Mit dem letzten Update hat der beliebte Messenger-Dienst WhatApp eine Ende-zu-Ende-Verschlüsselung für alle Chats, Telefonate und Dateianhänge eingeführt. Die von Krypto-Guru Moxie Marlinspike entwickelte Verschlüsselung verspricht ein wirkungsvolles Mittel, um unbefugte Mitleser auszusperren.
Der Nachrichtendienst WhatsApp hat sich mit einem Update zum weltweit meistgenutzten Krypto-Messenger aufgeschwungen. Ab sofort kommunizieren Nutzer, die die neueste Version der App installiert haben, mit einer Ende-zu-Ende-Verschlüsselung, die sicherstellen soll, dass weder WhatsApp selbst noch Geheimdienste oder andere staatliche Organe Zugriff auf die versendeten Nachrichten erhalten. An der Entwicklung beteiligt war auch Krypto-Guru Moxie Marlinspike, der als engagierter Privacy Activist gilt und einen gewissen Vertrauensvorschuss in die neue Verschlüsselung rechtfertigt.
„Die Basis für die Ende-zu-Ende-Verschlüsselung von WhatsApp ist die bereits aus der Signal-App bekannte Technologie von Open Whisper Systems, die als sehr zuverlässig gilt. Im Test der Bürgerrechtsorganisation Electronic Frontier Foundation hat die neue WhatsApp-Verschlüsselung sechs von sieben möglichen Punkten erreicht. Leider ist der Code nicht einsehbar und damit nicht unabhängig überprüfbar, weswegen ein Punkt abgezogen wurde“, erklärt Götz Schartner, Vorsitzender des Vereins Sicherheit im Internet e. V. „Trotzdem ist die Verschlüsselung ein riesiger Schritt nach vorne, auch wenn über die Motive von WhatsApp für die Einführung letztendlich nur spekuliert werden kann.“
Bislang macht die Krypto-Technologie einen guten Eindruck. Zwischen Smartphones mit der neuesten App-Version läuft die Kommunikation vollständig verschlüsselt ab – unabhängig vom Betriebssystem und davon, ob es sich um einen Chat, einen Gruppen-Chat, einen Anruf aus der App oder einen Dateianhang handelt. Lediglich bei Nachrichten von Handys, bei denen WhatsApp noch nicht aktualisiert wurde, schaltet die Software auf Klartext um. Zu Beginn einer Konversation werden zwischen den teilnehmenden Smartphones Schlüsselcodes für die Entschlüsselung der Nachrichten ausgetauscht. Dieser Schlüssel wird nun bei jeder Nachricht überprüft und sollte sich daran etwas ändern (beispielsweise, weil das Gegenüber ein neues Handy hat), erhält man bei entsprechender Einstellung der App eine Warnung. Darüber hinaus bietet die neue Sicherheitstechnologie die Möglichkeit, die Identität des Chat-Partners zu verifizieren, entweder über einen QR-Code, der eingescannt wird oder über eine Sicherheitsnummer. Durch diese Maßnahmen werden Man-in-the-Middle-Angriffe deutlich erschwert und unerwünschte Mitleser ausgesperrt.
„Die vorgestellte Verschlüsselungstechnik von WhatsApp ist stark und scheint zumindest in ersten Tests auch das zu tun, was sie soll. Doch es bleiben Zweifel. WhatsApp gehört zu Facebook, einem börsennotierten Unternehmen, das in erster Linie seinen Aktionären und dem Aktienkurs verpflichtet ist. Somit ist natürlich auch der Code der App nicht quelloffen, wie bei anderen Messenger-Projekten, an denen Moxie Marlinspike beteiligt ist. Und wie eigentlich alle Messenger-Apps steht auch WhatsApp weiter vor dem Problem der Meta-Daten. Diese werden nämlich auch nach dem Update nicht verschlüsselt und so sieht WhatsApp zwar nicht, was gesprochen wird, aber kann sehr wohl sehen, wer wann mit wem kommuniziert hat“, erklärt Schartner.
WhatsApp nutzt nach eigener Aussage ausschließlich die Telefonnummern, die es zur Identifizierung der Anwender braucht. Name, E-Mail und Adresse sollen dagegen Tabu sein. Tatsächlich gibt es für dieses Problem derzeit keine befriedigende technische Lösung und so fallen diese Daten auch bei allen anderen Messenger-Diensten wie Signal oder Threema und sogar bei normalen Telefonaten, SMS und E-Mails an. Die Meta-Daten der Benutzer lagern also weiterhin unverschlüsselt bei WhatsApp und damit bei Facebook in den USA. Und dort gelten deutlich schwächere Datenschutzbestimmungen als in Deutschland.