WhatsApp: Verschlüsselung ja, geheime Kommunikation nein

Artikel-WhatsApp-LogoDie Einführung der Ende-zu-Ende-Verschlüsselung in WhatsApp schlug bereits große Wellen. Rund eine Milliarde Nutzer, die nur ihren Messenger updaten müssen, um künftig geschützt vor den Augen anderer kommunizieren zu können. Wie so oft, hat die Medaille allerdings zwei Seiten, denn auch wenn die Nachrichten an sich verschlüsselt sind, sind weiterhin zahlreiche Meta-Daten zu den Nachrichten verfügbar. Nicht verschlüsselt sind zum Beispiel Datum, Zeit und Nummer einer Nachricht. Es kann also weiterhin festgestellt werden, wann Ihr mit wem kommuniziert habt, lediglich das was bleibt durch die Verschlüsselung unklar.

whatsapp

WhatsApp macht daraus aber kein Geheimnis, erwähnt dies in den AGB folgendermaßen:

Notwithstanding the above, WhatsApp may retain date and time stamp information associated with successfully delivered messages and the mobile phone numbers involved in the messages, as well as any other information which WhatsApp is legally compelled to collect.

WhatsApp teilt in den AGB auch mit, wann diese Daten herausgegeben werden:

We may collect and release Personally Identifiable Information and/or non-personally-identifiable information if required to do so by law, or in the good-faith belief that such action is necessary to comply with state and federal laws (such as U.S. Copyright Law), international law or respond to a court order, subpoena, or search warrant or equivalent, or where in our reasonable belief, an individual’s physical safety may be at risk or threatened.

Das soll auch keine Kritik an WhatsApp sein, viel mehr ein Hinweis an die Nutzer, dass eben nicht alles verschlüsselt ist und man sich nicht in falscher Sicherheit wiegen sollte. Die Inhalte sind ja trotzdem nicht einsehbar, das dürfte einem Großteil der Nutzer schon genügen. Falls man sich überhaupt Gedanken über die Verschlüsselung macht. Das tun bekanntlich die wenigsten.

(Quelle: WhatsApp, via LiveMint)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

51 Kommentare

  1. Was bringt das Einscannen des QR Codes des Gegenübers?
    Sicherstellen, dass der Kontakt die Nummer ist, von der man den QR Code einscannt?

  2. Ich behaupte einfach mal, das es technisch gar nicht möglich ist, die Nachrichten komplett (= inklusive aller Metadaten) zu verschlüsseln. Irgendwie muss WhatsApp ja wissen, zu wem die Nachricht soll. Man wird höchstens daran arbeiten können so wenig Metadaten wie möglich unverschlüsselt zu lassen.

  3. @Leonard:
    Genau. Wenn z. B. ein Dritter versuchen würde, sich mit einer bestimmten Handynummer als jemand anderes auszugeben, würdest du das merken, weil dann die Meldung kommt, dass der Sicherheitscode nicht mit dem übereinstimmt, den du gescannt hast.

    Das Gleiche passiert übrigens auch, wenn jemand ein neues Smartphone kauft und dort WhatsApp neu installiert. Dann bekommen die Kontakte ebenfalls so eine Warnung.

  4. @Leonard: Du stellst damit sicher, dass dein Gegenüber den selben Schlüssel wie du verwendet.

  5. Markus Maier says:

    Ich glaube, der Testnutzer im rechten Screenshot ist nicht ausreichend anonymisiert 😉

  6. Sascha Ostermaier says:

    @Markus: Das ist die Verschlüsselungsvisualisierung. Steht ja schließlich dort, dass kein Dritter lesen kann. 😀

  7. @Heiko:
    Doch, geht. Sofern die Metadaten keiner realen Person einwandfrei zugeordnet werden können ist das Auftreten dieser kein Problem. Zwar ist der Ansatz von WA ein guter Anfang, aber besser macht es z.B. Threema. Bei WA wirst Du über die Telefonnummer identifziert und kannst daher auch über die Telefonabrechnung identifiziert werden.Bei Threema erfolgt die Zuordnung nur auf Wunsch über die Telefonnummer. Du kannst auch mit z.B. einem ICQ ähnlichem Code zugeordnet werden und die App anonym kaufen. Dann ist eine Zuordnung nicht mehr möglich und die Metadaten sind irrelevant.

  8. @Heiko das stimmt nicht. Es gibt Software (nur am PC) die auch Metadaten verschlüsselt und versteckt. Ein prominenteres Beispiel ist die Software Vuvuzela https://github.com/davidlazar/vuvuzela

  9. Wie steht es eigentlich mit Push-Nachrichten? Sind die auch Inhaltslos wie bei Threema, oder wird da aus Bequemlichkeitsgründen die Verschlüsselung augehebelt?

  10. @mich Vielleicht mal das hier verfolgen http://security.stackexchange.com/q/119624 es gibt anscheinend einen Weg jetzt bei iOS (was früher nicht ging)

  11. @mich
    In den Einstellungen von WhatsApp kannst du unter „Mitteilungen“ auswählen, ob eine „Vorschau“ in den Push-Nachrichten angezeigt wird oder nicht.

  12. Bei der Verschlüsselung geht es NUR um die Verschlüsselung des Inhaltes. Das ist dasselbe – entschuldigt diese „olle Kamelle“ – wie beim Brief: Niemand kommt auf die Idee, längeren Text auf einer Postkarte zu versenden, schon gar nicht Geschäfts- oder sonstige (geschäftliche oder private) Nachrichten. Der Briefumschlag in Verbindung mit dem Brief-/Postgeheimnis (Juristerei – bitte nicht totschlagen, wenn ich nicht die korrekten Begriffe verwende) ist die Verschlüsselung. Diejenigen, durch deren Hände der Brief geht, können nicht ohne Weiteres den Inhalt lesen – es sei denn, Sie brechen das Briefgeheimnis mutwillig/vorsätzlich (strafbar) oder sind dazu beauftragt (von staatswegen – Geheimdienste etc.). Adressen unterliegen nicht dem Postgeheimnis (siehe Telefonbuch) – logischerweise, denn wie soll der Briefträger denn den Brief korrekt zustellen… Das Ganze ist doch nichts Neues! Auch ein Brief kostet etwas Mühe UND Spucke! Übrigens wäre STARTMAIL.COM eine – allerdings kostenpflichtige – Lösung für diejenigen, die mit der GnuPG-Verschlüsselung via Thunderbird/Enigmail/GPG4Win nicht klar kommen. Die ganze Diskussion um Verschlüsselung der Adressdaten („Metadaten“?) führt nicht zum Ziel und dient mehr zur Entschuldigung für die eigene Faulheit.

  13. Ich nutze seit Jahren Signal (Textsecure). Nun stellt sich mir die Frage, ob ich WhatsApp parallel nutzen soll. Dazu meine Überlegungen und Fragen:

    1) Wenn ich keine Metadaten herausgeben will, dürfte ich ein Smartphone überhaupt nicht nutzen. Der Provider, Google oder Apple etc. erhalten sie auch.

    2) Ich habe gelesen, dass WhatsApp den Inhalt einer Nachricht bereits einsehen kann, wen er eingetippt wird, also noch unverschlüsselt ist. Aber WhatsApp ist closed sourcer, woher soll man es dann wissen? Wie wahrscheinlich ist das?

    3) Übermittelt WhatsApp die Kontakte noch ungefragt oder kann man das bei der Installation abschalten?

  14. Kurz und Knapp: Whatsapp gehört zu Facebook! Was soll da eine fahdenscheinige Verschlüsselung nützen?
    Da würde ich eher Threema trauen als dieser Datenkrake vom „Gesichtsbuch“.
    Aber….wer wirklich sensible Daten hat nimmt wohl nicht den Weg über einen Messenger – oder?!

  15. Grandpa Erhardt says:

    Threema und nichts als Threema!

    Allein schon, dass die Verschlüsselungsanforderung über den WA-Server läuft ist ein deutlicher Hinweis, das hier was faul ist! Vorgegaukelte Verschlüsselung für die Unt*rschicht!

  16. wenn du Angst vor Closed Source hast solltest du WhatsApp nie benutzen. Es kann sich jederzeit was ändern. Kontakte werden immer noch komplett übertragen weil WhatsApp sonst nicht funktioniert. Und das mit den Metadaten hast du recht. Jedes Smartphone (und auch normale Telefon) schickt so schon genug raus.

  17. Das verifizieren mit dem qr Code ist ja dumm, kein bleibendes Merkmal wie bei Threema, somit recht sinnlos.

  18. @Fraggle
    Metadaten können nahezu immer einer Person zugeordnet werden. Auch bei Threema. Ob da jetzt die Telefonnummer dahinter steht oder nicht ist völlig irrelevant. Die Nachricht geht an eine IP und für die lässt sich die Person ermitteln, die sie genutzt hat. Der einzige Weg das zu vermeiden sind öffentliche WLANs. Aber das wird für 99% der Nutzer keine Lösung sein…
    Und selbst bei Nutzung von öffentlichen WLANs lässt sich durch die kontinuierliche Betrachtung ein Bewegungsprofil erstellen, über das auch eine Identifizierung möglich ist.

    Egal ob Threema, Whatsapp oder andere Messenger: Bei keinem können Versender oder Empfänger einer Nachricht verschleiert werden.

  19. @grandpa
    Ich bin mir zu hundert Prozent sicher, die geistige(?) Oberschicht nimmt nur Threema und Co.

  20. @Erhardt
    Oh ja, wir wissen es ja jetzt mittlerweile, du musst dich also nicht ständig wiederholen.
    1 Milliarde WhatsApp-Nutzer und alles Unterschicht.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.