Durch eine Anfrage auf Grundlage des Informationsfreiheitsgesetzes wurde ein TrueCrypt-Audit öffentlich, welches das BSI 2010 durchführen ließ – Jahre vor einem öffentlichen Audit. Das TrueCrypt-Audit des BSI stammte von den Firmen Sirrix – heute Rohde und Schwarz – und Escrypt. Sirrix entwickelte daraufhin einen Fork namens TrustedDisk, der als Open Source veröffentlicht werden sollte, aber nie wurde. Angeblich hat das BSI sich nach dem Audit 2010 an „die Entwickler“ von TrueCrypt gewandt, um sie über die gefundenen Schwachstellen zu informieren, diese hätten aber kein Interesse gezeigt. Das TrueCrypt-Projekt wurde 2014 beendet. TrueCrypt wurde nach einer Recherche von Evan Ratliff von Paul Le Roux, einem dubiosen Schwerkriminellen aus Südafrika programmiert. Das „Bundesamt für Sicherheit in der Informationstechnik“ hat also Zero-Day-Lücken gehortet, Schwachstellen verschwiegen und Steuergelder für Audits ausgegeben, die dann von privaten Firmen kommerziell verwertet wurden. Von der moralischen Verkommenheit und der Korruption mal ganz abgesehen, ist die angestrebte Zusammenarbeit mit Drogen- und Waffenhändlern bei der Erstellung von Software-Patches nicht gerade ein Ausweis von Qualität und Vertrauenswürdigkeit.