Verschlüsselung Experten rätseln über plötzliches Aus von Truecrypt
Truecrypt: Von Snowden empfohlen, von Entwicklern zurückgezogen
Foto: TrueCryptDie Fachwelt rätselt über die Sicherheitswarnungen auf der offiziellen Download-Seite des Verschlüsselungsprogramms Truecrypt. Sämtliche Links sind mit einem Warnhinweis in roter Schrift gekennzeichnet, der besagt: "Es ist nicht sicher, Truecrypt zu benutzen." Es könnten Sicherheitsprobleme auftreten, die bisher nicht behoben seien. Betroffen sind offenbar alle Versionen, sowohl für Windows-, Linux- und Mac-OS-Nutzer. Mit Truecrypt lassen sich Dateien oder ganze Festplatten verschlüsseln - bisher galt das Verfahren als sicher.
Wer hinter der Software steckt, ist nicht bekannt, die Entwickler bleiben anonym. Jetzt heißt es auf der Website: "Die Entwicklung von Truecrypt wurde im Mai 2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat." Stattdessen sollen die Nutzer auf alternative Verschlüsselungs-Software zurückgreifen, beispielsweise auf Bitlocker, das bei neueren Windows-Versionen mitgeliefert wird. Die Entwickler empfehlen, alle mit Truecrypt verschlüsselten Daten auf Laufwerken zu speichern, die mit einem anderen Programm kodiert sind.
Stehen die Macher unter Druck von Behörden?
Das plötzliche Aus von Truecrypt überrascht die Fachwelt. Die Software ist eines der beliebtesten Verschlüsselungs-Tools im Netz: Sie ist gratis, der Quellcode ist für alle einsehbar. Im Netz kursieren mittlerweile Gerüchte, dass es sich bei der Warnung um eine Falschmeldung handeln könnte und möglicherweise Hacker die neue Version ins Netz gestellt haben könnten. Dagegen spricht jedoch, dass die aktuelle Version 7.2 mit dem privaten Schlüssel der Entwickler zertifiziert ist.
Eine andere Theorie besagt, dass Forderungen von US-Behörden hinter dem Entwicklungsstopp stecken könnten, Zugriff auf Daten zu erlangen, die mit Truecrypt verschlüsselt sind. Von einem "Lavabit 2" ist in einigen Foren die Rede. Der E-Mail-Dienst Lavabit ist im August vergangenen Jahres eingestellt worden. Der Betreiber war von der Regierung gezwungen worden, bei der Entschlüsselung von Daten zu helfen - und schloss daraufhin lieber den ganzen Dienst. Auch Edward Snowden soll Lavabit genutzt haben.
Suche nach Schwachstellen
Der Verschlüsselungsexperte Matthew Green geht davon aus, dass die Truecrypt-Entwickler tatsächlich den Betrieb eingestellt haben. Green ist verantwortlich für das Crowdfunding-Projekt "The Truecrypt Audit", das mehr als 46.000 Dollar an Spenden eingesammelt hat. Das Ziel: den Programmcode auf Fehler und Schwachstellen zu testen. Im April verkündete das Team, dass die erste Phase des Projekts beendet sei. Die Tester haben bisher keine Hintertüren entdeckt und insgesamt elf Schwachstellen, die aber nur als schwach bis mittelschwer eingestuft wurden.
Green habe keine Ahnung, von welchen Sicherheitsproblemen auf der Website die Rede sei, teilte er über Twitter mit . Dennoch glaube er, dass das Truecrypt-Team dahintersteckt. "Sie haben sich entschieden aufzuhören, und das ist ihre unverkennbare Art, das zu machen", sagt Matthew Green gegenüber dem Tech-Blog "Krebs on Security ".
Aktuelle Version nicht nutzen
Die Download-Links auf Truecrypt verweisen auf die aktuelle Version 7.2, deren Funktionsumfang darauf beschränkt ist, Daten zu entschlüsseln. Links auf ältere Versionen haben die Entwickler entfernt. Sicherheitsexperten bei "Heise" raten allerdings davon ab, die aktuelle Version zu benutzen. "Es empfiehlt sich, diese zunächst mal nicht zu installieren und abzuwarten, bis sich die Situation etwas geklärt hat", heißt es dort.
