BSI musste Audit-Ergebnisse zu TrueCrypt-Sicherheitsmängeln veröffentlichen
Ein erst jetzt veröffentlichter BSI-Prüfbericht von 2010 zur Verschlüsselungssoftware TrueCrypt offenbart Fehler, die teils sogar noch in VeraCrypt stecken.
(Bild: pixabay (Collage))
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein aus dem Jahr 2010 stammendes ausführliches Sicherheitsaudit der mittlerweile eingestellten Software TrueCrypt trotz mehrerer entdeckter Schwachstellen fast neun Jahre lang unveröffentlicht gelassen und die Ergebnisse auch nicht mit den Entwicklern des TrueCrypt-Nachfolgers VeraCrypt geteilt. Das haben Recherchen des freien Journalisten Hanno Böck ergeben.
Die Entwicklung der beliebten und weitverbreiteten Software zur kompletten oder teilweisen Verschlüsselung von Festplatten und Wechseldatenträgern war im Mai 2014 überraschend eingestellt worden. Mehr noch: Auf der offiziellen Website tauchte gar ein Hinweis auf, dass die Software aufgrund nicht behobener Sicherheitslücken unsicher sein könnte. Später äußerte ein Entwickler wiederum, dass das Team schlicht das Interesse an dem Projekt verloren hätte.
Bis heute sind die tatsächlichen Gründe für das TrueCrypt-Aus unklar.
Audit-Ergebnisse erst jetzt öffentlich verfügbar
Die BSI-Audit-Dokumente von 2010 sind seit dem gestrigen Montag auf der Internetplattform "FragDenStaat" öffentlich verfügbar. Allerdings machte das BSI sie nicht etwa aus eigenem Antrieb publik, sondern reagierte damit eher schleppend auf eine bereits Ende Oktober gestellte anonyme Anfrage auf "FragDenStaat". Die Plattform ermöglicht es Bürgern, auf Basis des Informationsfreiheitsgesetzes Anfragen an Behörden zu stellen.
Ursprünglich hatte das BSI dem Fragesteller die Dokumente lediglich unter der Auflage zukommen lassen, diese aus urheberrechtlichen Gründen nicht zu veröffentlichen. Böck, der die Dokumente ebenfalls anforderte, erhielt nach eigenen Angaben zunächst eine lückenhafte Version, die erst nach zweimaliger Rückfrage vervollständigt wurde. Bei einem der fehlenden Teile habe es sich ausgerechnet um eine Beschreibung möglicher Angriffe auf die entdeckten Schwachstellen gehandelt.
"Das Urheberrecht dient Behörden häufig als Vorwand, um die Veröffentlichung von Dokumenten zu verhindern", merkt Böck an.
Alte Lücken schafften es in den VeraCrypt-Code
Laut Böck hatte das BSI das Audit eigenen Angaben zufolge durchgeführt, um (selbst) "Sicherheitserkenntnisse über Truecrypt zu gewinnen". Es sei von vornherein nicht zur Veröffentlichung bestimmt gewesen. Zwar habe die Behörde die TrueCrypt Foundation anschließend über die entdeckten Sicherheitsmängel informiert; allerdings habe diese daraufhin laut BSI mitgeteilt, dass die Ergebnisse für sie "nicht relevant" seien.
Tatsächlich hielten die Entwickler der Verschlüsselungssoftware die auf über 400 Seiten zusammengetragenen Sicherheitsprobleme samt Lösungsvorschlägen offenbar für so unbedeutend, dass sie nur einen Teil davon behoben. Ein Beleg dafür: Die noch vorhandenen Fehler tauchen im Code des TrueCrypt-Nachfolgers VeraCrypt auf, der auf dessen Quellcode basiert.
Der Chefentwickler von VeraCrypt wiederum betonte, vom BSI nicht über das Audit informiert worden zu sein. Böck zitiert die Begründung des BSI mit den Worten: "Das Projekt des IT-Investitionsprogramms wurde im Jahre 2011 abgeschlossen, also lange vor der Gründung von Veracrypt im Jahre 2015."
