Kommentar: WhatsApp mausert sich zum Krypto-Messenger

WhatsApp ist jetzt ein Krypto-Messenger.
Bild: Whatsapp / Montage: teltarif Jetzt ist also auch WhatsApp ein Krypto-Messenger! Seit wenigen Tagen verschlüsselt der Messaging-Dienst alle Nachrichten nach dem Ende-zu-Ende-Prinzip, das dafür sorgt, dass nur Sender und Empfänger die Nachrichten lesen können - selbst auf den Servern des Dienstes sind die Daten nicht mehr im Klartext lesbar. Und wer den verschlüsselten Datenverkehr von WhatsApp abgreift, soll nicht in der Lage sein, die Nachrichten zu rekonstruieren.

WhatsApp arbeitet bereits seit zwei Jahren mit OpenWhisper zusammen und setzt auf das Signal-Protokoll, um Nachrichten zu verschlüsseln. Das gilt als zuverlässig und sicher, eine ausgiebige Untersuchung über die Implementierung von WhatsApp steht allerdings noch aus - WhatsApp gibt aber auf einer eigens eingerichteten Webseite Informationen über die Verschlüsselungs-Methode. Vor rund einem Jahr zeigte sich, dass die damals zwischen Android-Nutzern aktivierte Verschlüsselung von OpenWhisper zumindest im Grundsatz funktionierte.

Verschlüsselung ist nicht alles

WhatsApp ist jetzt ein Krypto-Messenger.
Bild: Whatsapp / Montage: teltarif Mögen die Inhalte auch noch so sicher verschlüsselt sein, längst ist nicht alles gut bei WhatsApp. Denn das Thema Datenschutz bleibt auf der Tagesordnung: Nach wie vor greift WhatsApp auf das Telefonbuch des Nutzers zu und übermittelt sämtliche Mobil-Telefonnummern an WhatsApp. Abschalten lässt sich dies nicht, zumal WhatsApp mittels der Rufnummern Nutzer verbindet. Dieser Datenberg lässt einige Rückschlüsse auf das soziale Umfeld der Nutzer zu.

WhatsApp verfügt also über ein extrem umfangreiches Bild darüber, wer mit wem in Kontakt steht oder wer wen kennt. Unklar bleibt, ob die Daten möglicherweise unkenntlich gemacht werden - laut den AGB sollen nach der Übertragung an WhatsApp zumindest diejenigen Nummern nur als Hashwert gespeichert werden, die keinem aktiven WhatsApp-Account zuzuordnen sind: "WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users ("in-network" numbers), or otherwise categorize other mobile phone numbers as "out-network" numbers, which are stored as one-way irreversibly hashed values." Ob der Dienst dies tatsächlich so umsetzt, ist nicht nachprüfbar.

Das identische Verfahren kommt auch bei vielen weiteren Smart­phone-Messengern zum Tragen. Nur wenige Dienste erlauben es den Nutzern, zumindest auszuwählen, ob sie dem Service Zugriff auf das Adressbuch erlauben. Auch der Messenger Signal von OpenWhisper, dessen Messaging-Protokoll WhatsApp verwendet, greift auf Telefonnummern im Adressbuch zu.

Seit WhatsApp zu Facebook gehört, fürchten manche Nutzer außerdem, dass Facebook Kundendaten von WhatsApp für eigene Zwecke verwendet. WhatsApp und Facebook dementieren dies beharrlich, ganz ausräumen lässt sich der Verdacht freilich nicht.

Über Umwege: Backups wohl weiterhin unverschlüsselt

Und es gibt noch eine weitere offene Flanke: Backups. Ein besonderes Problem sind dabei Cloud-Backups, denn diese sind offenbar weiterhin nicht sicher verschlüsselt. Damit bleibt die Chat-Historie jedoch auf Cloud-Servern gespeichert und dem Zugriff durch Behörden somit nicht entzogen. Grundsätzlich ist hier jedoch denkbar, dass WhatsApp einen Weg findet, auch diese Daten zu verschlüsseln.

Für die Konkurrenz könnte es bitter kommen

Für andere Messenger dürfte es künftig trotz der Datenschutz- und Backup-Problematik bei WhatsApp sehr schwer werden, neue Kunden zu gewinnen. Denn WhatsApp bleibt wohl trotzdem der meistgenutzte Messenger. Außerdem sind zumindest die Inhalte nun - solange sie zwischen den beiden Chatpartnern unterwegs sind - tatsächlich sicher verschlüsselt. Wofür braucht es dann noch andere Krypto-Messenger, die ohnehin bei weitem nicht an die Nutzerbasis von WhatsApp herankommen? Zumal mit WhatsApp verschickte Nachrichten nun wohl genauso sicher sind, wie bei Threema, Signal & Co - und ganz nebenbei nun auch deutlich besser verschlüsselt sind als E-Mails.

Weiterhin zieht aber das Datenschutz-Argument. Die Konkurrenz sollte also nicht den Kopf in den Sand stecken, sondern zeigen, dass Datenschutz und modernes Messaging durchaus miteinander kompatibel ist. Dafür braucht es mindestens drei Features: Mehr-Geräte-Kompatibilität, von der Rufnummer unabhängige User-Accounts und eben eine sichere Ende-zu-Ende-Verschlüsselung, die auch Backups erfasst. Trotz aller Verschlüsselung von WhatsApp: Wer Datenschutz ernst nimmt, sollte sich weiterhin mit den WhatsApp-Konkurrenten beschäftigen und im Freundeskreis für diese werben.