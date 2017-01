Seit April vergangenen Jahres verfügt WhatsApp über eine eigentlich starke Verschlüsselung. Ausgetauschte Nachrichten werden Ende-zu-Ende-verschlüsselt, also nicht auf den Servern des Unternehmens, sondern in den Geräten der Kommunikationspartner. Genau so soll es sein. Wäre da nicht ein Sicherheitsleck, das tatsächlich bereits seit April 2016 bekannt ist – auch WhatsApp selbst – das aber nicht gestopft wird, obwohl es erheblichen Einfluss auf die Sicherheit haben kann. Unter bestimmten Umständen lässt sich die gesamte Kommunikation mitlesen – auch rückwirkend.

Sicherheitsleck mit schwerwiegenden Folgen

Der Sicherheitsforscher Tobias Boelter von der University of California hat das Problem bereits im April 2016 entdeckt, also wenige Tage, nachdem WhatsApp seine konsequente Verschlüsselung gestartet hat. Boelter hat das Problem sogar öffentlich gemacht, wie der britische Guardian berichtet. Durch einen Trick ist es möglich, einem Smartphone mit WhatsApp einen neuen Schlüssel anzubieten und so Zugang zu einzelnen Nachrichten und sogar zur kompletten zurückliegenden Kommunikation zu erhalten. Angeblich wollte WhatsApp bislang aber nichts daran ändern. Eine weitere Veröffentlichung auf dem Hackerkongress 33C3 hat auch keine Welle der Empörung losgetreten.

Doch jetzt kommt Bewegung in die Sache. Langsam spricht sich herum, dass dieses Sicherheitsleck als Backdoor genutzt werden könnte – also als Hintertür. Sowohl WhatsApp selbst als auch Angreifer könnten das Leck nutzen, um einem Gerät einzelne Nachrichten oder sogar eine komplette Konversation zu entlocken. Bekommt ein User einen neuen Schlüssel, etwa weil ein neues Smartphone verwendet wird, müssen sich die WhatsApp-Clients auf beiden Geräten über den neuen Schlüssel verständigen. In diesem Moment kann man aber noch nicht sicher sein, ob der angeblich neue Schlüssel kein Fake ist.

Das Sicherheitsleck muss schleunigst gestopft werden

Um das Sicherheitsleck auszunutzen, bedarf es zwar einiger Qualifikation, doch für WhatsApp selbst – oder Facebook – wäre es gar kein Problem, das Leck zu nutzen, etwa, um im Auftrag von Sicherheitsbehörden Nachrichten abzurufen und entschlüsselt mitzulesen. Eine „Goldmine für Sicherheitsbehörden“ sei diese Hintertür, sagen Experten. Das stimmt bei näherem Hinsehen zweifellos. Denn wenn maximale Sicherheit versprochen wird, dann muss auch maximale Sicherheit geboten werden. Doch da WhatsApp nicht darauf reagiert, dass die Sicherheitslücke publik gemacht wurde, deutet darauf hin, dass ein Interesse am Fortbestand des Lecks besteht.

Übrigens – wichtig zu wissen: Der alternative Messenger Signal, der prinzipiell auf derselben Verschlüsselungstechnologie beruht, hat das Problem laut Boelter nicht. Denn bei Signal werden Nachrichten nicht automatisch neu übermittelt, wenn sich der Schlüssel eines Kommunikationspartners ändert. Außerdem werden Signal-Benutzer deutlicher und auch früher (nicht erst nach der Übermittlung, wie bei WhatsApp) auf den Umstand hingewiesen, dass sich der Schlüssel des Kommunikationspartners geändert hat.

Um es auf den Punkt zu bringen: Das Leck muss weg. Sagen nicht die Geheimdienste – die wollen eher das Gegenteil. Anderenfalls hat WhatsApp sein in den letzten Monaten gewachsenes Vertrauen wieder verspielt.