WhatsApp-Update Gut verschlüsselt, aber nicht komplett sicher

WhatsApp verschlüsselt seine Kommunikation jetzt vollständig. Nutzern bringt das mehr Privatsphäre - aber einige Einschränkungen gibt es. Fünf Dinge, die Nutzer wissen sollten.

WhatsApp auf einem Smartphone
DPA

WhatsApp auf einem Smartphone

Von und


Nachrichten, Fotos und Videos, die über WhatsApp verschickt werden, sind nun, genau wie Anrufe, deutlich besser geschützt als bisher.

Der Messenger mit rund einer Milliarde Nutzern hat eine sogenannte Ende-zu-Ende-Verschlüsselung für alle Betriebssysteme eingeführt. Das bedeutet, dass die Inhalte in der App nur für beteiligte Nutzer sichtbar sind. Nicht einmal WhatsApp selbst weiß, was genau mit der App verschickt wird.

Die Nachricht von der vollständigen Verschlüsselung ist für WhatsApp-Nutzer positiv. Die Funktion muss nicht extra aktiviert werden, sondern ist automatisch aktiv, wenn der oder die Chat-Partner die neueste Version der App benutzen. WhatsApp übertrifft in diesem Punkt sogar die Chat-Software Telegram, die wegen ihrer Verschlüsselungsfunktion zeitweise als Lieblings-App von Terroristen galt. Dort ist die Verschlüsselung anders als bei WhatsApp aber nicht automatisch aktiv, sondern muss erst aktiviert werden.

Trotzdem sollten WhatsApp-Nutzer ihrem Messenger nun nicht blind vertrauen. Folgende Dinge sollte man beim Chatten zumindest im Hinterkopf behalten:

1. Manche Chats sind weiterhin unverschlüsselt

Obwohl es jetzt heißt, dass WhatsApp eine Ende-zu-Ende-Verschlüsselung hat, ist auch künftig nicht jeder Chat verschlüsselt. Die neue Verschlüsselung wird nur eingesetzt, wenn alle Chat-Teilnehmer die neueste Version der App nutzen. In diesem Fall zeigt ein Schloss-Symbol an, dass der Chat verschlüsselt ist.

Screenshot von WhatsApp

Screenshot von WhatsApp

Umgekehrt heißt das: Ist das Schloss nicht zu sehen, fehlt die neue Ende-zu-Ende-Verschlüsselung. In einem Gruppenchat reicht schon eine Person, die noch eine alte App-Version nutzt, damit alle Inhalte unverschlüsselt verschickt werden - sonst könnte sie die entsprechende Person nicht mitlesen. Eine entsprechender Hinweis wird in den Gruppeninfos des Chats angezeigt. Im Zweifel lohnt es sich also, die eigenen Freunde um eine Aktualisierung der App zu bitten.

2. Es fallen weiterhin Metadaten an

Auch wenn nun selbst WhatsApp nicht mehr die Inhalte der Kommunikation mitlesen kann - wer wann mit wem kommuniziert, weiß der Dienst trotzdem. Diese Informationen könnte er nutzen und natürlich auch weitergeben. Nun könnte man zum Beispiel nicht mehr von WhatsApp erfahren, dass Sie einen dubiosen Anwalt beauftragt haben, eine Briefkastenfirma in Panama zu eröffnen - dass Sie dem Anwalt geschrieben haben, ließe sich aber nachvollziehen.

Für Geheimdienste sind Metadaten oft sowieso die wertvolleren Daten: Mit ihnen lassen sich beispielsweise Kommunikations-Netzwerke aufdecken - und WhatsApp-Gruppen machen es besonders leicht, herauszufinden, wer mit wem in Verbindung steht.

So erfreulich der WhatsApp-Verschlüsselungs-Vorstoß grundsätzlich ist, sollte man nicht vergessen, dass es noch immer um eine Chat-App aus dem Hause Facebook geht, die mittlerweile wieder kostenlos und seit jeher werbefrei ist. Die Betreiber haben also sehr wohl ein Interesse an den Nutzerdaten.

Konkret liest WhatsApp die Nummern Ihrer Kontakte auf dem Telefon und fügt sie automatisch zur WhatsApp-Kontaktliste hinzu. Zudem müssen der App bei der Installation weitrechende Rechte auf dem Smartphone erteilt werden.

3. WhatsApp ist keine Open-Source-Software

Die Verschlüsselung, die WhatsApp nun einsetzt, gilt als sicher - sie stammt von Open Whisper Systems, der Firma, die auch die von NSA-Whistleblower Edward Snowden empfohlene Chat-App Signal verantwortet.

Anders als Signal ist WhatsApp aber keine Open-Source-Software. Das bedeutet: Nicht jeder kann den Code einsehen und darin etwa nach Hintertüren oder Kryptographie-Fehlern suchen. Ein Stück weit muss man also darauf vertrauen, dass WhatsApp und dessen Mutterkonzern Facebook die Verschlüsselung korrekt und ohne Ausnahmen anwenden und dass es keine Sicherheitslücken gibt, über die sie ausgehebelt werden könnte.

Ein wenig mehr Sicherheit könnten sogenannte Audits unabhängiger Sicherheitsforscher geben, bei denen Unternehmen den Forschern einen Einblick in den Quellcode gewähren. Bisher ist aber nicht bekannt, ob WhatsApp seine App so testen lassen will.

4. Es gibt weitere Wege, an die Nachrichten zu kommen

Dritte können eventuell abgefangene Nachrichten nun nicht mehr entschlüsseln. Das heißt aber nicht, dass es keine Möglichkeit mehr gibt, an die Inhalte zu kommen. Denn dafür gibt es viele Wege, von der unbedacht installierten Tastatur-App, die die eigenen Eingaben mitschneidet und weiterschickt, bis zum gedankenlos gemachten Screenshot, den man während eines Chats macht und auf seiner Speicherkarte speichert. So ein Sicherheits-Fauxpas kann einem selbst passieren, aber natürlich auch dem Chat-Partner, ohne dass man es bemerkt.

5. Eine Sonderfunktion sollte manuell aktiviert werden

Die wohl größte Gefahr ist, dass der Chat-Partner gar nicht derjenige ist, für den man ihn hält - ein Problem, das in Gruppenchats noch größer ist. Es könnte sein, dass ein Handy gestohlen wurde oder dass ein Dritter in den Besitz der Sim-Karte - und damit an die mit WhatsApp verbundende Telefonnummer - des eigentlichen Gesprächpartners gekommen ist.

In Fällen wie diesen - oder dem, dass ein Chat-Partner ein neues Handy hat - setzt WhatsApp jetzt auf sogenannte Sicherheitsnummern, mit denen man verifizieren kann, dass am anderen Smartphone genau der sitzt, dem man schreiben will.

Wie die Sicherheitsnummern funktionieren, wird zum Beispiel von "Caschys Blog" erklärt. Ändert sich die Sicherheitsnummer eines Chat-Partners, zeigt WhatsApp übrigens einen Hinweis an - aber nur, wenn man diese Benachrichtigung unter dem Menüpunkt "Sicherheit" aktiviert hat. Dies sollte man auf jeden Fall tun.

Animation: Verschlüsseln einfach erklärt



insgesamt 54 Beiträge
Alle Kommentare öffnen
Seite 1
Tiberias 06.04.2016
1. Was sind das wieder für Warnungen?
"Wenn das Handy des Gegenübers gestohlen wird...". Ist deshalb Whatsapp unsicher, weil das Handy gestohlen werden könnte? Genauso gut kann man davor warnen, dass man mit dem Auto überfahren werden könnte, wenn man mitten auf der Straße eine Nachricht schreibt. Ist daran dann auch Whatsapp schuld?
and_over 06.04.2016
2. wenn WhatsApp
wirkliche privacy wollte, würden die Metadaten unmittelbare nach der Nachrichtenübermittlung gelöscht. Wird eigentlich immer noch das komplette Adressbuch auf US-Server kopiert? Eben... Deswegen lieber Threema nutzen, da liegen die Daten auf schweizer Servern und dem schweizer Datenschutz traue ich deutlich weiter als dem US-"Datenschutz"
schumbitrus 06.04.2016
3. Danke!
Auch wenn i.d.R. diejenigen so einen Artikel lesen, die diese Zusammenhänge mindestens ahnen (und umgekehrt den Ahnungslosen so ein Artikel zu kompliziert ist ..) ist es wichtig, dass diese Informationen kursieren. Ökonomisch zweifele ich den "Trickle Down Effekt" ja an - hier denke ich aber, dass der stete Tropfen den Stein dann doch höhlt .. Insofern vielen Dank dafür!
5achsfräse 06.04.2016
4.
Zitat von and_overwirkliche privacy wollte, würden die Metadaten unmittelbare nach der Nachrichtenübermittlung gelöscht. Wird eigentlich immer noch das komplette Adressbuch auf US-Server kopiert? Eben... Deswegen lieber Threema nutzen, da liegen die Daten auf schweizer Servern und dem schweizer Datenschutz traue ich deutlich weiter als dem US-"Datenschutz"
Die Schweiz ist leider auch nicht besser: http://www.nzschweiz.ch/2015/05/16/schweizer-nationalrat-befürwortet-neues-geheimdienstgesetz/ Darüber hinaus hat Threema noch irgendeine Verschlüsselung selbst gebastelt (security through obscurity), ein absolutes No-Go in der Kryptographie. Whatsapp setzt wenigstens auf bewährte Standards.
Thunder79 06.04.2016
5.
Grundgütiger so ein Theater wegen den Daten. Wer Angst um seine Daten hat darf eben kein Handy und Internet nutzen. Alles andere ist paranoid und erweckt den Eindruck man hat was zu verheimlichen. Man muss ja nicht seine Tan-Liste per Whatsapp senden, aber der Rest ist echt albern diese übertriebene Angst um seine ach so heiligen Daten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.