Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

VeraCrypt Sicherheitsaudit deckt schwerwiegende Lücken auf!

M.Sc. Chris Wojzechowski

Für eine Verschlüsselungssoftware, wie es VeraCrypt ist, wäre eine kritische Sicherheitslücke ein „Genickbruch“. Um solche Schwachstellen zu finden sind teure Sicherheitsaudits nötig. VeraCrypt hat ein Sicherheitsaudit spendiert bekommen – die Bilanz steht für jeden zur Einsicht bereit! Quintessenz: Man kann ruhigen Gewissens VeraCrypt verwenden.

VeraCrypt hat sich, nach dem überraschendem und dubiosem Ende von TrueCrypt, zu einer der wenigen alternativen Produkte am Markt entwickelt. Der Fork von TrueCrypt genießt eine hohe Vertrauenswürdigkeit im Gegensatz zu z.B. der proprietären Verschlüsselungssoftware BitLocker von Windows.

Um die Sicherheit von VeraCrypt zu überprüfen wurde die Software beim EU-Projekt FOSSA 2 vorgeschlagen. Das Verschlüsselungsprogramm erreichte jedoch nur 2% und unterlag damit KeePass und dem Apache Webserver. Doch überraschend hat die Verschlüsselungssoftware trotzdem ein Sicherheitsaudit erhalten!

Warum ein Sicherheitsaudit her muss, um auf Nummer sicher zu gehen!

Code Reviews sind unglaublich aufwendige und damit teure Unterfangen. Wer schon einmal etwas programmiert hat, und den Code sich nach wenigen Wochen wieder angeschaut hat, der wird sich höchstwahrscheinlich, bei einem undokumentierten Code folgendes denken:

Was zur Hölle hat sich der Programmierer dabei gedacht?

Deshalb sind Code Reviews oder Sicherheitsaudits sehr zeitaufwendig. Die ohnehin schon komplexen Programme und Strukturen müssen nachvollzogen werden und auf diverse Schwachstellen hin geprüft werden. Hier braucht es einfach hochqualifizierte Mitarbeiter – die einen entsprechenden Stundensatz haben.

Die VeraCrypt Sicherheitsaudit Ergebnisse!

Untersucht wurde VeraCrypt in der Version 1.18 und der dazugehörige Bootloader. Zwar wurden auch alte Teile von TrueCrypt noch überprüft – der Hauptaugenmerk lag aber auf dem Code, welcher nach dem Fork hinzugefügt worden ist.

Gefunden wurden bei dem Audit folgende Sicherheitslücken:

  • 8 kritische Sicherheitslücken
  • 3 mittelschwere Sicherheitslücken
  • 15 unkritische Sicherheitslücken

Durch die Version 1.19 von VeraCrypt wurden die kritischen Sicherheitslücken geschlossen. Die Entwickler konnten die Lücken schließen, bevor sie ausgenutzt werden konnten, da Ihnen die Ergebnisse zuerst zugekommen sind. Alle Lücken wurden aber nicht behoben – große Gefahr für Endnutzer, bei der Verwendung von VeraCrypt, bestehen dadurch aber nicht.

Wer hat das VeraCrypt Sicherheitsaudit bezahlt?

Ein Sicherheitsaudit ist teuer. Um eines bezahlen zu können, müssen Geldgeber gefunden werden. Verantwortlich für das Audit ist die gemeinnützige Organisation „The Open Source Technology Improvement Fund„. Das Geld kam durch eine Spende von DuckDuckGo und dem VPN-Dienst VikingVPN zustande. Die Ergebnisse sind öffentlich.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Das VeraCrypt Sicherheitsaudit führt zu einer erhöhten IT-Sicherheit für alle!

VeraCrypt ist das (kostenlose) Tool für Festplattenverschlüsselung. Die Frage die im Raum stand, ist die Frage nach der Sicherheit der Software. Sicherheitslücken oder gar Backdoors sind selten offensichtlich und oft schwierig zu finden. Den Zeitaufwand betreiben, auch wenn die Software Open-Source ist, private Personen selten. Für die kostspielige Untersuchung Geld zu finden ist jedoch gar nicht so leicht. Aus diesem Grund ist es nötig Geld zu akquirieren, um bezahlte Sicherheitsaudits durchführen zu lassen. Daher ist eine gute Nachricht, dass sich dem Sicherheitsaudit eine Organisation annimmt.

Die Geschichte hinter TrueCrypt ist mehr als unseriös – ein seriöses Audit von VeraCrypt würde helfen, einige Zweifler der Seriosität von VeraCrypt zu überzeugen. Dieses Audit hat dazu beigetragen, dass jeder der seine Festplatte oder Devices verschlüsselt, nun etwas sicherer ist.

Weitere Informationen und Quellen

[1] VeraCrypt bekommt Sicherheitsaudit (technique-blog)
[2] Veracrypt-Audit findet schwerwiegende Sicherheitslücken (Golem)
[3] The QuarksLab audit of VeraCrypt has been completed, and this is the public release of the results (ostif)
[4][PDF] VeraCrypt 1.18 Security Assessment – Technical Report (ostif)

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen