Ist TrueCrypt noch sicher?

Wenigen Programmen im Netz vertrauten auch kritische Geister bislang so sehr wie TrueCrypt. Selbst Edward Snowden benutzte die Verschlüsselungssoftware, um seine Daten zu schützen. Noch 2012 empfahl der Whistleblower, das Tool zu benutzen. 

Doch seit Mittwoch wird die Website des kostenlosen Programms umgeleitet. Dort ist seitdem folgende Warnung zu lesen: "Die Nutzung von TrueCrypt ist nicht sicher, da nicht behobene Sicherheitslücken enthalten sein können. Die Entwicklung von TrueCrypt wurde 5/2014 beendet, nachdem Microsoft die Unterstützung von Windows XP eingestellt hatte". Es folgt eine Anleitung, wie die Nutzer auf das Verschlüsselungsprogramm Bitlocker von Microsoft wechseln können.

Sämtliche Versionen von TrueCrypt wurden aus dem Portal SourceForge gelöscht und mit der mutmaßlich neuen Version 7.2 ersetzt. Die erlaubt es lediglich, die Daten ein letztes Mal zu entschlüsseln. Beim Ausführen des Programms erscheint eine ähnliche Warnung wie auf der Website.

Nun rätseln Nutzer und Sicherheitsexperten: Wurde das erfolgreiche Projekt tatsächlich plötzlich eingestellt oder handelt es sich vielleicht doch bloß um einen Hack? Bis jetzt wurde weder das eine noch das andere bestätigt. Offizielle Stellungnahmen gibt es nicht; die Entwickler von TrueCrypt sind anonym, die Strukturen des Projekts weitestgehend unbekannt.

TrueCrypt ist eines der beliebtesten Tools zur Verschlüsselung von Dateien, Wechseldatenträgern oder Festplatten. Die Software gibt es seit 2004 und unzählige Websites – darunter auch ZEIT ONLINE – geben Anleitungen, wie die Nutzer damit ihre Daten verschlüsseln können. Obwohl TrueCrypt wie praktisch alle Verschlüsselungstechniken immer wieder verdächtigt wurde, eine Hintertür zu enthalten, galt das Programm bis dato als sicher.

Prüfung im April hatte keine Sicherheitslücken festgestellt

Das abrupte Ende kommt überraschend. Fachleute fragen sich nun zum einen, inwiefern das Ende von Microsoft XP überhaupt mit der Entwicklung von TrueCrypt zu tun haben soll. Zum anderen ist es seltsam, dass die Entwickler mit Bitlocker als Alternative ausgerechnet eine proprietäre Software von Microsoft empfehlen. Die NSA-Enthüllungen hatten gezeigt, dass Microsoft und andere führende Technologiekonzerne zumindest in einigen Fällen mit den Geheimdiensten kooperierten.

Auch ist unbekannt, welche Lücken TrueCrypt eigentlich haben soll. Erst im Oktober sammelte eine Crowdfunding-Kampagne 46.000 US-Dollar, um TrueCrypt einer unabhängigen Sicherheitsprüfung, dem sogenannten audit, zu unterziehen. Im April stellten die Experten die Ergebnisse des ersten Teilabschnitts vor: Der Code von TrueCrypt sei zwar an einigen Stellen etwas schlampig geschrieben, das Programm aber soweit sicher. Matthew Green, Informatiker an der Johns Hopkins Universität und Initiator des Open Crypto Audit Projects, bestätigte das auf Twitter.

Dennoch schließt Green nicht aus, dass die Entwickler angesichts der nächsten Phase der Sicherheitsüberprüfung kalte Füße bekamen. "Ich glaube, das TrueCrypt-Team hat sich zum Aufhören entschieden und das ist ihr eigener Weg, das zu tun", sagte Green dem Blogger Brian Krebs. Er wolle das Audit in jedem Fall abschließen; allein schon, um der Sache auf den Grund zu gehen.

Signaturen sprechen gegen einen Hack

An einen Hack glaubt Green nicht. Tatsächlich scheint das nach fast 24 Stunden immer unwahrscheinlicher zu sein. Dafür müsste ein Hacker nämlich zunächst die anonymen Entwickler identifiziert, anschließend ihre private Signatur gestohlen und dann auch noch die Website gehackt haben.

Vor allem die Signatur wirft Fragen auf. Die aktuelle, geänderte Version 7.2 der Software ist mit dem gleichen, eindeutig identifizierbaren Schlüssel signiert wie frühere Versionen. Auf diesen Schlüssel haben in der Regel nur die Entwickler persönlich Zugriff, um damit die Echtheit der Software zu bestätigen. Zwar ist es denkbar, dass ein Hacker oder eine andere Person an einen der Schlüssel herangekommen ist. Allerdings ist es unwahrscheinlich, dass dies wirklich ohne die Kenntnis der Entwickler geschah.

Bedrohen die Geheimdienste TrueCrypt?

Es gibt noch eine dritte Erklärung, die zwar abenteuerlich, aber nicht komplett abwegig ist: Die Warnung auf der Website könnte ein sogenannter Kanarienvogel sein, der die TrueCrypt-Nutzer darauf hinweist, dass die Sicherheit des Projekts im Hintergrund beeinträchtigt ist. Erinnerungen an die Geschichte des Email-Anbieters Lavabit werden wach.

Lavabit war ein besonders sicherer Email-Dienst, den unter anderem Edward Snowden nutzte. Wenige Wochen nach dessen ersten Enthüllungen forderten die amerikanischen Geheimdienste Lavabit auf, seine Nutzerdaten bereitzustellen. Nachdem das FBI im August vergangenen Jahres per sogenanntem National Security Letter (NSL) den vollständigen Zugriff auf die verschlüsselten Nachrichten erwirkte, stellte Lavabit seinen Dienst ein. Eine Begründung lieferte Lavabit zu diesem Zeitpunkt nicht, da ein NSL meist auch ein Redeverbot mit sich bringt.

Genau dieses Redeverbot könnte, so vermuten einige Nutzer, nun auch TrueCrypt getroffen haben. Die mysteriöse Warnung auf der Website wäre demnach kein Hack, sondern ein Hinweis darauf, dass die Entwickler von den Behörden ins Visier genommen wurden und die Sicherheit der Nutzer nicht mehr garantieren können.

Drittentwickler hoffen auf die Fortsetzung

Bevor nun genauere Details über die mutmaßlichen Sicherheitslücken bekannt werden und solange eine offizielle Bestätigung noch aussteht, sollten Nutzer die Version 7.2 also besser nicht gebrauchen. Schon mit TrueCrypt verschlüsselte Festplatten können mit der älteren Version weiterhin verwendet werden. Für Privatnutzer, die lediglich einige Dateien vor fremden Blicken schützen möchten, ist TrueCrypt nach dem jetzigen Informationsstand weiterhin eine Alternative.

Die Entwickler-Szene hofft derweil, im Fall einer Bestätigung das Projekt auf Basis der älteren Versionen fortführen zu können. Ganz einfach ist das nicht, denn TrueCrypt ist keine Open-Source-Software. Die Lizenz sieht eine einfache Übernahme nicht vor. Auch das enttäuscht den Hopkins-Informatiker Matthew Green: "Es gab viele Möglichkeiten für die Entwickler, anderen Menschen den Code zu überlassen und damit die Lizenzsituation zu retten", sagt Green, "doch sie haben die ganze Sache in Brand gesteckt."