Hinweis (29.06.2017): Der "Guardian" hat seinen Artikel mittlerweile in weiten Teilen korrigiert und spricht von "fehlerhafter Berichterstattung". Mehr dazu hier.

Seit einiger Zeit bietet der populäre Messenger Whatsapp Ende-zu-Ende-Verschlüsselung. Diese soll sicherstellen, dass Nachrichten nur vom Verfasser und den vorgesehenen Empfängern gelesen werden können. Selbst Whatsapp-Eigentümer Facebook erklärt, selbst keine Möglichkeit zu haben, Chats einzusehen.

Der Sicherheitsforscher Tobias Boelter von der University of California hat nun jedoch eine kritische Lücke entdeckt, berichtet der "Guardian". Offenbar wurde die Verschlüsselung bei Whatsapp auf eine unsichere Weise implementiert, sodass über eine Hintertür Nachrichten auslesbar sind.

Problematischer Umgang mit Verschlüsselung

Whatsapp nutzt das Signalprotokoll von Open Whisper Systems, über das der Austausch und die Verifizierung der Schlüssel zwischen den Nutzern abgewickelt werden. Jedoch kann die App ohne Wissen des Senders oder Empfängers die Generierung neuer Schlüssel erzwingen, wenn der Nutzer nicht mit dem Internet verbunden ist. Mit diesen werden noch nicht zugestellte Nachrichten erneut verschlüsselt.

Der Empfänger wird darüber nicht in Kenntnis gesetzt, der Absender erhält nur dann einen Warnhinweis, wenn er "Verschlüsselungswarnungen" in den Einstellungen aktiviert hat. Aber auch erst dann, wenn die Nachricht bereits zugestellt wurde. Durch den erzwungenen Schlüsselwechsel könnte Whatsapp theoretisch diese Botschaften einsehen oder einem Dritten, wie etwa einem Geheimdienst, zugänglich machen.

"Goldmine für Behörden"

Datenschützer warnen bereits vor diesem Problem. Beim Centre for Research into Information, Surveillance and Privacy sieht man diese Hintertür als "Goldmine für Sicherheitsbehörden", "Verrat am Vertrauen der Nutzer" und "riesige Gefahr für die Meinungsfreiheit".

Whatsapp wirbt stark mit seiner Sicherheit und soll auch von vielen politischen Aktivisten und Diplomaten verwendet werden. Besonders heikel ist das Leck im Zusammenhang mit Gesetzen wie dem Investigatory Powers Act in Großbritannien, welcher Regierungsbehörden de facto das Recht zur verdachtfreien Massenüberwachung einräumt.

Signal hat kein Problem

Das Problem liegt technisch gesehen bei Whatsapp und nicht beim Signalprotokoll. Der auch von Edward Snowden empfohlene, gleichnamige Messenger von Open Whisper Systems hat keine derartige Hintertür. Kommt es hier zu einem Wechsel des Schlüssels, während ein Nutzer offline ist, wird eine bereits verfasste Nachricht nicht automatisch zugestellt und eine Warnung angezeigt. Whatsapp hingegen verschickt die Nachricht ohne Rückfrage.

Whatsapp weist Vorwurf zurück

In der Stellungnahme gegenüber dem "Guardian" verweist Whatsapp auf die optionale Möglichkeit der Verschlüsselungswarnung. Zur Generierung eines neuen Schlüssels komme es meistens, weil jemand auf ein neues Telefon umsteige oder Whatsapp neu installiere. In vielen Ländern sei ein häufiger Wechsel von Geräten und SIM-Karten üblich, man wolle sicherstellen, dass Nachrichten nicht verlorengingen.

Gefragt, ob Facebook oder Whatsapp auf Chats zugegriffen oder diese Dritten zugänglich gemacht haben, antwortete man zunächst nur mit einem Verweis auf Facebooks Übersicht für Regierungsanfragen. Dort ist jedoch nur eine grobe Übersicht zu Behördenanfragen bei Notfällen und Gerichtsverfahren zu finden. Ausgeschildert wird lediglich, wie viele Anfragen es gab und in wie viel Prozent der Fälle Facebook "manche Daten" übermittelt hat.

Mittlerweile hat man den Vorwurf explizit zurückgewiesen. "Whatsapp gibt Regierungen keine Hintertür zu seinen Systemen und würde gegen jede Forderung jeder Regierung kämpfen, eine Hintertür zu schaffen", erklärte ein Sprecher. "Die Design-Entscheidung, auf die sich der 'Guardian'-Artikel bezieht, verhindert, dass Millionen Nachrichten verlorengehen, und Whatsapp bietet Benachrichtigungen an, um Nutzer auf potenzielle Sicherheitsrisiken hinzuweisen." (red, APA, 13.1.2017)

Update, 16.45 Uhr: Zweite Stellungnahme von Whatsapp ergänzt.