Whatsapp: Was die Verschlüsselung wirklich bringt – und was nicht

8. April 2016, 11:45
74 Postings

Auch wenn die Inhalte geschützt sind, lassen sich viel Informationen gewinnen. Einige Fallstricke sind zu beachten

Einen wichtigen Meilenstein in Hinblick auf die Privatsphäre seiner Nutzer konnte vor einigen Tagen die Facebook-Tochter Whatsapp verkünden: Ab sofort laufen alle über den Messenger getätigte Konversationen vollständig verschlüsselt ab. Dank Ende-zu-Ende-Verschlüsselung soll auch der Hersteller selbst keinen Einblick in die Inhalte mehr haben. So weit, so gut, und doch gibt es auch in diesem Fall einige wichtige Beschränkungen zu beachten.

Wertvolle Metadaten

Die wichtigste davon: Ähnliche wie bei mit PGP verschlüsselten E-Mails werden hier ausschließlich die Inhalte geschützt. Wer mit wem wann kommuniziert, ist für den Hersteller hingegen weiter einsichtig, insofern können diese Metadaten natürlich auch an Behörden weitergegeben werden. Und gerade diese Informationen sind oft wichtiger als die eigentlichen Inhalte, zeichnen sie doch ein detailliertes Bild über Beziehungsnetzwerke. Diese Gefahr ist übrigens nicht bloß theoretischer Natur, durch externe Analysen ist bekannt, dass Whatsapp ausführliche Protokolle mit den Metadaten jeder einzelnen Konversation erstellt.

grafik: open whisper systems
Die Profilinformationen geben Auskunft darüber, ob die Verbindung wirklich verschlüsselt abläuft.

Überprüfen, um sicherzugehen

Zumindest derzeit sollte man mit dem Versprechen, dass wirklich alle Gespräche verschlüsselt ablaufen, auch noch etwas vorsichtig sind. Grund dafür ist, dass die Verschlüsselung nur mit den aktuellsten Whatsapp-Versionen überall umgesetzt ist. Hat das Gegenüber noch nicht aktualisiert, werden Gespräche und Bilder auch weiter ungeschützt übertragen. Insofern empfiehlt es sich nachzusehen, ob die Kommunikation wirklich abgesichert ist. Diese Information wird in den Profilinformationen zum Gesprächspartner angezeigt.

Backup als Backdoor

Doch selbst wenn dies gegeben ist, gibt es noch so manche Fallstricke, einer davon ist die Backup-Funktion. Wer etwa mit einem iPhone seine Gespräche in der iCloud speichern lässt, unterwandert damit effektiv die Verschlüsselung. Apple hat also dann Zugriff auf dieses Inhalte und kann sie bei einer entsprechenden Aufforderung auch weitergeben. Die dort gespeicherten Daten lassen sich mit eigenen Tools recht einfach auslesen, ein effektiver Schutz besteht hier also nicht. Insofern sollte darauf geachtet werden, dass diese Backup-Funktion deaktiviert ist. Leider lässt sich dies natürlich nur einseitig sicherstellen, man muss sich also darauf verlassen, dass auch keiner der Gesprächspartner die Backup-Funktion aktiviert hat.

Nur der Transport gesichert

Eine nicht zu unterschätzende Rolle in der Absicherung der Kommunikation spielt auch das eigene Smartphone. Schützt Whatsapp doch nur den Transport der Nachrichten. Wer hingegen direkten Zugriff auf das Gerät hat, kann natürlich auch alle Mitteilungen lesen. Das Smartphone vor Dritten – etwa mit einer guten Lock-Screen-Sperre – zu schützen gehört aber ohnehin ganz allgemein zu den minimalen Voraussetzungen, will man die eigene Privatsphäre schützen.

Authentifizierung

Ob man auch wirklich mit der richtigen Person spricht, ist bei der Geheimhaltung einer Konversation ebenfalls ein wichtiger Punkt. Wer diese sicherstellen will, findet bei Whatsapp ebenfalls eine Hilfestellung dafür. So erhält jede Kommunikation einen eindeutigen, 60-stelligen Zahlencode. Bei einem privaten Treffen kann dann verglichen werden, ob dieser auch tatsächlich bei allen Teilnehmern der gleiche ist. Vereinfacht wird dies dadurch, dass Whatsapp das Überprüfen dieser ID mittels des Einscannen eines QR-Codes ermöglicht. Wird nach diesem Vorgang ein grüner Haken angezeigt, ist alles in Ordnung.

foto: open whisper systems
Mit einem Sicherheitscode kann festgestellt werden, ob das Gegenüber auch die Person ist, die es vorgibt zu sein.

Keine freie Software

Ein von Sicherheitsexperten immer wieder kritisch angemerkt Punkt an der Whatsapp-Verschlüsselung ist, dass das Programm nicht Open Source ist. Die Nutzer müssen also den Versprechungen des Herstellers glauben, selbst überprüfen können sie nicht, ob all dies auch bis ins Detail so stimmt. Nicht zuletzt aus diesem Grund empfiehlt etwa NSA-Whistleblower Edward Snowden stattdessen Signal zu verwenden. Dieses nutzt die selbe Ende-zu-Ende-Verschlüsselung wie Whatsapp – genau genommen hat Hersteller Open Whisper Systems Facebook bei der Umsetzung geholfen; zusätzlich ist hier aber auch der Code frei verfügbar. (Andreas Proschofsky, 8.4.2016)

  • Das zu Facebook gehörige Whatsapp verschlüsselt seit kurzem die Inhalte sämtlicher Nachrichten.
    foto: apa/afp/getty images/justin sull

    Das zu Facebook gehörige Whatsapp verschlüsselt seit kurzem die Inhalte sämtlicher Nachrichten.

Share if you care.