Meta-Daten lagern weiterhin bei Facebook

IMG_1466Mit dem letzten Update hat der beliebte Messenger-Dienst WhatsApp eine Ende-zu-Ende-Verschlüsselung für alle Chats, Telefonate und Dateianhänge eingeführt. Die von Krypto-Guru Moxie Marlinspike entwickelte Verschlüsselung verspricht ein wirkungsvolles Mittel, um unbefugte Mitleser auszusperren.

Der Nachrichtendienst WhatsApp hat sich mit einem Update zum weltweit meistgenutzten Krypto-Messenger aufgeschwungen. Ab sofort kommunizieren Nutzer, die die neueste Version der App installiert haben, mit einer Ende-zu-Ende-Verschlüsselung, die sicherstellen soll, dass weder WhatsApp selbst noch Geheimdienste oder andere staatliche Organe Zugriff auf die versendeten Nachrichten erhalten. An der Entwicklung beteiligt war auch Krypto-Guru Moxie Marlinspike, der als engagierter Privacy Activist gilt und einen gewissen Vertrauensvorschuss in die neue Verschlüsselung rechtfertigt.

IMG_1465Die Basis für die Ende-zu-Ende-Verschlüsselung von WhatsApp ist die bereits aus der Signal-App bekannte Technologie von Open Whisper Systems, die als sehr zuverlässig gilt. Im Test der Bürgerrechtsorganisation Electronic Frontier Foundation hat die neue WhatsApp-Verschlüsselung sechs von sieben möglichen Punkten erreicht. Leider ist der Code nicht einsehbar und damit nicht unabhängig überprüfbar, weswegen ein Punkt abgezogen wurde“, erklärt Götz Schartner, Vorsitzender des Vereins Sicherheit im Internet e. V. „Trotzdem ist die Verschlüsselung ein riesiger Schritt nach vorne, auch wenn über die Motive von WhatsApp für die Einführung letztendlich nur spekuliert werden kann.“

Bislang macht die Krypto-Technologie einen guten Eindruck. Zwischen Smartphones mit der neuesten App-Version läuft die Kommunikation vollständig verschlüsselt ab – unabhängig vom Betriebssystem und davon, ob es sich um einen Chat, einen Gruppen-Chat, einen Anruf aus der App oder einen Dateianhang handelt. Lediglich bei Nachrichten von Handys, bei denen WhatsApp noch nicht aktualisiert wurde, schaltet die Software auf Klartext um. Zu Beginn einer Konversation werden zwischen den teilnehmenden Smartphones Schlüsselcodes für die Entschlüsselung der Nachrichten ausgetauscht. Dieser Schlüssel wird nun bei jeder Nachricht überprüft und sollte sich daran etwas ändern (beispielsweise, weil das Gegenüber ein neues Handy hat), erhält man bei entsprechender Einstellung der App eine Warnung. Darüber hinaus bietet die neue Sicherheitstechnologie die Möglichkeit, die Identität des Chat-Partners zu verifizieren, entweder über einen QR-Code, der eingescannt wird oder über eine Sicherheitsnummer. Durch diese Maßnahmen werden Man-in-the-Middle-Angriffe deutlich erschwert und unerwünschte Mitleser ausgesperrt.

„Die vorgestellte Verschlüsselungstechnik von WhatsApp ist stark und scheint zumindest in ersten Tests auch das zu tun, was sie soll. Doch es bleiben Zweifel. WhatsApp gehört zu Facebook, einem börsennotierten Unternehmen, das in erster Linie seinen Aktionären und dem Aktienkurs verpflichtet ist. Somit ist natürlich auch der Code der App nicht quelloffen, wie bei anderen Messenger-Projekten, an denen Moxie Marlinspike beteiligt ist. Und wie eigentlich alle Messenger-Apps steht auch WhatsApp weiter vor dem Problem der Meta-Daten. Diese werden nämlich auch nach dem Update nicht verschlüsselt und so sieht WhatsApp zwar nicht, was gesprochen wird, aber kann sehr wohl sehen, wer wann mit wem kommuniziert hat“, erklärt Schartner.

WhatsApp nutzt nach eigener Aussage ausschließlich die Telefonnummern, die es zur Identifizierung der Anwender braucht. Name, E-Mail und Adresse sollen dagegen Tabu sein. Tatsächlich gibt es für dieses Problem derzeit keine befriedigende technische Lösung und so fallen diese Daten auch bei allen anderen Messenger-Diensten wie Signal oder Threema und sogar bei normalen Telefonaten, SMS und E-Mails an. Die Meta-Daten der Benutzer lagern also weiterhin unverschlüsselt bei WhatsApp und damit bei Facebook in den USA. Und dort gelten deutlich schwächere Datenschutzbestimmungen als in Deutschland.

Über SpardaSurfSafe:
Veranstalter und Träger von SpardaSurfSafe ist die Sozialstiftung der Sparda-Bank Baden-Württemberg, die gemeinsam mit dem Kultusministerium Baden-Württemberg, dem Verein Sicherheit im Internet e. V. und dem Landesmedienzentrum Baden-Württemberg das Großprojekt im fünften Jahr durchführt. In Kooperation mit den IT-Sicherheits-experten der 8com GmbH & Co. KG wurde ein Konzept entwickelt, das die Schüler im Rahmen des Unterrichts im Umgang mit den Neuen Medien aufklärt. „Wir haben das Konzept in den vergangenen Jahren erfolgreich in 17 verschiedenen Städten in Baden-Württemberg mit rund 200.000 Teilnehmern durchgeführt.
Dafür bekommen wir durchweg positives Feedback von den Teilnehmern, ob Schüler, Eltern oder Lehrer“, erklärt Patrick Löffler vom Verein Sicherheit im Internet e. V.

Über Redaktion

Impressum Pflichtangaben gemäß § 5 TMG Inhaltlich verantwortlich ist: Ria Hinken Tel. +49 (0) 761 | 2852 7905 Mail: rh(at)konzepte-pr.de Umsatzsteuer-ID DE185565169 Verantwortlich i. S. d. P. Ria Hinken Wintererstr. 7, D-79104 Freiburg Mail: rh(at)konzepte-pr.de
Dieser Beitrag wurde unter Datenschutz abgelegt und mit , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar