WhatsApp: verlĂ€sslicher GeheimnistrĂ€ger? – WhatsApp-VerschlĂŒsselung: Wie funktioniert sie? Und wie sicher ist sie tatsĂ€chlich?

Torsten Kautz 30. Juli 2016 0 Kommentar(e)

Endlich verschlĂŒsselt WhatsApp die ĂŒbertragenen Nachrichten auf vernĂŒnftige Weise. Worauf mĂŒssen Sie nun beim Verwenden der VerschlĂŒsselung achten? Und wo sind die Grenzen des verwendeten Verfahrens?

whatsi

Lediglich 15 Prozent der deutschen Internet-Nutzer verschlĂŒsseln ihre E-Mail-Nachrichten (laut einer reprĂ€sentativen Umfrage von Bitkom Research). Dagegen ĂŒbermitteln fast 100 Prozent der WhatsApp-Anwender verschlĂŒsselte Nachrichten. Zumindest seit Anfang April dieses Jahres. Denn seit diesem Zeitpunkt bietet der Messenger-Dienst eine komplette VerschlĂŒsselung der Nachrichten. Lange genug hat‘s gedauert: Von 2009 bis 2012 verwendete WhatsApp keine VerschlĂŒsselung beim Übertragen der Nachrichten. Erst seit August 2012 kam eine VerschlĂŒsselung zum ­Einsatz. Die allerdings nach der Meinung von Kritikern nicht stark genug war – und auch nur auf Android- und iOS-GerĂ€ten verfĂŒgbar war, nicht jedoch auf den weiteren unterstĂŒtzten Plattformen BlackBerry, Symbian und Windows Phone. Seit November 2014 dann verwendete ­WhatsApp eine zuverlĂ€ssige Ende-zu-Ende-VerschlĂŒsselung – die ursprĂŒnglich von der Organisation Open Whisper Systems (siehe gleichnamigen Textkasten rechts oben) fĂŒr deren Messenger-App „TextSecure“ entwickelt wurde.

Kritische Zeitgenossen allerdings waren ­immer noch nicht hundertprozentig zufrieden. Und das aus guten GrĂŒnden: Denn die VerschlĂŒsselung funktionierte lediglich bei der Kommunikation zwischen Android-GerĂ€ten. Und auch dann nicht bei Gruppen-Chats. Noch gravierender: FĂŒr den Anwender war nicht zu erkennen, ob ein Chat verschlĂŒsselt wurde oder nicht. Diese Nachteile fĂŒhrten dazu, dass viele sicherheitsbewusste Anwender lieber zu konkurrierenden Apps wie „Signal“, „Threema“ und „Telegram“ griffen, deren Ende-zu-Ende-VerschlĂŒsselung auch plattformĂŒbergreifend funktionierte. Im April 2016 jedoch mussten die meisten Kritiker verstummen: Denn WhatsApp und Open Whisper Systems gaben bekannt, dass die Ende-zu-Ende-VerschlĂŒsselung nun auf allen Plattformen funktioniert, fĂŒr die ­WhatsApp derzeit erhĂ€ltlich ist – also Android, iOS, Windows Phone, Nokia S40, Nokia S60, ­BlackBerry OS und BlackBerry 10. Diese VerschlĂŒsselung kommt nicht nur beim Übermitteln von Textnachrichten zum Einsatz, sondern auch bei Gruppen-Chats, beim Übertragen von DateianhĂ€ngen und Sprachnachrichten – und auch bei WhatsApp-Telefonaten.

Simpelste Benutzung

Die VerschlĂŒsselung der ĂŒbermittelten Daten findet automatisch statt. Der Anwender muss sich also um nichts kĂŒmmern – abgesehen davon, dass er die neueste Version von ­WhatsApp installiert haben sollte. Da aber nicht jeder Anwender sofort jedes Update installiert, gibt es eine Übergangsphase. In dieser Zeit sind auch noch unverschlĂŒsselte Übertragungen möglich. Sobald ein Teilnehmer einer Unterhaltung oder eine Gruppenunterhaltung noch eine Ă€ltere App-Version verwendet, wird diese Unterhaltung nicht verschlĂŒsselt. Anders als in der Vergangenheit aber lĂ€sst die App den Anwender ĂŒber den VerschlĂŒsselungsstatus nicht im Unklaren: Im Fenster einer Unterhaltung erscheint ein Hinweis, wenn WhatsApp mit dem VerschlĂŒsseln beginnt.
DarĂŒber hinaus können Sie im Infofenster eines Kontakts den VerschlĂŒsselungsstatus und auch die IdentitĂ€t Ihres GesprĂ€chspartners prĂŒfen. Wenn spĂ€ter – zu einem noch ungenannten Zeitpunkt – alle App-Versionen, die keine Ende-zu-Ende-VerschlĂŒsselung unterstĂŒtzen, ihr Verfallsdatum erreicht haben, werden neue Versionen der Software keine unverschlĂŒsselten Nachrichten mehr annehmen.

Durchgehend verschlĂŒsselt

WhatsApp verwendet zum VerschlĂŒsseln der Nachrichten das „Signal Protocol“. Dieses Protokoll benutzt zum eigentlichen VerschlĂŒsseln den „Double Ratchet“-Algorithmus, der vom Open-Whisper-Systems-GrĂŒnder ­Moxie Marlinspike mitentwickelt wurde. WhatsApp-Telefonate werden nach dem „Secure Real-time Transport Protocol“ verschlĂŒsselt, das den „AES“-Algorithmus benutzt und in etlichen Netzwerk-Telefonie-Lösungen zum Einsatz kommt. Sowohl Textnachrichten als auch Telefonate werden dabei durch eine Ende-zu-Ende-VerschlĂŒsselung geschĂŒtzt. Das bedeutet, dass die Daten auf dem kompletten Weg vom Sender zum EmpfĂ€nger verschlĂŒsselt bleiben – und nicht etwa auf dem Server des Dienstanbieters entschlĂŒsselt werden. Der Dienstanbieter (also WhatsApp) hat auch keinen Zugriff auf die SchlĂŒssel der Anwender. Dadurch können weder Daten vom WhatsApp-Server gestohlen noch vom Anbieter gezwungenermaßen an Ermittlungsbehörden herausgegeben werden.

Ende-zu-Ende-VerschlĂŒsselung: der entscheidende Vorteil TransportverschlĂŒsselung (Transport Layer Security, kurz: TLS), die oft von Web-Servern und auch von E-Mail-Servern verwendet wird, schĂŒtzt Ihre Daten beim Übertragen an den Server des Dienstanbieters und beim Abruf der Daten von diesem Server. Auf diesem Server jedoch werden die Daten unverschlĂŒsselt verarbeitet. Ende-zu-Ende-VerschlĂŒsselung schließt diese LĂŒcke, so dass die Daten auf ihrem gesamten Weg verschlĂŒsselt sind.

Ende-zu-Ende-VerschlĂŒsselung: der entscheidende Vorteil
TransportverschlĂŒsselung (Transport Layer Security, kurz: TLS), die oft von Web-Servern und auch von E-Mail-Servern verwendet wird, schĂŒtzt Ihre Daten beim Übertragen an den Server des Dienstanbieters und beim Abruf der Daten von diesem Server. Auf diesem Server jedoch werden die Daten unverschlĂŒsselt verarbeitet. Ende-zu-Ende-VerschlĂŒsselung schließt diese LĂŒcke, so dass die Daten auf ihrem gesamten Weg verschlĂŒsselt sind.

Vertrauen nötig

Zwei Haken bei der Sache gibt es allerdings immer noch: Erstens verschlĂŒsselt WhatsApp lediglich die ĂŒbertragenen Inhalte. Auf dem Server des Herstellers landen jedoch nach wie vor die sogenannten Metadaten – die Auskunft darĂŒber geben, wer mit wem zu welchem Zeitpunkt und wie lange kommuniziert hat. Derartige Informationen können beinahe ebenso aussagekrĂ€ftig sein wie die eigentlichen Inhalte der Nachrichten. Und zweitens ist zwar das verwendete  „Signal Protocol“ quelloffen, WhatsApp selbst allerdings nicht. Uns bleibt also nichts anderes ĂŒbrig, als darauf zu vertrauen, dass der Hersteller keine HintertĂŒr eingebaut hat.  Das ist auch der Grund dafĂŒr, dass WhatsApp auf der „Secure Messaging Scorecard“ der Electronic Frontier Foundation zwar besser abschneidet als in der Vergangenheit, aber immer noch nicht die volle Punktzahl erreicht und sich in dieser Hinsicht dem Konkurrenten „Signal“ geschlagen geben muss.

Probleme fĂŒr Ermittler

Ermittlungsbehörden sind nicht unbedingt begeistert davon, dass WhatsApp nun standardmĂ€ĂŸig eine Ende-zu-Ende-VerschlĂŒsselung verwendet. Der FBI-Direktor James Comey sagte im Mai 2016 auf einer Sicherheitskonferenz im Silicon Valley: „WhatsApp hat ĂŒber 1 Milliarde Kunden, die ĂŒberwĂ€ltigende Mehrheit von ihnen gute Menschen. Aber unter dieser Milliarde Kunden befinden sich Terroristen und Kriminelle“, so dass die nun „allgegenwĂ€rtige“ VerschlĂŒsselungsfunktion von WhatsApp Ermittlungen gegen beide Arten von MissetĂ€tern beeinflussen werde. „Unweigerlich wird sie ein Hindernis darstellen bei gerichtlichen Anordnungen fĂŒr Abhöraktionen in KriminalfĂ€llen oder bei Anordnungen fĂŒr Ermittlungen, die die nationale Sicherheit betreffen.“ Im MĂ€rz 2016 wurde in Brasilien ein leitender Mitarbeiter des WhatsApp-Mutterkonzerns Facebook festgenommen, weil ­WhatsApp der richterlichen Aufforderung, einen GesprĂ€chsverlauf zwischen mutmaßlichen DrogenhĂ€ndlern herauszugeben, nicht nachgekommen war. Nach Aussagen von WhatsApp allerdings hatte das Unternehmen gar keinen Zugriff auf die angeforderten Informationen – wegen der durchgehenden VerschlĂŒsselung.

Open Whisper Systems

WhatsApp verwendet zum VerschlĂŒsseln seiner Nachrichten das „Signal Protocol“ der Organisation Open Whisper Systems.

HauptsĂ€chlich bekannt ist Open Whisper Systems heutzutage durch die Messenger-App „Signal“ (erhĂ€ltlich fĂŒr Android und fĂŒr iOS), die Wert auf starke VerschlĂŒsselung legt. Dabei handelt es sich um eine Verschmelzung zweier Ă€lterer Apps: die Telefonie-App „RedPhone“ und die Messenger-App „TextSecure“. Die Apps von Open Whisper Systems sind kostenlos erhĂ€ltlich – und finanzieren sich auch nicht durch Werbung. Möglich wird dies durch Spenden und Subventionen unter anderem von der Freedom of the Press Foundation. Der frĂŒhere Geheimdienstmitarbeiter Edward Snowden lobte bei mehreren Gelegenheiten die „Signal“-App und empfahl Smartphone-Anwendern, die ihre PrivatsphĂ€re schĂŒtzen möchten, „alle Produkte von Open Whisper Systems“.

Moxie Marlinspike

Der frĂŒhere Sicherheitschef von Twitter ist fĂŒr das hochgelobte „Signal“-VerschlĂŒsselungsprotokoll verantwortlich.

Der Computersicherheitsforscher Moxie Marlinspike (ein Pseudonym) grĂŒndete im Jahr 2010 zusammen mit dem Roboteringenieur Stuart Anderson das Startup-Unternehmen Whisper Systems, das unter anderem die Apps „TextSecure“ und „RedPhone“ entwickelte. 2011 wurde Whisper Systems von Twitter aufgekauft. Marlinspike arbeitete bis 2013 als Director of Product Security bei Twitter – und grĂŒndete anschließend die Organisation Open Whisper Systems. Seine BemĂŒhungen, Anwendern Werkzeuge zum Schutz ihrer PrivatsphĂ€re zu geben, haben ihn bei den Behörden nicht eben beliebt gemacht: Nach eigenen Aussagen ist es schon einige Male geschehen, dass ihn auf FlughĂ€fen Regierungsmitarbeiter zusĂ€tzlich ĂŒberprĂŒft, mehrere Stunden lang festgehalten und ihm seine Notebooks und Mobiltelefone abgenommen haben.

Signal Protocol

Dank des „Signal Protocol“ ist es Apps möglich, Nachrichten verschlĂŒsselt zu ĂŒbermitteln.

Das „Signal Protocol“ ist ein Protokoll zum Austauschen von Nachrichten, die durch Ende-zu-Ende-VerschlĂŒsselung geschĂŒtzt werden sollen. Wie auch das bekanntere „Off-the-Record Messaging“-Protokoll verwendet das „Signal Protocol“ fĂŒr die VerschlĂŒsselung temporĂ€re SitzungsschlĂŒssel, so dass aufgezeichnete Unterhaltungen nicht nachtrĂ€glich entschlĂŒsselt werden können, selbst wenn Unbefugte den LangzeitschlĂŒssel herausfinden sollten. Hinzu kommt beim „Signal Protocol“ die FĂ€higkeit, die SchlĂŒssel einer Sitzung auch dann zu erneuern, wenn nicht beide Kommunikationspartner gleichzeitig online sind. Was vor allem bei Messenger-Diensten fĂŒr Smartphones bedeutsam ist. Verwendung findet das „Signal“-Protokoll unter anderem bei den Messenger-Apps „Signal“ und „WhatsApp“.

VerschlĂŒsselung kontrollieren

Sie können sich sicherheitshalber von der App bestĂ€tigen lassen, dass die Nachrichten einer Unterhaltung tatsĂ€chlich verschlĂŒsselt werden.

Whatsapp VerschlĂŒsselung kontrollieren

Tippen Sie im Fenster einer Unterhaltung links oben auf den Namen des Kontakts, um das Infofenster zu öffnen. An dem Aussehen des Schlosssymbols (geschlossen oder geöffnet) erkennen Sie, ob die Nachrichten verschlĂŒsselt werden oder nicht. ZusĂ€tzlich können Sie die VerschlĂŒsselung und die IdentitĂ€t Ihres GesprĂ€chspartners folgendermaßen ĂŒberprĂŒfen: Tippen Sie im Infofenster auf die SchaltflĂ€che „VerschlĂŒsselung“. Sie bekommen dann einen QR-Code und eine 60-stellige Sicherheitsnummer angezeigt. Sie können entweder diese Nummer mit der Ihres GesprĂ€chspartners vergleichen – oder aber mit Ihrem Smartphone den QR-Code auf dem Bildschirm des anderen Smartphones scannen.

auf Facebook teilen auf Google+ teilen auf Twitter teilen