützers vor. Auch darin heißt es, dass gravierende Fehler gemacht wurden und die Quellen-TKÜ mangelhaft ist.
Die bayerischen Strafverfolgungsbehörden haben im Zeitraum von 2008 bis 2011 in 23 Fällen nach richterlicher Anordnung eine Quellen-TKÜ (Telekommunikations-überwachung) mit Trojaner-Software der Firma Digitask durchgeführt. Dabei ging es nicht darum, terroristische Gefahren abzuwehren. Der Datenschützer weist darauf hin, dass erst geprüft wurde, nachdem der Chaos Computer Club den bayerischen Staatstrojaner 0zapftis enttarnen und seine Funktionsweise entschlüsseln konnte.
Petri bemängelt, dass die TK-Überwachungsaktionen unvollständig dokumentiert wurden. So seien die Abläufe nicht nachvollziehbar. Die von Digitask gelieferte Software sei fehlerhaft gewesen, da sie in 4 von 20 Fällen Browser-Screenshots ermöglichte, was nicht richterlich angeordnet gewesen sei. In 2 weiteren Fällen bei Testinstallationen der Datenschützer waren verbotene Screenshots des gesamten Bildschirms möglich. In 9 von 20 Fällen hätten die Behörden komplette Softwarelisten der abgelauschten Rechner ausgelesen und gespeichert, ohne dass dies angeordnet worden sei. Die Softwarelisten auszulesen sei dabei besonders bedenklich, so könne eine Quellen-TKÜ womöglich nicht von einer verbotenen Onlinedurchsuchung unterschieden werden.
Abseits der Technik bemängelt der Datenschützer, die Strafverfolger hätten nicht den Quellcode einsehen können. Als höchst bedenklich wertete er, dass das private Wartungs-personal der Firma Digitask nicht auf das Datengeheimnis nach dem Verpflichtungs-gesetz hingewiesen worden sei.
Auch seien ausländische Server zur TKÜ-Ausleitung benutzt worden, die fremd-staatlichen Rechten unterliegen. Die dabei eingesetzte Verschlüsselung sei für die Jahre 2008 bis 2010 ausreichend, heute aber technisch unzureichend. Über den gesamten Zeitraum hinweg sei die Überwachungskonsole nicht mit Updates versorgt und die Nutzung nicht protokolliert worden.
Schließlich seien die Betroffenen nach Beendigung der Quellen-TKÜ nicht ausreichend über die „Integritätsbeeinträchtigung“ ihrer Rechner informiert worden, da in den einigen Fällen die Quellen-TKÜ einfach abgeschaltet, der aufgespielte Trojaner aber nicht entfernt worden sei. In anderen Fällen, bei denen nach Angaben der Strafverfolger eine Deinstallation erfolgte, konnten die Datenschützer mangels Zugriff auf die Rechner nicht feststellen, wie gut dieser Schritt gelöst wurde.
Im Einzelnen beschäftigt sich der Petris Bericht ausführlich mit 9 Fällen bayerischer Staatsanwaltschaften, in denen es hauptsächlich um die Ausleitung von VoIP-Gesprächen via Skype ging. Die Quellen-TKÜ sei ein Verfahren, das erst am Anfang seiner Zweckmäßigekeit stehe und müsse verbessert werden.
Quelle: heise online vom 02.08.2012