Das Bundesamt für Sicherheit in der Informationstechnik (BSI) musste einräumen, dass ein aus dem Jahr 2010 stammendes ausführliches Sicherheitsaudit der mittlerweile eingestellten Software TrueCrypt trotz mehrerer entdeckter Schwachstellen fast neun Jahre lang unveröffentlicht gelassen und die Ergebnisse auch nicht mit den Entwicklern des TrueCrypt-Nachfolgers VeraCrypt geteilt wurden.
Die BSI-Audit-Dokumente von 2010 sind seit dem gestrigen Montag auf der Plattform “FragDenStaat” öffentlich verfügbar. Das BSI machte die Sicherheitslücken jedoch nicht etwa aus eigenem Antrieb publik, sondern reagierte damit eher schleppend auf eine bereits Ende Oktober gestellte anonyme Anfrage auf “FragDenStaat”. Die Plattform ermöglicht es Bürgern, auf Basis des Informationsfreiheitsgesetzes Anfragen an Behörden zu stellen.
Ursprünglich hatte das BSI dem Fragesteller die Dokumente lediglich unter der Auflage zukommen lassen, diese aus urheberrechtlichen Gründen nicht zu veröffentlichen. Böck, der die Dokumente ebenfalls anforderte, erhielt nach eigenen Angaben zunächst eine lückenhafte Version, die erst nach zweimaliger Rückfrage vervollständigt wurde. Bei einem der fehlenden Teile habe es sich ausgerechnet um eine Beschreibung möglicher Angriffe auf die entdeckten Schwachstellen gehandelt.
Hanno Böck kommt zu dem Schluss, dass keines der Sicherheitsprobleme aus dem Audit ” für sich genommen dramatisch” sei. Die Probleme, von denen die meisten in einem Zusammenhang mit dem Verwalten und sicheren Löschen von Speicherbereichen in Zusammenhang stünden, könnten demnach eher in Kombination mit weiteren Bugs gefährlich werden.
Für einige Sicherheitslücken wurden schon Patches für der im Audit festgestellten Schwachstellen entwickelt und an VeraCrypt übermittelt. Die Entwikler von VeraCrypt haben diese auch bereits in den Code integriert. Unterm Strich können VeraCrypt-Nutzer das Programm weiterhin bedenkenlos verwenden. Es darf aber nicht vergessen werden, regelmäßig nach Sicherheitsupdates Ausschau zu halten.
Kommentar hinzufügen