In vielen Strafverfahren spielt die Software TrueCrypt eine wichtige Rolle. Nämlich als die Speichertechnik, an der Ermittlungsbehörden regelmäßig scheitern. Es sei denn, man verwendet das dann doch etwas simple Passwort „Limonade“, wie es einer meiner Mandanten vor kurzem gemacht hat.
Nun könnte nicht nur eigene Schusseligkeit das Vertrauen in TrueCrypt entwerten. Die Entwickler selbst bezeichnen die Software als „unsicher“. Was es mit der nebulösen Mitteilung auf der offiziellen TrueCrypt-Seite auf sich hat, ist derzeit im einzelnen noch unklar.
Fest steht aber, dass alle älteren Versionen der Software nicht mehr heruntergeladen werden können. Die neueste Version soll lediglich noch dazu taugen, bereits erstellte TrueCrypt-Container zu entschlüsseln.
Rätselhaft ist, wieso auf der TrueCrypt-Seite der Umstieg auf Microsofts Bitlocker empfohlen wird. Microsoft gilt nicht unbedingt als Paradeunternehmen für Datensicherheit. Schon deswegen, weil die Firma in den USA sitzt und außerdem weltweit kommerziell operiert. Microsoft dürfte dementsprechendem Druck von vielen offiziellen Stellen ausgesetzt sein.
Vor diesem Hintergrund wirkt die Umstiegsempfehlung zu Bitlocker auf den ersten Blick krude. Auf den zweiten Blick kommt aber eine Erklärung in Betracht. Dass die TrueCrypt-Macher nämlich selbst in die Mangel genommen werden.
Hierfür gibt es einen Präzedenzfall. Der E-Mail-Dienst Lavabit, den auch Edward Snowden nutzte, gab ebenfalls plötzlich auf. Später stellte sich heraus, US-Dienste hatten den Lavabit-Macher so zugesetzt, dass diese keine Perspektive mehr sahen. Jedenfalls keine, bei der sie ihre Nutzer nicht betrogen hätten.
Lavabit wurde zunächst zu strengstem Stillschweigen verpflichtet, was in den USA rechtlich möglich ist. Heute gibt es immerhin eine Abschiedsbotschaft, die einiges erklärt. Möglicherweise sind die kryptischen Botschaften auf der TrueCrypt-Seite ähnlichen Umständen geschuldet.
Laut heise online gibt es mittlerweile aber auch Statements aus TrueCrypt-Kreisen, man habe lediglich das Interesse an der Weiterentwicklung der Software verloren. Auch das ist aber bislang nicht belegt.
Wie auch immer, die Verunsicherung ist da. Die große Frage wird sein: Ist TrueCrypt wirklich gehackt? Und wann kommen auch deutsche Behörden in den Besitz funktionsfähiger Türöffner? Für Betroffene, gegen die gerade ermittelt wird, ist das eine neue Situation. Und mit Sicherheit keine angenehme.