Einige Schwachpunkte

WhatsApp: Wie sicher ist die neue Verschlüsselung?

Web
11.04.2016 12:15

Seit einigen Tagen überträgt die beliebteste Chat-App der Welt Unterhaltungen verschlüsselt - und reagiert damit auf die seit Bekanntwerden der Massenüberwachung durch US-Geheimdienste lauter werdenden Rufe nach mehr Privatsphäre. Aber wie sicher ist WhatsApp mit der neuen Verschlüsselung? Hat es das Zeug, Krypto-Messenger wie Telegram oder Signal überflüssig zu machen?

Die Verschlüsselung, die WhatsApp seit einigen Tagen einsetzt, stammt vom US-Unternehmen Open Whisper Systems. Die Firma steckt auch hinter dem Krypto-Messenger Signal und wird vom Ex-Geheimdienstler Edward Snowden als besonders vertrauenswürdig empfohlen. Damit hat die WhatsApp-Mutter Facebook für die Verschlüsselungsalgorithmen in WhatsApp einen starken Partner vorzuweisen, der sein Handwerk versteht.

Signal ist Open Source, WhatsApp proprietär
Allerdings: Während Open Whisper Systems beim hauseigenen Chat-Tool Signal auf Open-Source setzt, also den Quellcode öffentlich macht und so jedem Interessenten ermöglicht, darin nach Schwachstellen zu suchen, handelt es sich bei den für WhatsApp entwickelten Verschlüsselungs-Routinen um proprietäre Software.

Hier kennen nur die Urheber den Quellcode, er ist nicht offen zugänglich und kann somit nicht von Dritten auf seine Sicherheit untersucht werden. Man muss Facebook und Open Whisper Systems also bis zu einem gewissen Grad vertrauen, kann sich nicht selbst davon überzeugen, dass keine Sicherheitslücken existieren.

Erste Verschlüsselungs-Tests sind vielversprechend
Eine Möglichkeit, um die Sicherheit der WhatsApp-Verschlüsselung trotzdem unabhängig zu prüfen, sind sogenannte Audits. Dabei gewährt eine Firma unabhängigen Experten Einsicht in den Quellcode, damit diese ihn auf seine Sicherheit untersuchen können, ohne ihn gleich zu veröffentlichen. Wie das deutsche Nachrichtenmagazin "Spiegel" berichtet, ist bislang noch nicht bekannt, ob WhatsApp solchen unabhängigen Audits unterzogen werden soll.

Erste Tests hinsichtlich der Abhörsicherheit durch das IT-Portal "Heise" legen jedoch nahe, dass die Verschlüsselung tatsächlich zuverlässig funktioniert. Beim Versuch, Nachrichten aus WhatsApp abzufangen, hielt der Messenger dicht. Das heißt freilich nicht, dass sich jemand mit Wissen über etwaige Schwachstellen nicht trotzdem Zugang zum Messenger verschaffen könnte.

Einige Schwachstellen bleiben bestehen
Überhaupt hat WhatsApp dem Magazin zufolge noch die eine oder andere Schwachstelle bei der Verschlüsselung. Die wohl wichtigste: WhatsApp verschlüsselt nur dann zuverlässig, wenn alle an einem Chat beteiligten Nutzer die aktuellste Version verwenden. Hat beispielsweise in einem Gruppen-Chat nur ein User eine veraltete Version installiert, wird weiterhin unverschlüsselt übertragen. Im Chat-Fenster wird darauf aber zumindest hingewiesen.

Hinzu kommt: Zwar wird der Inhalt einer Konversation nun verschlüsselt übertragen und ist somit selbst für die WhatsApp-Betreiber unlesbar, die Metadaten - also die Info, wer wann mit wem kommuniziert - liegen WhatsApp aber weiterhin vor. Für Geheimdienste und Ermittler sind Metadaten oft ähnlich wertvoll wie ganze Nachrichten, kann man sich damit doch ein recht gutes Bild vom Beziehungsgeflecht einer etwaigen Zielperson machen.

Angriffe mit Trojanern oder Identitätsklau denkbar
Eine andere Schwachstelle kann der Nutzer selbst bzw. sein Smartphone sein. Gelingt es Angreifern, die in WhatsApp eingegebenen Texte - etwa als Screenshot oder Rohtext - schon vor dem Absenden abzugreifen, hilft die ganze Verschlüsselung nichts. Und im Zeitalter von Smartphone-Trojanern und manipulierten Tastatur-Apps ist das für versierte Angreifer durchaus machbar.

Ein anderer Angriffsweg führt über gestohlene Smartphones oder SIM-Karten. Gelingt es einem Angreifer, das Gerät oder die Telefonnummer eines WhatsApp-Nutzers in seine Gewalt zu bringen, kann er sich als sein Opfer ausgeben und Nachrichten abfangen. Dieser Fall ist aber unwahrscheinlich - und wird von WhatsApp durch Sicherheitsnummern erschwert.

Fazit: Guter Ansatz mit ein paar Schwächen
Es spricht letztlich also vieles - etwa der vertrauenswürdige Partner Open Whisper Systems und die fehlgeschlagenen Abhörversuche des IT-Magazins - dafür, dass WhatsApp mit seiner neuen Verschlüsselung wirklich sichere Kommunikation ermöglicht. Ein paar Haare sind aber in der Suppe - etwa, dass der genutzte Quellcode nicht einsehbar ist und in Einzelfällen, beispielsweise bei Nutzung einer alten WhatsApp-Version, unverschlüsselt übertragen wird.

Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele