Wenn der erfahrene Surfer eine Mail von einer Sandy bekommt mit der Betreffzeile "Horny Girls", dann weiß er: Den Anhang mit dem Dateinamen pictures.exe darf er auf keinen Fall anklicken. Denn da sind keine Bilder drin, sondern Schad-Software. Was aber, wenn er eine Mail vom Finanzamt bekommt? Tatsächlich hatten deutsche Behörden schon einmal vor, Trojaner per Mail zu verschicken. Und zumindest einige haben das auch getan. Die Sicherheitsbehörden jedenfalls installieren noch immer heimlich digitales Ungeziefer.

"Liebe Mitdiskutantinnen und Mitdiskutanten. Ich würde gerne mit Ihnen heute über das Thema Online-Durchsuchung sprechen. Wir müssen technisch mithalten. Bleiben wir nicht technisch auf der Höhe der Zeit, dann befinden wir uns beim Kampf gegen den Terror in einer Art Blindflug. Und das können wir uns im Interesse der Sicherheit des Landes nicht erlauben."

Wolfgang Bosbach, der ehemalige Vorsitzende des Bundestagsinnenausschusses wirbt im Jahr 2008 für die Online-Durchsuchung. Polizei und Geheimdienst schauen sich über das Internet auf den Rechnern von Verdächtigen um. Besser bekannt ist diese Maßnahme unter dem Namen des Schad-Programms, das sie ermöglicht, dem "Bundestrojaner". Der damalige Bundesinnenminister Wolfgang Schäuble, CDU will ihn angeblich in gefälschten Behörden-Mails verschicken. Erstmals eingesetzt wird er auf Anordnung von Schäubles Amtsvorgänger Otto Schily, SPD.

Einen ersten gesetzlichen Rahmen für die Verwendung von Schad-Programmen zu staatlichen Zwecken erarbeitet das Nordrhein-Westfälische Innenministerium unter Ingo Wolf, FDP. Dieses Gesetz kippt im Jahr 2008 das Bundesverfassungsgericht, weil es gegen das Grundgesetz verstieß. Seitdem wird Schad-Software zu staatlichen Zwecken auf unterschiedlicher rechtlicher Grundlage eingesetzt – und manchmal auch ohne. So der 2011 enttarnte "Staatstrojaner" der bayerischen Polizei. Er sollte keine Festplatten online durchsuchen, sondern die Internet-Telefonate von Verdächtigen abhören, Quellen-Telekommunikationsüberwachung betreiben, wie es im Amtsdeutsch heißt. Aber der bayerische Staatstrojaner konnte mehr – mehr, als er durfte:

"Es gibt da klare Vorgaben des Bundesverfassungsgerichts: Eine Quellen-TKÜ muss rechtlich, aber auch technisch dagegen abgesichert sein, über das Abhören der Telekommunikation hinaus Daten zu sammeln. Das ist faktisch nicht geschehen. Das konnten wir sehr klar belegen", so Constanze Kurz vom Chaos Computer Club, der den Staatstrojaner 2011 enttarnte.

Und noch etwas hatte der Hacker-Klub an dem Abhör-Programm auszusetzen: Es war unzureichend dagegen gesichert, von Dritten gekapert zu werden, von Kriminellen oder fremden Geheimdiensten etwa:

"Und hier hat sich halt herausgestellt, dass die Authentisierung schwach ist. Das heißt also, dass Dritte im Prinzip auf diesem Weg, wo die Daten ausgeleitet werden und die Kommandos gesendet werden, eingreifen können und ihrerseits Schad-Software aufbringen können."

Hans-Peter Uhl hingegen, der damalige innenpolitische Sprecher der Union, verteidigte den Staatstrojaner im Bundestag so:

"Meine Damen und Herren, in Wahrheit geht es darum, dass wir dafür sorgen, dass Sicherheit auch im Internet gilt."

Das war dann wohl Sicherheit durch die Verbreitung von Sicherheitslücken. Durch den Einsatz von Trojanern in staatlichem Auftrag ist Vertrauen zerstört worden. Das ist verheerend. Denn IT-Sicherheit besteht vor allem darin, zwischen Vertrauenswürdigem und Nicht-Vertrauenswürdigem unterscheiden zu können. Dazu gab's im Industrie-Zeitalter eine Schlüsselfrage: Würden Sie diesem Mann einen Gebrauchtwagen abkaufen? Im Internet-Zeitalter muss die wohl lauten: Würden Sie von diesem Staat eine Mail öffnen? Nee, lieber gleich wegklicken wie die von den Horny Girls.