Damit sind aber längst nicht alle Fragen beantwortet.

Erstens ging es in dem fraglichen Fall nicht um Terrorismus oder ähnlich schwere Verbrechen. Gegen den Beschuldigten wurde ermittelt, weil er bei einem IT-Unternehmen arbeitete, das Handelsplattformen für Firmen programmierte, die in Deutschland ordentlich zugelassene Psychopharmaka ins Ausland vertreiben. Der Vorwurf lautete auf "gewerbsmäßige Ausfuhr von Betäubungsmitteln". Was darauf hindeutet, dass die legale wenn auch heikle Überwachung von Kommunikation auf Computern eher häufiger vorkommt und nicht nur bei "schwerster Kriminalität", wie sie immer vom Bundesinnenministerium gerechtfertigt wurde.

Zweitens ist der Fall ein Beleg dafür, wie schwierig es ist, bei der Durchsuchung von Computern die Vorgaben der Verfassung und des Bundesverfassungsgerichts technisch sauber umzusetzen. Polizei und Staatsanwaltschaft immerhin hielten das Verfahren für legitim, ein Gericht jedoch nicht. Auf das Problem übrigens hatten bei der Verhandlung des Themas vor dem Bundesverfassungsgericht 2008 bereits der frühere Innenminister Gerhard Baum und die Sachverständige des Chaos Computer Clubs, Constanze Kurz, hingewiesen.

Drittens : Wo war in diesem Fall die richterliche Kontrolle? Immerhin bekam die zuständige Staatsanwaltschaft, die Ermittlungsergebnisse überwachen muss, 60.000 Bildschirmfotos auf den Tisch. Eigentlich hätten dort einige Alarme schrillen müssen, vor allem, wenn sich darunter die Screenshots beispielsweise noch nicht abgeschickter E-Mails oder normaler Websites befanden. Doch die Staatsanwaltschaft hat die Ermittlungen nicht gestoppt. Sie wurden erst für rechtswidrig erklärt, als der Anwalt des Beschuldigten dagegen Einspruch erhob.

Viertens gibt es Hinweise, dass noch andere Bundesländer die gleiche Software eingesetzt haben. Das in Bayern verwendete Programm stammt wahrscheinlich von der Firma DigiTask . Mehr dazu findet sich in einem Dokument, das Wikileaks und die Piratenpartei bereits 2008 verbreitet hatten . Darin versucht das bayerische Justizministerium zu klären, wer eigentlich die Kosten für den Einsatz eines DigiTask-Trojaners übernehmen muss. Zitat: "Die Telekommunikationsüberwachungsmaßnahme ist mit erheblichen Kosten verbunden, weil die hierfür erforderliche Ausstattung (insbesondere Software) bisher von Dritten (im Verfahren der Staatsanwaltschaft München I von der Fa. DigiTask GmbH) angemietet und installiert werden muss."

Der Chaos Computer Club nun beschreibt in seinem Gutachten zum gefundenen Trojaner den von dem Spähprogramm verwendeten Verschlüsselungsalgorithmus. Dieser sei fest in die Software einprogrammiert. Dann folgt der Satz: "Bei anderen Versionen des Trojaners war der identische Schlüssel im Einsatz." Offensichtlich also haben neben dem bayerischen LKA auch andere Behörden diese Software gemietet.

Auf Nachfrage sagte Frank Rieger, einer der Sprecher des Clubs: "Wir haben mehrere Staatstrojaner zugesandt bekommen und analysieren sie gerade. Noch können wir nicht sagen, wer sie eingesetzt hat, gehen aber davon aus, dass verschiedene Landeskriminalämter darunter sind." Gut möglich also, dass auch andere Behörden nicht genau wussten, wie weit sie in ihrer eigentlich legalen Überwachung gehen durften. Ein Punkt, den die Politik nun klären muss .

Der innenpolitische Sprecher der CDU/CSU-Fraktion im Bundestag, Hans-Peter Uhl, sagte gerade , es handele sich bei Berichten zum Trojaner um eine "Skandalisierung legitimer Maßnahmen". Hilfreich ist das nicht.

Nachtrag: Ursprünglich hieß es im Text, der Trojaner stamme wahrscheinlich aus Bayern. Denn der CCC wollte dem Anwalt Patrick Schladt, seiner Quelle, die Möglichkeit geben, sich selbst zu äußern. Das hat er inzwischen getan und die Übergabe der fraglichen Festplatte mit dem Trojaner an den CCC bestätigt. Wir haben daher die Möglichkeitsform aus der Überschrift entfernt. (Kai Biermann)