Sicherheitslücken gefährden angeblich TrueCrypt

Die Entwickler des Open-Source-Projekt TrueCrypt haben das gleichnamige Verschlüsselungstool eingestellt. Auf der seit Mittwoch auf Sourceforge umgeleiteten Website begründen sie den Schritt damit, dass die TrueCrypt-Software “unsicher” sei und möglicherweise ungepatchte Sicherheitslücken enthalte. Sie raten Nutzern von TrueCrypt, zu Microsofts Festplattenverschlüsselung BitLocker zu wechseln.

Die Entwickler von TrueCrypt haben das Verschlüsselungs-Tool mit Hinweis auf ungepatchte Sicherheitslücken eingestellt (Screenshot: ZDNet).

“Die Entwicklung von TrueCrypt wurde im Mai 2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat”, heißt es derzeit auf der TrueCrypt-Website. “Windows 8, 7, Vista und später bieten eine integrierte Unterstützung für verschlüsselte und virtuelle Festplatten an. Diese integrierte Unterstützung ist auch für andere Plattformen erhältlich. Sie sollten alle mit TrueCrypt verschlüsselten Daten auf verschlüsselte Festplatten oder virtuelle Festplatten-Images übertragen, die von Ihrer Plattform unterstützt werden.”

Allerdings bildet BitLocker für viele Windows-Nutzer keine Alternative, da die Funktion lediglich in den Enterprise- und Ultimate-Versionen von Windows Vista, 7 und 8 enthalten ist. Die Professional-Version erhält erst mit Windows 8.1 standardmäßig BitLocker. Die Home-Ausgaben des Microsoft-Betriebssystems verfügen hingegen über keine Datei- oder Festplattenverschlüsselung.

Seit Mittwoch rätseln viele Nutzer auf Twitter über die wahren Beweggründe für die Beendigung von TrueCrypt. Zudem gibt es keine Angaben zu den “ungepatchten Sicherheitslücken”. Der Kontakt mit den Entwickler ist schwierig, da ihre Identität unbekannt ist. Steven Barnhart ist offenbar gelungen mit dem ihnen zu sprechen. Auf Twitter schreibt er, dass ihm die Entwickler erklärt haben, sie hätten das Interesse an dem Projekt verloren.

Die Anonymität der Entwickler gab zuletzt Anlass zu Kritik. Aus diesem Grund hatte ein Projekt von Freiwilligen vor kurzem ein formelles Security-Audit gestartet. In Fefes Blog heißt es dazu, die Phase 1 sei “mit recht positiven Ergebnissen” abgeschlossen worden. Die Phase 2 habe jedoch noch nicht angefangen.

Der Autor des Blogs, Mitinhaber des Berliner Sicherheitsunternehmens Code Blau, legt zudem Nahe von der Installation der seit Mittwoch verfügbaren Version 7.2 von TrueCrypt Abstand zu nehmen. Sie sei mit dem Schlüssel der Vorgängerversion signiert worden. Darüber hinaus machen die Entwickler bei der Installation darauf aufmerksam, dass das Update nur zur Migration verschlüsselter Daten geeignet ist, also zur Entschlüsselung von Daten. Neue verschlüsselte Laufwerke lassen sich damit nicht anlegen.

Wie Matthew Green, Kryptograph, Professor an der John Hopkins University und Leiter des TrueCrypt-Audit-Projekts, mitteilt, sind ihm keine weiteren Details bekannt. Die Entwickler wollten offenbar einfach nur ihre Arbeit beenden und haben das eben auf ihre Art mit einem “Knall” getan, erklärte er in einem Interview mit dem Sicherheitsexperten Brian Krebs.

Möglicherweise sei TrueCrypt aber kompromittiert worden. Wie aus einem Gespräch zwischen Green und dem Reporter Glenn Greenwald hervorgeht, nehmen beide an, dass es Behörden gelungen ist, auf eine mit TrueCrypt verschlüsselte Festplatte zuzugreifen, die Greenwalds Lebensgefährten gehört. “Einer nicht zertifizierten Windows-Anwendung von einer mysteriösen anonymen Organisation zu vertrauen, ist keine vorbildliche Lösung”, sagte Green.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

View Comments

  • Warum empfehlen Open-Source-Software Entwickler ausgerechnet Microsofts BitLocker? Ob die Programmierer das Interesse verloren haben, weil ihnen Microsoft ein lukratives Angebot gemacht hat?
    Wenn mir eine überzeugende Summe angeboten würde, wäre ich sicher auch bereit, ein Projekt nicht mehr weiter zu verfolgen. :-)

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago