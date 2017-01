Das von einem IT-Experten entdeckte Sicherheitsleck in der Verschlüsselung von WhatsApp hat in den letzten Tagen für eine Menge Wirbel gesorgt. Auch ich habe hier bereits darüber berichtet. Dass es das Sicherheitsleck gibt, ist unumstritten: Mit einem Trick lässt es sich erreichen, dass WhatsApp verschlüsselte Nachrichten an unberechtigte Personen weitergibt – wenn die das Leck gezielt ausnutzen. Die Frage, die sich nun alle stellen, ist: Handelt es sich dabei um eine Backdoor, also eine Hintertür für Geheimdienste und Behörden – und ist diese Backdoor womöglich sogar absichtlich eingebaut worden?

Gibt’s eine Backdoor oder nicht?

Man kann den Usern und der Community wohl kaum vorwerfen, wenn sie reflexartig das Schlimmste befürchten. Denn dank der Enthüllungen durch Edward Snowden wissen wir doch mittlerweile, dass das Schlimmste nur eine Fingerübung für die NSA ist. Sie macht alles, was technisch geht – und übertrumpft locker das Denkbare. Eine willentlich vorgesehene Backdoor im populärsten Messenger der Welt? Das klingt doch erst mal mehr als plausibel. Wir können nicht mal sicher sein, dass ein US-Konzern nicht von den US-Behörden zu so etwas gezwungen wird, bei gleichzeitiger Verpflichtung zur Verschwiegenheit, versteht sich.

Doch was sagen die Menschen dazu, die sich wohl am besten it der im WhatsApp-Messenger verwendeten Art der Verschlüsselung auskennen? Der Entwickler Moxie Marlinspike, der die im WhatsApp-Messenger verwendete quelloffene Verschlüsselungslösung OpenWhisper ausgetüftelt hat, geht jedenfalls nicht davon aus, dass es eine Backdoor in WhatsApp gibt. Warum er das so sieht, begründet er ausführlich in seinem Artikel „There is no WhatsApp ‚backdoor'“. Auch Sicherheitsexperte Tobias Boelter hat sich nach Veröffentlichung des Guardian-Artikels in einem Blog-Post positioniert: Auch er denkt – eher Bug als Backdoor.

Massenhafter Missbrauch sehr unwahrscheinlich

Die ausführliche Analyse der Schwachstelle lässt den Schluss zu: Ein massenhafter Missbrauch ist schwer vorstellbar. Wahrscheinlich ist hingegen, dass sich WhatsApp aus Komfortgründen dagegen entschieden hat, den Benutzer über den Schlüsselwechsel eines Kommunikationspartners zu informieren. Die meisten WhatsApp-User würde das eher verwirren. Zweifellos wäre es aber besser, wenn WhatsApp jedem User die Möglichkeit geben würde, selbst zu entscheiden, wie die App bei einem Wechsel des öffentlichen Schlüssels (und damit einem möglichen Lauschangriff) reagieren soll – so wie es bei den alternativen Messengern Signal und Threem auch der Fall ist.

Bedeutet: Konkrete Lauschangriffe sind unter bestimmten Umständen technisch möglich. Aber nur dann, wenn eine Nachricht noch nicht ausgeliefert wurde (etwa, weil der Empfänger offline war) und der Angreifer Zugriff auf den WhatsApp-Server hat (um den öffentlichen Schlüssel auszutauschen). In diesem Fall wird dem Angreifer eine Nachricht lesbar zugestellt, die er eigentlich nicht lesen können sollte. Wie es aussieht, ein eher überschaubares Risiko.