Bei der Anhörung im Innenausschuss erklärte Ziercke auch , dass neuere Versionen des Programms in beide Richtungen verschlüsseln würden, dieser Angriff also nicht mehr möglich sei.

Der CCC allerdings gebraucht den Begriff Verschlüsselung in diesem Zusammenhang nur in Anführungszeichen. Denn, so schreiben die Experten des Clubs, die Verschlüsselung sei bei der neuen Version "genauso schlecht implementiert und anfällig für Angriffe" wie bei der alten. In einem Video zeigen sie , dass sie ihr Trojaner-Steuerprogramm problemlos anpassen konnten, um auch den neuen Trojaner zu kapern. Das Modell 2010 entspreche wie seine Vorgängervarianten "in keiner Weise dem Stand der Technik", schreibt der CCC.

"Besonders bemerkenswert" sei, dass der Hersteller Digitask noch immer den gleichen "bereits mindestens drei Jahre alten und zudem fest eingebauten AES-Schlüssel" verwende, um die Datenübertragung zu chiffrieren.

Wer also weiß oder ahnt, dass er überwacht wird, der hat technisch die Möglichkeit, sich des Spähprogramms zu bemächtigen. Das bedeutet nicht, dass das leicht ist und dass auch Laien das können. Es belegt nur, dass es geht.

Das aber führt zur Frage nach der Überwachung der Überwacher. Eines der wichtigsten Argumente der Ermittlungsbehörden, um die Sicherheit der Technik zu belegen, ist die Protokollierung der Trojaner-Einsätze. Um jederzeit beweisen zu können, was wer wie getan habe, würden die Einsätze umfassend aufgezeichnet, wie Innenministerium, BKA und Landesbehörden mehrfach versicherten. Daher haben sich auch die Datenschutzbehörden der Länder und des Bundes jene Protokolle erbeten, um zu prüfen, ob alles rechtens war.

Allerdings taugen solche Protokolle wenig, wenn sie nicht zeigen, was wirklich passierte. Und dieses Risiko zumindest scheint es zu geben. Denn wenn ein solcher Trojaner beispielsweise vom Betroffenen erkannt und manipuliert werden kann, ist es auch möglich, ihn weiter einen normalen Betrieb vorgaukeln zu lassen und so ein Einsatzprotokoll zu fälschen.

Digitask selbst schreibt dazu in der Stellungnahme an die Behörden: "Dieser Vorwurf der Manipulation durch eine Sicherheitsbehörde ist technisch möglich, würde aber geloggt werden und mit einem MD5 Hash Wert versehen." Das meint, die von Digitask an die Behörden gelieferte Steuersoftware würde eine solche Manipulation erkennen und protokollieren.