WhatsApp: Verschlüsselung ja, geheime Kommunikation nein

Artikel-WhatsApp-LogoDie Einführung der Ende-zu-Ende-Verschlüsselung in WhatsApp schlug bereits große Wellen. Rund eine Milliarde Nutzer, die nur ihren Messenger updaten müssen, um künftig geschützt vor den Augen anderer kommunizieren zu können. Wie so oft, hat die Medaille allerdings zwei Seiten, denn auch wenn die Nachrichten an sich verschlüsselt sind, sind weiterhin zahlreiche Meta-Daten zu den Nachrichten verfügbar. Nicht verschlüsselt sind zum Beispiel Datum, Zeit und Nummer einer Nachricht. Es kann also weiterhin festgestellt werden, wann Ihr mit wem kommuniziert habt, lediglich das was bleibt durch die Verschlüsselung unklar.

whatsapp

WhatsApp macht daraus aber kein Geheimnis, erwähnt dies in den AGB folgendermaßen:

Notwithstanding the above, WhatsApp may retain date and time stamp information associated with successfully delivered messages and the mobile phone numbers involved in the messages, as well as any other information which WhatsApp is legally compelled to collect.

WhatsApp teilt in den AGB auch mit, wann diese Daten herausgegeben werden:

We may collect and release Personally Identifiable Information and/or non-personally-identifiable information if required to do so by law, or in the good-faith belief that such action is necessary to comply with state and federal laws (such as U.S. Copyright Law), international law or respond to a court order, subpoena, or search warrant or equivalent, or where in our reasonable belief, an individual’s physical safety may be at risk or threatened.

Das soll auch keine Kritik an WhatsApp sein, viel mehr ein Hinweis an die Nutzer, dass eben nicht alles verschlüsselt ist und man sich nicht in falscher Sicherheit wiegen sollte. Die Inhalte sind ja trotzdem nicht einsehbar, das dürfte einem Großteil der Nutzer schon genügen. Falls man sich überhaupt Gedanken über die Verschlüsselung macht. Das tun bekanntlich die wenigsten.

(Quelle: WhatsApp, via LiveMint)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

51 Kommentare

  1. Was bringt das Einscannen des QR Codes des Gegenübers?
    Sicherstellen, dass der Kontakt die Nummer ist, von der man den QR Code einscannt?

  2. Ich behaupte einfach mal, das es technisch gar nicht möglich ist, die Nachrichten komplett (= inklusive aller Metadaten) zu verschlüsseln. Irgendwie muss WhatsApp ja wissen, zu wem die Nachricht soll. Man wird höchstens daran arbeiten können so wenig Metadaten wie möglich unverschlüsselt zu lassen.

  3. @Leonard:
    Genau. Wenn z. B. ein Dritter versuchen würde, sich mit einer bestimmten Handynummer als jemand anderes auszugeben, würdest du das merken, weil dann die Meldung kommt, dass der Sicherheitscode nicht mit dem übereinstimmt, den du gescannt hast.

    Das Gleiche passiert übrigens auch, wenn jemand ein neues Smartphone kauft und dort WhatsApp neu installiert. Dann bekommen die Kontakte ebenfalls so eine Warnung.

  4. @Leonard: Du stellst damit sicher, dass dein Gegenüber den selben Schlüssel wie du verwendet.

  5. Markus Maier says:

    Ich glaube, der Testnutzer im rechten Screenshot ist nicht ausreichend anonymisiert 😉

  6. Sascha Ostermaier says:

    @Markus: Das ist die Verschlüsselungsvisualisierung. Steht ja schließlich dort, dass kein Dritter lesen kann. 😀

  7. @Heiko:
    Doch, geht. Sofern die Metadaten keiner realen Person einwandfrei zugeordnet werden können ist das Auftreten dieser kein Problem. Zwar ist der Ansatz von WA ein guter Anfang, aber besser macht es z.B. Threema. Bei WA wirst Du über die Telefonnummer identifziert und kannst daher auch über die Telefonabrechnung identifiziert werden.Bei Threema erfolgt die Zuordnung nur auf Wunsch über die Telefonnummer. Du kannst auch mit z.B. einem ICQ ähnlichem Code zugeordnet werden und die App anonym kaufen. Dann ist eine Zuordnung nicht mehr möglich und die Metadaten sind irrelevant.

  8. @Heiko das stimmt nicht. Es gibt Software (nur am PC) die auch Metadaten verschlüsselt und versteckt. Ein prominenteres Beispiel ist die Software Vuvuzela https://github.com/davidlazar/vuvuzela

  9. Wie steht es eigentlich mit Push-Nachrichten? Sind die auch Inhaltslos wie bei Threema, oder wird da aus Bequemlichkeitsgründen die Verschlüsselung augehebelt?

  10. @mich Vielleicht mal das hier verfolgen http://security.stackexchange.com/q/119624 es gibt anscheinend einen Weg jetzt bei iOS (was früher nicht ging)

  11. @mich
    In den Einstellungen von WhatsApp kannst du unter „Mitteilungen“ auswählen, ob eine „Vorschau“ in den Push-Nachrichten angezeigt wird oder nicht.

  12. Bei der Verschlüsselung geht es NUR um die Verschlüsselung des Inhaltes. Das ist dasselbe – entschuldigt diese „olle Kamelle“ – wie beim Brief: Niemand kommt auf die Idee, längeren Text auf einer Postkarte zu versenden, schon gar nicht Geschäfts- oder sonstige (geschäftliche oder private) Nachrichten. Der Briefumschlag in Verbindung mit dem Brief-/Postgeheimnis (Juristerei – bitte nicht totschlagen, wenn ich nicht die korrekten Begriffe verwende) ist die Verschlüsselung. Diejenigen, durch deren Hände der Brief geht, können nicht ohne Weiteres den Inhalt lesen – es sei denn, Sie brechen das Briefgeheimnis mutwillig/vorsätzlich (strafbar) oder sind dazu beauftragt (von staatswegen – Geheimdienste etc.). Adressen unterliegen nicht dem Postgeheimnis (siehe Telefonbuch) – logischerweise, denn wie soll der Briefträger denn den Brief korrekt zustellen… Das Ganze ist doch nichts Neues! Auch ein Brief kostet etwas Mühe UND Spucke! Übrigens wäre STARTMAIL.COM eine – allerdings kostenpflichtige – Lösung für diejenigen, die mit der GnuPG-Verschlüsselung via Thunderbird/Enigmail/GPG4Win nicht klar kommen. Die ganze Diskussion um Verschlüsselung der Adressdaten („Metadaten“?) führt nicht zum Ziel und dient mehr zur Entschuldigung für die eigene Faulheit.

  13. Ich nutze seit Jahren Signal (Textsecure). Nun stellt sich mir die Frage, ob ich WhatsApp parallel nutzen soll. Dazu meine Überlegungen und Fragen:

    1) Wenn ich keine Metadaten herausgeben will, dürfte ich ein Smartphone überhaupt nicht nutzen. Der Provider, Google oder Apple etc. erhalten sie auch.

    2) Ich habe gelesen, dass WhatsApp den Inhalt einer Nachricht bereits einsehen kann, wen er eingetippt wird, also noch unverschlüsselt ist. Aber WhatsApp ist closed sourcer, woher soll man es dann wissen? Wie wahrscheinlich ist das?

    3) Übermittelt WhatsApp die Kontakte noch ungefragt oder kann man das bei der Installation abschalten?

  14. Kurz und Knapp: Whatsapp gehört zu Facebook! Was soll da eine fahdenscheinige Verschlüsselung nützen?
    Da würde ich eher Threema trauen als dieser Datenkrake vom „Gesichtsbuch“.
    Aber….wer wirklich sensible Daten hat nimmt wohl nicht den Weg über einen Messenger – oder?!

  15. Grandpa Erhardt says:

    Threema und nichts als Threema!

    Allein schon, dass die Verschlüsselungsanforderung über den WA-Server läuft ist ein deutlicher Hinweis, das hier was faul ist! Vorgegaukelte Verschlüsselung für die Unt*rschicht!

  16. wenn du Angst vor Closed Source hast solltest du WhatsApp nie benutzen. Es kann sich jederzeit was ändern. Kontakte werden immer noch komplett übertragen weil WhatsApp sonst nicht funktioniert. Und das mit den Metadaten hast du recht. Jedes Smartphone (und auch normale Telefon) schickt so schon genug raus.

  17. Das verifizieren mit dem qr Code ist ja dumm, kein bleibendes Merkmal wie bei Threema, somit recht sinnlos.

  18. @Fraggle
    Metadaten können nahezu immer einer Person zugeordnet werden. Auch bei Threema. Ob da jetzt die Telefonnummer dahinter steht oder nicht ist völlig irrelevant. Die Nachricht geht an eine IP und für die lässt sich die Person ermitteln, die sie genutzt hat. Der einzige Weg das zu vermeiden sind öffentliche WLANs. Aber das wird für 99% der Nutzer keine Lösung sein…
    Und selbst bei Nutzung von öffentlichen WLANs lässt sich durch die kontinuierliche Betrachtung ein Bewegungsprofil erstellen, über das auch eine Identifizierung möglich ist.

    Egal ob Threema, Whatsapp oder andere Messenger: Bei keinem können Versender oder Empfänger einer Nachricht verschleiert werden.

  19. @grandpa
    Ich bin mir zu hundert Prozent sicher, die geistige(?) Oberschicht nimmt nur Threema und Co.

  20. @Erhardt
    Oh ja, wir wissen es ja jetzt mittlerweile, du musst dich also nicht ständig wiederholen.
    1 Milliarde WhatsApp-Nutzer und alles Unterschicht.

  21. Die Verschlüsselung wurde nicht durch App-Update sondern serverseitig eingeschaltet. Kann es sein, dass die Verschlüsselung serverseitig (auch selectiv) wieder ausgeschaltete werden kann?

  22. @jones so sieht es aus, und da es kein Indikator gibt kannst du es nicht mal feststellen.

  23. @Tobias:
    Damit hast Du recht, ich hab es der Kürze wegen weggelassen. Aber offene WLANs helfen nicht bei der Methode von Whatsapp. D.h., kannst Du Deine IP verschleiern, kannst Du bei Threema anonym bleiben, bei Whatsapp aber nicht.

    @BeardMan: 1 Mrd Menschen die zu faul sind etwas zu ändern. Fakt ist, es wurde sehr viel Geld für WA ausgegeben, das muß irgendwie wieder hereingeholt werden. Fakt ist auch, daß den meisten Menschen Privatssphäre entweder egal ist („hab nix zu verbergen“) oder aber sie sagen, was anderes nutzen andere ja nicht (keiner will aber mal anfangen, das ist Faulheit). Faul zu sein ist auch das gute Recht dieser Leute, lobenswert ist es aber nicht.

  24. Wow. Sasha Ostermeier findet heraus, dass Metadaten nicht verschlüsselt werden. Das ist doch keine Neuigkeit. Warum schreibt der Herr Ostermaier nicht das selbe bei Telegram, Signal, Threema und verschlüsselte Emails? Metadaten werden bisher immer und überall unverschlüsselt übertragen, aber nur bei Whatsapp wird es an den Pranger gestellt.

  25. @Fraggle
    Es ging mir nur um die Aussage von „Onkel Erhardt“ betreffend Unterschicht.
    Kann man nicht ein Thema diskutieren, ohne gleich zu beleidigen?

    An den Diskussionen zu WhatsApp vs. Threema beteilige ich mich nicht mehr. Ist mir zu blöd.

  26. @Fraggle
    wie willst Du denn Deine IP verschleiern? Irgendwohin muss die Nachricht ja geschickt werden. Über Mixe zu routen funktioniert auch bei Threema nicht…

  27. @Malte
    Meine volle Zustimmung!

  28. @Malte: Threema speichert keine Metadaten, die Angabe der Telefonnummer und/oder Email-Adresse ist optional. Diese werden in diesem Fall verschlüsselt übertragen, kurz abgeglichen und wieder gelöscht. Herr Ostermeier kann das mit den Metadaten also nur bei WhatsApp schreiben…

  29. Das ist mir alles schwammig. Metadaten fallen immer an. Ob die Metadaten gespeichert werden weiß ich weder bei WhatsApp (wie lange?) noch bei Threema (wie lange?)… alles schwammig ^^

  30. Pablo Gonzooohlo says:

    Danke für den Beitrag. obwohl Schritt in die richtige Richtung, Whatsup ist keine Israelische Firma mehr sondern gehört zu Fuckbuch die sammeln Metadaten das ist deren Gesäftsmodell. habe zwar nie FB meine Telefonnummer gegeben bin aber sicher das die meine Accounts in ihrer Datenbank zusammenfassen.

    Was Metadaten können ist beeindruckend ich empfehle jedem der ein bisschen protestieren kann sich mal mit Markov Ketten und. Sandy Pentlands. Buch Socialphysics oder seinen Vorträgen die bei YouTube sind zu beschäftigen.

  31. ich habe mal 2 Gedanken (die eventuell auch ein extra Beitrag hier bei Stadt-Bremerhaven wert sind)

    1.) werden doch per default erstmal alle Whatsapp Kommunikation per Backup in die iCloud gelegt (nutzen die meisten User) + iCloud Daten gibt Apple ja bekanntlich raus und damit auch vertrauliche Kommunikation im Falle des Falles

    2.) Gestern wurde bekannt das Apple innerhalb von einem Tag den Bug mit dem Siri + dem 6s gefixt hat, der Zugriff auf die Fotos eines gesperrten iPhones erlaubte.
    Wenn die das remote fixen können heisst das doch, dass Siri remote so konfiguriert werden kann, dass es auf vertrauliche Infos auf dem iPhone zugreifen kann? FBI welcome

    … sind nur mal ein paar Gedanken so der scheinbaren Sicherheit im Trump Land.

  32. was die wirklich machen weiß kein mensch, wohl ist aber schon lange bekannt dass facebook-whatsapp wie vieles aus den usa keinerlei vertrauen erhalten sollte. also dient das ganze verschlüsselungs-getue zum marketing und beruhigt die vielen schafe in der herde.

  33. Da größte Problem bei WhatsApp auf Android-Telefonen sind die Berechtigungen, die der App gewährt werden müssen. Dagegen sind die Verbindungsdaten wirklich Peanuts. Warum schreibt ihr darüber nichts?
    WhatsApp liest unter anderem die SMS, die Anruflisten, die Kontakte, welche anderen Programme genutzt werden, den Webverlauf und die Lesezeichen.

  34. @Andreas: Mit Android M lassen sich die Rechte entziehen. Mit speziellen Apps auch schon vor M.

  35. @Andreas: Das sind Mutmaßungen. Beweise? Du verwechselt Berechtigungen mit Ausspionierung. SMS sind notwendig zur Authentifizierung der Telefonnummer. Kontakte um Überhaupt Verbindungen mit anderen Aufzubauen. Auf Android kann WhatsApp keine Anruflisten lesen und Webverlauf schon gar nicht.

  36. Andreas: WhatsApp *KANN* das tun (weil die entsprechenden Berechtigungen nicht granularer sind), wo steht, dass es dies auch *TUT?

  37. Hallo Lukas,

    > 1.) werden doch per default erstmal alle Whatsapp Kommunikation per Backup in die iCloud gelegt (nutzen die meisten User) + iCloud Daten gibt Apple ja bekanntlich raus und damit auch vertrauliche Kommunikation im Falle des Falles

    Yup. Es sei denn das iCloud-Backup wird auch von Whatsapp verschlüsselt.

    > 2.) Gestern wurde bekannt das Apple innerhalb von einem Tag den Bug mit dem Siri + dem 6s gefixt hat, der Zugriff auf die Fotos eines gesperrten iPhones erlaubte.
    > Wenn die das remote fixen können heisst das doch, dass Siri remote so konfiguriert werden kann, dass es auf vertrauliche Infos auf dem iPhone zugreifen kann? FBI welcome

    Siri läuft ja eh remote. Dort wird dann auch entschieden ob Siri direkt ein Ergebnis ansagt oder ob dazu das Telefon entsperrt werden muss. Auf dem Telefon wird nix geändert, außer, dass der API call mit einem Flag „Telefon entsperren bevor es weitergeht“ zurück kommt.

  38. Ich kann mir zwar nicht vorstellen, dass WhatsApp nun 100% abhörsicher ist, aber die verschlüsselte Kommunikation ist ein Schritt in die richtige Richtung.
    Das Abhören per IMEI Hack sollte jetzt jedenfalls nicht mehr möglich sein 😀

  39. @ich:
    Wo steht, dass WhatsApp die Berechtigungen nicht nutzt?
    Woher kommt euer blindes Vertrauen?

  40. Grandpa Erhardt: „Allein schon, dass die Verschlüsselungsanforderung über den WA-Server läuft ist ein deutlicher Hinweis, das hier was faul ist!“

    Kannst du das erläutern? Ich verstehe deine Kritik daran nicht. Das ist kein Rumgetrolle, sondern die Frage ist ernst gemeint. Was meinst du mit Verschlüsselungsanforderung?

    Viele Grüße,
    Jan

  41. @therealmarv; Danke, das sieht echt danach aus, als ob WA eine saubere Lösung für das Push-Problem gefunden hätte.

    Jetzt muss das nur noch der Threema-Entwickler mitbekommen und ebenfalls umsetzen…

  42. @yatil
    So so, an wen oder was gibt Apple denn die Daten raus? Wenn du hier schon mit Argumenten kommst, dann lasse bitte nicht die Hälfte der Wahrheit „unter den Tisch fallen“.

    Damit Siri überhaupt funktioniert, müssen Daten übermittelt werden, sonst könnte Siri gar nicht antworten.
    Es steht jedem frei Siri zu nutzen. Wer es nicht möchte, kann in den Einstellungen Siri ausschalten.

    Dein Blabla ist ja furchtbar, genauso wie das dieser ganzen Aluhut-Träger hier.
    Man kann es auch echt übertreiben.
    Ich lege auch Wert auf Datenschutz. Das fängt aber nicht mit der Frage an, ob ich WhatsApp nutze oder nicht, sondern auch ganz entscheidend, was ich über WhatsApp oder auch Facebook über mich mitteile. Ich schreibe weder Lebensläufe und verschicke diese über WhatsApp oder poste diese auf Facebook, noch schreibe ich irgendwelche geheimen Mitteilungen, die sonst keiner Wissen darf. (ja ja, ich weiss, jetzt kommt wieder dieses „Ich habe ja nichts zu verbergen“-Gegenargument).

    Datensicherheit beginnt oder endet nicht mit der Frage, ob alles verschlüsselt ist.
    Ihr kauft euch ein Smartphone und legt eine SIM-Karte ein, damit ist eure Datensicherheit schon mal im Arsch, da könnt ihr so viel verschlüsseln wie ihr wollt, denn wie ihr sicherlich alle wisst, werden sowohl Verkehrsdaten, als auch Kommunikationsdaten vom Mobilfunkanbieter gespeichert, allein schon für Abrechnungszwecke.

    Die ganze Zeit wurde WhatsApp wegen des Datenschutzes angeprangert, jetzt kommt die Verschlüsselung und es ist so einigen auch nicht recht, was ja abzusehen war, dass die Aluhut-Träger hier wieder darauf anspringen und alles in Frage stellen.

    Meine Güte, schmeisst euer Smartphone weg und meldet euer Internet ab, dann habt ihr euren Datenschutz. Diese „Hilfe-meine-Daten-sind-nicht-sicher“-Phobie ist bei manchen ja echt schon krankhaft.

    Wie bereits erwähnt, ich lege auch Wert auf Datenschutz. Seine Daten zu schützen beginnt aber nicht bei der Verschlüsselung, sondern beim Inhalt der verschlüsselten Daten.

  43. @BeardMan:

    Ich habe Lukas zitiert. Apple gibt Daten raus, wenn es eine entsprechende richterliche Verfügung gibt.

    Alles andere was du schreibst ist sehr ähnlich zu meiner Meinung. Hier hätte viel Blutdruck durch sorgfältiges Lesen geschont werden können.

  44. @Ted
    Sehr gut. Danke für die Info und das posten der Links.

  45. @yatil
    Ja, sorry, dann hatte ich dein Zitat als deine Meinung gelesen.

  46. Für was genau es diesen QR-Code gibt, erschließt sich mir leider nicht. Wenn da wenigstens irgendwo bei den Kontakten ein Kennzeichen wäre, die per Scan bestätigt wurden.

  47. Ohne Adressat keine Zustellung, Metadaten über den Empfänger müssen also vorhanden sein. Klingt erstmal logisch. Es geht aber auch anders. ZBsp nach dem Prinzip öffentliche Mailbox wie das Alt.Anonymous.Messages schon seit den 90ern macht. Jeder postet seine verschlüsselte Nachricht, Teilnehmer empfangen alle Nachrichten und können nur die für sie bestimmten entschlüsseln. Einen ähnlichen Ansatz verfolgen Bitmessage oder Ricochet.

    @Jü
    Das ist quasi ein geheimes „Codewort“ auf dass du dich mit dem Chatpartner einigst wenn du ihn triffst. Es hängt immer von seinem privaten Schlüssel ab. Wenn sich jetzt einer in die Kommunikation einklinkt und seinen Schlüssel verwendet wird der QR-Code und die Sicherheitsnummer abweichen.

  48. Threema bietet zwar die Möglichkeit einer ID, aber dafür kein Forward Secrecy, was das Signal Protokoll jedoch hat. Insofern natürlich lächerlich diesen technisch veralteten Messenger, der noch nicht mal eine Nachrichtenvorschau bietet, immer auf ein Podest zu stellen.

  49. Bezgl. Metadaten. Warum macht sich keiner die Mühe u. liest die Erklärung dazu auf der Threema Seite: https://threema.ch/de/faq/data inkl. dem Rest der dort geschrieben steht?
    Zum Schluss kommt noch die Frage nach dem Vertrauen. Persönlich traue ich den Schweizern mehr als den Amis. Aber jeder wie er meint.
    (War mein letzter Kommentar zu dem däml. Thema)

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.