Schrift:
Ansicht Home:
Netzwelt

Verschlüsselung

Experten rätseln über plötzliches Aus von Truecrypt

Die Entwickler von Truecrypt haben das Projekt offenbar eingestellt: Nutzer werden vor möglichen Sicherheitslücken gewarnt, die aktuelle Version des Programms beschränkt sich auf eine Funktion.

TrueCrypt

Truecrypt: Von Snowden empfohlen, von Entwicklern zurückgezogen

Freitag, 30.05.2014   12:14 Uhr

Die Fachwelt rätselt über die Sicherheitswarnungen auf der offiziellen Download-Seite des Verschlüsselungsprogramms Truecrypt. Sämtliche Links sind mit einem Warnhinweis in roter Schrift gekennzeichnet, der besagt: "Es ist nicht sicher, Truecrypt zu benutzen." Es könnten Sicherheitsprobleme auftreten, die bisher nicht behoben seien. Betroffen sind offenbar alle Versionen, sowohl für Windows-, Linux- und Mac-OS-Nutzer. Mit Truecrypt lassen sich Dateien oder ganze Festplatten verschlüsseln - bisher galt das Verfahren als sicher.

Wer hinter der Software steckt, ist nicht bekannt, die Entwickler bleiben anonym. Jetzt heißt es auf der Website: "Die Entwicklung von Truecrypt wurde im Mai 2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat." Stattdessen sollen die Nutzer auf alternative Verschlüsselungs-Software zurückgreifen, beispielsweise auf Bitlocker, das bei neueren Windows-Versionen mitgeliefert wird. Die Entwickler empfehlen, alle mit Truecrypt verschlüsselten Daten auf Laufwerken zu speichern, die mit einem anderen Programm kodiert sind.

Stehen die Macher unter Druck von Behörden?

Das plötzliche Aus von Truecrypt überrascht die Fachwelt. Die Software ist eines der beliebtesten Verschlüsselungs-Tools im Netz: Sie ist gratis, der Quellcode ist für alle einsehbar. Im Netz kursieren mittlerweile Gerüchte, dass es sich bei der Warnung um eine Falschmeldung handeln könnte und möglicherweise Hacker die neue Version ins Netz gestellt haben könnten. Dagegen spricht jedoch, dass die aktuelle Version 7.2 mit dem privaten Schlüssel der Entwickler zertifiziert ist.

Eine andere Theorie besagt, dass Forderungen von US-Behörden hinter dem Entwicklungsstopp stecken könnten, Zugriff auf Daten zu erlangen, die mit Truecrypt verschlüsselt sind. Von einem "Lavabit 2" ist in einigen Foren die Rede. Der E-Mail-Dienst Lavabit ist im August vergangenen Jahres eingestellt worden. Der Betreiber war von der Regierung gezwungen worden, bei der Entschlüsselung von Daten zu helfen - und schloss daraufhin lieber den ganzen Dienst. Auch Edward Snowden soll Lavabit genutzt haben.

Suche nach Schwachstellen

Der Verschlüsselungsexperte Matthew Green geht davon aus, dass die Truecrypt-Entwickler tatsächlich den Betrieb eingestellt haben. Green ist verantwortlich für das Crowdfunding-Projekt "The Truecrypt Audit", das mehr als 46.000 Dollar an Spenden eingesammelt hat. Das Ziel: den Programmcode auf Fehler und Schwachstellen zu testen. Im April verkündete das Team, dass die erste Phase des Projekts beendet sei. Die Tester haben bisher keine Hintertüren entdeckt und insgesamt elf Schwachstellen, die aber nur als schwach bis mittelschwer eingestuft wurden.

Green habe keine Ahnung, von welchen Sicherheitsproblemen auf der Website die Rede sei, teilte er über Twitter mit. Dennoch glaube er, dass das Truecrypt-Team dahintersteckt. "Sie haben sich entschieden aufzuhören, und das ist ihre unverkennbare Art, das zu machen", sagt Matthew Green gegenüber dem Tech-Blog "Krebs on Security".

Aktuelle Version nicht nutzen

Die Download-Links auf Truecrypt verweisen auf die aktuelle Version 7.2, deren Funktionsumfang darauf beschränkt ist, Daten zu entschlüsseln. Links auf ältere Versionen haben die Entwickler entfernt. Sicherheitsexperten bei "Heise" raten allerdings davon ab, die aktuelle Version zu benutzen. "Es empfiehlt sich, diese zunächst mal nicht zu installieren und abzuwarten, bis sich die Situation etwas geklärt hat", heißt es dort.

jbr/ore/juh

insgesamt 34 Beiträge
Dyl Ulenspegel 30.05.2014
1. x
Truecrypt ist einfach zu gut, als dass die US-Regierung damit leben könnte. Ich deute Hinweis der Programmier auf Microsofts Bitlocker als Warnung davor, dass dort etwas nicht mit rechten Dingen zugeht. Es passt nämlich so [...]
Truecrypt ist einfach zu gut, als dass die US-Regierung damit leben könnte. Ich deute Hinweis der Programmier auf Microsofts Bitlocker als Warnung davor, dass dort etwas nicht mit rechten Dingen zugeht. Es passt nämlich so überhaupt gar nicht zum Ethos von Open-Source-Programmierern, kommerzielle Software zu empfehlen...
shr00m 30.05.2014
2. Schwachsinn.
Von "offenbar eingestellt", kann keine Rede sein, das sieht eher danach aus, dass die Webseite gehackt wurde. Die neu hochgeladene True Crypt Version 7.2 sollte nicht heruntergeladen werden - Virengefahr! Der Text [...]
Von "offenbar eingestellt", kann keine Rede sein, das sieht eher danach aus, dass die Webseite gehackt wurde. Die neu hochgeladene True Crypt Version 7.2 sollte nicht heruntergeladen werden - Virengefahr! Der Text liest sich wie ein April Scherz, denn kein Crypto Entwickler würde freiwillig so einen Blödsinn schreiben. Schon garnicht die Empfehlung auf das proprietäre Bitlocker zu setzen. Im übrigen wurde der Quellcode gerade erst überprüft und für unbedenklich befunden. Dieser Vorfall stinkt zum Himmel.
schmusel 30.05.2014
3. Lavabit 2? Quatsch!
Parallelen zu Lavabit gibt es keine. Keine US-Behörde hätte eine Handhabe gegen die Leute hinter TrueCrypt, die einer rechtlichen Prüfung stamdhalten würde - schliesslich bietet TC keinen Dienst an, auf den es sich zuzugreifen [...]
Parallelen zu Lavabit gibt es keine. Keine US-Behörde hätte eine Handhabe gegen die Leute hinter TrueCrypt, die einer rechtlichen Prüfung stamdhalten würde - schliesslich bietet TC keinen Dienst an, auf den es sich zuzugreifen lohnen würde. Es findet alles beim Nutzer statt. Das ganze ist OpenSource, womit klar wäre, dass es auf die eine oder andere Art ohnehin weiter geht. Natürlich würden die Spione solche Hindernisse nur zu gerne aus dem Weg geräumt sehen, aber wie sollten sie das anstellen ohne geltendes Recht, inklusive der weitreichenden Befugnisse, zu verletzen, worüber die TC Entwickler ohne Furcht vor rechtlichen Konsequenzen die Öffentlichkeit informieren könnten. In diesem Zammenhang könnte ich mir nur vorstellen, dass da ein paar leere Drohungen ausgesprochen wurden und die TC Entwickler es (unbegründet) mit der Angst zu tun bekommen haben. Vermutlich liegen die Gründe aber ganz woanders. Womöglich arbeiten die jetzt für Microsoft und eine Bedingung war die Einstellung der TC Entwicklung ihrerseits... Wie dem auch sei, ich hab ja noch eine brauchbare Installation davon. :-)
shr00m 30.05.2014
4. Ok, was wäre wenn...
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. Dieser Satz auf deren Seite macht keinen Sinn. Jede Software kann immer Sicherheitsprobleme beinhalten und es ist sicher kein Grund das Projekt [...]
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. Dieser Satz auf deren Seite macht keinen Sinn. Jede Software kann immer Sicherheitsprobleme beinhalten und es ist sicher kein Grund das Projekt zu beenden. Es sei denn: WARNING: Using TrueCrypt is (n)ot (s)ecure (a)s it may contain unfixed security issues. Vielleicht hat die NSA die anonymen Entwickler aufgespürt und ihnen eine gerichtliche Anordnung auferlegt, eine neue Version mit einem Backdoor herauszubringen. Das würde diese komische Version 7.2 erklären, die man keinesfalls benutzen sollte.
citizengun 30.05.2014
5.
Truecrypt war nie sicher, da es auf einem System läuft welches sich jederzeit latent kompromittieren lässt. Das haben die Entwickler auch früher schon gewusst, nur zugeben wollten sie es eben nicht da es eine gute Werbequelle [...]
Truecrypt war nie sicher, da es auf einem System läuft welches sich jederzeit latent kompromittieren lässt. Das haben die Entwickler auch früher schon gewusst, nur zugeben wollten sie es eben nicht da es eine gute Werbequelle war. Truecrypt stammt noch aus der Zeit wo die grossen deutschen Zeitschriften mit privater Softwareverschlüsselung geworben haben und zwar wohlgemerkt jede mit ihrem eigenen Programm. Truecrypt ist zu Teilen zusammengeklauter (aber freigegebener) Code bei dem die Vermarktung sich letzten Endes auf die Integration der Systemverschlüsselung bezieht. Dies ist bei Manipulation von undokumentiertem Windowscode immer eine Gradwanderung gewesen und hier liegt auch die Krux. In Zeiten von Signaturen und immer grösserer Abhängigkeit von Monopolisten wie Microsoft (Secure Boot), Intel (AMT) und Apple ((U)EFI) wird es immer schwieriger kompatiblen Code und zufriedene Kundschaft zu generieren. Darum haben sie (oder Er) aufgegeben.

Verwandte Artikel

Mehr im Internet

Verwandte Themen

Zum Autor

  • Jörg Breithut sucht von Stuttgart aus nach Themen im Internet. Und schreibt sie dort auch wieder rein.

  • Blog von Jörg Breithut

Schad- und Spähsoftware

Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.

Artikel

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP