Was bleibt von der Kritik an Whatsapp?

Wie riskant ist Whatsapp? Diese Frage hatte iRights.info vor dem Hintergrund einer Vielzahl immer wieder auftauchender Kritikpunkte behandelt. Doch Whatsapp hat – wie auch andere Messaging-Dienste – an einigen Punkten nachgebessert. Zeit für eine neue Einschätzung.
Bereits seit April liefert Whatsapp die aktuellen Versionen seiner Apps für Mobilgeräte und andere Computer aus. Seitdem übermittelt Whatsapp Kurznachrichten, Bilder oder Telefonate verschlüsselt, wenn alle Teilnehmer die neue Version besitzen. Für Android-Nutzer gab es die Verschlüsselung teilweise schon länger.
Der dahinter stehende Ansatz, die sogenannte Ende-zu-Ende-Verschlüsselung, gilt richtig angewandt als zuverlässig, um die Kommunikation der Nutzer vor ungewollten Einblicken durch Dritte zu schützen. Nach eigener Aussage will Facebook-Tochter Whatsapp damit ein Versprechen an die Nutzer einlösen. Zudem ist zu vermuten, dass Whatsapp auch neues Vertrauen aufbauen und mit Konkurrenten mitziehen will, die ebenfalls Verschlüsselung anbieten.
Ende-zu-Ende-Verschlüsselung
Bei dieser Verschlüsselungsart werden die Daten über alle Übertragungsstationen hinweg verschlüsselt. Sie werden schon beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Somit soll verhindert werden, dass Daten auf Zwischenstationen abgegriffen werden können, wo sie sonst unverschlüsselt vorliegen würden. Manche Dienste haben eine Ende-zu-Ende-Verschlüsselung bereits integriert, bei manchen lässt sie sich nachrüsten, zum Beispiel mit den Programmen PGP/GPG bei E-Mail.
Denn aufgrund zahlreicher Sicherheitslücken und eines bedenklichen Umgangs mit Nutzerdaten musste Whatsapp jahrelang scharfe Kritik hinnehmen. Zudem wurde dem Unternehmen immer wieder angelastet, sich so gut wie nie zu nachgewiesenen technischen Defiziten oder vermeintlichem Datenmissbrauch zu äußern.
Wie arbeitet die Verschlüsselung?
Whatsapp hat die Verschlüsselung seiner Dienste so implementiert, dass sie lautlos zu Werke geht: Alles Wesentliche passiert dabei im Hintergrund. Man muss nicht mit Schlüsseln hantieren; es genügt, die neue App-Version zu aktivieren und beispielsweise einen Chat zu starten. Daraufhin meldet Whatsapp, dass man mit diesem Kontakt ab sofort verschlüsselt kommuniziert.

Hinweis zur Verschlüsselung in Whatsapp
Im Hintergrund bestätigt die Whatsapp-Software dafür offenbar in beide Richtungen, dass der Kommunikationspartner die neue Version benutzt und die zur Kommunikation nötigen Schlüssel ausgetauscht werden können.

Einstellung für Warnungen
Das System kann die Nutzer warnen, wenn sich bei einem Kontakt die hinterlegten Autorisierungsdaten geändert haben sollten. Dies könnte mehrere Ursachen haben, etwa eine neue Mobilfunknummer, aber auch ein versuchter Angriff eines Dritten, der sich als sogenannter „Man in the middle“ ungewollt in die Verbindung einschalten will. Um die Warnung zu erhalten, muss man die Funktion aktivieren. Sie findet sich unter „Einstellungen“ > „Account“ > „Sicherheit“ und heißt „Sicherheitsbenachrichtigungen einstellen“.
Daneben können Nutzer die Identität ihres Kommunikationspartners überprüfen, indem sie einen QR-Code scannen oder eine spezielle Nummer austauschen. So ist sichergestellt, dass der Whatsapp-Kontakt auch derjenige ist, als der er sich ausgibt.
Wie gut ist die Verschlüsselung?
Einen Test der Umsetzung der Verschlüsselung in den Mobil-Apps von Whatsapp hat Heise Security durchgeführt. Die Tester von Heise ziehen eine positive Bilanz: „Private Gespräche sind damit nicht nur dem einfachen Zugriff durch den Betreiber, sondern auch dem der Geheimdienste und anderer staatlichen Organe entzogen“.
Die Verschlüsselungs-Technologie, die im Whatsapp-System steckt, gilt derzeit als robust. Sie ist die gleiche wie im Konkurrenzprodukt „Signal“ und kommt vom Hersteller Open Whisper Systems, der allgemein einen guten Ruf unter Sicherheitsforschern genießt.
Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat die Einführung gewürdigt und den Dienst in ihrem Vergleich verschiedener Messaging-Dienste aufgewertet. Die EFF hebt zudem hervor, dass Chats aus der Vergangenheit verschlüsselt bleiben, auch wenn ein Angreifer zum Beispiel den Schlüssel stehlen würde. Der Fachbegriff für dieses Merkmal lautet „(Perfect) Forward Secrecy“.
Risiken trotz Verschlüsselung
Unabhängig von der eingesetzten Verschlüsselung können Sicherheitsprobleme an anderen Stellen auftauchen. So sagen Sicherheitsforscher, dass sie bekannte, aber bislang unbehobene Schwachstellen im Mobilfunknetz nutzen können, um sich Zugang zu einem fremden Whatsapp-Konto zu verschaffen und Nachrichten abzufangen. In einigen Berichten wurde daraus die unzutreffende Meldung, die Whatsapp-Verschlüsselung selbst sei geknackt worden.
Publikumsmedien berichteten auch über ein weiteres Szenario. Dabei verbindet ein Angreifer sein Laptop oder Tablet mit dem fremden Whatsapp-Konto, wofür unbemerkt das Smartphone des Nutzers verwendet wird. Das Smartphone muss dafür entsperrt sein, der Nutzer wird zum Beispiel in ein Gespräch verwickelt. Hier ist aber nicht der Dienst Whatsapp das Kernproblem, sondern schlecht gesicherte Smartphones oder unachtsame Nutzer.
Desktop-Variante noch nicht überprüft
Auch für die Betriebssysteme Mac OS X und Windows 10 bietet Whatsapp mittlerweile Programme an. Die sogenannten Web-Apps sehen für den Nutzer zwar nach einer eigenständigen Software aus, doch das sind sie nicht. Sie nutzen Funktionen des Google-Browsers Chrome, der zwingend installiert sein muss. Das Programm auf dem Desktop läuft nur, wenn das Smartphone mit aktiviertem Whatsapp mit dem Rechner verkoppelt ist.
Die Funktionen der Desktop-Version sind weitgehend identisch mit den Apps für Smartphones. Allerdings räumen die Heise-Security-Redakteure ein, dass die Funktionsweise im Detail und damit mögliche Schwachstellen bei dieser Variante noch nicht untersucht sind. Weitere Untersuchungen der Desktop-App sind derzeit nicht bekannt.
Adressbuchdaten, Code-Transparenz: Schwachpunkte bleiben
Einige, bereits früher monierte Kritikpunkte hat Whatsapp nicht geändert. So weist die EFF darauf hin, dass Whatsapp den Code seiner App nicht offenlegt, wie es beispielsweise bei „Signal“ der Fall ist. Die Sicherheit des Dienstes ist damit nicht vollständig öffentlich überprüfbar.
Weiterhin sammelt und speichert Whatsapp Metadaten. Das sind Daten beispielsweise darüber, wer wann mit wem die Whatsapp-Dienste genutzt hat. Zum Teil ist das konstruktionsbedingt und auch bei sonstigen Diensten so. Doch auch durch Analyse von Metadaten lassen sich aussagekräftige Nutzerprofile erstellen und Einblicke in das Kommunikationsverhalten und das Kontaktnetzwerk der Nutzer gewinnen.
Auch die Übermittlung von Kontaktdaten aus dem Adressbuch des Mobilgeräts der Nutzer zu den Whatsapp-Servern bietet weiterhin Anlass zur Kritik. Whatsapp beteuert, dass dabei nur die Telefonnummern übermittelt würden. Bei beruflicher Nutzung kann die Übermittlung als Verstoß gegen geltende Datenschutzbestimmungen angesehen werden. Wer sein Adressbuch nicht für Whatsapp freigibt, kann nur Nachrichten empfangen oder darauf antworten und den Dienst nicht sinnvoll nutzen.
Daneben sieht sich das kalifornische Unternehmen einem Gerichtsurteil gegenüber, nach dem es seine AGB nicht nur auf Englisch anbieten darf. Das hat das Kammergericht Berlin auf eine Klage von Verbraucherschützern entschieden. Die AGB von Whatsapp wären daher für Nutzer in Deutschland unwirksam, doch das Urteil ist noch nicht rechtskräftig.
Fazit
Kritik am einstigen Sorgenkind Whatsapp bleibt: Das Übermitteln von Adressbuchdaten an den Dienst oder die fehlende Offenheit des Codes wird gerade sicherheits- und datenschutzbewussten Nutzern weiterhin missfallen. Gleichwohl bescheinigen Sicherheitsexperten, dass der Dienst die neu eingeführte Verschlüsselung gut umgesetzt hat und sehr viele Nutzer nun besser geschützt sind.
3 Kommentare
1 Stefan Schnauzkopf am 7. Juni, 2016 um 19:03
Was ist mit Benachrichtigung über GCM, ist das nicht auch weiterhin ein Kritikpunkt (übrigens auch bei Signal, deswegen gibt es ja auch eine GCM-freie Variante)? So bekommt nicht nur Facebook die Metadaten, sondern auch Google.
2 Henry Steinhau am 7. Juni, 2016 um 19:37
@Stefan Schnauzkopf: Sie meinen eine Verkopplung von Whatsapp mit Google Cloud Messaging? Wenn auf diesem Weg Metadaten weitergegeben werden, wäre das – je nach den betreffenden Ausmaßen – eine der Verwendungen von Metadaten, die im Artikel angesprochen werden und als kritisch gelten.
3 Jonas Fritz am 19. August, 2016 um 08:57
Angenommen man würde sich immer erst anschreiben lassen, den Kontakt dann mittels des QR-Codes verifizieren und Kontakte erst danach im Telefonbuch anlegen. Zudem eine Datenschutzvereinbarung unterzeichnen lassen, dass der Kunde der Kommunikation auf diesem Wege zustimmt und sich der Risiken bewusst ist. Wäre dies ein gangbarer Weg bei beruflicher Nutzung?
Was sagen Sie dazu?