WhatsApp verschlüsselt nun auch, aber nicht komplett
Wer WhatsApp auf seinem Android Smartphone in den letzten Tagen genutzt hat, wird es sicherlich bereits mitbekommen haben: Der Messenger verschlüsselt neuerdings die Chats zwischen den einzelnen Personen auf Ende-zu-Ende-Basis, unabhängig vom genutzten Betriebssystem. Was zunächst sehr zu begrüßen ist, hat aber auch die ein oder andere kleine Einschränkung.
Wenn man als Messenger über 1 Milliarde aktive Nutzer pro Monat vorweisen kann wie WhatsApp, wird das Thema der Sicherheit und damit der verschlüsselten Kommunikation immer wichtiger. Nachdem Telefonate des Messengers schon seit etlichen Monaten prinzipiell verschlüsselt erfolgen, zogen nun die klassischen Chats nach. Egal ob man iOS, Android, Windows Phone 8.1/Windows 10 Mobile oder eines der anderen noch unterstützten Betriebssysteme nutzt (zum Beitrag): Die Kommunikation erfolgt prinzipiell ab Werk nur noch per Ende-zu-Ende-Verschlüsselung, wovon die ersten Grundlagen bereits im November 2014 eingeführt wurden (zum Beitrag).
Die neuste Version des Messengers findet man in den üblichen App Stores von Google, Apple und Microsoft.
WhatsApp muss auf dem neusten Stand sein
In der Theorie sollten daher weder Angreifer von außen noch WhatsApp selbst sehen können, was man in diesem verschlüsselten Chat schreibt. Nur hat die Sache auch einen Haken: Man muss dazu die neuste Version des Messengers nutzen. Anderenfalls erfolgt das Chatten auch weiterhin unverschlüsselt. Der beste Indikator dafür, ob der Chat verschlüsselt wird, ist das kleine Schlosssymbol im Chat-Fenster selbst.
Im Fall eines Gruppenchats reicht es bereits aus, wenn nur ein einziger Teilnehmer noch eine veraltete Version von WhatsApp ohne Verschlüsselung nutzt, dass der Gruppenchat komplett unverschlüsselt erfolgt. Ist ja auch logisch, sonst könnte der Nutzer mit der veralteten Version nicht mehr mitlesen.
Facebook bleibt Facebook
Auch die anfallenden Metadaten bei der Kommunikation via WhatsApp bleiben weiterhin unverschlüsselt und können auch von Dritten eingesehen werden. Sprich wer wann und von welchem Gerät mit welcher Version des Clients wohin geschrieben hat. Heißt im Klartext das man nicht mehr sehen kann was man jemanden geschrieben hat, nur das eine Kommunikation erfolgte. Ob es dabei um die Eröffnung eines Schließfach-Kontos in einer Steueroase geht oder um dem Einkauf am nächsten Samstag ist nicht mehr ersichtlich.
Da WhatsApp 2014 für den höchsten Betrag einer IT-Übernahme aller Zeiten von Facebook aufgekauft wurde, bleiben trotz allem gewisse Restbdenken übrig. Auch wenn der Messenger seit jeher Werbefrei ist und auch bleiben soll, wird sich der neue Besitzer trotz allem irgendeinen Nutzen davon versprechen. Und das dürften unter anderem die Rufnummern der Kontakte sein, mit denen man chattet und welche aus der Kontaktliste automatisch mit den Servern von WhatsApp abgeglichen werden.
Verschlüsselung bei Closed Source
Bei der Technologie zum Verschlüssen der Daten haben sich die Entwickler von WhatsApp für das Verfahren von Open Whisper Systems entschieden, welche mit Signal einen eigenen auf Open Source und der Whisper-Technologie basierenden Messenger einsetzen. Aber nur weil deren Verschlüsselung als sicher gilt, muss diese nicht auch komplett übernommen sein: WhatsApp ist Closed Source was bedeutet, dass nur die Entwickler des Messengers wissen, wie stark verschlüsselt wird – und vor allem ohne Hintertürchen zum Entschlüsseln.
Dennoch hat Open Whisper Systems in einem umfangreichen (englisch-sprachigen!) Blogeintrag erklärt, was sich denn nun überhaupt mit der Verschlüsselung ändert. Auch WhatsApp selbst hat ein entsprechendes Dokument mit den technischen Details veröffentlicht (PDF-Download),
Keylogger bleiben eine Gefahr
Aber letzten Endes kann auch die beste Verschlüsselung nichts daran ändern, wenn Daten von einem Keylogger abgefangen und übertragen werden. Selbst Screenshots mit Chat-Inhalten, den Kontakten und anderen Dingen können zum Nadelöhr für ein Daten-Leck werden.
Sicherheitsnummer zum Abgleich
Wichtig ist aber eine Funktion von WhatsApp, die man erst manuell aktivieren muss und auf den Namen Sicherheitsnummer hört. Damit ist eine ID gemeint, die sich bei jeder Neuanmeldung in einem WhatsApp-Chat von Grund auf neu für den jeweiligen Kontakt generiert. Installiert man den Messenger auf einem anderen Gerät und aktiviert dieses, wird das alte Gerät abgemeldet und besagte Sicherheitsnummer ändert sich.
Über Einstellungen -> Account -> Sicherheit -> Sicherheits-Benachrichtigungen kann man die Meldung einschalten, dass man über die Änderung der Sicherheitsnummer im Chat selbst informiert werden will. Auf diese Weise kann man sichergehen, dass auch tatsächlich derjenige am anderen Ende sitzt, mit dem man chatten will und im Zweifelsfall einmal anrufen und sich die Neuanmeldung bestätigen lassen.
Fazit
So lässt sich unterm Strich festhalten, dass die Bemühungen von WhatsApp prinzipiell sehr zu begrüßen sind, aber mitunter dennoch Einfallstore für Angreifer vorhanden sind. Selbst das Argument, dass Threema sicherer sei weil die Daten auf Servern in der Schweiz gespeichert werden, ist spätestens mit dem geplanten Schweizer Geheimdienstgesetz um ein Argument ärmer, auch wenn die Verschlüsselung laut Krypto-Experten selbst nicht zu beanstanden ist (PDF-Download).
Letzten Endes wird der Großteil trotzdem WhatsApp nutzen und auch dabei bleiben, was einen einfachen Grund hat: Die meisten Freunden nutzen den Messenger und die nun eingeführte End-to-End-Verschlüsselung ist ein kleiner Zugewinn an Komfort für das Gewissen.
Bleibt nur noch die Frage nach der rechtlichen Nutzung offen und die birgt durchaus noch einiges an Zündstoff (zu Beitrag).