BSI zu TrueCrypt-Audit von 2010: "Responsible Disclosure schien nicht möglich"

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich via Twitter zu den Gründen dafür geäußert, dass es die Ergebnisse eines 2010 durchgeführten Sicherheitsaudits zur Verschlüsselungssoftware TrueCrypt trotz mehrerer gefundener Lücken bis vor kurzem nicht veröffentlichte.

TrueCrypt-Entwickler zeigten kein Interesse

In mehreren Tweets begründete das BSI seine Vorgehensweise damit, dass die Entwickler von TrueCrypt, die es im Vertrauen über die Sicherheitslücken informiert hatte, kein Interesse an deren Schließung gezeigt hätten. Ein Responsible-Disclosure-Verfahren, also eine Veröffentlichung in einem verantwortungsvollen Rahmen, schien der Behörde daher nicht möglich.

Außerdem verweist das BSI auf ein 2015 veröffentlichtes Folge-Audit zur letzten offiziellen TrueCrypt-Version 7.1, in dem "entsprechende Schwachstellen" benannt worden seien – ohne allerdings darauf einzugehen, ob und inwieweit sich Lückenfunde aus beiden Audits tatsächlich überschnitten. Bekannt ist, dass die Entwickler des TrueCrypt-Nachfolgers VeraCrypt, die lediglich Kenntnis vom 2015er-Audit hatten, die von ihnen genutzte TrueCrypt-Codebase auf Basis dieses zweiten Audits patchten. Und dass dabei Bugs unbehoben blieben, die womöglich nur im ersten Audit erwähnt wurden.

Das 2010 erstellte "verschwundene" Audit, dessen Existenz erst durch eine Ende Oktober 2019 gestellte Anfrage auf Basis des Informationsfreiheitsgesetzes auf der Internetplattform "FragDenStaat" sowie Recherchen des freien Journalisten Hanno Böck publik wurde, ist seit vergangenem Montag öffentlich verfügbar.

Die Veröffentlichung erfolgte schleppend; unter anderem hatte Böck selbst berichtet, dass er erst nach zweimaligem Nachfragen das gesamte Dokument erhielt. Dem urprünglichen Fragesteller hatte das BSI die Dokumente gar nur unter der Auflage zukommen lassen, diese aus urheberrechtlichen Gründen nicht zu veröffentlichen.

Gemischte Reaktionen und offene Fragen

Einige Twitter-Nutzer bedankten sich beim BSI für die Klarstellung und fanden das Verhalten der Behörde nachvollziehbar. Andere äußerten Kritik an deren Responsible-Disclosure-Verständnis.

Denn normalerweise ist es zwar üblich, Entwicklern vor der Veröffentlichung von Sicherheitslücken eine festgesetzte Zeitspanne zu deren Behebung einzuräumen. Das anschließende "Verschweigen" der Lücken bei fehlender Reaktion der Entwickler setzt Nutzern aber einem hohen Risiko aus. Denn es verhindert die (externe) Entwicklung von Patches oder anderen Sicherheitsmaßnahmen und schafft freie Bahn für Angreifer, die die Lücken auf eigene Faust finden und ausnutzen.

Vor allem erklärt das aktuelle BSI-Statement noch immer nicht, warum die Behörde die Entwickler des TrueCrypt-Nachfolgers VeraCrypt nicht über die Lücken in der von ihnen weitergenutzten Codebase informierten (soweit diese nicht auch Teil des 2015er-Audits waren). Gegenüber Hanno Böck hatte das BSI zur Begründung lediglich angeführt, dass das mit dem 2010er-Audit verknüpfte "Projekt des IT-Investitionsprogramms" bereits 2011 abgeschlossen worden sei – "also lange vor der Gründung von Veracrypt im Jahre 2015."

heise Security hat noch einmal beim BSI nachgefragt; eine Antwort steht noch aus.

Hintergrundinformationen zum "verschwundenen" TrueCrypt-Audit:

• BSI musste Audit-Ergebnisse zu TrueCrypt-Sicherheitsmängeln veröffentlichen

(ovw)