Skip to content Skip to navigation

Das Projekt Verbraucherrechte in der digitalen Welt endet am 31.12.2015, so dass diese projektbezogene Internetseite www.surfer-haben-rechte.de nicht mehr weiter aktualisiert werden kann.

Der kryptische Wandel von Whatsapp

Der kryptische Wandel von Whatsapp
Whatsapp verschlüsselt bald alle Nachrichten

Die Nachricht traf überraschend ein und auch ohne die blauen Häkchen mussten wir sie zweimal lesen: Whatsapp arbeitet schon seit einiger Zeit mit Whispersystems zusammen und will in Zukunft alle Nachrichten Ende-zu-Ende verschlüsseln. Damit wird die Kommunikation von 600 Millionen Nutzerinnen und Nutzern auf einen Schlag ein großes Stück sicherer.

Whatsapp ist bisher oft wegen mangelnder Sicherheit aufgefallen. Lange Zeit war der weltweit beliebteste Messenger sogar so unsicher, dass einfachste Grundregeln nicht eingehalten wurden und Menschen im gleichen WLAN, etwa im Café, jede Nachricht abfangen und manipulieren oder sogar ganze Accounts übernehmen konnten.

Ende-zu-Ende-verschlüsselt dank Whispersystems

Gestern verkündete Whispersystems, die Firma die hinter dem sicheren Kryptomessenger Textsecure steht, die Zusammenarbeit mit Whatsapp (Update vom November 2015: Textsecure heißt nun Signal). In Zukunft sollen alle Nachrichten über das gleiche, sehr sichere Protokoll wie Textsecure verschlüsselt werden. Damit werden Nachrichten zwischen Whatsapp Nutzern Ende-zu-Ende verschlüsselt und sind selbst für Whatsapp nicht mehr lesbar. Bisher war nur der Übertragungsweg zu den Whatsappservern verschlüsselt, dort selbst waren die Nachrichten aber lesbar, sowohl für Whatsapp als auch für die Geheimdienste. Whispersystems und seine Entwickler sind hoch angesehen und die eingesetzten Verschlüsselungsmethoden sind mehrfach von unabhängigen Experten in einem sogenannten Audit überprüft worden.

Verschlüsselung nur so sicher wie das Gerät

Da Whatsapp auf so vielen unterschiedlichen Geräten läuft, wird es noch einige Zeit dauern, bis jedes dieser Geräte die Verschlüsselung unterstützt. Besonders iPhones und iPads hinken noch hinterher, sollen aber bald dazu kommen. Mit dem neuesten Android-Update haben die Nutzerinnen und Nutzer schon eine gute Chance, dass ihre Nachrichten jetzt verschlüsselt sind. Allerdings nur so sicher, wie das eigene Gerät: Wer einen Trojaner oder Virus auf dem Smartphone hat, dessen Nachrichten lassen sich ganz einfach auslesen. Allerdings können die Metadaten – also wer mit wem wann und wie oft schreibt – weiterhin nicht verschlüsselt werden. Bisher sind auch Gruppenchats und Bilder noch nicht verschlüsselt, das soll aber bald geschehen. Der nächste große wünschenswerte Pluspunkt für Whatsapp wäre dann, auch die Telefonnummern nur noch gehasht, also auch nicht lesbar, auf seinen Servern zu speichern. Und wenn Nutzer dann auch noch sehen würden, ob Nachrichten wirklich verschlüsselt angekommen sind, bliebe kein Sicherheitswunsch offen.

Verständnis für Verschlüsselung fördern

Der Schritt bleibt jedoch richtig und wichtig: Whispersystems und Whatsapp haben angekündigt, auch die notwendige Schlüsselüberprüfung zwischen zwei Nutzern möglich zu machen. Damit wird sichergestellt, dass man auch wirklich so verschlüsselt, dass nur der Empfänger die Nachricht lesen kann – und eben nicht ein Geheimdienst oder ein Krimineller, der sich dazwischen schaltet. Bei 600 Millionen Nutzerinnen und Nutzern sicherlich auch ein Weg, das Verschlüsselungsgrundrauschen zu erhöhen und Geheimdiensten damit das Leben schwerer zu machen. Zum Vergleich: PGP, die Methode, mit der Edward Snowden einige Dokumente an Gleen Greenwald per E-Mail verschickt hat, kommt derzeit auf rund 4 Millionen Schlüsselpaare – wobei nicht jedes auf einem Schlüsselserver veröffentlicht ist.

Sicherlich kann der Schritt von Whatsapp auch das Verständnis für Verschlüsselungen fördern. Und vielleicht sieht man demnächst im Bus oder der U-Bahn dann Teenager, die sich gegenseitig ihre Whatsapp-Schlüssel verifizieren.

Schlagworte: 
Kommentare
Natürlich ist eine Verschlüsselung E-2-E immer schon mal gut... __BITTE die Augen nicht so reiben... - dass Sie den generellen Datenschutz-Verstoß gerade in Ihrer Formulierung im Verbraucher-Forum NICHT VERGESSEN..!! __1) Wenn bei WA im Hintergrund ständig Datenschutz verletzt wird, indem aus dem Handy-Speicher sämtliche Personen-Kontaktdaten immer aktualisiert ins datenschutzlose US-Ausland transferiert werden, ohne dass sie gefragt werden -- dann verstößt das wohl eindeutig - und NACH WIE VOR - gegen den von Ihnen selbst formulierten "selbstbestimmten Umgang mit persönlichen Daten" und natürlich dem Grund-/Persönlichkeitsrecht “Das Beschaffen/Sammeln von Personendaten, ist NUR beim Betroffenen unmittelbar selbst zulässig”, BVG, + nur mit Erlaubnisvorbehalt der betroffenen Datenperson... nach dem Prinzip "Meine Daten gehören mir". __2) Wenn transferierte Daten wie bei WA im US-Ausland auf Servern oder auch in Filialen durch den übrigens für ALLE US-Unternehmen geltenden US-Patriot-Act willkürlichem, unkontrolliertem NSA- u. CIA-Zugriff unterliegen - möchten man Ihrer Formulierung "auf einen Schlag ein großes Stück sicherer." auch nicht so gaaanz folgen... __3) Das WA-Tool ist als Technik, die gegen die Datenschutzbestimmungen verstößt, hier verboten... - das US-Unternehmen brauchte nur bei der Programmierung und der Archivierung keinen Datenschutz beachten, gibt's nämlich nicht in USA, und entzieht sich natürlich den regionalen Gesetzen der EU... (--https://www.datenschutzzentrum.de/artikel/620-Zur-Kontrolle-von-Datenerhebung-und-nutzung-durch-global-agierende-soziale-Netzwerke-und-sonstige-Internet-Unternehmen.html) __-- Da nützt dann die pure Verschlüsselung einfacher Texte dann eigentlich nicht sooo recht viel... __-- Das ist wohl Augenwischerei - wie man bei Ihnen sieht... - man sollte nicht drauf hereinfallen... __-- Sie sollten durch solche Darstellung auch nicht dazu beitragen evtl. Wechselwillige auf dt. Dienste jetzt "in Sicherheit" wiegen und vom sinnvollen Wechsel abhalten..!! __-- Wie jemand schon mal treffend sagte: Scheiße mit Sahnehäubchen ist doch immer noch Sch....
Natürlich ist die Ende-zu-Ende-Verschlüsselung nur ein erster Schritt und keineswegs ein vollkommener Schutz. Allerdings ist es richtig und gut, dass damit angefangen wird. In Zukunft werden auch andere Messenger nicht drum herum kommen, derartig zu verschlüsseln. Die Metadaten und die Adressbuchübertragung an amerikanische Server bleibt natürlich ein Datenschutzproblem, das ebenfalls gelöst werden muss!
...Mit einem schönen "Sicherheits"-Werbetext von einem also immer noch Problem behafteten Tool ist SO jedenfalls NICHTS zu lösen... - das Einfachste wäre wohl ein schneller Wechsel vom schlechtesten Tool auf andere A) mit bereits integrierter Verschlüsselung.. ++ B) bei dem also KEIN Datenschutzproblem durch "Adressbuchübertragung an amerikanische Server bleibt" (oder auch andere.., wie z.B. 'Telegram' GCHQ-England-Server)... __-- Hilfreich wäre vom Verbraucherschützer gewesen, darauf bei WA hinzuweisen, dass DAS GRÖSSTE Daten-PROBLEM weiterhin besteht, dass •1.) die SMS-Leistung nach wie vor mit Personendaten-Abgabe, die einem nicht gehören erkauft wird (verstößt gegen persönliches Datenrecht, wobei jeder WApper als Mittäter agiert), •2.) durch unkontrollierbare unautorisierte Abgabe von gesammelten Handy-Speicher-Personendaten fremder Personen diese auf datenschutzlose US-Server verteilt werden.., •3.) die Haupteinnahmequelle "Kontaktesammlung" mit SYSTEM/Ansage und deren weitere Verwendung von WA als Unternehmens-Grundidee überhaupt nicht tangiert oder gar eingeschränkt wird..! __-- Im Gegenteil: Mit der jetzt anschlagenden "Sicherheit"-Marketing-Strategie werden es wohl noch mehr (..."ist ja jetzt sicher"!) bei bestehendem vollen Zugriff auf Personendaten... (...Man rechne sich aus: 800 Mio. Nutzer, im Schnitt allein ca. 10 für WA NEUE = ergibt 8 Mrd. Einzel-Personendaten mit Vernetzung ++ prima Komplettierung fehlender Daten durch Kreuzvergleiche... = für 19 Mrd. gekauft = knapp 2,- EUR pro Nase, im Monopol-Besitz gar nicht so teuer, alle drin im System + vernetzt, wenn nur Name + Tel.-Nr. sonst schon mit 42 Cent gehandelt werden) __-- Verbraucherschutz == MEHR DATENSCHUTZ-Verständnis bitte... (bei 1,2 Mrd.-Profildaten-Russenhack schreien doch auch alle...)