Wie Heise und Golem gestern berichten, hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) das Ergebnis eines 2010 durchgeführten Sicherheitsaudits seit damals unter Verschluss gehalten. Es wurde die damals noch aktuelle Sicherheitssoftware “TrueCrypt” analysiert und dabei einige Sicherheitslücken gefunden, die offenbar zum Teil auch in dem Nachfolger “VeraCrypt” enthalten sind.
Auch wurde das übliche Spiel betrieben, die Veröffentlichung des Berichts aufgrund des Urheberrechts zu verbieten, obwohl dieser durch das Informationsfreiheitsgesetz angefordert werden kann. Das erscheint immer wieder seltsam, denn theoretisch könnte jeder interessierte Bürger eine eigene Anfrage stellen. Das würde im Endeffekt zu einer Situation führen, dass jeder Interessent über das Dokument verfügen würde – wie es auch der Fall wäre, wenn es irgendwo veröffentlicht würde.
Ein solches Audit ist nicht nur bei Open-Source-Software grundsätzlich möglich, sondern gerade auch bei sicherheitsrelevanten Programmen sinnvoll. Naheliegend wäre, dann auch das Ergebnis des Audits zu veröffentlichen, wo doch schon die Software selbst ebenfalls jedem zur Verfügung steht. Immer dann, wenn vom naheliegenden Fall abgewichen wird, muss man zwangsläufig eine tiefere Absicht unterstellen, auch ohne gleich zum Verschwörungstheoretiker zu werden. Denn wie heißt es so schön: “Wenn Sie nichts zu verbergen haben, dann können Sie ruhig alles offenlegen!”
Neueste Kommentare