WhatsApp: Alles sicher, oder was?

https://blog.wdr.de/digitalistan/whatsapp-alles-sicher-oder-was/

WhatsApp: Alles sicher, oder was?

Kommentare zum Artikel: 4

Die Einführung der konsequenten Ende-zu-Ende-Verschlüsselung bei WhatsApp hat für eine Menge Wirbel gesorgt. WhatsApp ist jetzt mit Abstand der populärste und am stärksten verbreitete Krypto-Messenger. Das Engagement von WhatsApp verdient Würdigung: Die App zeigt, dass man auch eine funktionierende Kryptografie für die Massen anbieten kann. Einfach zu bedienen, sicher in der Handhabung und state of the art was die Techologie betrifft. Danke, Mark Zuckerberg. Diesem Beispiel dürfen gerne viele folgen – das wäre im Interesse von uns allen.

WhatsApp verschlüsselt jetzt alle Daten konsequent

WhatsApp verschlüsselt jetzt alle Daten konsequent

Metadaten fallen nach wie vor an – unverschlüsselt

Aber natürlich wird WhatsApp nicht vom Saulus zum Paulus. Denn die eigentlichen Inhalte, die über WhatsApp verbreitet wurden, haben den Betreiber im Zweifel sowieso nie interessiert. Bei Facebook ist das anders, hier greift auch ein anderes Geschäftsmodell, was die Werbeerlöse betrifft. WhatsApp aber ist eine Mobil-App, und da gelten andere Spielregeln. Es ist wichtiger zu wissen, wo jemand sich gerade aufhält und mit wem er vernetzt ist. Und diese Infos bekommt WhatsApp nach wie vor – unverschlüsselt.

Unverschlüsselt sind zum Beispiel Datum, Zeit und interne Codierung jeder ausgetauschten Nachricht. Auf diese Weise fallen Metadaten an, die – wenn man sie speichert und auswertet – durchaus eine Menge Rückschlüsse über das Verhalten des einzelnen Users erlauben. Abgesehen davon: Würde es WhatsApp wirklich ernst meinen mit dem Datenschutz und der Privatsphäre, wäre es nicht mehr länger erforderlich, sein WhatsApp-Konto an die Mobilfunknummer zu binden. Dafür gibr es keinen guten Grund – außer den, dass man den User tracken möchte und wenigstens diese Daten zugespielt bekommt. Über Kontaktordner sind da ebenfalls Zuordnungen möglich, auch außerhalb der WhatsApp-Universums.

WhatsApp Bestätigung; Rechte: WDR/Schieb

Aber wie sicher ist WhatsApp denn nun?

Obwohl WhatsApp das mit der Verschlüsselung eigentlich gut hinbekommen hat – man wird als User darauf hingewiesen, ob ein Chat verschlüsselt erfolgt oder nicht, etwa, weil der Gesprächspartner noch eine alte Version benutzt – kommt es bei manchen Usern zu Verunsicherungen und Irritationen. Das liegt vor allem an dem QR-Coder, der mitunter erscheint, wenn man innerhalb eines Chats die Sicherheit überprüfen oder bestätigen möchte. Mich hat eine Leserin gefragt: „Wird erst verschlüsselt, nachdem ich mit meinem Gesprächspartner den Code ausgetauscht habe?“ Ich konnte Barbara beruhigen: Verschlüsselt wird sofort, wenn es möglich ist.

Der angezeigte QR-Code hat lediglich einen Zweck: Auf diese Weise kann man sich einen Kontakt bestätigen lassen. Man scannt den QR-Code seines Gesprächspartners, etwa wenn er oder sie einem gerade gegenübersteht, man kann den Code aber auch per Mail oder Direct Message verschicken. Dadurch wird die Verbindung bestätigt, der für die Kommunikation zugrunde gelegte Schlüssel bestätigt. Ändert sich etwas an der Einstellung, tauscht einer der beiden sein Smartphone aus oder gibt sich ein Fremder als die Person aus, wird man gewarnt. Der QR-Code dienst also dazu, sich zusätzlich abzusichern.

 

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

4 Kommentare

  1. Nun, bezüglich der Bindung an die Mobilnummer – das ist sicherlich ein Bequemlichkeits-Feature. Man hat kein Benutzerkonto wie z.B. bei skype, wo man sich erst einloggen muss, und dann erreichbar wird. Stattdessen kann man direkt sehen, wer (dessen Handynummer man hat) Whatsapp hat, und sofort per Internet anrufen, oder eine Nachricht schicken. Dies ist m.E. ein entscheidender Vorteil, man muss nur seine Nummern austauschen, und kann Whatsapp – falls vorhanden – unverzüglich nutzen.
    Bei Viber (scheint in D recht unpopulär zu sein) ist dies ähnlich. Im vergleich zu skype – hier muss man erst anderweitig (email, SMS, telefonisch…) seine Nutzernamen austauschen, um sich kontaktieren zu können.

  2. Den Qr Code per (unverschlüsselter) Mail zu verschicken ist kein guter Ratschlag.
    Denn damit wird die Grundidee der Überprüfung ausgehebelt.
    Auch eine Direcktnachricht an einen noch nicht überprüften Kontakt ist nicht zweckdienlich.

    Das einzig sinnvolle ist das direkte scannen des Codes vom Telefon.
    Da kann ich sicher sein das es (und auch der zu prüfende Schlüssel) zu der Person gehören die ich vermute.

    Aber für mich spielt das keine Rolle, da ich weder WhatsApp noch Facebook traue.

    Deshalb nutze ich lieber Open Source Messenger wie z.B. Signal oder http://www.kontalk.org

  3. Ich weiß nicht, warum soviel Theater um Whatsapp gemacht wird. Es wird keiner gezwungen, sie zu benutzen. Es kostet kein Geld. Also, warum die Aufregerei.

  4. Wo findet man den Algorithmus, ist der öffentlich, wo wird der QR generiert?
    Ist der QR ein privater Schlüssel oder ein Öffentlicher? Wo liegt dann das jeweilige Gegenstück zur gegenseitigen Autentisierung?
    Nur so ein paar Fragen, weil Whatsap sagt, sie können nicht mitlesen

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top