Patchmanagement für Verschlüsselungssoftware

Das Patchmanagement, das Einspielen von Systemaktualisierungen, die insbesondere Schwachstellen in der eingesetzten Software schließen, ist gemäß § 16 Abs. 3 KDG-DVO eine der Pflichten des Verantwortlichen zur Datensicherung, aber auch zur Sicherstellung von wirksamen Zugangs- und Zugriffskontrollmaßnahmen, wie sie z.B. in § 26 Abs.1 lit. a KDG, § 6 Abs. 1 lit b KDG-DVO oder § 6 Abs. 2 lit. c KDG-DVO gefordert werden.

Um eine wirksame Verschlüsselung umzusetzen ist es erforderlich, Verschlüsselungs-Algorithmen zu verwenden, die dem Stand der Technik entsprechen. Hinweise auf diese finden sich beispielsweise in vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) herausgegebenen und auch regelmäßig aktualisierten Technischen Richtlinien „BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“. Die erste der vier bereitgestellten Technischen Richtlinien (BSI TR-02102-1) enthält beispielsweise Hinweise auf Schlüssellängen und Verfahren, die zweite (BSI TR-02102-2) enthält Empfehlungen für den Einsatz von Transport Layer Security (TLS), das u.a. für die Absicherung der Kommunikation mit Webseiten eingesetzt wird.

Neben dem Einsatz geeigneter und aktueller kryptographischer Verfahren spielt aber auch die Aktualität der eingesetzten Verschlüsselungssoftware eine wichtige Rolle für eine wirksame Zugriffssicherung auf schützenswerte Daten.

Jüngste Artikel bei golem.de und heise.de berichten über ein vom BSI beauftragtes Sicherheitsaudit der Verschlüsselungssoftware TrueCrypt aus dem Jahr 2010, das erst jetzt der breiten Öffentlichkeit zugänglich gemacht worden ist. Ausgangspunkt dafür war eine Anfrage bei www.fragdenstaat.de. Die Weiterentwicklung von TrueCrypt war bereits im Mai 2014 eingestellt worden. Die Software war aber auch nach dem Ende des Supports noch für viele Nutzer die Methode der Wahl u.a. zur Verschlüsselung und zum Schutz von Laufwerken.

Gemäß einer Mitteilung auf Twitter war das BSI seinerzeit mit den Audit-Erkenntnissen an die TrueCrypt-Entwickler herangetreten, letztlich war es aber nicht zu einer Bearbeitung der Feststellungen durch TrueCrypt gekommen und es wurde von einer Veröffentlichung abgesehen.

Die jetzige Berichterstattung zeigt auf, dass die Ergebnisse des Berichtes den Entwicklern des aus TrueCrypt hervorgegangenen und weiterentwickelten Veracrypt nicht bekannt waren und z.T. auch in der Zwischenzeit nicht behoben worden sind. TrueCrypt war auch nach 2010 noch mindestens zweimal Gegenstand von Sicherheitsaudits, deren Ergebnisse der Öffentlichkeit zugänglich gemacht wurden: einmal im Rahmen des Open Crypto Audit Project und auch durch das BSI.

Fazit ist, dass im Laufe der Zeit ggf. mehr und mehr Sicherheitslücken in einer Software gefunden werden können oder aber auf anderen Wegen bekannt werden. Eine Chance, dass diese behoben werden, besteht grundsätzlich nur beim Einsatz von Software, für die Sicherheitspatches bereitgestellt werden. Um keine unnötigen Risiken einzugehen, wird empfohlen, vorhandene Sicherheitspatches zeitnah einzuspielen und zudem nur Software einzusetzen, für die diese auch bereitgestellt werden.

Links

[1]          https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

[2]          https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf

[3]          https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf

[4]          https://www.golem.de/news/verschluesselungssoftware-bsi-verschweigt-truecrypt-sicherheitsprobleme-1912-145486.html

[5]          https://heise.de/-4616573

[6]          https://fragdenstaat.de/anfrage/true-crypt-unterlagen-und-backdoor/

[7]          http://truecrypt.sourceforge.net/

[8]          https://twitter.com/BSI_Bund/status/1207219426191380481

[9]          https://opencryptoaudit.org/

[10]        https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2015/Sicherheitsanalyse_TrueCrypt_19112015.html