Doch stellt sich der CCC dazu die durchaus berechtigte Frage, warum jemand, der in böser Absicht einen Trojaner manipulieren wolle, "dazu die Digitask-Steuersoftware verwenden sollte, die möglicherweise den Code-Upload loggen könnte". Immerhin haben die Club-Analysten ja gezeigt, dass sie eine eigene Steuersoftware schreiben konnten – die sicher keine Protokolle an ein Landeskriminalamt schickt.

In der Konsequenz heißt das, die einsetzende Behörde hat keine Kontrolle über ihr Überwachungsinstrument. Der Grund dafür liegt in der Natur der Sache. Eine für die sogenannte Quellen-Telekommunikationsüberwachung taugliche Spähsoftware muss aus der Hand gegeben werden, um ihre Arbeit auf dem Zielrechner erledigen zu können. Sie muss an der Quelle installiert sein. Damit aber steht sie faktisch unter Kontrolle desjenigen, der den Zielrechner kontrolliert. Nicht umsonst investieren jene, die Trojaner einsetzten, die meiste Mühe darauf, den Einsatz zu verschleiern oder komplett unbemerkt ablaufen zu lassen. Denn ist das Programm einmal enttarnt, ist Gegenwehr kein Problem – bis hin zur Manipulation.

Innenminister Friedrich hat gerade angekündigt , dass von Fremdfirmen entwickelte Spähsoftware nicht mehr ohne genaue Prüfung des Quellcodes eingesetzt wird und dass solche Programme künftig vom BKA selbst entwickeln lassen will. Das erscheint angesichts der Mängel in der Software sinnvoll.

Es löst jedoch nicht das zugrunde liegende Kontrollproblem. Oder, wie der CCC in seinem Video erklärt: "Es ist nicht möglich, einen Trojaner zu schreiben, den man nicht imitieren könnte. Mit Trojanern erlangte 'Beweise' sind daher generell leicht manipulierbar."