Hacker TrueCrypt mit Sicherheitslücken wegen NSA? IT-Fachmann Reinhard Mutz empfiehlt aber "abwarten"

Es gehört weltweit zu den beliebtesten Verschlüsselungs-Systemen auf Windows- oder iOS-Systemen und ist auch in Deutschland sowohl auf Privatrechnern wie auf Firmenrechnern weit verbreitet: TrueCrypt. Jetzt, schreibt ZDNet.de, habe man festgestellt, dass TrueCrypt angeblich Sicherheitslücken aufweise, die durchaus als kritisch zu bewerten seien.

Keine NSA-Hintertüre? Diese Aussage gilt wohl seit Mai 2014 nicht mehr. Die USA hacken scheinbar alles und lassen China oder Russland dagegen als Hackernationen blass aussehen. Es wird empfohlen auf Veracrypt umzusteigen.

Konkret habe man, gleich zwei "kritische Sicherheitslücken entdeckt", welche "dazu missbraucht werden können, sich auch über ein eingeschränktes Windows-Konto Systemrechte zu verschaffen. Lösungen seitens der Entwickler wird es nicht mehr geben", schreibt Christian Schartel von cnet.de.

Konkret habe man die Sicherheitsdefizite in einem unter Windows installierten Treiber entdeckt und zwar von dem Google-Sicherheitsfachmann James Forshaw. Wer in diese nicht dichte Verschlüsselungs-Lücke vorstoße, der könne sogar Systemrechte erlangen selbst für den Fall, dass der Angemeldete nur eingeschränkte Zugriffsrechte besitze.

Konkret beträfen die Sicherheitsprobleme die Kennziffern CVE-2015-7538 und CVE-2015-7539. Allerdings haben Nutzer von TrueCrypt Pech: Denn die Entwickler arbeiten selbst nicht mehr an der Software.

Als Alternative empfehlen einige Sicherheitsfachleute VeraCrypt. Hier gibt es seit Samstag im Rahmen der weit verbreiteten Open-Source-Variante die Version 1.15. Sie nutzt die Technik des TrueCrypt-Codes.

TrueCrypt wird bereits seit Mai 2014 nicht mehr weiter entwickelt. Begründet wurde dies schon damals damit, mal halte die eigenen Verschlüsselungssoftware nicht mehr als sicher - wohl auch angesichts der massiven kriminellen Hackeraktivitäten durch die US-Stasibehörde NSA.

Dass die NSA mit der angeblichen Sicherheitslücke möglicherweise etwas zu tun haben könnte, meint auch der Leipziger Reinhard Mutz, Sicherheitsexperte und Nutzungs-Fachmann für TrueCrypt. Er sagt zu dem aktuellen Gerücht rund um TrueCrypt:

"Wichtig ist nun, dass wir wissen, welche Version von TrueCrypt betroffen sein soll. Das muss geklärt werden. Wichtig ist zudem zu wissen, betrifft die Sicherheitslücke eine Version vor dem Mai 2014, also jenem Datum, als die Nicht-Weiterentwicklung von TrueCrypt bekannt gegeben worden ist, oder die Version danach. Kritisch wäre es, wenn die Sicherheitslücke wirklich in der Version 7.1A wäre, also in einer deutlich älteren als jener vom Mai 2014."

Zudem sagt Sicherheitsfachmann Mutz, könne man sich nicht des Eindrucks erwehren, dass mit plötzlich auftretenden angeblichen Sicherheitslücken die Hackernation USA und ihre Hackerbehörde NSA zu tun habe: "Es gibt das Gerücht, dass ein TrueCrypt-Hintertürchen, also letztlich eine Sicherheitslücke, künstlich auf Anweisung der NSA eingebaut worden ist - von wem auch immer. Das wäre zwar ein Skandal, ist aber angesichts dessen, was wir von Edward Snowden erfahren haben, leider nicht mehr weiter verwunderlich."

Dennoch mahnt Mutz zunächst einmal vor übertriebenem Aktionismus: "Erstens müsste jemand, um die angebliche Sicherheitslücke in TrueCrypt ausnutzen zu können, direkten Zugriff auf einen Computer haben. Das ist auch wieder nicht so einfach. Zudem müsste beispielsweise bei einem Firmenrechner über ein Gastkonto Zugriff auf einen Computer erlangt werden. Nur wer direkt auf dem PC ist, kann ja weitere Dinge anstellen. Weiß aber jemand das TrueCrypt-Passwort nicht, halte ich eine Entwendung oder Spionage von Daten eher für unwahrscheinlich. Vorsicht ist aber sicherlich bei allen TrueCrypt-Versionen nach Mai 2014 gegeben."

Ein Umstieg von TrueCrypt auf VeraCrypt, eine Alternative, könne man zwar vollziehen, sei aber nicht unbedingt notwendig. "Jetzt warten wir erst einmal ab, was in einigen Tagen an weiteren Details zur Sicherheitslücke bekannt wird", so Reinhard Mutz.

TrueCrypt und VeraCrypt ist weit verbreitet. Beide Software-Programme sind kostenlos und ermöglichen auf Windows oder dem Apple-Betriebssystem iOS eine teilweise oder komplette Festplattenverschlüsselung.

Hier die komplette Stellungnahme von It-Sicherheitsfachmann Reinhard Mutz, welche er netz-trends.de sendete:

"Voraussetzung zur Ausnutzung für den nun gefundenen TrueCrypt-Bug ist ein physikalischer Zugriff auf den Rechner. Das ist bisher bekannt. Das heißt, es muss jemand direkt den betreffenden Rechner in der Hand halten. Das gilt zumindest für Privatrechner. Komplexer wird es, wenn es sich um einen Firmenrechner handelt. Dann genügt es, wenn ein Mitarbeiter über einen Gastaccount Zugriff auf den vom TrueCrypt verschlüsselten Rechner beispielsweise über die Systemadministration erhält. Soweit ich bislang erfahren konnte, scheint die Version truecrypt7.1a betroffen, also eine neuere.

Der bekannte Leipziger IT-Sicherheitsfachmann Reinhard Mutz.

Dennoch gibt es derzeit keinen Grund zur Panik. Privatleute dürfen in Ruhe auf die konkreteren Meldungen warten und sollten, falls immer möglich, auf veracrypt (https://veracrypt.codeplex.com) umsteigen.

Bei Firmennetzen kann das völlig anders aussehen. Hier kann bei installiertem truecrypt jeder Mitarbeiter sich selbst zum Administrator machen. Die IT Verantwortlichen sollten hier konkret die realen Gefahren abschätzen und handeln. Auch hier sollte nach Möglichkeit auf veracrypt gewechselt werden.

Auch Lavabit als E-Mail-Service, von Edward Snowden genutzt, wurde auf Druck der NSA eingestellt

Die Meldung selbst, die den Eindruck erweckt, als sei TrueCrypt sei generell nicht mehr sicher, scheint geeignet zu sein, panische und hysterische Aktivitäten hervor rufen zu wollen. So mancher User wird sicherlich auf eine aktuelle truecrypt Version wechseln. Das aber sollte man unter allen Umständen nicht tun. Die neueren Versionen von truecrypt könnten eine Backdoor enthalten. Man munkelt, dass die Entwickler nach einer Aufforderung durch die NSA oder FISC einfach nur aufgegeben haben, ähnlich wie der Gründer von Lavabit seinen Emaildienst eingestellt hat.

Bekanntlich hat Edward Snowden auch Lavabit benutzt. Der Inhaber und Entwickler von Lavabit wurde seinerzeit aufgefordert, den Geheimdiensten unverschlüsselten Zugriff auf die Emailkonten seiner Anwender zu ermöglichen. Er hat es vorgezogen, den Dienst sofort einzustellen. Bekannt ist zudem, dass die US-Behörden Anbieter verschlüsselter Dienste, die sich weigern, den Ami-Hackerbehörden NSA & Co Zugriff auf Daten und die Verschlüsselungs-Software zu gewähren, langjährige Haft androhen und sehr teure Gerichtsprozesse. Mit Demokratien ist ein solches Verhalten eigentlich nicht vereinbar, aber in den USA scheinbar Gang und Gäbe."