Das Fraunhofer SIT hat die Verschlüsselungssoftware TrueCrypt auf Sicherheitslücken hin analysiert. Das Ergebnis: Die kryptografischen Funktionen sind nur in sehr seltenen Fällen angreifbar. Eine Sicherheitslücke, die Ende September gefunden wurde, ist nach Ansicht der Experten des Fraunhofer SIT zwar generell problematisch, hat jedoch für die Sicherheit von TrueCrypt selbst keine Relevanz.
Die quelloffene Verschlüsselungslösung TrueCrypt ist im Juni 2014 von ihren Entwicklern aufgegeben worden, den zahlreichen Nutzern der Lösung hinterließen die anonymen Projektväter lediglich einen Hinweis zu möglichen Sicherheitslücken. Experten des Fraunhofer SIT haben TrueCrypt im Auftrag des BSI auf Sicherheitslücken und Fehler in der Programmierung hin untersucht. Dabei hat das Fraunhofer-Team unter der Leitung von Prof. Dr. Eric Bodden auch die Ergebnisse vorheriger Sicherheitsanalysen berücksichtigt und überprüft. Die Experten sind zu dem Schluss gekommen, dass TrueCrypt sicherer ist, als es vorherige Einschätzungen vermuten lassen.
Googles Project Zero hatte Ende September zwei bislang unbekannte Lücken in TrueCrypt entdeckt und eine davon als kritisch eingestuft. Die Lücke ermöglicht es einem Angreifer, der über Schadcode bereits Zugriff auf den laufenden Computer hat, erweiterte Systemrechte zu erlangen. Prof. Dr. Michael Waidner, Institutsleiter des Fraunhofer SIT, sagt hierzu: „Die gefundene Schwachstelle sollte zwar behoben werden, vereinfacht einem Angreifer aber nicht den Zugriff auf verschlüsselte Daten“. Um die Schwachstelle ausnutzen zu können, müsste der Angreifer ohnehin bereits weitreichenden Zugriff auf den Rechner haben, beispielsweise über einen Trojaner. „TrueCrypt ist schon prinzipbedingt nicht dazu geeignet, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann“, erklärt Waidner, „leider wird das oft missverstanden“.
Nach Ansicht der Fraunhofer-Experten bietet TrueCrypt vor allem dann einen guten Schutz, um Daten offline auf verschlüsselten Laufwerken zu lagern. „Das trifft beispielsweise auf ein Backup zu, das auf einer Festplatte verwahrt wird, oder auf einen USB-Stick, auf dem verschlüsselte Daten etwa über einen Boten versendet werden. TrueCrypt schützt verschlüsselte Daten aber auch auf abgeschalteten Laptops, wenn diese gestohlen werden“, so Waidner. „Das, was TrueCrypt leisten soll, macht es relativ gut“, fasst der Experte zusammen, „im laufenden Betrieb kann es jedoch Daten nicht wirklich schützen“.
„Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB-Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern einen unverzichtbaren Beitrag zum Schutz kritischer Daten“, ergänzt Thomas Caspers, Fachbereichsleiter Evaluierung und Betrieb von Kryptosystemen im BSI. „Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte, so etwa der deutschen Lösung TrustedDisk, bietet die vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus und mögliche Verbesserungen in Weiterentwicklungen“, resümiert Caspers.