Was los ist

Wie WhatsApp zu einem der größten Social Networks wurde

Wissen | Hintergrund

Mit unglaublichen 430 Millionen aktiven Nutzern ist WhatsApp in vielen Ländern bereits der führende Messaging-Dienst. Auch tiefe Kratzer im Security- oder Datenschutz-Image konnten die Erfolgsgeschichte des kleinen, verschwiegenen Start-ups nicht stoppen.

Ach, du bist immer noch nicht bei WhatsApp? Ich schick dir eine Einladung. Oder gib einfach mal kurz dein Handy her.“ Die Entscheidung für WhatsApp haben meist schon andere getroffen. Wer Freunde hat, die den Messaging-Dienst gern benutzen, muss sich schon mit Händen und Füßen wehren, um nicht bald selbst die App mit dem grün-weißen Telefon-Logo auf seinem Smartphone laufen zu haben.

Zumindest in Deutschland ist die virale Ausbreitung der App kaum noch zu stoppen: Über 30 Millionen aktive Nutzer verzeichnet das Unternehmen hier inzwischen nach eigenen Angaben. Demnach liegt WhatsApp knapp vor Facebook und ist auf drei von vier Smartphones installiert. Weltweit hat das Unternehmen innerhalb von nur viereinhalb Jahren einen Anwenderstamm von mehr als 430 Millionen Nutzern aufbauen können.

Wirklich überraschend ist, dass beim Wettstreit um die erfolgreichste Messaging-App viele große Namen das Nachsehen haben, etwa das als Telefon-Ersatz beliebte Skype, hinter dem die Microsoft-Milliarden stecken, Google Hangouts, Apple iMessage, BlackBerry Messenger oder Instant-Messaging-Klassiker wie ICQ oder AIM.

Stattdessen scheint ein Start-up das Rennen zu machen, das allenfalls noch jüngere Konkurrenz fürchten muss. Viber, Line, KakaoTalk oder WeTalk können ebenfalls eine dreistellige Millionenzahl von Nutzern vorweisen. Eine komplette Liste von WhatsApp-Alternativen finden Sie im heise Software-Verzeichnis (siehe c’t-Link). Facebook hat zwar mit 945 Millionen mobilen Nutzern immer noch die Nase vorn, spürt aber offensichtlich WhatsApp und Co. im Nacken. Kürzlich hat Facebook-Chef Mark Zuckerberg gleich mehrere neue mobile Apps angekündigt – offenbar, um die Konkurrenten auszubremsen.

Die Telekommunikationsunternehmen scheinen sich damit abfinden zu müssen, dass Benutzer für die bisherige Cash Cow SMS immer seltener bereit sind, Geld zu bezahlen. Nach Berechnungen des Branchenverbandes Bitkom sank 2013 erstmals der Erlös der deutschen Mobilfunkanbieter durch SMS und MMS – obwohl die Zahlen der versendeten Nachrichten im Vergleich zu den Vorjahren anstieg. Und der Nachfolger joyn scheint gar nicht erst Fahrt aufzunehmen.

Einfach

WhatsApp zählt nicht nur zu den erfolgreichsten Web-Start-ups aller Zeiten, sondern auch zu den größten Social Networks: Das unscheinbare Tool hat Plattformen wie LinkedIn hinter sich gelassen, bewegt sich in der Größenordnung von Google+ und Twitter – und kassiert für seinen Dienst auch noch Geld.

Die App ist kostenlos; nach einem Jahr bittet man den Kunden für die Nutzung des Dienstes zur Kasse. Das Jahresabo für 89 Euro-Cent kostet allerdings nicht mehr als eine Handvoll SMS. Ein weiteres Erfolgsprinzip: Die App läuft auf allen ernstzunehmenden Mobilplattformen. Außer den üblichen Verdächtigen iOS, Android, BlackBerry und Windows Phone zählen dazu auch die Nokia-Plattformen S40/Asha und Symbian. Nur für den Desktop oder Tablets ohne SIM-Karte gibt es keine Lösung – aus Kundensicht ein Nachteil im Vergleich zum Beispiel zum Konkurrenten Viber.

„No ads, no games, no gimmicks“, lautet eine der Leitlinien des Unternehmens, und so lässt sich die schnörkellose App problemlos einrichten und benutzen. Zur Identifizierung dient die Telefonnummer. Anders als SMS unterliegen die Nachrichten keinen Längenbeschränkungen. Man kann Bilder und Videos anhängen, seinen Standort auf einer Karte versenden und Gruppenchats organisieren.

Konversationen lassen sich durchsuchen und per Mail exportieren; Backups erstellt die App automatisch. Ein Häkchen informiert, ob der Server die Nachricht erhalten hat, ein Doppelhäkchen meldet die Zustellung aufs Zielgerät. Und Spielkinder können hunderte Emoji-Icons in ihre Nachrichten einbauen – mehr Funktionsumfang ist nicht.

Gründerzeit

Bei Informationen zum eigenen Unternehmen übt sich WhatsApp in Zurückhaltung. Noch nicht einmal der exakte Firmenstandort lässt sich zuverlässig herausfinden. Mit Sitz irgendwo in Mountain View im Herzen des Silicon Valley ist WhatsApp praktisch ein Nachbar von Google, Mozilla und LinkedIn. Nur 50 Mitarbeiter, die Hälfte davon Techniker, arbeiten bei WhatsApp Inc. Anders als die Zuckerbergs und Pages dieser Welt gelten die Köpfe hinter WhatsApp als öffentlichkeitsscheu. „Das Produkt ist wahrscheinlich größer als wir“, antwortete Gründer Jan Koum 2011 in einem Zeitungsinterview auf die Frage, warum er zuvor noch nie eins gegeben hat.

Wie Koum Mitte Januar im Interview bei der DLD-Konferenz in München erklärte, erlebte er seine Jugend in der Ukraine als frei von „Werbelärm“, aber auch als geprägt von Überwachung. Werbung gehe mit Ablenkung und mit Datensammlung einher, wohingegen WhatsApp äußerst datensparsam handle: Nur Telefonnummern würden gespeichert, keine weiteren Personendaten; Nachrichten lösche das Unternehmen sofort nach Zustellung.

Mit Werbung könnte das Unternehmen sicher mehr Geld verdienen, auch die Übernahme durch einen Riesen wie Google oder Facebook – beides meldeten die Gerüchteküchen wiederholt – würde Milliarden in die Kassen spülen. Doch Koum und Co-Gründer Acton setzen auf Nachhaltigkeit und wollen ein jahrzehntelang funktionierendes Unternehmen errichten. Derzeit sehe man sich noch als Start-up, bei dem das Wachstum im Vordergrund stehe; für Monetarisierung sei später noch Zeit, so Koum beim DLD. Folgerichtig nutzt ein großer Teil der 430 Millionen Kunden den Dienst noch gratis. Nichtsdestotrotz bezeichnet sich das Unternehmen schon heute in einer Stellenanzeige als „funded and profitable“. Geschäftszahlen verrät es allerdings nicht.

Technisches

Nachhaltiger Umgang mit Ressourcen scheint auch in den Serverräumen die Devise zu sein: Statt auf Hardware-Overkill zu setzen, reizt das Unternehmen Geräte lieber aus und vermeldet stolz, dass eine einzige Maschine mehr als 2 Millionen TCP-Verbindungen gleichzeitig verwalte. Das Backend laufe mit FreeBSD und Erlang, einer Programmiersprache aus dem Telco-Umfeld, die man beispielsweise für Vermittlungsstellen einsetzt.

Das Protokoll, mit dem App und Server kommunizieren, lehnt sich an Jabber (XMPP) an; „FunXMPP“ nennen die Entwickler ihre XMPP-Variante angeblich. Der Accountname folgt den Konventionen einer Jabber-ID und lautet [Telefonnummer]@s.whatsapp.net. Multimedia-Inhalte laufen über den HTTP-Server lighttpd. Anders als etwa bei Skype gibt es keine Peer-to-Peer-Kommunkation; der WhatsApp-Server schleust alle Daten durch. Seit Ende 2012 verschlüsselt WhatsApp alle Nachrichten mit dem Verschlüsselungsverfahren RC4.

Open-Source-Projekte wie WhatsAPI, das die Schnittstellen des Messenger-Dienstes nachbaut, oder Open WhatsApp, das sich auf Client-Apps konzentriert, zeigen, wie WhatsApp sich von einem proprietären Dienst zu einer Infrastruktur entwickeln könnte (siehe c’t-Link am Ende des Artikels).

Sicherheit

Dass WhatsApp die ersten dreieinhalb Jahre im Klartext kommunizierte und andere Anwender im gleichen WLAN dadurch mitlesen konnten, nahmen Sicherheitsexperten dem Unternehmen übel. Ein Angreifer im gleichen WLAN konnte Nachrichten fälschen, ohne dass der legitime Account-Inhaber das mitbekam. Dabei täuschte WhatsApp durch die Nutzung des für HTTPS reservierten Ports 443 sogar Verschlüsselung vor.

Anfang 2012 veröffentlichten Unbekannte eine Webanwendung namens WhatsAppStatus, die für jede beliebige Telefonnummer Nachrichten veröffentlichen konnte. Dem WhatsApp-Server gegenüber gab sie sich als iPhone-App zu erkennen. Die WhatsApp-Macher reagierten schnell – indem sie die IP-Adresse blockierten und ohne Angaben von Gründen ihre iOS-App vier Tage aus dem Store zurückzogen.

Auch die Pannen bei der Einführung der Verschlüsselung passen nicht recht zur Selbstdarstellung von WhatsApp als unglamouröser, aber grundsolider Dienst. Als Passwort benutzte der Dienst anfangs die WLAN-MAC-Adresse oder die IMEI-Nummer, die beide kaum geschützt sind. Inzwischen soll ein serverseitig generiertes Passwort zum Einsatz kommen.

Der verwendete Verschlüsselungsalgorithmus RC4 gilt als so unsicher, dass Microsoft seinen Kunden empfiehlt, ihn zu deaktivieren; Experten vermuten obendrein, dass er von der NSA infiltriert ist. Auch beim In-App-Payment leistete man sich eine Lücke: Die Weiterleitung zu PayPal und Google Wallet ist unverschlüsselt und damit manipulierbar. Und im Dezember wurden die WhatsApp-Server Opfer eines Angriffs, bei dem Hacker durch DNS-Spoofing kurzzeitig Anfragen an whatsapp.com auf den eigenen Server umgeleitet haben.

Datenschutz

Auch beim Datenschutz steht trotz der verlautbarten Datensparsamkeit nicht alles zum Besten. Das Hauptproblem: Nach der Installation liest WhatsApp die in der Kontaktdatenbank des Geräts gespeicherten Telefonnummern aus, lädt sie auf die Firmenserver in die USA hoch und stellt Verbindungen zu befreundeten WhatsApp-Nutzern her.

Hat sich die Netz-Öffentlichkeit vor Kurzem noch darüber aufgeregt, dass die Facebook-App auf Nachfrage das Handy-Adressbuch ausliest, so verdankt WhatsApp seine virale Ausbreitung einem ähnlichen Feature. Die mediale Kritik war aber verhältnismäßig gering. Die meisten Benutzer kümmern sich ohnehin nicht darum und freuen sich darüber, dass sie sofort loslegen können, ohne von irgendwelchen Fragen behelligt und verunsichert zu werden.

Ein Problem ist auch die Information, ob ein Kontakt gerade online ist oder wann er es zuletzt war. So bekommen auch entfernte Bekannte mit, wann man online ist. Schützen kann man sich davor nur, indem man einzelne Benutzer blockt oder aus dem Telefonbuch löscht – die Deaktivierung der Online-Status-Anzeige ist auf den meisten Betriebssystemen nicht möglich.

Das Erreichbarkeits-Dilemma

Das Unternehmen WhatsApp stellt sich gerne als sympathisches kleines Start-up dar, das für Werte wie Nachhaltigkeit, Bescheidenheit und Konzentration steht. Die Produkte konnten diesen Standards in Fragen der Sicherheit und des Datenschutzes aber nicht immer genügen. WhatsApp und seine Konkurrenten haben das Zeug, der veralteten SMS den Garaus zu machen. Doch jeder Fortschritt hat seinen Preis: Der praktisch kostenlose Echtzeit-Chat mit automatischem Adressbuch-Import verbindet einen plötzlich auch mit Leuten, die einem herzlich egal sind. Dass die App den Online-Status ausplaudert, erhöht den Druck auf den Benutzer, sofort zu antworten – ein schwieriger Fall für die Netiquette. (jo)

Literatur
  1. [1] Interview mit Jan Koum für den DLD 2014: www.youtube.com/watch?v=WgAtBTpm6Xk
  2. [2] Kritik am Sicherheitsmodell: http://pastebin.com/g9UPuviz
  3. [3] Gutachten der Datenschutzbehörden: www.priv.gc.ca/cf-dc/2013/2013_001_0115_e.asp (Kanada), www.cbpweb.nl/downloads_rapporten/rap_2013-whatsapp-dutchdpa-final-findings-en.pdf (Niederlande)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Anzeige