zurück zum Artikel

FAQs zur WhatsApp-Verschlüsselung

Hintergrund
FAQs zur WhatsApp-Verschlüsselung

Die kürzlich eingeführte Ende-zu-Ende-Verschlüsselung des Messengers WhatsApp wirft viele Fragen auf. Wir beantworten die wichtigsten.

WhatsApp verschlüsselt – so what?

Durch die neue Ende-zu-Ende-Verschlüsselung ist sichergestellt, dass selbst WhatsApp Ihre Nachrichten nicht mehr mitlesen kann. Davon profitieren über eine Milliarde WhatsApp-Nutzer. Deren private Gespräche sind damit nicht nur dem einfachen Zugriff durch den Betreiber sondern auch dem der Geheimdienste und anderer staatlichen Organe entzogen. WhatsApp ist der erste plattformunabhängige und massentaugliche Kommunikationsdienst, der diesen Schritt vollzieht. Das ist also durchaus ein großes Ding.

Das hat doch sicher Hintertüren. Kann ich dem wirklich vertrauen?

Die Verschlüsselungsverfahren (und deren Details wie Schlüsselaustausch) sind dokumentiert und gelten in der Krypto-Community als State-of-the-Art. Umgesetzt wurden sie von Moxie Marlinspike und seinem Team bei Open Whisper Systems, das auch den Open-Source-Messenger Signal beziehungsweise TextSecure entwickelt. Diese Leute haben eine hohe Reputation und wissen was sie tun. Marlinspike gilt als Krypto-Koryphäe; er ist engagierter Privacy Aktivist und Anarchist, der sich kaum vor den Karren einer bewussten Irreführung spannen ließe. Es bleibt das Restrisiko, das mit jeder Software verbunden ist, in die man nicht hineinschauen kann.

Warum macht WhatsApp das? Glaubt ihr etwa, das sind plötzlich alles Heilige?

Nein, keineswegs. WhatsApp gehört Facebook und das ist ein börsennotierter Konzern, der vor allem anderen dem Wohl seiner Aktionäre verpflichtet ist. Über dessen wahre Motive kann man nur spekulieren. Facebooks wichtigster Gegner ist Google. Es spricht einiges dafür, dass Facebook der Meinung ist, Ende-zu-Ende-Verschlüsselung schade Google deutlich mehr als ihnen selber. Vielleicht verspricht sich Facebook mittelfristig einen strategischen Vorteil, indem es die Anwender-Nachfrage nach solcher Verschlüsselung deutlich steigert.

Aber es bleiben doch die Meta-Daten, die sich auswerten lassen. Und mein Adressbuch wird auch immer noch zu WhatsApp hochgeladen, oder?

Stimmt; die Ende-zu-Ende-Verschlüsselung entzieht nur die eigentlichen Nachrichten dem Zugriff durch Dritte. Sie beseitigt nicht das Problem mit den Meta-Daten, nicht die zwangsweise übermittelten Kontaktdaten und weder AIDS noch den Welthunger. Es bleibt also reichlich zu tun.

Konkret zum Adressbuch: Immerhin beteuert WhatsApp [1], dass sie ausschließlich die Telefonnummern, nicht aber Namen, E-Mail oder Adressen verwenden. Die Telefonnummer ist nötig, um einen Anwender eindeutig zu identifizieren und ihm Kontakte auf WhatsApp anzuzeigen. Nach unserem Kenntnisstand ist das ein ungelöstes Problem, für das derzeit kein Messenger-Dienst eine befriedigende Lösung bietet (siehe auch The Difficulty Of Private Contact Discovery [2]). Ähnliches gilt für die beim Betreiber anfallenden Meta-Daten, wer wann mit wem kommuniziert – die fallen auch beim Telefonieren, SMS, bei E-Mail mit PGP oder Signal und Threema an. Wenn Sie dem ganz aus dem Weg gehen wollen, müssen Sie derzeit auf den Einsatz (massentauglicher) Kommunikations-Mittel verzichten.

Sollte ich jetzt WhatsApp gegenüber Signal oder Threema bevorzugen?

Weitere Informationen

Nein, keineswegs. Beide Messenger-Dienste haben wichtige Vorteile gegenüber WhatsApp. Signal ist Open-Source und damit überprüfbar. Bei der Schweizer Firma Threema sind Adress- und Meta-Daten zu Ihrer Kommunikation wohl besser aufgehoben, als beim US-amerikanischen Facebook. Wenn Sie eines davon nutzen und zufrieden sind, bleiben Sie dabei.

Kann ich WhatsApp jetzt in einem Firmenumfeld bedenkenlos einsetzen?

Dagegen gibt es erhebliche datenschutzrechtliche Bedenken. Das fängt schon damit an, dass WhatsApp weiterhin zwangsweise Ihre Geschäftskontakte zu WhatsApp hochlädt. Dabei handelt es sich um sogenannte personenbezogene Daten, deren Weitergabe hier allenfalls mit dem Einverständnis jedes Betroffenen zulässig wäre.

Wir werden diese Liste bei Bedarf erweitern und aktualisieren.

Update 11.4. 13:00: Den Punkt zu den Adress-Daten klarer formuliert.

Update 12.4. 11:26: Antwort zu WhatsApp im Firmenumfeld konkretisiert.

(ju [7])


URL dieses Artikels:
http://www.heise.de/-3166487

Links in diesem Artikel:
[1] https://www.whatsapp.com/legal/
[2] https://whispersystems.org/blog/contact-discovery/
[3] https://www.heise.de/meldung/WhatsApp-Verschluesselung-fuer-alle-freigeschaltet-3163009.html
[4] https://www.heise.de/meldung/Kommentar-WhatsApp-hat-geliefert-jetzt-sind-wir-dran-3163779.html
[5] https://www.heise.de/security/artikel/Test-Hinter-den-Kulissen-der-WhatsApp-Verschluesselung-3165567.html
[6] https://www.heise.de/ct/artikel/Whatsapp-auf-PC-und-Tablet-Backup-und-Alternativen-3171757.html
[7] mailto:ju@ct.de