[11.04.2016] Vor zwei Jahren begann WhatsApp mit einem ehrgeizigen Projekt: sämtliche Nachrichten seiner mehr als eine Milliarde Nutzer sicher zu verschlüsseln.
Das Facebook-Tochterunternehmen fand dafür einen Partner, der von vielen Sicherheitsexperten als ideal angesehen wurde: Ein Team um Moxie Marlinspike von Open Whisper Systems sollte die Verschlüsselung entwickeln.
Open Whisper Systems ist die Firma hinter dem Kurznachrichten-Dienst Signal, der als besonders abhörsicher und vertrauenswürdig gilt. WhatsApp kündigte an, bei der eigenen Verschlüsselung auf der Technik von Signal aufzubauen.
Als Ende 2014 die erste WhatsApp-Version mit Verschlüsselung verfügbar war, gab es dennoch eine Menge Kritik: Es war für Nutzer nicht erkenntlich, welche Nachrichten verschlüsselt waren und welche nicht, der Dienst funktionierte nicht für Bilder und andere Dateien, und ob WhatsApp selber die Nachrichten entschlüsseln konnte oder nicht, blieb unklar. Zudem war verschlüsseltes Kommunizieren nur zwischen Android-Geräten möglich.
All diese Kritikpunkte hat das Unternehmen mit der Version von vergangener Woche [05.04.2016] behoben. Oder, wie Marlinspike auf seinem Blog bekannt gab: Das Projekt ist jetzt, nach zwei Jahren, vollendet.
Alle über WhatsApp gesendeten Nachrichten und Dateien und auch WhatsApp-Anrufe sind ab Version 2.16.13 Ende-zu-Ende verschlüsselt. Eine entsprechende Nachricht erscheint im Chat-Protokoll, sobald die Verschlüsselung verfügbar ist. Die Verschlüsselung funktioniert nur, wenn beide Kommunikationspartner die neueste Version installiert haben. Alle Nutzer sollten daher ihre App möglichst bald aktualisieren.
Die verschlüsselte Kommunikation funktioniert auch zwischen Android und iOS-Geräten. WhatsApp selber hat nach eigenen Angaben keinen Zugriff auf die verschlüsselten Nachrichten. Um sicherzugehen, dass man mit der gewünschten Person kommuniziert und nicht mit jemandem, der sich nur dafür ausgibt, kann man jeden Chat auch verifizieren.
Die einzigen Kritikpunkte, die in Sachen Sicherheit und Datenschutz an WhatsApp nun noch bleiben: Die Software von WhatsApp, und damit auch die genaue Umsetzung des Verschlüsselungsprotokolls, ist nicht Open Source. Das heißt, unabhängige Dritte können nicht prüfen, ob der Programmcode in Ordnung ist. Laut WhatsApp wird es dabei auch bleiben.
Und die Metadaten, also wer mit wem zu welcher Zeit wie lange kommuniziert, werden von dem Unternehmen weiterhin gesammelt und ausgewertet. Dabei dürfen laut Datenschutzerklärung die Daten auch mit anderen Unternehmen von Facebook ausgetauscht und verknüpft werden.