19.11.2015 15:51 Uhr in IT/Hightech

TrueCrypt ist sicherer als gedacht

Fraunhofer-Experten analysieren die verbreitete Verschlüsselungssoftware und stufen diese als relativ sicher ein


(Mynewsdesk) Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat die Verschlüsselungssoftware TrueCrypt auf Sicherheitslücken hin analysiert – das Ergebnis: Die kryptografischen Funktionen sind nur in sehr seltenen Fällen angreifbar. Eine Sicherheitslücke, die Ende September gefunden wurde, ist nach Ansicht der Experten des Fraunhofer SIT zwar generell problematisch, hat jedoch für die Sicherheit von TrueCrypt selbst keine Relevanz. Die vollständigen Ergebnisse der Sicherheitsstudie, die das Fraunhofer SIT im Auftrag des Bundesamts für Sicherheit in der Informationstechnik BSI erstellt hat, sind in einem Bericht zusammengefasst, der auf der Webseite des BSI zum Download zur Verfügung gestellt wird: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecrypt/Truecrypt.pdf?__blob=publicationFile&v=2

Die quelloffene Verschlüsselungslösung TrueCrypt ist im Juni 2014 von ihren Entwicklern aufgegeben worden, den zahlreichen Nutzern der Lösung hinterließen die anonymen Projektväter lediglich einen Hinweis zu möglichen Sicherheitslücken. Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben TrueCrypt im Auftrag des BSI auf Sicherheitslücken und Fehler in der Programmierung hin untersucht. Dabei hat das Fraunhofer Team unter der Leitung von Prof. Dr. Eric Bodden auch die Ergebnisse vorheriger Sicherheitsanalysen berücksichtigt und überprüft. Die Experten sind zu dem Schluss gekommen, dass TrueCrypt sicherer ist, als es vorherige Einschätzungen vermuten lassen.
Googles Project Zero hatte Ende September zwei bislang unbekannte Lücken in TrueCrypt entdeckt und eine davon als kritisch eingestuft. Die Lücke ermöglicht es einem Angreifer, der über Schadcode bereits Zugriff auf den laufenden Computer hat, erweiterte Systemrechte zu erlangen. Prof. Dr. Michael Waidner, Institutsleiter des Fraunhofer SIT, sagt hierzu: „Die gefundene Schwachstelle sollte zwar behoben werden, vereinfacht einem Angreifer aber nicht den Zugriff auf verschlüsselte Daten“. Um die Schwachstelle ausnutzen zu können, müsste der Angreifer ohnehin bereits weitreichenden Zugriff auf den Rechner haben, beispielsweise über einen Trojaner. „TrueCrypt ist schon prinzipbedingt nicht dazu geeignet, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann“, erklärt Michael Waidner, „leider wird das oft missverstanden“.

Nach Ansicht der Fraunhofer-Experten bietet TrueCrypt vor allem dann einen guten Schutz, um Daten offline auf verschlüsselten Laufwerken zu lagern. „Das trifft beispielsweise auf ein Backup zu, das auf einer Festplatte verwahrt wird, oder auf einen USB-Stick, auf dem verschlüsselte Daten etwa über einen Boten versendet werden. TrueCrypt schützt verschlüsselte Daten aber auch auf abgeschalteten Laptops, wenn diese gestohlen werden“, so Waidner. „Das, was TrueCrypt leisten soll, macht es relativ gut“, fasst der Experte zusammen, „im laufenden Betrieb kann es jedoch Daten nicht wirklich schützen“.

„Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB-Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern einen unverzichtbaren Beitrag zum Schutz kritischer Daten“, ergänzt Thomas Caspers, Fachbereichsleiter Evaluierung und Betrieb von Kryptosystemen im BSI. „Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte, so etwa der deutschen Lösung TrustedDisk, bietet die vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus und mögliche Verbesserungen in Weiterentwicklungen“, resümiert Caspers.

Die Ergebnisse der TrueCrypt-Analyse stehen als Download zur Verfügung unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecrypt/Truecrypt.pdf?__blob=publicationFile&v=2

Über das Fraunhofer SIT

Das Fraunhofer-Institut für Sichere Informationstechnologie zählt zu den weltweit führenden Forschungseinrichtungen für angewandte Cybersicherheit und Datenschutz. Rund 180 Wissenschaftlerinnen und Wissenschaftler beschäftigen sich mit aktuellen Themen und Fragestellungen der Cybersicherheitsforschung und entwickeln neue Technologien und konkrete Lösungen für reale Herausforderungen.
Fraunhofer SIT gehört zu den Impulsgebern der internationalen IT-Sicherheitslandschaft und ist Teil des Centers for Research in Security and Privacy (CRISP) in Darmstadt, dem größten Forschungszentrum zur Cybersicherheit in Deutschland

<h1>TrueCrypt ist sicherer als gedacht</h1><h2>Fraunhofer-Experten analysieren die verbreitete Verschlüsselungssoftware und stufen diese als relativ sicher ein</h2><br/>
 
Weitere Pressemitteilungen von Fraunhofer-Institut für sichere Infomationstechnologie (SIT) Pressemappe zur Pressemappe
 
Cybersicherheit in Deutschland (Pressemitteilung)

Cybersicherheit in Deutschland

Die Leiter der drei vom Bundesministerium für Bildung und Forschung geförderten Kompetenzzentren für IT-Sicherheitsforschung CISPA in Saarbrücken, CRISP in Darmstadt und KASTEL am Karlsruher Institut für Technologie übergaben heute auf der ersten Nationalen Konferenz zur IT-Sicherheitsforschung in Berlin der Bundesministerin für Bildung und Forschung Frau Prof. ...

 
Neues Leistungszentrum für Cybersicherheit und Datenschutz (Pressemitteilung)

Neues Leistungszentrum für Cybersicherheit und Datenschutz

Gemeinsam mit Vertretern aus Wirtschaft, Politik und Wissenschaft eröffneten der Hessische Ministerpräsident Volker Bouffier und Fraunhofer-Vorstand Prof. Dr. Georg Rosenfeld am Freitagvormittag in Darmstadt das Leistungszentrum für „Sicherheit und Datenschutz in der Digitalen Welt“. Ziel des neuen Zentrums ist es, durch eine weitere Stärkung der ...

 
Automatisierte Sicherheit für Netzwerke und Endgeräte (Pressemitteilung)

Automatisierte Sicherheit für Netzwerke und Endgeräte

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat mit AutoSec ein Lösungskonzept entwickelt, das die Vorteile von Software-Defined Networking (SDN) nutzt, um vernetzte Rechner wie Laptops und Server besser abzusichern. AutoSec enthält Methoden, mit denen im Fall eines Angriffs automatisiert geeignete Gegenmaßnahmen ergriffen werden können, z.B. indem ...