Wenigen Programmen im Netz vertrauten auch kritische Geister bislang so sehr wie TrueCrypt. Selbst Edward Snowden benutzte die Verschlüsselungssoftware, um seine Daten zu schützen. Noch 2012 empfahl der Whistleblower, das Tool zu benutzen. 

Doch seit Mittwoch wird die Website des kostenlosen Programms umgeleitet. Dort ist seitdem folgende Warnung zu lesen: "Die Nutzung von TrueCrypt ist nicht sicher, da nicht behobene Sicherheitslücken enthalten sein können. Die Entwicklung von TrueCrypt wurde 5/2014 beendet, nachdem Microsoft die Unterstützung von Windows XP eingestellt hatte". Es folgt eine Anleitung, wie die Nutzer auf das Verschlüsselungsprogramm Bitlocker von Microsoft wechseln können.

Sämtliche Versionen von TrueCrypt wurden aus dem Portal SourceForge gelöscht und mit der mutmaßlich neuen Version 7.2 ersetzt. Die erlaubt es lediglich, die Daten ein letztes Mal zu entschlüsseln. Beim Ausführen des Programms erscheint eine ähnliche Warnung wie auf der Website.

Nun rätseln Nutzer und Sicherheitsexperten: Wurde das erfolgreiche Projekt tatsächlich plötzlich eingestellt oder handelt es sich vielleicht doch bloß um einen Hack? Bis jetzt wurde weder das eine noch das andere bestätigt. Offizielle Stellungnahmen gibt es nicht; die Entwickler von TrueCrypt sind anonym, die Strukturen des Projekts weitestgehend unbekannt.

TrueCrypt ist eines der beliebtesten Tools zur Verschlüsselung von Dateien, Wechseldatenträgern oder Festplatten. Die Software gibt es seit 2004 und unzählige Websites – darunter auch ZEIT ONLINE – geben Anleitungen, wie die Nutzer damit ihre Daten verschlüsseln können. Obwohl TrueCrypt wie praktisch alle Verschlüsselungstechniken immer wieder verdächtigt wurde, eine Hintertür zu enthalten, galt das Programm bis dato als sicher.

Prüfung im April hatte keine Sicherheitslücken festgestellt

Das abrupte Ende kommt überraschend. Fachleute fragen sich nun zum einen, inwiefern das Ende von Microsoft XP überhaupt mit der Entwicklung von TrueCrypt zu tun haben soll. Zum anderen ist es seltsam, dass die Entwickler mit Bitlocker als Alternative ausgerechnet eine proprietäre Software von Microsoft empfehlen. Die NSA-Enthüllungen hatten gezeigt, dass Microsoft und andere führende Technologiekonzerne zumindest in einigen Fällen mit den Geheimdiensten kooperierten.

Auch ist unbekannt, welche Lücken TrueCrypt eigentlich haben soll. Erst im Oktober sammelte eine Crowdfunding-Kampagne 46.000 US-Dollar, um TrueCrypt einer unabhängigen Sicherheitsprüfung, dem sogenannten audit, zu unterziehen. Im April stellten die Experten die Ergebnisse des ersten Teilabschnitts vor: Der Code von TrueCrypt sei zwar an einigen Stellen etwas schlampig geschrieben, das Programm aber soweit sicher. Matthew Green, Informatiker an der Johns Hopkins Universität und Initiator des Open Crypto Audit Projects, bestätigte das auf Twitter.

Dennoch schließt Green nicht aus, dass die Entwickler angesichts der nächsten Phase der Sicherheitsüberprüfung kalte Füße bekamen. "Ich glaube, das TrueCrypt-Team hat sich zum Aufhören entschieden und das ist ihr eigener Weg, das zu tun", sagte Green dem Blogger Brian Krebs. Er wolle das Audit in jedem Fall abschließen; allein schon, um der Sache auf den Grund zu gehen.

Signaturen sprechen gegen einen Hack

An einen Hack glaubt Green nicht. Tatsächlich scheint das nach fast 24 Stunden immer unwahrscheinlicher zu sein. Dafür müsste ein Hacker nämlich zunächst die anonymen Entwickler identifiziert, anschließend ihre private Signatur gestohlen und dann auch noch die Website gehackt haben.

Vor allem die Signatur wirft Fragen auf. Die aktuelle, geänderte Version 7.2 der Software ist mit dem gleichen, eindeutig identifizierbaren Schlüssel signiert wie frühere Versionen. Auf diesen Schlüssel haben in der Regel nur die Entwickler persönlich Zugriff, um damit die Echtheit der Software zu bestätigen. Zwar ist es denkbar, dass ein Hacker oder eine andere Person an einen der Schlüssel herangekommen ist. Allerdings ist es unwahrscheinlich, dass dies wirklich ohne die Kenntnis der Entwickler geschah.