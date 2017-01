Problematische Implementierung der Verschlüsselung – Datenschützer sehen "riesige Gefahr für Meinungsfreiheit"

Seit einiger Zeit bietet der populäre Messenger Whatsapp Ende-zu-Ende-Verschlüsselung. Diese soll sicherstellen, dass Nachrichten nur vom Verfasser und den vorgesehenen Empfängern gelesen werden können. Selbst Whatsapp-Eigentümer Facebook erklärt, selber keine Möglichkeit zu haben, Chats einzusehen.

Der Sicherheitsforscher Tobias Boelter von der University of California hat nun jedoch eine kritische Lücke entdeckt, berichtet der Guardian. Offenbar wurde die Verschlüsselung bei Whatsapp auf eine unsichere Weise implementiert, sodass über eine Hintertür Nachrichten auslesbar sind.

Problematischer Umgang mit Verschlüsselung

Whatsapp nutzt das Signal-Protokoll von Open Whisper Systems, über das der Austausch und die Verifizierung der Schlüssel zwischen den Nutzern abgewickelt werden. Jedoch kann die App ohne Wissen des Senders oder Empfängers die Generierung neuer Schlüssel erzwingen, wenn der Nutzer nicht mit dem Internet verbunden ist. Mit diesen werden noch nicht zugestellte Nachrichten erneut verschlüsselt.

Der Empfänger wird darüber nicht in Kenntnis gesetzt, der Absender erhält nur dann einen Warnhinweis, wenn er "Verschlüsselungswarnungen" in den Einstellungen aktiviert hat. Aber auch erst dann, wenn die Nachricht bereits zugestellt wurde. Durch den erzwungenen Schlüsselwechsel könnte Whatsapp theoretisch diese Botschaften einsehen oder einem Dritten, wie etwa einem Geheimdienst, zugänglich machen.

"Goldmine für Behörden"

Datenschützer warnen bereits vor diesem Problem. Beim Centre for Research into Information, Surveillance and Privacy sieht man diese Hintertür als "Goldmine für Sicherheitsbehörden", "Verrat am Vertrauen der Nutzer" und "riesige Gefahr für die Meinungsfreiheit".

Whatsapp wirbt stark mit seiner Sicherheit und soll auch von vielen politischen Aktivisten und Diplomaten verwendet werden. Besonders heikel ist das Leck im Zusammenhang mit Gesetzen wie dem Investigatory Powers Act in Großbritannien, welcher Regierungsbehörden de facto das Recht zur verdachtsfreien Massenüberwachung einräumt.

Signal hat kein Problem

Das Problem liegt technisch gesehen bei Whatsapp und nicht beim Signal-Protokoll. Der auch von Edward Snowden empfohlene, gleichnamige Messenger von Open Whisper Systems hat keine derartige Hintertür. Kommt es hier zu einem Wechsel des Schlüssels, während eine Nutzer offline ist, wird eine bereits verfasste Nachricht nicht automatisch zugestellt und eine Warnung angezeigt. Whatsapp hingegen verschickt die Nachricht ohne Rückfrage.

Whatsapp argumentiert mit zuverlässiger Zustellung

In der Stellungnahme gegenüber dem Guardian verweist Whatsapp auf die optionale Möglichkeit der Verschlüsselungswarnung. Zur Generierung eines neuen Schlüssels komme es meistens, weil jemand auf ein neues Telefon umsteige oder Whatsapp neu installiere. In vielen Ländern sei ein häufiger Wechsel von Geräten und SIM-Karten üblich, man wolle sicherstellen, dass Nachrichten nicht verloren gingen.

Gefragt, ob Facebook oder Whatsapp auf Chats zugegriffen oder Dritten zugänglich gemacht haben, antwortete man mit einem Verweis auf Facebooks Übersicht für Regierungsanfragen. Dort ist jedoch nur eine grobe Übersicht zu Behördenanfragen bei Notfällen und Gerichtsverfahren zu finden. Ausgeschildert wird lediglich, wie viele Anfragen es gab und in wieviel Prozent der Fälle Facebook "manche Daten" übermittelt hat. (red, 13.01.2017)