Gesellschaft

Die Macht der Geheimdienste

20. April 2015

Daten-Verschlüsselung

Als Selbstständiger ist man genötigt, permanent und überall seine Geschäftsdaten mit sich herumzuschleppen. Seit ich vor einigen Jahren im Urlaub im Ausland bestohlen worden bin, nachdem jemand eine Pinkelpause auf meiner Fahrt zum Urlaubsziel ausnutzte, den Mietwagen leer zu räumen, und damit in den Besitz meines Schlepptops mit allen Geschäftsunterlagen kam, habe ich mir angewöhnt, die Festplatten dieser Geräte grundsätzlich zu verschlüsseln. Ist zwar etwas aufwendiger, aber die Daten sind dafür sicher!

Bit-Locker & Co.

Lange Zeit hatte sich Microsoft um diese Thematik nicht besonders gekümmert. Datenverschlüsselung war für sie kein „issue“, weshalb ich mich einem „Third-Party-Produkt“ anvertraute. Bis dann vor einigen Jahren auch dieser Gigant sich nicht davor verschließen konnte, sich mit dem Thema auseinanderzusetzen. Denn inzwischen hatte sich der ewige Konkurrent in Form der „Open-Source“-Gemeinde um Leute wie Thorvald Linus mit seinem Linux aus der Freak-Ecke herausgearbeitet und es geschafft, Software zur Verfügung zu stellen, die nicht nur gleichwertig sondern auch kostenlos war und damit geeignet, z.B. im öffentlichen Bereich Microsoft gehörig in die Suppe zu spucken. Datenverschlüsselung gehörte bei diesen Enthusiasten vom ersten Tag an zum Repertoire.

Und so gibt es seit 2000, also einer Zeit, in der Microsoft noch dabei war, die verschiedenen Entwicklungsschienen zusammenzuführen und sich daher um Verschlüsselung nicht die Spur Sorgen machte, eine Software namens TrueCrypt. Vielleicht kennen Sie sie. „Open source“ heißt dabei: „offengelegter Quellcode“. Wer also Ahnung von Programmiersprachen, im Falle von TrueCrypt C, C++ und Assembler, und Programmierung hat, kann die Arbeitsweise eines Programms auf dieser Basis bis ins kleinste Detail nachvollziehen. Und so z.B. Schwachstellen oder auch Hintertürchen entdecken, über die sich z.B. Fremde, die diese kennen, Zugriff auf den Rechner verschaffen könnten. Wer dann auch über die geeigneten Übersetzungsprogramme verfügt, die diesen Quellcode in das maschinenlesbare Programm übersetzen, sog. Compiler, kann dann sicher sein, ein Programm zu verwenden, das „sicher“ ist. Denn diese Übersetzungsprogramme sind häufig auch „open source“ – und bauen deshalb nicht ihrerseits Hintertüren während der Übersetuung ein.

Zugegeben – das kann nicht jeder, da das schon ein gewaltiges Maß an Wissen im Bereich Programmierung voraussetzt. Aber wenn Experten, denen man – warum auch immer – vertrauen kann, genau das tun und dann zu dem Schluss kommen, alles sei in Ordnung, ist das so gut wie ein Persilschein! Und das war bislang bei TrueCrypt der Fall.

Es war lange Zeit das beste Programm, das mithilfe seiner verschiedenen Verschlüsselungsalgorythmen den besten Schutz vor fremden Augen zuließ. Nicht nur von der Open-Source-Gemeinde selbst, auch von deren Kritikern wurde regelmäßig geprüft, wie sicher das Programm denn tatsächlich war. Die Einen, um zu beweisen, wie gut das Programm ist, die Anderen, um das möglichst zu widerlegen – umsonst. Denn immer hieß es: Das Programm ist sicher, und es lässt sich, wählt man geeignete Parameter, mit den Mitteln von heute, selbst den unübertrefflich modernen und ausgeklügelten Waffen der Geheimdienste, nicht knacken.

Das war den Schlapphüten, vor allem in den USA, ein immenser Dorn im Auge. Denn TrueCrypt war beliebt. Und so gibt es seit es TrueCrypt gibt Versuche aus dieser Richtung, die Software zu diskreditieren. Auch umsonst!

Man musste sich also etwas einfallen lassen. Irgendwann kam Microsofts Bitlocker auf den Plan, als die als Monopolist das Thema nicht mehr ignorieren konnten. Im Prinzip war dieses Programm etwas ganz Ähnliches wie TrueCrypt, nur nicht mit so vielen Features, aufgrund des nicht offen gelegten, propriäteren Codes nicht überprüfbar – und damit mit der noch heute nicht geklärten Frage behaftet, wie sicher die Software tatsächlich ist und ob NSA & Co. nicht eine Hintertür haben, damit verschlüsselte Festplatten zu knacken. Aber dafür sehr tief im Betriebssystem eingebettet und damit verwoben – mit allen Vor- und Nachteilen. U.a. auch deshalb lasse ich die Finger von Bitlocker.

Es ist ja nicht so, als hätte ich etwas zu verbergen. Aber

  1. gibt es bei mir Dinge, die den NSA nichts angehen, da es die Sicherheit der USA nicht gefährdet und es daher egal ist, ob die sie kennen oder nicht; ich bin für: oder nicht! Zwar müssten die mir das glauben, was sie im Zweifel nicht tun, was aber nicht mein Problem ist. Denn warum sollte ich der NSA trauen, wenn die mir nicht trauen? Und
  2. habe ich etwas dagegen, dass meine beruflichen Daten, von höchster Instanz, Barak Obama und seinem so genialen Vorgänger ausdrücklich unterstützt, ggf. in Wettbewerb befindlichen amerikanischen Firmen zur Kenntnis gelangen. Nicht könnten, sondern im Zweifel gelangen, vor allem, wenn es um Hightech-Bereiche wie Gen- und Biotechnologie geht.

Und so meide ich, wo immer das möglich ist, Software, bei denen die Schlapphüte mitlesen können. Leider lässt sich das in der Regel nicht vermeiden, da die globale Welt von heute, besonders im Business, auf Standards basiert. Und da sind Office und Outlook von Microsoft und Email-Verkehr über amerikanische Internetprovider samt Internetbrowser eben nicht so einfach zu umgehen. Aber bei der Verschlüsselung ging das. Also tat ich es.

250 Millionen Dollar pro Jahr

ließ es sich die NSA kosten, IT-Unternehmen dazu zu „überreden“, solche  Hintertüren in ihre Software einzubauen – glaubt man Insiderinformationen. Wenn das nicht half, kamen auch durchaus härtere Maßnahmen zum Tragen, die sich jeder selbst ausmalen kann – wenn man Snowdens Veröffentlichungen glaubt. Viele bekannte Unternehmen, wie z.B. Symantec, das eigene Verschlüsselungsprogramme vertreibt, nehmen bis heute auf Anfrage keine Stellung dazu, ob sie mit der NSA zusammenarbeiten oder nicht. Für mich gilt also: Keine Antwort ist auch eine Antwort… Von Apple, Microsoft, Google, Yahoo und Facebook dagegen ist bekannt, dass sie den Geheimdiensten Zutritt gewähren – freiwillig werden die das nicht zugestanden haben. Liegt es da wirklich so fern, anzunehmen, dass BitLocker als eingebaute Verschlüsselungssoftware in einem Betriebssystem, das 80 – 90% Marktanteil hat, eine Hintertür für NSA & Co. eingebaut hat?

Doch seit Snowden haben amerikanische Geheimdienste ein ziemlich blödes Problem bekommen: Im Mai 2014 hat das amerikanische Repräsentantenhaus aufgrund dessen Veröffentlichungen mit 293 zu 123 Stimmen beschlossen, dass die NSA keine Mittel mehr bewilligt bekommt, Hintertüren in Hard- und Software einbauen zu lassen. Am 28. Mai 2014 nun, welch Zufall!, wurde auf der Website von TrueCrypt ohne Begründung veröffentlicht, dass die Arbeit an TrueCrypt eingestellt worden sei, und zwar, weil sich Sicherheitslücken eingestellt hätten… Früher hätte man sie sofort beseitigt.

Und nun das!

Da Verschlüsselungssoftware, hört man nichts über Sicherheitslücken, nicht zu den Programmen gehört, die monatlich upgedatet werden müssten – so wie z.B. das Betriebssystem -, hatte ich seit einiger Zeit nicht mehr nach einer neuen Version von TrueCrypt gesucht. Im Rahmen meines aktuellen Projektes aber wollte ich wissen, ob es etwas Neues gibt. Also habe ich die Seite www.truecrypt.org aufgerufen – die Website der nicht kommerziellen Organisation. Und war dann bass erstaunt, ohne Hinweis auf folgende Seite umgeleitet zu werden: truecrypt.sourceforge.net. Und was ich da las, versetzte mich doch in leichtes Erstaunen (der ScreenShot nur, um zu zeigen, dass es die Seite wirklich gibt. Wer weiß, wohin und warum die von wem demnächst umgeleitet wird…):

TrueCrypt-Umleitung

  1. Es gibt eine Warnung, TrueCrypt sei nicht sicher und enthielte nicht bearbeitete Sicherheitslücken. Das ist neu und alarmierend. Nur – das ist die einzige Quelle, in der das so steht. Kein Hinweis, worin diese Sicherheitslücke besteht, kein Hinweis, dass daran gearbeitet wird, sie zu entfernen – wie ansonsten üblich.
  2. Stutzen lässt einen auch, dass „diese Seite nur existiert,  um beim Umzug von mit TrueCrypt verschlüsselten Daten zu helfen“.
  3. Umzug? Ist der wirklich notwendig? Warum – und wohin?
  4. Zu Bitlocker!
  5. Hä? Von kostenlosem OpenSource zu Microsofts Bezahlware mit NSA-Hintertür? Wer kommt denn auf solche Ideen? Die aus der Open Source Gemeinde und damit die TrueCrypt-Entwickler sicher nicht, für die ist die Nicht-Open-Source-Welt Teufel und Belzebub in einer Person… Und so dürfte der auf der Website genannte Grund, dass die Weiterentwicklung mit dem Auslaufen der Unterstützung von XP im MAi 2014 durch Microsoft obsolet würde, weil die Nachfolger Vista und Win7/Win8 in Bitlocker eine eingebaute Verschlüsslung besäßen, eine der dreistesten und frechsten Lügen sein, die die Softwarewelt jemals abgegeben hat: Open Source streckt freiwillig die Waffen, weil Microsoft etwas Ähnliches hat? Warum hat dann Thorvald Linus Linux entwickelt – wo es damals doch bereits jede Menge Betriebssysteme und sogar in Unix ein „Profi-Linux“ gab?
  6. Die Domain truecrypt.org ist vom Internet Archive, einem gemeinnützigen Projekt, das sich die Langzeitarchivierung digitaler Daten in frei zugänglicher Form auf die Fahnen geschrieben hat, ausgeschlossen worden. Man kann also noch nicht einmal nachträglich herumstöbern, was denn da so unsicher gewesen sein soll… Sehr merkwürdig! Wenn man nicht wüsste, dass es TrueCrypt und www.truecrypt.org tatsächlich gegeben hat und man noch die „alte“ Software hätte – man könnte auf die Idee kommen, man hätte nur geträumt.

Schlappe für die NSA!

Nochmals langsam und von vorne: Die Website www.truecrypt.org gibt es nicht mehr! Die Betreiber der Seite und Programmierer der Verschlüsselungssoftware, die jahrelang erfolgreich anonym (sie wussten, warum!) arbeiten konnten, wurden offenbar enttarnt, haben vermutlich einen National Security Letter erhalten („… [NSL; deutsch wörtlich Brief zur Nationalen Sicherheit] ist eine Form der strafbewehrten rechtlichen Anordnung nach US-amerikanischem Recht. Er wird bei Ermittlungen, die die nationale Sicherheit betreffen, von US-Regierungsbehörden, vor allem dem FBI eingesetzt.“ Wikipedia) und waren so gezwungen worden, das Projekt zu beenden – anders lässt sich nicht erklären, warum das so schnell, sang- und klanglos und in der Weise wie erfolgt passierte. Denn wenn es wirklich Sicherheitslücken gegeben hätte und keine Lust mehr vorhanden gewesen wäre, diese auszubessern und TrueCrypt weiterzuentwickeln – warum hätten die das auf der Website nicht sagen können? Passiert – gerade im Open-Source-Sektor häufiger; und dann entwickelt eben ein Anderer weiter; oder das Projekt ist tot aber noch vorhanden. Denn auf jeden Fall bleibt die Website noch Jahre erhalten. Warum aber kann man in diesem Fall nicht auch heute noch auf die alten Quellen zurückgreifen? Und warum der Ausschluss aus dem Internet Archive? Das sieht nach massivem Zwang aus! Und von wem wohl?

Ruft man die alte URL auf, landet man also bei sourceforge.net. Ein gerne benutztes und bislang vertrauenswürdiges Portal für Programmierer aller Art. Warum ausgerechnet bei denen? Und warum lügen die mit den Informationen auf der Website? Warum empfehlen die Bitlocker? Fragt man sich, wer hinter sourceforge steckt, kommt man zu Dice Hildings Inc. – ein Softwareunternehmen, das nach eigenen Angaben auf der Website „[…] the world’s talent by providing specialized insights and relevant connections tailored to specific professions and industries“ organisiert. Ein beackerter Bereich: „Security Clearance“… (Wer böse ist, kann „clearance“ mit „Beseitigung“ übersetzen; eine legitime Bedeutung, auch wenn die wohl eher an „Sicherheitsüberprüfung“ oder „Unbedenklichkeitsbescheinigung“ gedacht haben werden…) Wurden die im Namen nationaler Sicherheit dazu gezwungen? Und soll über dieses „Gütesiegel“ der Wahrheitsgehalt der gelogenen Aussage, TrueCrypt sei unsicher, untermauert werden?

Ich bin wirklich kein Anhänger von Verschwörungstheorien und leide nicht unter Verfolgungswahn. Aber das alles lässt sich, glaubt man unabhängigen Quellen wie diesem Artikel, nur dann einigermaßen vernünftig erklären, nimmt man massive Aktivitäten der amerikanischen Geheimdienste an. Auch hier das „Beweis-Foto“ – nicht, dass auch die unter Druck gesetzt werden:

TrueCrypt-Umleitung_2

Er kommt zu dem Schluss: „Entgegen vieler Vermutungen könnte Truecrypt (zumindest in der Version 7.1a) durchaus sicher sein. Wie die neuen Dokumente des Spiegels zeigen, stuft die NSA Truecrypt als „Major Risk“ für die Geheimdienstarbeit ein (Seite 20). Man sollte an dieser Stelle auch beachten, dass die Verschlüsselungssoftware Bitlocker in diesem Zusammenhang nicht genannt wird.“ Ja, warum wohl nicht?

Lange Nase für die NSA

Für wie blöde halten uns Normalbürger die Schlapphüte eigentlich? Sind die wirklich der Meinung, dass dieses armselige Verhalten in Sachen TrueCrypt, das entweder von mangelnder Intelligenz oder unübertreffbarer Arroganz, wahrscheinlich beidem zeugt, unentdeckt bleibt?

Ich halte es mit der Fachzeitschrift c’t, die riet, „bis auf weiteres die Finger von der neuen Version (7.2) [zu] lassen“. Es spräche vorerst nichts dagegen, weiterhin TrueCrypt 7.1a zu verwenden (Jürgen Schmidt: Der Abschied von TrueCrypt. c’t 14/2014).

Das heißt: Solange mir ein unabhängiger Experte, dem ich vertraue, nicht zeigt, dass TrueCrypt 7.1a nicht sicher sei, wird es bei mir in Betrieb bleiben. Und falls ein Betriebssystemhersteller der Meinung ist, in künftigen Versionen Vorkehrungen gegen den Gebrauch dieser Software einbauen zu müssen – auf Geheiß der NSA oder auch nicht – dann wird eben nicht mehr upgegradet. Linux & Co und die Programme aus dem Open Source Bereich sind auch nicht schlecht… Und vielleicht nimmt ja außerhalb der USA jemand die TrueCrypt-Quellcodes in die Hand und entwickelt sie weiter. Falls er dabei Hilfe in C, C++ und Assembler braucht, kann er sich gerne bei mir melden. Aus meiner Feder stammt „Das Assemblerbuch“, das zwischen 1994 und 2006 in sechs erfolgreichen Auflagen auf dem Markt war. Ich sage das nur, weil heute kaum noch jemand Assembler kann. Daran soll’s nicht scheitern!

Vielleicht gefällt Dir auch

Keine Kommentare

Kommentar schreiben