WhatsApp verschlüsselt massentauglich – aber …
WhatsApp Verschlüsselung mit RestrisikoWhatsApp, der Messenger-Dienst mit rund 1 Milliarde Nutzer, verschlüsselt seit April seine Kommunikation vollständig und plattformübergreifend. Seit zwei Monaten werden nicht nur Anrufe sondern auch Nachrichten, Fotos und Videos verschlüsselt verschickt.
WhatsApp hat dazu eine sichere Ende-zu-Ende-Verschlüsselung für alle Betriebssysteme eingeführt. Ende-zu-Ende verschlüsselt bedeutet: Sämtliche Daten werden auf Seite des Absenders verschlüsselt und erst wieder beim Empfänger entschlüsselt. Kein Dritter, nicht einmal WhatsApp selbst, kann also die Kommunikation mitlesen. Die Verschlüsselungsfunktion ist bei WhatsApp automatisch aktiv und an einem Schloss-Symbol erkennbar.
WhatsApp Verschlüsselung von einem der Besten
Die Verschlüsselung stammt von Krypto-Koryphäe Moxie Marlinspike und seinem Team von Openwhisper-Systems, die sich bester Reputation erfreuen. Marlinspike hatte bereits die Ende-zu-Ende Verschlüsselung der Messenger-App TextSecure entwickelt, welche unter Fachleuten lange als sichere Alternative zu WhatsApp galt.
Das alles klingt also erst einmal nach deutlich mehr Privatsphäre bei WhatsApp. Auf den zweiten Blick tun sich jedoch einige Lücken auf: So werden beispielsweise weiterhin Metadaten gesendet und manche Chats bleiben weiterhin unverschlüsselt. Aber gehen wir dem Ganzen der Reihe nach auf den Grund:
Unverschlüsselte Chats
Die Verschlüsselung funktioniert nur, wenn alle Chatpartner die neueste WhatsApp-Version verwenden. Für Gruppenchats bedeutet es: Nutzt eine Person eine ältere Version, wird der gesamte Gruppenchat unverschlüsselt übertragen – andernfalls könnte der entsprechende Teilnehmer die Nachrichten ja nicht mitlesen. Ob der Gruppenchat verschlüsselt ist, erkennen Sie am Schloss-Symbol in den Gruppeninfos.
Metadaten weiterhin auswertbar
Dass Inhalte bei WhatsApp jetzt verschlüsselt übertragen werden, bedeutet nicht, dass der Messenger-Dienst nicht trotzdem nachvollziehen kann, wem Sie wann eine Nachricht übermittelt haben. Anhand von sogenannten Metadaten lässt sich genau das nachvollziehen. Metadaten sind natürlich einerseits für die eigenen Marketingzwecke attraktiv. Denn vergessen Sie nicht: Die Facebook Chat-App ist kostenlos und werbefrei – das Netzwerk hat also allein aus wirtschaftlichem Grund ein Interesse an seinen Nutzerdaten. Andererseits sind Metadaten für Geheimdienste und Strafverfolgungsbehörden hochinteressant, denn auf diese Weise lassen sich beispielsweise Kommunikations-Netzwerke aufdecken und herausfinden, wer mit wem in Verbindung steht.
(Kontakt-) Datenspeicherung in den USA
Hinzu kommt: Das Adressbuch, sprich die Kontaktdaten seiner Nutzer, überträgt WhatsApp weiterhin ungefragt auf US-amerikanische Server und ist damit nicht mit dem deutschen Datenschutzrecht vereinbar. WhatsApp beteuert immerhin, dass es sich ausschließlich um die Telefonnummern und nicht um Namen, E-Mail oder Adressen handelt. Da WhatsApp das Adressbuch auch bei Facebook hoch lädt und damit dort auch sämtliche (Geschäfts- ) Kontakte ohne Zustimmung der Betroffenen landen, lässt uns davon abraten, die App auch im Firmenumfeld einzusetzen.
WhatsApp ist nicht Signal
WhatsApp nutzt die gleiche sichere Verschlüsselung wie die von Whistleblower Edward Snowden empfohlene Chat-App Signal. Das Signal-Protokoll gilt unter IT-Sicherheitsexperten als vorbildlich. Aber: Anders als Signal ist WhatsApp kein Open Source System. Man kann also nicht einfach den Quellcode einsehen und darin nach möglichen Kryptographie-Fehlern oder eventuellen Sicherheitslücken und Hintertürchen suchen. Oder anders gesagt: Wir wissen nicht, wie die Verschlüsselung implementiert ist und wo der private Schlüssel gespeichert wird.
Das Dilemma, US IT-Dienstleister zu sein
Nicht quelloffen, auswertbare Metadaten und Kontaktdatenspeicherung: Ein wirklich sicheres Gefühl hinterlässt das alles nicht. An dieser Stelle müssen wir dennoch eine Lanze für WhatsApp brechen. Denn als amerikanischer IT-Dienstleister bleibt WhatsApp fast gar nichts anderes übrig als entweder eine Hintertür einzubauen oder aber die Verschlüsselung für US-Behörden offenzulegen. Begründet liegt dies im 2001 erlassenen Patriot Act, nach dem US-Unternehmen Kundendaten aus der ganzen Welt an US-Behörden wie die Bundespolizei FBI übergeben müssen.
Dazu meint auch Blogger und IT-Sicherheitsexperte Mike Kuketz, Dozent an der dualen Hochschule Karlsruhe: „Auch nach Einführung einer Ende-zu-Ende Verschlüsselung ist und bleibt WhatsApp kein Garant für eine sichere Kommunikation. Es sei denn wir formulieren die Definition von sicherer Kommunikation neu und ergänzen: [ … ] Kommunikation ist auch dann als sicher einzustufen, wenn Behörden und andere regierungsnahe Institutionen über die Möglichkeit verfügen diese in lesbarer bzw. unverschlüsselter Form auszulesen.“
Eine Nummer für die Sicherheit
Ist mein Chatpartner tatsächlich derjenige, für den er sich ausgibt? Die Frage ist nicht ganz unberechtigt, denn Handys und Smartphones können gestohlen werden – und die SIM-Karte in fremde Hände gelangen. So gelangt dann auch ein Dritter an die mit WhatsApp verbundene Telefonnummer des eigentlichen Chatpartners. Für diesen Fall hat der Messenger-Dienst eine Lösung gefunden, die an Signal erinnert: Um sicherzugehen, dass am anderen Ende tatsächlich die Person sitzt, mit der Sie kommunizieren möchten und der Verschlüsselungscodes Ihres Handys mit dem des Empfängers übereinstimmt, sollten Sie die Sicherheitsnummern überprüfen. Dazu können Sie sich entweder mit Ihrem Chatpartner treffen und den im Chat angezeigten QR-Code scannen oder die 60-stellige Nummer austauschen. Ist diese auf beiden Geräten identisch, sind die WhatsApp Nachrichten sicher verschlüsselt.
Übrigens: Ändert sich die Sicherheitsnummer eines Chat-Partners, zeigt WhatsApp einen Hinweis an. Das funktioniert jedoch nur, wenn man diese Benachrichtigung im Menü „Sicherheit“ aktiviert hat.
Fazit
WhatsApp macht trotz Kritik einen großen Schritt nach vorn in Sachen Privatsphäre. Massentauglich ist die Ende-zu-Ende Verschlüsselung von WhatsApp allemal: Anwender müssen schließlich nichts weiter tun, als sie die aktuellste Version zu installieren.
Natürlich bleibt ein gewisses Restrisiko – insbesondere hinsichtlich der beim Betreiber anfallenden Metadaten – aber diese fallen auch beim Telefonieren, beim Mailen mit PGP oder Signal, oder bei SMS an. Und was das Vertrauen angeht: Als Nutzer sind Sie mangels Offenlegung des Quellcodes eben nicht 100 prozentig sicher, ob die Facebook-Tochter Ihnen nicht doch eine manipulierte App unterschummelt, die die Verschlüsselung untergräbt.
Ähnlich sieht das auch Mike Kuketz: „Die Einführung der verbesserten Verschlüsselung ist tatsächlich ein Schritt in die richtige Richtung, sollte aber niemals von der Tatsache ablenken, dass sichere Kommunikation damit weiterhin unmöglich bleibt. Zumindest dann, wenn wir außer Kontrolle geratene Behörden und Geheimdienste in unsere Überlegungen mit einbeziehen.“
Wie bewerten Sie die Ende-zu-Ende Verschlüsselung von WhatsApp? Nutzen Sie bereits die neue WhatsApp Version? Ich freue mich auf Ihren Kommentar.
Der Beitrag WhatsApp Verschlüsselung auf den Zahn gefühlt erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.
