Editorial: Und sie können WhatsApp doch "abhören"
Wie sicher ist WhatsApp?
Bild: dpa
Grundsätzlich verwendet der Messenger-Dienst WhatsApp eines der
besten verfügbaren Sicherheitskonzepte, um das Mitlesen von
Nachrichten beim Transport
zu verhindern: Dank Ende-zu-Ende-Verschlüsselung können
weder die Betreiber von WhatsApp, noch staatliche Ermittlungsbehörden
noch andere Dritte den Inhalt der Nachrichten entschlüsseln, sondern
lediglich der legitime Empfänger. Sobald die Nachrichten aber zugestellt
wurden, schwächelt das Sicherheitskonzept von WhatsApp: Der
Nachrichtenverlauf wird nämlich unverschlüsselt auf dem Smartphone
gespeichert.
Zwar verhindern sowohl iOS als auch Android normalerweise, dass andere Apps auf die Nachrichten-Datenbank zugreifen. Jedoch werden immer wieder so genannte Root-Exploits bekannt, mit denen Apps die Kontrolle über das System übernehmen und damit insbesondere beliebige lokale Datenzugriffe durchführen können. Hat das eigene Smartphone mindestens eine ungepatchte, aber in Sicherheitskreisen bereits bekannte Root-Lücke, dann können die WhatsApp-Nachrichtenprotokolle durch geeignete Trojaner einschließlich des Bundestrojaners ausgelesen werden.
Ein zweites, wahrscheinlich noch gravierenderes Sicherheitsproblem ist, dass WhatsApp den Chatverlauf unverschlüsselt in die Cloud synchronisiert. Das hat den Vorteil, dass man im Falle eines Diebstahls oder eines Smartphone-Defekts das alte Chat-Protokoll auf einem neuen Smartphone wiederherstellen kann. Es hat aber auch den Nachteil, dass somit die US-Geheimdienste (die Zugang zu den Cloud-Servern von Google und Apple haben) und über das "Five-Eyes"-Abkommen auch die Geheimdienste von Australien, Großbritannien, Kanada und Neuseeland die Chatprotokolle einsehen können.
Ein dritter Weg, den WhatsApp-Chat einzusehen, führt über den Dienst WhatsApp Web. Dieser ermöglicht, eine Kopie des eigenen WhatsApp-Kontos auf dem PC oder Laptop anzuzeigen. Die Einrichtung ist schnell und unkompliziert: Die genannte Seite im Browser aufrufen, den angezeigten QR-Code mit WhatsApp auf dem Smartphone scannen, fertig. Dieser Weg wurde offensichtlich vom BKA genutzt, um Magomed-Ali C. zu überwachen, einen kaukasischen Islamisten und Bekannten des Breitscheidplatz-Attentäters Anis Amri. Da zur Einrichtung von WhatsApp Web zwingend WhatsApp auf dem Smartphone geöffnet werden muss, war es dazu wohl nötig, dass es einem V-Mann gelang, C.s Smartphone sich für einige Minuten unbeobachtet "auszuborgen". Die Methode hat auch den weiteren Nachteil, dass die Zielperson von der Überwachung erfahren kann, wenn sie das Untermenü für WhatsApp Web im Einstellungsmenü aufruft. Nur: 95 Prozent aller WhatsApp-Nutzer dürfte die WhatsApp-Web-Funktion ebenso unbekannt sein wie der zugehörige Menüpunkt.
Sicherere Alternativen gibt es
Wie sicher ist WhatsApp?
Bild: dpa
Es gibt sicherere Smartphone Messenger,
allen voran Signal und Threema.
Nur: Will man diese nutzen, muss man auch seine Freunde vom Wechsel
überzeugen. Letzteres gelingt aber meist nur bei den besten Freunden,
nicht bei Gelegenheitskontakten. Und gegen Traffic-Analyse, also die
Auswertung, wer wem wann von wo wie lange Nachrichten
schickt, hilft auch die Ende-zu-Ende-Verschlüsselung nicht. Aufgrund
der genannten umfangreichen Metadaten
kann in vielen Fällen auch ohne Kenntnis
des genauen Inhalts einer Nachricht auf deren ungefähre Bedeutung
geschlossen werden.
Die "Abhörer" sitzen also am längeren Hebel. Im Fall von C. gelang es ihnen, einen wahrscheinlich gefährlichen Islamisten festzunehmen, bevor es zu einem Anschlag kam. Wie oft hingegen dank legaler, halblegaler oder illegaler Abhörmaßnahmen und anderer Datenschutzvergehen es zu unnötigen Opfern kommt, erfasst keine Statistik. Aktuell gehen die von dem "NSU 2.0" verschickten Drohbriefe durch die Presse. Die Kontaktdaten der Opfer wurden zumindest zum Teil auch mithilfe von Abfragen aus der Polizeidatenbank ausgekundschaftet. Wie viel perfider wären solche Taten noch, wenn die Bedroher oder Stalker auch noch Zugriff auf die persönlichen Chats ihrer Opfer hätten?