Hintergrund

Was Sie über WhatsApp wissen sollten

WhatsApp
WhatsApp

WhatsApp gehört zu den beliebtesten Messengern auf Smartphones. Mit Verschlüsselung polierte der Dienst sein schlechtes Image als Datenschleuder auf. Einige Probleme bleiben aber bestehen, auch Mutterkonzern Facebook greift auf einige Daten zu.

Veröffentlicht am
Autor
Schlagworte
Ende-zu-Ende-Verschlüsselung · WhatsApp
Drucken

Auf einen Blick

WhatsApp: Die Nummer eins der Messenger

Mit WhatsApp kann man Textnachrichten, Fotos, Videos und Dateien über das Internet versenden. Weil dabei im Gegensatz zur SMS keine Kosten anfallen, hat die App bei vielen Smartphone-Nutzern inzwischen die SMS abgelöst. Inzwischen kann man mit der App auch telefonieren und Videoanrufe machen.

Der Dienst zählt weltweit mehr als eine Milliarde Nutzer, davon rund 37 Millionen in Deutschland (Stand 2017). Der Betreiber und Hersteller, WhatsApp Inc., wurde 2014 von Facebook gekauft und gehört seitdem zur Facebook-Gruppe. Firmensitz ist in Kalifornien, USA.

Die App ist unter Jugendlichen sehr beliebt. In der JIM-Studie 2016 gaben mehr als 90 Prozent der befragten Jugendlichen zwischen 12 und 19 Jahren an, dass WhatsApp zu ihren drei wichtigsten Apps gehört.

Kritik an WhatsApp

Seit der Gründung im Jahr 2009 macht der Dienst immer wieder Negativ-Schlagzeilen: So waren WhatsApp-Nachrichten zu Beginn relativ einfach abzufangen. Spätestens seit WhatsApp 2016 die Ende-zu-Ende-Verschlüsselung eingeführt hat, ist dies allerdings kein Problem mehr.

Was Datenschutz und Privatsphäre betrifft, kollidiert der Dienst jedoch regelmäßig mit europäischen und deutschen Regeln. So entschied das Landgericht Berlin im Mai 2016, dass die Allgemeinen Geschäftsbedingungen (AGB) des Unternehmens ungültig seien, sofern sie nicht auf Deutsch vorlägen.

Ende August 2016 kündigte Facebook an, die Kundendaten von WhatsApp und Facebook zusammenzuführen. Das führte zu einer Protestwelle. Eine Verwaltungsanordnung des zuständigen Datenschutzbeauftragten hat diesen Datenaustausch zwar vorerst unterbunden, Facebook geht aber derzeit vor Gericht dagegen vor. Eine Entscheidung steht noch aus.

Weil die App so weit verbreitet ist, zieht sie Spam, Phishing und Falschmeldungen an. So tauchen immer wieder Kettenbriefe mit vermeintlichen Sonderangeboten oder Warnungen auf, die sich dann schnell verbreiten.

WhatsApp darf laut eigener AGB erst ab 16 Jahren genutzt werden. Eltern stehen hierbei in der Pflicht, diese Altersgrenze durchzusetzen, wie ein Urteil des Amtsgerichts Bad Hersfeld nahe legt (mobilsicher.de berichtete).

Weil der Dienst sich über die Datenschutzerklärung weitreichende Befugnisse einräumen lässt, halten einige Experten den Einsatz zum Beispiel an Schulen für rechtswidrig. So erklärte die Berliner Datenschutzbeauftragte Maja Smoltczyk bei der Vorstellung ihres Tätigkeitsberichtes 2016: Die Einwilligung des Nutzers „setzt die Kenntnis aller Gefahren voraus und die Freiheit, auch nein sagen zu können“. Ob diese Freiheit vorhanden ist, kann bezweifelt werden.

Welche Daten sammelt WhatsApp über mich?

Jede Nachricht läuft über die Server des US-Unternehmens. In seinen AGB macht das Unternehmen darauf aufmerksam, dass es genau abspeichert, wer zu welchem Zeitpunkt mit wem kommuniziert, die sogenannten Verbindungsdaten.

Um voll zu funktionieren, verlangt WhatsApp Zugriff auf das Adressbuch eines Nutzers. Gibt man dem Programm Zugriff auf die Kontakte, lädt das Programm die gefundenen Mobilfunknummern auf die eigenen Server hoch, um zu sehen, welche Kontakte schon vorhanden sind. Das Unternehmen versichert, keine sonstigen Daten aus dem Adressbuch hochzuladen.

Was mit Telefonnummern von Nicht-Nutzern geschieht, ob diese zum Beispiel gespeichert werden, ist nicht bekannt. WhatsApp lässt sich in seiner Datenschutzrichtlinie von August 2016 vom Nutzer bestätigen, dass er autorisiert ist, die Kontakte aus seinem Adressbuch bei WhatsApp hochzuladen. Theoretisch müsste man also jeden seiner Kontakte vor dem Hochladen um Erlaubnis fragen.

Natürlich landen auch alle Angaben bei WhatsApp, die man selber macht – zum Beispiel Nutzername, Profilbild und die eigene Telefonnummer.

Gibt WhatsApp meine Daten weiter?

Ende August 2016 verkündete WhatsApp, Telefonnummern und Analytics-Daten mit der Konzernmutter Facebook zu teilen. Die Nutzerdaten sollen dabei genutzt werden, um auf dem korrespondierenden Facebook-Profil zielgerichtete Werbung zu schalten. Datenschützer hatten den Schritt vorläufig gestoppt, nun muss der Fall gerichtlich geklärt werden.

Alle gesammelten Daten werden gegebenenfalls auch mit staatlichen Verfolgungsbehörden geteilt. Da die Server in den USA stehen, gelten für dieses Prozedere US-amerikanische Gesetze. Auf die Nachrichten-Inhalte selbst haben jedoch weder WhatsApp, noch Polizeibehörden Zugriff, wenn die Verschlüsselung aktiviert ist.

Verschlüsselung in WhatsApp

Seit April 2016 versendet WhatsApp alle Nachrichten standardmäßig verschlüsselt. Das gilt für Fotos, Videos und Dateien. Mit dem Schritt ging WhatsApp weiter als viele konkurrierende Chat-Anbieter, zum Beispiel Googles Hangout oder Microsofts Skype.

Dabei kommt eine sogenannte Ende-zu-Ende-Verschlüsselung zum Einsatz. Bei ihr werden Nachrichten nicht nur auf dem Weg zum Server des Chat-Anbieters verschlüsselt, sondern bereits auf den Geräten der Nutzer; sie sind dann auch für WhatsApp selbst nicht lesbar. Auch Werbeanbieter können Nachrichten-Inhalte nicht analysieren.

Die neu eingeführte Technik beruht auf dem „Signal”-Protokoll von Open Whisper Systems, einem so genannten „Public-Key-Verfahren”. Das Grundprinzip ist: Nachrichten, die mit einem öffentlichen Schlüssel verschlüsselt sind, können nur mit dem dazu passenden privaten Schlüssel wieder lesbar gemacht werden. Die Verschlüsselung gilt als sehr sicher.

Bei der Installation werden automatisch mehrere solcher Schlüssel angelegt. Die privaten Schlüssel werden dabei nur auf dem Gerät gespeichert, die öffentlichen Schlüssel werden zu den zentralen WhatsApp-Servern hochgeladen. Auf Grundlage dieser Schlüssel werden laufend neue Schlüssel generiert, die die Gespräche per App fortlaufend absichern.

Mehrfach gesichert

Das Signal-Protokoll vereint mehrere Schichten von Verschlüsselung. So werden Nachrichten in Gruppenchats für jeden Teilnehmer individuell verschlüsselt. Zusätzlich verschlüsselt WhatsApp die Daten auch auf dem Weg zu den zentralen Chat-Servern. Das heißt: Auch wenn ein Mobilfunk-Provider oder WLAN-Betreiber den kompletten Datenverkehr eines Nutzers abfängt, könnte er weder Nachrichten mitlesen, noch erkennen, mit wem der Nutzer kommuniziert.

Mehr noch: Die verwendeten Schlüssel ändern sich ständig und das Protokoll bietet „Vorwärtssicherheit“. Das bedeutet, selbst wenn zu einem bestimmten Zeitpunkt der aktuelle private Schlüssel einer Nutzerin bekannt würde, könnte der Datenverkehr rückwirkend nicht entschlüsselt werden.

Verschlüsselung ist aber immer zum Teil Vertrauenssache: Zwar baut das Signal-Protokoll auf bewährten Techniken auf. Der Quellcode von WhatsApp ist aber nicht öffentlich und steht damit nicht für eine Sicherheitsüberprüfung durch unabhängige Organisationen bereit.

Auch die Version für den Browser – WhatsApp Web – unterstützt die verschlüsselten Gespräche. Dafür nutzt der Dienst einen Trick: Die Nachrichten werden nicht etwa im Browser, sondern weiterhin auf dem Mobiltelefon entschlüsselt. Dazu muss der Nutzer mit dem Mobiltelefon einen QR-Code einscannen, so dass zwischen Browser und Mobiltelefon eine separate verschlüsselte Verbindung aufgebaut werden kann. Schaltet man das Handy ab oder hat es keine Internetverbindung, funktioniert auch WhatsApp Web nicht mehr. Auf diese Weise müssen die privaten Schlüssel eines Nutzers das Smartphone nicht verlassen.

Unser Tipp

Sie haben keine Lust, Facebook noch mehr Daten in den Rachen zu werfen? Dann nutzen Sie einen alternativen Dienst. Längst gibt es Messenger, die in Funktionalität und Bedienbarkeit dem Spitzenreiter WhatsApp in nichts nachstehen, aber sehr viel mehr Respekt für Ihre Privatsphäre zeigen.

Ihre Freunde nutzen aber diese Apps nicht? Fangen Sie klein an. Sie können auch zwei Messenger parallel nutzen und nach und nach mit Ihren Freunden den Anbieter wechseln.

Für alle Messenger gilt: Auch die beste Ende-zu-Ende-Verschlüsselung nützt nichts, wenn das Mobiltelefon in fremde Hände gerät und nicht abgesichert ist – ein Dieb oder sonstiger Angreifer kann nach Belieben die Chat-Protokolle lesen oder Nachrichten im Namen des Besitzers verschicken. Ist das Handy gesperrt und die Geräteverschlüsselung eingeschaltet, entfällt dieses Risiko.

Falls Sie sich endgültig von WhatsApp verabschieden wollen, denken Sie daran: Erst das Konto löschen, dann die App.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!