Dem Chaos Computer Club (CCC) ist nach eigenen Angaben die staatliche Spionagesoftware zugespielt worden, die allgemein unter dem Begriff "Bundestrojaner" oder in bundeslandspezifischen Versionen beispielsweise auch als "Bayerntrojaner" bekannt wurde. Der Staatstrojaner dient Ermittlern in Deutschland derzeit zur sogenannten Quellen-TKÜ (Quellen-Telekommunikationsüberwachung), um Voice-over-IP-Gespräche schon vor ihrer Verschlüsselung beim Sender oder nach der Entschlüsselung beim Empfänger abhören zu können.

"Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware", heißt es vom CCC. "Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können", wirft der CCC den Ermittlungsbehörden vor.

Ein Sprecher des Bundesinnenministeriums bestätigte gegenüber dpa, dass Software-Lösungen für die Quellen-TKÜ verfügbar seien, sowohl für die Bundesbehörden als auch auf Landesebene. "Für den Einsatz dieser Software gibt es gesetzliche Grundlagen, die beim Einsatz beachtet werden müssen", sagte der Sprecher. Für Ermittlungen auf Bundesebene sei hier etwa das BKA-Gesetz relevant. Außerdem gibt es in einigen Bundesländern Regelungen unter anderem zum Einsatz der Quellen-TKÜ. Besonders Bayern tat sich dabei bislang hervor, das bayerische Justizministerium hatte Mitte des Jahres zugegeben, dass der "Bayerntrojaner" bereits mehrfach eingesetzt wurde.

Die Bestrebungen für heimliche Online-Durchsuchungen auf den Computern von Verdächtigen reichen ins Jahr 2005 zurück, in die Amtszeit des damaligen Bundesinnenministers Otto Schily (SPD). Danach setzte unter dem Schlagwort "Bundestrojaner" eine heftige Debatte über die Zulässigkeit solcher Eingriffe in die Privatsphäre des persönlichen Computers ein. Das Bundesverfassungsgericht setzte im Februar 2008 hohe rechtliche Hürden für Online-Durchsuchungen. Mit dem Urteil schuf das Gericht zugleich ein neues "Computer-Grundrecht", das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme".

Das Verfassungsgericht setzte damit nicht nur der Ausforschung von IT-Systemen sehr enge Grenzen,, sondern steckte darüber hinaus erstmals den Herrschaftsbereich des Nutzers über seinen informationstechnischen Gerätepark ab. Sie stellten klar, dass in dieser privaten Datensphäre nichts verändert und nur unter sehr strengen Auflagen etwa abgehört werden darf. Das Grundrecht beschreibt einen umfassenden Systemschutz, der weit über vom User veröffentlichte Informationen hinausgeht.

Bereits Ende 2008 analysierten Markus Hansen vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein und der Dresdner Informatik-Professor Andreas Pfitzmann zudem, dass die Regelungen zur Online-Durchsuchung mit dem so genannten Bundestrojaner nicht nur den Datenschutz aushöhlen. Der Bundestrojaner könne zudem keine vor Gericht verwertbaren Beweise liefern.

Der CCC betonte, die sogenannte Quellen-TKÜ dürfe ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies sei durch technische und rechtliche Maßnahmen sicherzustellen. Die analysierte Software ermögliche aber einen viel weitergehenden Angriff. Es habe sich gezeigt, dass "in der Praxis eine effektive Trennung von ausschließlicher Telekommunikationsüberwachung und dem großen Schnüffelangriff per Trojaner möglich oder überhaupt erst gewünscht ist".

Die Analyse des Codes habe ergeben, dass die Funktionen über das Abhören von Kommunikation weit hinausgingen und die expliziten Vorgaben des Verfassungsgerichtes verletzten. Die Software könne etwa über das Netz weitere Programme nachladen und ferngesteuert ausführen, die Erweiterbarkeit auf die volle Funktion des Bundestrojaners sein von Anfang an vorgesehen; damit könnte dann einfach das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien auf den Computern von vermeintlichen Verdächtigen durchgeführt werden. "Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird", betonte der CCC.

Neben den Überwachungsfunktionen offenbarten sich dem CCC durch die Analyse aber auch schwere Sicherheitslücken, die durch das Einschleusen des Trojaners auf den zu durchsuchenden bzw. abzuhörenden Computern gerissen werden. "Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt", heißt es vom CCC. Weder die Kommandos an den Trojaner noch dessen Antworten seien durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. "So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar."

Die Konsequenzen, die zu ziehen sind, liegen laut dem CCC auf der Hand: " Die heimliche Infiltration von informationstechnischen Systemen durch staatliche Behörden muß beendet werden." Der Hacker-Club fordert zudem "alle Hacker und Technikinteressierten" auf, die Binaries des Trojaners weiter zu analysieren. Außerdem nehme man gerne weitere Exemplare des Staatstrojaners entgegen.