Als am vergangenen Mittwoch die Website der Verschlüsselungssoftware TrueCrypt plötzlich vor der Nutzung warnte und sämtliche Versionen entfernte, reagierten viele Internetnutzer zu Recht besorgt. TrueCrypt war bis dato eines der beliebtesten Tools zur Verschlüsselung von Daten und galt unter IT-Fachleuten als sicher. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Software auf seiner Website.

Viele Nutzer glaubten zunächst, dass es sich bei der seltsamen Warnung, in der gleichzeitig Microsofts Verschlüsselungstool BitLocker als Alternative empfohlen wird, um einen Hack handelte. Zu seltsam und hastig zusammengestückelt schien die Sache, um authentisch zu sein. Andere vermuteten, dass TrueCrypt bewusst eine falsche Warnung ausspielte, um auf eine Untersuchung der US-Behörden hinzuweisen. Da diese möglicherweise mit einem Redeverbot einhergeht, könnten die Entwickler das Projekt auf diese ungewöhnliche Weise beendet haben.

Eine Woche später ist zumindest ein Hack ausgeschlossen. Darauf lässt die Tatsache schließen, dass die Warnung noch immer auf der Website steht und die finale Version 7.2. mit dem privaten Schlüssel der Entwickler signiert ist – ein Hinweis darauf, dass es sich um eine legitime Version handelt.

Mutmaßlicher Entwickler meldet sich per E-Mail

Inzwischen hat sich immerhin ein mutmaßlicher Entwickler gemeldet. Ein Mann namens "David" schrieb per Mail, dass die Entwickler schlicht kein Interesse mehr an dem Projekt haben. TrueCrypt sei ursprünglich aus Mangel an Alternativen für Windows-Rechner entstanden, inzwischen gebe es aber genug andere Optionen. 

Den Verschwörungstheorien erteilte "David" eine Absage: Es habe bislang nur einmal Kontakt zu einem Regierungsmitarbeiter gegeben, dabei sei es um Kundensupport gegangen – weitere Informationen liefert "David" nicht. Hinter der E-Mail steht möglicherweise der Tscheche David Ondřej Tesařík, der in den Domaindaten und mehreren Dokumenten von TrueCrypt eingetragen ist. Die weiteren Entwickler des Projekts sind anonym. Das erschwert die Nachfragen bei Verantwortlichen. 

Keine Sicherheitslücken bekannt

Was "David" nicht beantwortet, ist die wichtigste Frage für die Nutzer: Ist TrueCrypt noch sicher? Tatsächlich gibt es trotz des Hinweises auf der Website keine Indizien dafür, dass die Sicherheit der Software eingeschränkt ist. Erst im April wurden die ersten Ergebnisse einer unabhängigen Überprüfung vorgestellt, die per Crowdfunding finanziert wurde. Die Fachleute konnten keine gravierenden Lücken feststellen. Die Initiatoren möchten auch den Rest der Software noch testen, selbst wenn das Projekt eingestellt ist.

Möglicherweise warnen die Entwickler von TrueCrypt lediglich vor der Nutzung, da sie nach dem Ende des Projekts künftige Lücken nicht mehr schließen können – ähnlich, wie es auch Microsoft mit seinem Betriebssystem Windows XP tut. Die Warnung wäre in diesem Fall eher vorbeugend, aber kein Hinweis auf aktuelle Sicherheitsrisiken. Ganz auszuschließen sind mögliche Hintertüren, wie bei allen Verschlüsselungsprogrammen, dennoch nicht.  Ebensowenig wie die Theorie, dass die Behörden doch hinter dem plötzlichen Ende stecken.

Zwei Schweizer möchten TrueCrypt weiterführen

In jedem Fall möchten die beiden Schweizer Thomas Bruderer und Joseph Doekbrijder das Projekt weiterführen. "TrueCrypt darf nicht sterben", schreiben sie auf der neu aufgesetzten Website truecrypt.ch. Doch eine Übernahme ist nicht einfach möglich, da TrueCrypt keine Open-Source-Anwendung ist und deshalb nicht einfach von Dritten adaptiert, in der Fachsprache "geforkt" werden kann.

Eine Wiederbelebung müsse deshalb in jedem Fall unter einem neuen Namen stattfinden, sagt Thomas Bruderer, der frühere Präsident der Schweizer Piratenpartei, gegenüber der Neuen Zürcher Zeitung. Der mutmaßliche Entwickler "David" schrieb in seiner E-Mail, dass er gegen eine Übernahme sei, da sich nur die Hauptentwickler mit dem Code richtig auskennen würden. Allerdings deutete er an, den Code zumindest als Referenz für neue Projekte zur Verfügung zu stellen.