Messenger

Was Sie über WhatsApp wissen sollten

Ein Artikel von , veröffentlicht am 25.04.2017, bearbeitet am19.08.2019

WhatsApp gehört zu den beliebtesten Messengern auf Smartphones. Durch seine Ende-zu-Ende-Verschlüsselung polierte der Dienst sein schlechtes Image als Datenschleuder auf. Viele Probleme bleiben aber bestehen – und auch Facebook greift auf einige Daten zu.

WhatsApp: Die Nummer eins der Messenger

Mit WhatsApp kann man Textnachrichten, Fotos, Videos und Dateien über das Internet versenden. Weil dabei im Gegensatz zur SMS keine extra Kosten anfallen, hat die App bei vielen Smartphone-Nutzer*innen schon vor Jahren die SMS abgelöst. Inzwischen kann man mit der App auch telefonieren und Videoanrufe machen.

Der Dienst zählt weltweit etwa 1,5 Milliarden monatliche Nutzer*innen (Stand 2018). Das Unternehmen WhatsApp Inc. wurde 2014 von Facebook gekauft und gehört seitdem zur Facebook-Gruppe. Firmensitz ist in Kalifornien, USA.

Die App ist unter Jugendlichen sehr beliebt. In der JIM-Studie 2018 gaben knapp 80 Prozent der befragten Jugendlichen zwischen 12 und 19 Jahren an, dass WhatsApp zu ihren drei wichtigsten Apps gehört.

Was Sie als kritische*r Nutzer*in über WhatsApp wissen sollten, haben wir hier für Sie zusammengefasst.

Schlechtes Image: Was ist das Problem?

Seit der Gründung im Jahr 2009 macht der Dienst immer wieder Negativschlagzeilen: So waren WhatsApp-Nachrichten zu Beginn sehr einfach abzufangen. Spätestens seit WhatsApp 2016 die Ende-zu-Ende-Verschlüsselung eingeführt hat, ist dies allerdings kein Problem mehr.

Was Datenschutz und Privatsphäre betrifft, kollidiert der Dienst jedoch regelmäßig mit europäischen und deutschen Regeln. So entschied das Landgericht Berlin im Mai 2016, dass die Allgemeinen Geschäftsbedingungen (AGB) des Unternehmens ungültig seien, sofern sie nicht auf Deutsch vorlägen.

Weil der Dienst sich über die Datenschutzerklärung weitreichende Befugnisse einräumen lässt, halten einige Experten den Einsatz zum Beispiel an Schulen für rechtswidrig. So erklärte die Berliner Datenschutzbeauftragte Maja Smoltczyk bei der Vorstellung ihres Tätigkeitsberichtes 2016: Die Einwilligung der Nutzerin oder des Nutzers „setzt die Kenntnis aller Gefahren voraus und die Freiheit, auch nein sagen zu können“. Ob diese Freiheit vorhanden ist, kann bezweifelt werden.

Weil die App so weit verbreitet ist, zieht sie Spam, Phishing und Falschmeldungen an. So tauchen immer wieder Kettenbriefe mit vermeintlichen Sonderangeboten oder Warnungen auf, die sich dann schnell verbreiten.

WhatsApp darf laut eigener AGB erst ab 16 Jahren genutzt werden. Eltern stehen hierbei in der Pflicht, diese Altersgrenze durchzusetzen, wie ein Urteil des Amtsgerichts Bad Hersfeld nahelegt (mobilsicher.de berichtete).

Streit um Datennutzung: Facebook gewinnt

Die beiden WhatsApp-Mitgründer Jan Koum und Brian Acton, die WhatsApp auch nach dem Verkauf an Facebook weiter geführt hatten, verließen den Facebook-Konzern im Sommer 2018 endgültig.

Sie galten als Verfechter für Datenschutz und sichere Verschlüsselung bei WhatsApp. Ihren Weggang sehen viele Experten als Zeichen für eine Neuausrichtung des Messengers.

So hatten sich die beiden Gründer stets gegen den Austausch von Nutzer*innendaten mit Facebook ausgesprochen, ebenso gegen Werbung in WhatsApp und für die Ende-zu-Ende-Verschlüsselung. Facebook hat sich hier offenbar durchgesetzt.

Schon Ende August 2016 kündigte Facebook an, die Kundendaten von WhatsApp und Facebook zusammenzuführen. Das führte zu einer Protestwelle. Seit Mitte Mai 2018 setzt der Konzern sein Vorhaben zumindest teilweise um. Facebook erhält zum Beispiel die Telefonnummern von WhatsApp-Nutzer*innen.

Mitte 2018 hat der Konzern angekündigt, in WhatsApp zukünftig auch Werbung zu schalten. Die Ende-zu-Ende-Verschlüsselung soll dafür möglicherweise geschwächt werden.

Die Verschlüsselung bei WhatsApp

Seit April 2016 versendet WhatsApp alle Nachrichten standardmäßig verschlüsselt. Das gilt für Fotos, Videos und Dateien. Mit dem Schritt ging WhatsApp weiter als viele konkurrierende Chat-Anbieter, zum Beispiel Googles Hangout oder Microsofts Skype.

Dabei kommt eine sogenannte Ende-zu-Ende-Verschlüsselung zum Einsatz. Bei ihr werden Nachrichten nicht nur auf dem Weg zum Server des Chat-Anbieters verschlüsselt, sondern bereits auf den Geräten der Nutzer*innen; sie sind dann auch für WhatsApp selbst nicht lesbar. Auch Werbeanbieter können Nachrichten-Inhalte nicht analysieren.

Die Technik beruht auf dem „Signal”-Protokoll von Open Whisper Systems, einem so genannten „Public-Key-Verfahren”. Das Grundprinzip ist: Nachrichten, die mit einem öffentlichen Schlüssel verschlüsselt sind, können nur mit dem dazu passenden privaten Schlüssel wieder lesbar gemacht werden. Die Verschlüsselung gilt als sehr sicher.

Bei der Installation werden automatisch mehrere solcher Schlüssel angelegt. Die privaten Schlüssel werden dabei nur auf dem Gerät gespeichert, die öffentlichen Schlüssel werden zu den zentralen WhatsApp-Servern hochgeladen. Auf Grundlage dieser Schlüssel werden laufend neue Schlüssel generiert, die die Gespräche per App fortlaufend absichern.

Allerdings gibt es ein Problem: WhatsApp bietet eine Backup-Funktion an, die Chats je nach Betriebssystem in den Clouds der Drittanbieter Google und Apple ablegt. Hier sind die Chats nicht länger Ende-zu-Ende-verschlüsselt. Selbst, wenn man selbst die Backup-Funktion nicht nutzt, hat man keine Kontrolle darüber, ob die eigenen Kontakte ihre Chats in der Cloud ablegen.

Welche Daten sammelt WhatsApp über mich?

Jede Nachricht läuft über die Server des US-Unternehmens. In seinen AGB macht das Unternehmen darauf aufmerksam, dass es genau abspeichert, wer zu welchem Zeitpunkt mit wem kommuniziert, die sogenannten Verbindungsdaten.

Um voll zu funktionieren, verlangt WhatsApp Zugriff auf das Adressbuch eines Nutzers oder einer Nutzerin. Gibt man dem Programm Zugriff auf die Kontakte, lädt das Programm die gefundenen Mobilfunknummern auf die eigenen Server hoch, um zu sehen, welche Kontakte schon vorhanden sind. Das Unternehmen versichert, keine sonstigen Daten aus dem Adressbuch hochzuladen.

Was mit Telefonnummern von Nicht-Nutzer*innen geschieht, ob diese zum Beispiel gespeichert werden, ist nicht bekannt. WhatsApp lässt sich in seiner Datenschutzrichtlinie von August 2016 vom Nutzer*in bestätigen, dass er autorisiert ist, die Kontakte aus seinem Adressbuch bei WhatsApp hochzuladen. Theoretisch müsste man also jeden seiner Kontakte vor dem Hochladen um Erlaubnis fragen.

Natürlich landen auch alle Angaben bei WhatsApp, die man selber macht – zum Beispiel Nutzer*innenname, Profilbild und die eigene Telefonnummer.

Mit wem teilt WhatsApp meine Daten?

Ende August 2016 verkündete WhatsApp, Telefonnummern und Analysedaten mit der Konzernmutter Facebook zu teilen. Die Nutzer*innendaten sollen dabei verwendet werden, um auf dem korrespondierenden Facebook-Profil zielgerichtete Werbung zu schalten. Datenschützer hatten den Schritt vorläufig gestoppt, Mitte Mai 2018 begann WhatsApp aber mit dem Datenaustausch auch in Europa.

Alle gesammelten Daten werden gegebenenfalls auch mit staatlichen Verfolgungsbehörden geteilt. Da die Server in den USA stehen, gelten für dieses Prozedere US-amerikanische Gesetze. Auf die Nachrichten-Inhalte selbst haben jedoch weder WhatsApp noch Polizeibehörden Zugriff, wenn die Verschlüsselung aktiviert ist.

Wer kann mich über WhatsApp verfolgen?

Lange Zeit gab es bei WhatsApp gar keinen Menüpunkt "Datenschutz" - alle Informationen waren stets für alle Nutzer*innen sichtbar. Das hat sich schon vor einigen Jahren geändert. Allerdings ist die Standardeinstellung immer noch so, dass "Statusmeldung" und der "zuletzt online"-Zeitstempel für alle sichtbar sind.

Vor allem das „zuletzt online“-Feature kann auch für private Überwachung missbraucht werden. Denn jeder, der die eigene Telefonnummer kennt, kann darüber sehen, wann man WhatsApp nutzt. Selber bekommt man davon nichts mit. Bei manchen Nutzer*innen lässt sich darüber der Tagesablauf ableiten, zum Beispiel, wann sie schlafen.

Ein IT-Experte hat eine solche Attacke via WhatsApp in einem Experiment auf die Spitze getrieben. Mit einem kleinen, selbst geschriebenen Programm hat er die „zuletzt online“-Angaben eines Bekannten protokolliert – und tatsächlich gewann er Einblicke in dessen Alltagsverhalten.

Das „zuletzt online“-Feature lässt sich über den Pfad EinstellungenAccountDatenschutz deaktivieren. Nicht ausschalten lässt sich allerdings die Angabe, ob man online ist. Mit dem oben genannten Programm ließe sich auch damit ein Nutzungsprofil erstellen. Mit genug krimineller Neugier und etwas IT-Kenntnissen kann also jeder Ihre Nutzungszeiten tracken, der Ihre Telefonnummer kennt.

Mehr über Datenschutz erfahren Sie in unserem Hintergrundartikel Was ist eigentlich Datenschutz?

Unser Tipp: Alternative Messenger

Sie haben keine Lust, Facebook noch mehr Daten in den Rachen zu werfen? Dann nutzen Sie einen alternativen Dienst. Längst gibt es Messenger, die in Funktionalität und Bedienbarkeit dem Spitzenreiter WhatsApp in nichts nachstehen, aber sehr viel mehr Respekt für Ihre Privatsphäre zeigen.

Die besten verschlüsselten Messenger stellen wir vor: Threema, Signal, Telegram und im zweiten Teil: Hoccer, Kontalk, Wire.

Ihre Freunde nutzen aber diese Apps nicht? Fangen Sie klein an. Sie können auch zwei Messenger parallel nutzen und nach und nach mit Ihren Freunden den Anbieter wechseln.

Für alle Messenger gilt: Auch die beste Ende-zu-Ende-Verschlüsselung nützt nichts, wenn das Mobiltelefon in fremde Hände gerät und nicht abgesichert ist – ein Dieb oder sonstiger Angreifer kann nach Belieben die Chat-Protokolle lesen oder Nachrichten im Namen des Besitzers verschicken. Ist das Handy gesperrt und die Geräteverschlüsselung eingeschaltet, entfällt dieses Risiko.

Falls Sie sich endgültig von WhatsApp verabschieden wollen, denken Sie daran: Erst das Konto löschen, dann die App.

Wie es geht, zeigen wir Schritt für Schritt im Beitrag Nase voll? WhatsApp-Konto löschen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Android 9 (Pie): Das ist neu bei Sicherheit und Datenschutz

Im August 2018 hat Google die Android-Version Nummer 9.0 veröffentlicht: Android Pie. Sie bringt neben allerlei neuen Funktionen auch handfeste Verbesserungen für Privatsphäre und App-Sicherheit mit. Unter anderem können Apps nicht mehr aus dem Hintergrund auf Gerätesensoren zugreifen und unbemerkt den Standort über WLAN feststellen.

Mehr
Kinder und Jugendliche 

Kids Zone im Test: Diskrete Kindersicherung

Mit der App Kids Zone können Eltern die Smartphone-Nutzung ihres Kindes beschränken. Die App hat keine Überwachungsfunktion und überträgt keine Daten an den Anbieter. Aus Datenschutzperspektive schneidet sie daher gut ab. Der Funktionsumfang ist jedoch nur für kleinere Kinder ausreichend.

Mehr
Ratgeber 

Synchronisieren mit Google-Konto ausschalten (auf Android 5 und Android 6)

In der Standard-Einstellung synchronisiert Android unter anderem das Adressbuch mit dem verknüpften Google-Konto. Wer seine Kontakte nicht mit Google teilen möchte, muss die Übertragung manuell ausschalten. Wir zeigen Schritt für Schritt, wie es geht.

Mehr
Ratgeber 

Funkzellenabfragen „alltägliches Ermittlungsinstrument“

Das Land Berlin hat Zahlen zu Funkzellenabfragen veröffentlicht und arbeitet an einem Informationsportal für betroffene Bürgerinnen und Bürger. Laut Netzpolitik.org setzt der Staat solche Massenabfragen von Handy-Daten trotz hoher gesetzlicher Schranken routinemäßig ein.

Mehr