Die Entwickler der Software TrueCrypt warnen vor ihrem eigenen Produkt.
Himmelfahrt 2014 gibt es bei Twitter viel Seltsames zum Thema „TrueCrypt“ zu beobachten. Unter dem Hashtag #truecrypt tauchen Meldungen auf, wonach die Entwickler der Verschlüsselungssoftware TrueCrypt das eigene Produkt als unsicher erachten:
“WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues”
Das Ganze wirkt im ersten Moment wie ein schlechter Scherz. Die frei verfügbare Software TrueCrypt wird von vielen Sicherheitsexperten eigentlich noch immer empfohlen, da sie für alle gängigen Betriebssysteme zur Verfügung steht. Sie ist sogar in der Lage komplette Festplattenpartitionen zu verschlüsseln.
Wenn man dann den Vorgang genauer betrachtet, erscheint er noch seltsamer.
Für einen bloßen Scherz oder ein Webseiten-Defacement (Also das Entstellen einer Website durch Hacker), sind einige Fakten viel zu strukturiert. So leitet die originale Website unter truecrypt.org mit Hilfe einer Webserver-Direktive auf die Entwicklerplattform Sourceforge um. Hierzu benötigt man entweder Zugriff auf die Konfiguration der eigentlichen Server-Software oder muss zumindest das Recht haben per .htaccess-Datei bestimmte Funktionen des Servers zu steuern.
Zeitgleich wurde auch eine neue Version 7.2 der Software bei Sourceforge veröffentlicht. Diese ist neu kompiliert und es wurde die Funktionen zur Verschlüsselung entfernt. Dafür aufgenommen wurden offenbar Warnhinweise, dass man auf andere Produkte ausweichen möge.
Es wurden auch alle vorherigen Versionen bei Sourceforge entfernt.
Allein das würde bedeuten, dass ein Hacker nicht nur Zugriff auf den Webserver von truecrypt.org erlangt haben müsste, sondern auch auch sehr weitreichende Rechte auf das Entwicklerportal hatte.
Die neue Version wurde auch mit einem private Key der Entwickler signiert, was bedeuten würde, dass auch dieser in fremde Hände gefallen sein müsste.
Ebenfalls spannend: Scheinbar sind auch alte Versionen der Website von TrueCrypt aus Web-Archiven wie der WayBack-Machine entfernt worden.
Das ist alles schon sehr merkwürdig und ist bestimmt kein Unfall.
Noch seltsamer wird der Vorgang nämlich wenn man weiß, dass vor einiger Zeit eine externe Sicherheitsfirma begonnen hat, den Code von TrueCrypt zu auditieren. Hierbei kam in der ersten Auditierungsstufe heraus, dass es keine eklatanten Sicherheitslücken gibt. Das steht in krassem Widerspruch zur jetzt vorgenommenen Selbsteinschätzung der Entwickler.
An diesem Punkt sprießen die Verschwörungstheorien.
TrueCrypt gehörte genau wie der E-Mail Anbieter Lavabit zu den bevorzugten Werkzeugen von Edward Snowden. Lavabit erhielt vor einiger Zeit von US-amerikanischen Behörden eine Aufforderung, sämtliche Verschlüsselungs-Keys herauszugeben, damit die verschlüsselten Inhalte entschlüsselt werden können. Lavabit hat daraufhin von einem Tag auf den anderen den Dienst eingestellt und sämtliche Daten gelöscht.
Aufforderungen dieser Art beinhalten in den USA stets auch die Aufforderung nicht über den Vorgang zu sprechen oder sich zu äußern.
Ist so etwas jetzt auch bei TrueCrypt passiert? Natürlich kommen sofort Gerüchte dieser Art auf. Es besteht aber erst einmal kein Grund zu einer Panikreaktion.
Gehen wir einmal besonnen mit der Situation um:
TrueCrypt sagt, die Software ist nicht mehr sicher.
Gut, das ist nicht schön, aber kein Grund zur Panik. Die letzte Version 7.1a ist jetzt seit fast zwei Jahren unverändert. Es gibt also keinen Grund sie nicht zumindest noch für die Umspeicherung der eigenen Daten zu benutzen.
Auch der angegebene auslaufende XP-Support ist kein ausreichender Grund von jetzt auf gleich an der Sicherheit der Software zu zweifeln. Die Entwickler benutzen zwar einen uralten Compiler unter Windows XP um die Software zu übersetzen, aber das war in den vergangenen Jahren aber auch kein Problem.
TrueCrypt empfiehlt, Tools nutzen die die Betriebssysteme mitbringen.
Das ist nicht wirklich zielführend. TrueCrypt hatte eben den charmanten Vorteil, dass verschlüsselte in der Cloud abgelegte Daten unabhängig vom Betriebssystem genutzt werden konnten. Das geht mit diesem Ansatz nicht.
Sinnvoll erscheint mir momentan, das eigene Sicherheitskonzept zu hinterfragen.
Wer seine Daten in einem TrueCrypt-Container in Dropbox oder sonst einem Cloudspeicher aufbewahrt, tut gut daran, das zu ändern. Was vor einiger Zeit noch als gangbarer Weg galt, um das Sicherheitsrisiko von Daten in der Cloud zu minimieren, muss mit diesem Tag als überholt betrachtet werden.
Sensible Daten raus aus der Public Cloud muss die aktuelle Devise sein.
Also Daten zurückholen in eine sichere Umgebung, entschlüsseln und nur das auf einem Stick mitnehmen was man unterwegs braucht. Diese Entscheidung ist ja jederzeit reversibel, wenn sich der aktuelle Wirbel um TrueCrypt legt und die Situation sich nachhaltig klärt.
Meine Empfehlung zum Thema Nachhaltigkeit: Zurück zu einem Konzept mit eigenen Servern und VPNs um an die Daten zu gelangen.
Durch den Aufbau einer sicheren „Privaten Cloud“ lässt sich durchaus der gleiche Nutzen erreichen ohne das Risiko offener Daten bei einem fremden Diensteanbieter einzugehen.