Verschlüsselungssoftware Das mysteriöse Ende von "Truecrypt"

In der Szene war Truecrypt beliebt: Teilnehmer einer Programmiererkonferenz in Miami

(Foto: AFP)

Edward Snowden nutzte sie, viele Hacker schwören darauf: Die Verschlüsselungssoftware "Truecrypt" gilt als besonders empfehlenswert. Nun steht auf der Internetseite des Anbieters: "Truecrypt ist unsicher". Was ist passiert?

Von Hakan Tanriverdi

Die Warnung auf der Seite ist eindeutig und alarmiert eine gesamte Szene: "Truecrypt zu nutzen, ist unsicher. Das Programm könnte ungelöste Sicherheitsprobleme beinhalten", steht dort lapidar. Es gebe keine Weiterentwicklung mehr, nachdem Microsoft seit kurzer Zeit auch für Windows XP keine Software-Updates mehr bereitstellt. Der restliche Text auf der Seite erklärt, wie Nutzer die Daten in einen anderen Dienst exportieren können.

Truecrypt ist eine Verschlüsselungssoftware für Festplatten. Edward Snowden hat sie empfohlen, der Journalist Glenn Greenwald hat damit Snowdens Dokumente verschlüsselt. Auf Hacker-Konferenzen gehen viele Hände hoch, wenn gefragt wird, wer damit seine Festplatte verschlüsselt.

Es ist diese Szene, die nun aufgeregt diskutiert, was hinter der ominösen Meldung stecken könnte. Bisher gibt es keine bestätigten Fakten, denn die Entwickler der Software sind anonym. So bleibt lediglich Rätselraten. Völlig unklar ist, was Truecrypt mit Windows XP zu tun haben soll.

Gehackt? Gezwungen? Gravierende Mängel?

Im Raum stehen drei Theorien, geäußert vom Sicherheitsexperten Ashkan Soltani. Erstens: Die Entwickler haben eine sehr schwerwiegende Sicherheitslücke gefunden und wollen diese nicht beheben. Zweitens: Die Seite wurde gehackt und die Nachricht vom Ende der Software ist eine Fälschung. Drittens: Eine Behörde will Daten von Truecrypt, zwingt das Unternehmen aber dazu. diese Anfrage zu verschweigen - die Firma kann nur noch in Rätseln sprechen. Solche Forderungen kommen in den USA in Form von National Security Letters, mit denen Nutzerdaten angefragt werden. Die betroffenen Firmen dürfen nicht offen über sie reden.

Ob die Software gravierende Sicherheitslücken enthält, wird gerade geprüft. Truecrypt gibt es bereits seit zehn Jahren, doch von unabhängigen Personen analysiert wurde die Software noch nicht. Im Oktober vergangenen Jahres sammelten Sicherheitsexperten für diesen Zweck in einer Crowdfunding-Aktion knapp 63 000 Dollar, um eine professionelle Kontrolle zu finanzieren. Der Kryptografie-Experte Matthew Green gehört zu dieser Gruppe und äußerte sich nach der ersten von insgesamt drei Phasen moderat zuversichtlich: "Die Qualität der Programmiercodes ist nicht so hoch, wie sie sein sollte, aber da sind keine gravierenden Fehler drin. Das ist beruhigend."

Allerdings wurde in dieser Phase nicht alles überprüft, sondern bisher nur der Systemkern und der so genannte Bootloader, also das Programm, das festlegt, was nach dem Gerätestart in welcher Reihenfolge passiert. In einer zweiten Phase kümmern sich die Experten nun um die Qualität der eingesetzten Kryptografie. Diese ist zentral für das Versprechen, das Truecrypt gibt: Sollten die Experten gravierende Mängel finden, wäre das Produkt praktisch nutzlos. Die Experten wollen die Überprüfung von Truecrypt weiterführen, teilten sie mit.