Sirrix: Urheber des BSI-Audits entwickelten Truecrypt-Abspaltung

Wie Golem.de gestern berichtete, hat das BSI 2010 einen Audit der Verschlüsselungssoftware Truecrypt erstellen lassen und die Ergebnisse bis vor kurzem nicht veröffentlicht. Ein Leser hat uns darauf hingewiesen, dass dieser Audit von den Firmen Escrypt und Sirrix geschrieben wurde.

Nach unserer gestrigen Berichterstattung erreichte uns eine Mail des IT-Sicherheitsexperten Rainer Gerling, der in seinem Blog auf diesen Zusammenhang aufmerksam machte. Demnach hatte Sirrix 2014 in einer Pressemitteilung angekündigt, ein Nachfolgeprojekt von Truecrypt namens Trusteddisk als Open-Source-Software zu entwickeln.

Trusteddisk sollte Open Source werden - wurde es aber nicht

Letzteres ist aber offenbar nie passiert. Sirrix wurde 2015 von der Firma Rohde und Schwarz übernommen. Diese verkauft Trusteddisk heute als proprietäre Software, eine quelloffene Version gibt es nicht. Verschiedene Versionen von Trusteddisk werden vom BSI in einer Liste von zugelassenen IT-Sicherheitsprodukten aufgeführt.

In dieser Pressemitteilung wird auch erwähnt, dass Sirrix bereits Jahre zuvor gemeinsam mit der Firma Escrypt im Auftrag des BSI einen Sicherheitsaudit für Truecrypt erstellt hat. "Die im Audit gesammelten Erkenntnisse sind in die neue Verschlüsselungssoftware eingeflossen und haben die bisherige TrueCrypt-Sicherheits-Architektur und -Implementierung deutlich verbessert", hieß es dazu in der damaligen Sirrix-Pressemitteilung.

In zeitlicher Abfolge spielte sich also Folgendes ab: Das BSI beauftragte 2010 die Firmen Escrypt und Sirrix mit einem Audit von Truecrypt. Die Ergebnisse wurden nicht veröffentlicht, aber Sirrix nutzte die Erkenntnisse aus dem Audit, um eine eigene, proprietäre Abspaltung von Truecrypt unter dem Namen Trusteddisk zu entwickeln. Es wurde angekündigt, Trusteddisk als Open-Source-Software zu veröffentlichen, das ist aber nie umgesetzt worden. Sirrix wurde von Rohde und Schwarz gekauft und vertreibt bis heute Trusteddisk.

Wir wussten zum Zeitpunkt der Veröffentlichung des gestrigen Artikels von diesen Zusammenhängen noch nichts. Das ist bedauerlich, da auch Golem.de selbst 2014 über die Pläne von Sirrix berichtete. Bei der Recherche ist uns dieser ältere Artikel leider nicht aufgefallen.

Wir haben bei Rohde und Schwarz nachgefragt, ob die Pläne für eine Veröffentlichung des Quellcodes von Trusteddisk aufgegeben wurden. Bis zur Fertigstellung dieses Artikels haben wir keine Antwort erhalten.