Truecrypt — sicherer als die Polizei erlaubt!

truecrypt_dvdUm das plötz­li­chen Ende der Wei­ter­ent­wick­lung der Ver­schlüs­se­lungs­soft­ware True­crypt ran­ken sich vie­le Mythen. Ins­be­son­de­re die Fra­ge, ob eine Ver­schlüs­se­lung mit True­crypt noch als sicher gel­ten kann, wur­de in der Netz­welt heiß dis­ku­tiert. Um mein per­sön­li­ches Fazit vor­weg­zu­neh­men: eine Daten­ver­schlüs­se­lung mit True­crypt ist nach der­zei­ti­gem Stand für den Gebraucht durch den Otto­nor­mal­bür­ger — ein ent­spre­chend star­kes Pass­wort vor­aus­ge­setzt — wei­ter­hin als sicher zu bewer­ten. Mir ist aus mei­ner Tätig­keit als Straf­ver­tei­di­ger bis­lang kein Fall per­sön­lich bekannt, in dem es Straf­ver­fol­gungs­be­hör­den gelun­gen ist, mit True­crypt ver­schlüs­sel­te Daten zu ent­schlüs­seln.

Viel­mehr schei­nen Staats­an­walt­schaf­ten und Poli­zei True­crypt selbst als so sicher ein­zu­stu­fen, dass sie ihre eige­nen Daten mit True­crypt vor unbe­fug­tem Zugriff schüt­zen. Wir erhal­ten in unse­rer Kanz­lei regel­mä­ßig Daten­trä­ger von Ermitt­lungs­be­hör­den, die mit­tels True­crypt ver­schlüs­selt wur­den. Mitt­ler­wei­le ver­wen­den die Behör­den sogar ent­spre­chend star­ke Pass­wör­ter wie “#mitG3F4ngEN_miTGehaNg3n!-”. Sehr fort­schritt­li­che Behör­den über­mit­teln das Pass­wort sogar auf einem ande­ren Weg als sie den Daten­trä­ger ver­sen­det hat.

Auch wenn es für den ein oder ande­ren über­trie­ben schei­nen mag: wer auf Num­mer sicher gehen will, muss selbst so schön bedruck­te Daten­trä­ger wie die der Poli­zei Ham­burg behan­deln wie jeden ande­ren exter­nen Daten­trä­ger auch. Aus Fremd­quel­len stam­men­de EXE-Datei­en auf dem im eige­nen Netz­werk ein­ge­bun­de­nen Rech­ner aus­zu­füh­ren, soll­te ohne­hin tabu sein.  Man kann die über­mit­tel­ten True­crypt-Con­tai­ner schließ­lich auch mit der eige­nen Soft­ware ent­schlüs­seln.

Abschlie­ßend noch eine kur­ze recht­li­che Anmer­kung zu einer Fra­ge, die Zusam­men­hang mit True­crypt & Co. immer wie­der an uns Straf­ver­tei­di­ger gestellt wird: wenn Sie Beschul­dig­ter in einem Straf­ver­fah­ren sind und die Poli­zei Ihre mit True­crypt oder einer ande­ren Soft­ware ver­schlüs­sel­ten Daten­trä­ger (Lap­top, exter­ne Fest­plat­te, USB-Stick, etc.) beschlag­nahmt, sind Sie nicht dazu ver­pflich­tet, das Pass­wort zur Ent­schlüs­se­lung her­aus­zu­ge­ben. Dies soll­ten Sie auch auf kei­nen Fall tun — auch wenn sich Ihrer Mei­nung nach nichts Ver­fäng­li­ches auf den Daten­trä­gern befin­det. Zwar wird man Ihnen dann in Aus­sicht stel­len, dass eine Rück­ga­be der Daten­trä­ger ent­spre­chend lan­ge dau­ern wird. Das soll­te Sie jedoch nicht wei­ter beein­dru­cken. Als pflicht­be­wuss­ter Daten­be­sit­zer haben Sie mit Sicher­heit ohne­hin dezen­tra­le Siche­rungs­ko­pi­en Ihrer Daten in aus­rei­chen­der Anzahl erstellt.

Fazit: es gibt der­zeit kei­nen Grund für Nor­mal­bür­ger, True­crypt nicht ein­zu­set­zen. Viel­mehr soll­te jeder ein Auge auf sei­ne eige­nen Daten haben. Effek­ti­ve Ver­schlüs­se­lung ist heu­te kei­ne Sache mehr von Com­pu­ter-Nerds. Ver­schlüs­seln Sie ins­be­son­de­re Ihre Daten, die auf trans­por­ta­blen Daten­trä­gern wie Lap­top, exter­ner Fest­plat­te oder USB-Sticks gespei­chert sind. Hier­bei geht es nicht pri­mär dar­um, ob Sie etwas vor der Poli­zei zu ver­ber­gen haben, son­dern dar­um, dass Ihre Daten im Fal­le eines unge­woll­ten Abhan­den­kom­mens nicht in frem­de Hän­de gelan­gen.

4 thoughts on “Truecrypt — sicherer als die Polizei erlaubt!

  1. Das trifft nicht zu. Vor knapp 2 Jah­ren wur­den alle mei­ne PC-Uten­si­li­en beschlag­nahmt. Zum Glück unbe­rech­tigt, ich habe alles wie­der zurück.
    Aber: Mei­ne True­crypt-Ord­ner wur­den von der Poli­zei alle ent­schlüs­selt. Pass­word: 24 lang, Groß- und Klein­buch­sta­ben, Zah­len und Satz­zei­chen. Kei­ne Wör­ter in irgend­ei­ner Spra­che. Hat alles nichts gehol­fen: Ich stu­fe True­crypt daher als unsi­cher ein.

    • So ein Blöd­sinn ich Arbei­te sel­ber bei einer Ermitt­lungs­be­hör­de True­crypt ist sicher und unknack­bar solan­ge das Pass­wort lang genug ist!

    • Da HMai­er nur über “Ord­ner” geschrie­ben hat, den­ke ich, dass er/sie nur die nicht aus­rei­chend siche­re Con­tai­ner­ve­schlüs­se­lung und nicht die voll­stän­di­ge Sys­tem­ver­schlüs­se­lung ange­wandt hat. Durch den Ein­satz des Ener­gie­spar­mo­dus (das heißt: Memo­ry-Dump in C:\hiberfil.sys) oder ein Blue­s­creen (das heißt: Memo­ry-Dump inner­halb C:\Windows\ in *.dmp-Datei) wur­de der True­crypt-Key auf der unver­schlüs­sel­ten Sys­tem­par­ti­ti­on geschrie­ben, wo die Foren­sik-Soft­ware ihn abgrei­fen konn­te.

      Soll­te mei­ne The­se falsch sein — sprich jemand mit True­crypt-Sys­tem­voll­ver­schlüs­se­lung und aus­rei­chend kom­ple­xem Pass­wort wur­de mit sei­nen ent­schlüs­sel­ten Daten kon­fron­tiert — wür­de es mich sehr freu­en, wenn der oder die betrof­fe­ne Per­son Soli­da­ri­tät zei­gen wür­de und sich mit dem Fall an die Pres­se und an die Fach­zei­tun­gen wie Hei­se und Golem wen­den wür­de.

      Ich habe sel­ber alle inter­nen und exter­nen Fest­plat­ten, die ich unter Win­dows ver­wen­de, mit True­Crypt ver­schlüs­selt und mein Pass­wort hat wie bei HMai­er Groß- und Klein­buch­sta­ben, Zah­len und Satz­zei­chen, kei­ne Wör­ter in einer Spra­che, aller­dings ist es in etwa dop­pelt so lang wie bei HMai­er. Mir ist es sehr wich­tig, noch (im Über­wa­chungs­staat) eine Ecke Pri­vat­sphä­re zu haben, wo auch der Staat im Bedarfs­fall nicht ran­kommt. Eine Ecke zu haben, wo ich mich für mei­ne nie­der­ge­las­se­nen Gedan­ken, Spie­le­rei­en und Saue­rei­en in Daten­form — gleich wel­che Art — nicht vor irgend­wem recht­fer­ti­gen muss.

  2. Kön­nen Sie das genau­er Erläu­tern HMai­er?
    Hat­ten Sie das Pass­wort evtl irgend­wo auf dem Com­pu­ter gespei­chert?
    Das wür­de mich jetzt sehr inter­es­sie­ren, da ich True­crypt als Geheim­dienst­si­cher ein­stu­fe!
    Grü­ße aus Coburg

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*