SfN
blank

BSI veröffentlicht Audit-Ergebnisse zu TrueCrypt-Sicherheitsmängeln

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) musste einräumen, dass ein aus dem Jahr 2010 stammendes ausführliches Sicherheitsaudit der mittlerweile eingestellten Software TrueCrypt trotz mehrerer entdeckter Schwachstellen fast neun Jahre lang unveröffentlicht gelassen und die Ergebnisse auch nicht mit den Entwicklern des TrueCrypt-Nachfolgers VeraCrypt geteilt wurden.

Die BSI-Audit-Dokumente von 2010 sind seit dem gestrigen Montag auf der Plattform “FragDenStaat” öffentlich verfügbar. Das BSI machte die Sicherheitslücken jedoch nicht etwa aus eigenem Antrieb publik, sondern reagierte damit eher schleppend auf eine bereits Ende Oktober gestellte anonyme Anfrage auf “FragDenStaat”. Die Plattform ermöglicht es Bürgern, auf Basis des Informationsfreiheitsgesetzes Anfragen an Behörden zu stellen.

Ursprünglich hatte das BSI dem Fragesteller die Dokumente lediglich unter der Auflage zukommen lassen, diese aus urheberrechtlichen Gründen nicht zu veröffentlichen. Böck, der die Dokumente ebenfalls anforderte, erhielt nach eigenen Angaben zunächst eine lückenhafte Version, die erst nach zweimaliger Rückfrage vervollständigt wurde. Bei einem der fehlenden Teile habe es sich ausgerechnet um eine Beschreibung möglicher Angriffe auf die entdeckten Schwachstellen gehandelt.

Hanno Böck kommt zu dem Schluss, dass keines der Sicherheitsprobleme aus dem Audit ” für sich genommen dramatisch” sei. Die Probleme, von denen die meisten in einem Zusammenhang mit dem Verwalten und sicheren Löschen von Speicherbereichen in Zusammenhang stünden, könnten demnach eher in Kombination mit weiteren Bugs gefährlich werden.

Für einige Sicherheitslücken wurden schon Patches für der im Audit festgestellten Schwachstellen entwickelt und an VeraCrypt übermittelt. Die Entwikler von VeraCrypt haben diese auch bereits in den Code integriert. Unterm Strich können VeraCrypt-Nutzer das Programm weiterhin bedenkenlos verwenden. Es darf aber nicht vergessen werden, regelmäßig nach Sicherheitsupdates Ausschau zu halten.

Kommentar hinzufügen

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in dem SfN Informationsblog werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.


blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.