Das deutsche Bundessicherheitsamt verheimlichte Software-Lücke (Bild: BSI)

Eigentlich ist das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu gedacht, nicht nur die Regierung sondern auch die breitere Öffentlichkeit vor potentiellen Gefahren für die Sicherheit ihrer Computersysteme zu warnen. Angesichts dessen wirft ein aktueller Bericht von Golem.de einige Fragen auf. Über neun Jahre lang hat das BSI ein Dokument geheim gehalten, das aus einer Sicherheitsperspektive ziemlich brisant ist. In einer Untersuchung aus dem Jahr 2010 wird auf 400 Seiten ausführlich die Architektur der Festplattenverschlüsselung Truecrypt analysiert. Und dabei haben die Autoren zahlreiche Sicherheitslücken in der Software ausgemacht.

Zwar sollen infolge die Truecrypt-Entwickler informiert worden sein, öffentlich wurde dieser "Audit" aber nie. Auch zu den Entwicklern des indirekten Nachfolgers Veracrypt wurde nie Kontakt aufgenommen. Das führt dazu, dass einige der beschriebenen Lücken auch heute noch in der Software vorhanden sind. Die Entwickler von Veracrypt betonen gar, dass sie noch nie von der Untersuchung gehört haben. Andere der beschriebenen Probleme wurden erst durch eine durch eine Spendenkampagne finanzierten, öffentlichen Untersuchung im Jahr 2015 bekannt.

Dass es die Untersuchung überhaupt gab, wurde erst jetzt durch eine Transparenzanfrage eines Nutzers bekannt. Dieser wollte vom BSI recht allgemein wissen, welche Untersuchungen zu Truecrypt man vorliegen habe. Bei Golem sieht man hier weniger eine Verschleierungsabsicht denn ein strukturelles Problem: So verwies das BSI bei der Anfrage zunächst auf den Urheberrechtsschutz der Dokumente, der eine Veröffentlichung verbiete. Aus diesem Grund habe man auch die Untersuchung nie öffentlich gemacht. Auch in anderen Fällen wird immer wieder das Urheberrecht herangezogen, wenn es darum geht, Transparenzanfragen abschlägig zu beantworten.

Truecrypt war jahrelang vor allem unter Windows die am meisten genutzte Software zur Festplattenverschlüsselung. Wer dahinter steckte, war jahrelang unbekannt, da sich die Entwickler anonym gaben. Nach Recherchen eines französischen Journalisten soll aber der Drogenhändler Paul Le Roux eine entscheidende Rolle gespielt haben.