Bei vielen Smartphone-Nutzern hat WhatsApp inzwischen die SMS abgelöst: Der seit 2014 zu Facebook gehörige Dienst zählt weltweit mehr als eine Milliarde Nutzer, die über die App per Internet Textnachrichten verschicken oder auch Anrufe führen. WhatsApp ist ganz auf die Verwendung auf Mobiltelefonen zugeschnitten: So identifiziert der Dienst seine Nutzer per Telefonnummer.
Seit der Gründung im Jahr 2009 machte der Dienst immer wieder Negativ-Schlagzeilen: So waren WhatsApp-Gespräche zu Beginn relativ einfach abzufangen. Auch mit Verbraucherschützern hat der Dienst öfters Probleme. Im Mai 2016 entschied das Landgericht Berlin, dass die AGB des Unternehmens ungültig seien, sofern sie nicht auf Deutsch vorlägen.
Dem Negativ-Image begegnet WhatsApp im April dieses Jahres mit einer Neuentwicklung: Mehr als ein Jahr hatte die Facebook-Tochter an der Umsetzung des neuen Verschlüsselungs-Konzepts gearbeitet. Anfang April diesen Jahres meldeten die Firmengründer Brian Acton und Jan Koum Vollzug: “Von nun an wird jeder Anruf, jede Nachricht, jedes Foto, Video und jede Datei, die Sie mit der neusten Version von WhatsApp verschicken, verschlüsselt gesendet.”
Mit dem Schritt ging WhatsApp weiter als viele konkurrierende Chat-Anbieter wie zum Beispiel Google Hangout oder Microsofts Skype. Bei einer Ende-zu-Ende-Verschlüsselung werden Nachrichten nicht nur auf dem Weg zum Server des Chat-Anbieters verschlüsselt, sie sind auch für den Anbieter selbst nicht lesbar. Auch Werbeanbieter können sich nicht auf Chatinhalte beziehen.
Verschlüsselung voreingestellt
WhatsApp macht es für die Nutzer möglichst einfach, von der neuen Verschlüsselung zu profitieren. Sie wird automatisch aktiviert, sofern beide Kommunikationspartner eine ausreichend neue Version des Chat-Programms installiert haben. Nur, wenn ein Chat-Partner eine veraltete WhatsApp-Version einsetzt, ist die Verschlüsselung deaktiviert.
Die neu eingeführte Technik beruht auf dem “Signal”-Protokoll von Open Whisper Systems, einem so genannten “Public-Key-Verfahren”. Das Grundprinzip ist: Nachrichten, die mit einem öffentlichen Schlüssel verschlüsselt sind, können nur mit dem dazu passenden privaten Schlüssel wieder lesbar gemacht werden. Bei der Installation von WhatsApp werden automatisch mehrere solcher Schlüssel angelegt. Die privaten Schlüssel werden dabei nur auf dem Gerät gespeichert, die öffentlichen Schlüssel werden zu den zentralen WhatsApp-Servern hochgeladen. Auf Grundlage dieser Schlüssel werden laufend neue Schlüssel generiert, die die Gespräche per App fortlaufend absichern.
Mehrfach gesichert
Das Signal-Protokoll vereint mehrere Schichten von Verschlüsselung. So werden Nachrichten in Gruppenchats für jeden Teilnehmer individuell verschlüsselt. Zusätzlich verschlüsselt WhatsApp die Daten auch auf dem Weg zu den zentralen Chat-Servern. Das heißt: Auch wenn ein Mobilfunk-Provider oder WLAN-Betreiber den kompletten Datenverkehr eines Nutzers abfängt, können sie weder Nachrichten mitlesen, noch erkennen, mit wem der Nutzer kommuniziert.
Mehr noch: Die verwendeten Schlüssel ändern sich ständig und das Protokoll bietet „Vorwärtssicherheit“. Das bedeutet, selbst wenn zu einem bestimmten Zeitpunkt der aktuelle private Schlüssel einer Nutzerin bekannt würde, könnte der Datenverkehr rückwirkend nicht entschlüsselt werden.
Verschlüsselung ist aber immer zum Teil Vertrauenssache: Zwar baut das Signal-Protokoll auf bewährten Techniken auf. Der Quellcode von WhatsApp ist aber nicht öffentlich und steht damit nicht für eine allgemeine Sicherheitsüberprüfung bereit.
Auch die WhatsApp-Version für den Browser - WhatsApp Web -- unterstützt die verschlüsselten Gespräche. Dafür nutzt der Dienst einen Trick: Die Nachrichten werden nicht etwa im Browser, sondern weiterhin auf dem Mobiltelefon entschlüsselt. Dazu muss der Nutzer mit dem Mobiltelefon einen QR-Code einscannen, so dass zwischen Browser und Mobiltelefon eine separate verschlüsselte Verbindung aufgebaut werden kann. Schaltet man das Handy ab oder hat es keine Internetverbindung, funktioniert auch WhatsApp Web nicht mehr. Auf diese Weise müssen die privaten Schlüssel eines Nutzers das Smartphone nicht verlassen.
Handywechsel
In der Voreinstellung benachrichtigt WhatsApp die Chat-Partner nicht darüber, wenn sich die privaten Schlüssel eines Teilnehmers geändert haben. Dies passiert beispielsweise, wenn ein Nutzer sein Telefon wechselt oder das Betriebssystem neu installiert.
Ein Angreifer kann sich das zu Nutze machen, wenn er die SMS eines Nutzers abfangen kann. Auf diese Weise kann er den WhatsApp-Account übernehmen. Als Schutz gegen solche aufwändigen Angriffe bietet WhatsApp eine Sicherheitsbenachrichtigungen an, die Nutzer informiert, wenn sich ihr Gegenüber mit einem bis dahin unbekannten Schlüssel meldet. Diese Benachrichtigung muss man in den Einstellungen unter dem Punkt Account - Sicherheit“ aktivieren. Eine Möglichkeit, seine privaten Schlüssel auf ein neues Mobiltelefon zu überführen, bietet WhatsApp nicht an. Damit die Nutzer sicher sein können, auch mit dem richtigen Gesprächspartner zu kommunizieren, können sie sich gegenseitig per QR-Code verifizieren.
Schwachstelle Smartphone
Keinen Schutz bietet die Ende-zu-Ende-Verschlüsselung, wenn das Mobiltelefon in fremde Hände gerät und nicht abgesichert ist - ein Dieb oder sonstiger Angreifer kann nach Belieben die Chat-Protokolle lesen oder Nachrichten im Namen des Besitzers verschicken. Ist das Handy gesperrt und die Geräteverschlüsselung eingeschaltet, entfällt dieses Risiko.
WhatsApp empfiehlt im Fall des Diebstahls oder des Verlusts des Mobiltelefons die eigene SIM-Karte beim Provider sperren und parallel den WhatsApp-Account per E-Mail deaktivieren zu lassen. Vorsorglich sollten Nutzer ihr Mobiltelefon jedoch absichern und am besten verschlüsseln.
Metadaten sagen mehr als tausend Worte
Allen Verschlüsselungen zum Trotz: Jede Nachricht der mehr als eine Milliarden Nutzer läuft über die Server des US-Unternehmens. In seinen Allgemeinen Geschäftsbedingungen macht das Unternehmen darauf aufmerksam, dass es genau abspeichert, wer zu welchem Zeitpunkt mit wem kommuniziert. Diese Daten nennt man Metadaten. Sie werden gegebenenfalls auch mit staatlichen Verfolgungsbehörden geteilt. Auf die Nachrichten-Inhalte selbst haben jedoch weder WhatsApp, noch Polizeibehörden Zugriff, wenn die Verschlüsselung aktiviert ist.
Dein Adressbuch, mein Adressbuch
Um voll zu funktionieren, verlangt WhatsApp den Zugriff auf das Adressbuch eines Nutzers. Gibt man dem Programm Zugriff auf die Kontakte, lädt das Programm die gefundenen Mobilfunknummern auf die WhatsApp-Server hoch. Ist eine dieser Nummern als WhatsApp-Nutzer registriert, landet dieser in der Kontaktliste der App. Das Unternehmen versichert, keine sonstigen Daten aus dem Adressbuch hochzuladen, so bleiben Namen, Festnetznummern, E-Mailadressen oder gar die Postanschrift der Kontakte auf dem Smartphone des Nutzers.
Was mit Telefonnummern von Nicht-Nutzern geschieht, ob diese zum Beispiel auf WhatsApp-Servern gespeichert werden, ist nicht bekannt. WhatsApp lässt sich in seiner Datenschutzrichtlinie von August 2016 vom Nutzer bestätigen, dass er autorisiert ist, die Kontakte aus seinem Adressbuch bei WhatsApp hochzuladen. Theoretisch müsste man also jeden seiner Kontakte vor dem Hochladen um Erlaubnis fragen.
Verweigert man den Zugriff auf das Adressbuch, funktioniert WhatsApp nur eingeschränkt. So werden dem Nutzer keine Profildaten angezeigt, sondern nur die Telefonnummern seiner Kontakte.
Ende August 2016 verkündete WhatsApp einen wesentlichen Kurswechsel: Künftig sollen die Telefonnummern und Analytics-Daten mit der Konzernmutter Facebook geteilt werden. Auf diese Weise kann der Konzern, der auch an anderer Stelle die Mobilnummer seiner Mitglieder abfragt, Verbindungen zwischen Personen herstellen, die auf Facebook nicht befreundet sind. Daten wie der bevorzugte Zeitpunkt der Online-Aktivitäten können für personalisierte Werbung genutzt werden.
Wie man sich selbst auf WhatsApp präsentiert, bleibt jedem Nutzer selbst überlassen So kann man bei der Installation einen beliebigen Namen und ein beliebiges Nutzerbild hochladen. Diese Daten stehen allerdings jedermann bereit, der auf WhatsApp zugreift und die entsprechende Telefonnummer kontaktiert. Wer in WhatsApp seinen vollen Namen angibt, ermöglicht es also, seine Telefonnummer und Namen abzurufen. Parallel zeigt WhatsApp an, wann ein Nutzer zuletzt bei WhatsApp angemeldet war. Wer will, kann auch kleine Status-Nachrichten in der App hinterlassen, die dann ebenfalls öffentlich sind.
Fazit:
Mit der Adaption des Signal-Protokolls hat WhatsApp seinen Nutzern eine effektive Verschlüsselung bereitgestellt, die darüber hinaus einfach zu nutzen ist. Leider verschenkt der Dienst durch die Voreinstellungen ein Teil dieser Sicherheit wieder. Wer seine Kommunikation vor den Behörden verstecken will, findet datensparsamere Kommunikationsmittel - aber wohl kaum ähnlich stark verbreitetere.