Die Warnung auf der Seite ist eindeutig und alarmiert eine gesamte Szene: "Truecrypt zu nutzen, ist unsicher. Das Programm könnte ungelöste Sicherheitsprobleme beinhalten", steht dort lapidar. Es gebe keine Weiterentwicklung mehr, nachdem Microsoft seit kurzer Zeit auch für Windows XP keine Software-Updates mehr bereitstellt. Der restliche Text auf der Seite erklärt, wie Nutzer die Daten in einen anderen Dienst exportieren können.
Truecrypt ist eine Verschlüsselungssoftware für Festplatten. Edward Snowden hat sie empfohlen, der Journalist Glenn Greenwald hat damit Snowdens Dokumente verschlüsselt. Auf Hacker-Konferenzen gehen viele Hände hoch, wenn gefragt wird, wer damit seine Festplatte verschlüsselt.
Es ist diese Szene, die nun aufgeregt diskutiert, was hinter der ominösen Meldung stecken könnte. Bisher gibt es keine bestätigten Fakten, denn die Entwickler der Software sind anonym. So bleibt lediglich Rätselraten. Völlig unklar ist, was Truecrypt mit Windows XP zu tun haben soll.
Gehackt? Gezwungen? Gravierende Mängel?
Im Raum stehen drei Theorien, geäußert vom Sicherheitsexperten Ashkan Soltani. Erstens: Die Entwickler haben eine sehr schwerwiegende Sicherheitslücke gefunden und wollen diese nicht beheben. Zweitens: Die Seite wurde gehackt und die Nachricht vom Ende der Software ist eine Fälschung. Drittens: Eine Behörde will Daten von Truecrypt, zwingt das Unternehmen aber dazu. diese Anfrage zu verschweigen - die Firma kann nur noch in Rätseln sprechen. Solche Forderungen kommen in den USA in Form von National Security Letters, mit denen Nutzerdaten angefragt werden. Die betroffenen Firmen dürfen nicht offen über sie reden.
Ob die Software gravierende Sicherheitslücken enthält, wird gerade geprüft. Truecrypt gibt es bereits seit zehn Jahren, doch von unabhängigen Personen analysiert wurde die Software noch nicht. Im Oktober vergangenen Jahres sammelten Sicherheitsexperten für diesen Zweck in einer Crowdfunding-Aktion knapp 63 000 Dollar, um eine professionelle Kontrolle zu finanzieren. Der Kryptografie-Experte Matthew Green gehört zu dieser Gruppe und äußerte sich nach der ersten von insgesamt drei Phasen moderat zuversichtlich: "Die Qualität der Programmiercodes ist nicht so hoch, wie sie sein sollte, aber da sind keine gravierenden Fehler drin. Das ist beruhigend."
Allerdings wurde in dieser Phase nicht alles überprüft, sondern bisher nur der Systemkern und der so genannte Bootloader, also das Programm, das festlegt, was nach dem Gerätestart in welcher Reihenfolge passiert. In einer zweiten Phase kümmern sich die Experten nun um die Qualität der eingesetzten Kryptografie. Diese ist zentral für das Versprechen, das Truecrypt gibt: Sollten die Experten gravierende Mängel finden, wäre das Produkt praktisch nutzlos. Die Experten wollen die Überprüfung von Truecrypt weiterführen, teilten sie mit.
Keiner weiß, wer hinter Truecrypt steckt
Der Journalist Brian Krebs geht davon aus, dass die Nachricht vom Ende der Software authentisch ist. In den Hosting-Informationen der Webseite finden sich laut Krebs keine verdächtigen Einträge, die auf einen Hack hindeuten würden. In einem Blogbeitrag stellt er außerdem fest: "Die aktuelle Version von Truecrypt, hochgeladen am 27. Mai, benutzt dieselbe verschlüsselte digitale Unterschrift wie die Version vom Januar 2014." Mit solchen verschlüsselten Signaturen wird die Echtheit der Software bestätigt, sie sind eindeutig identifizierbar.
Theoretisch wäre es möglich, dass die Angreifer an diesen Schlüssel herangekommen sind. Fraglich ist jedoch, warum die Truecrypt-Macher dies dann nicht kommunizieren würden. Green kennt nach eigenen Angaben eine Person bei Truecrypt, eine Antwort hat aber auch er bisher nicht bekommen. "Ich glaube, dass wirklich das Truecrypt-Team dahintersteckt", zitiert ihn Krebs aus einem Telefongespräch. "Sie haben den Entschluss gefasst, aufzuhören, und das ist ihre charakteristische Art, das zu kommunizieren."
Ist Truecrypt ein neues Lavabit?
Die dritte Theorie - die Truecrypt-Macher seien von einer Behörde gezwungen worden - erinnert an den Fall von Lavabit, den E-Mail-Anbieter, den auch Edward Snowden genutzt hatte. Ladar Levison, der Chef, wurde vom FBI dazu aufgefordert, Zugriff auf sämtliche Daten zu ermöglichen, also auf alle E-Mails seiner Kunden und auf die Sicherheitstechnik. Levison weigerte sich und löschte stattdessen alle Daten. Dies gab er damals in einer Mitteilung auf seiner Homepage bekannt.
Diese Nachricht war ähnlich vage wie das Schreiben von Truecrypt. Ein großer Unterschied ist aber, dass die Behörden wussten, wer hinter Lavabit steckt. Bei Truecrypt weiß das aber bis dato niemand. Warum sollten es also die Behörden wissen?
Der Programmcode von Truecrypt steht im Internet, jeder kann ihn kopieren und verändern. Genau das hat mittlerweile jemand gemacht. Die Seite, die den Download anbietet, ist in der Schweiz angesiedelt - außerhalb des Zugriffs der US-Justiz, so die Truecrypt-Kopierer. Und auch die Sache mit der Anonymität der Entwickler sei "für ein sicherheitsrelevantes Projekt nicht länger eine Option", schreiben die Betreiber Thomas Bruderer und Joseph Doekbrijderno. "Das Truecrypt.ch-Team wird mit seinem Namen dafür einstehen."