Willkommen
|
Facebook Twitter Google Plus
11.12.2016 - 11:08
Foto: thinkstockphotos.de, WhatsApp

WhatsApp: Wie sicher ist die neue Verschlüsselung?

11.04.2016, 12:15

Seit einigen Tagen überträgt die beliebteste Chat- App der Welt Unterhaltungen verschlüsselt - und reagiert damit auf die seit Bekanntwerden der Massenüberwachung durch US- Geheimdienste lauter werdenden Rufe nach mehr Privatsphäre. Aber wie sicher ist WhatsApp mit der neuen Verschlüsselung? Hat es das Zeug, Krypto- Messenger wie Telegram oder Signal überflüssig zu machen?

Die Verschlüsselung, die WhatsApp seit einigen Tagen einsetzt , stammt vom US- Unternehmen Open Whisper Systems . Die Firma steckt auch hinter dem Krypto- Messenger Signal und wird vom Ex- Geheimdienstler Edward Snowden als besonders vertrauenswürdig empfohlen. Damit hat die WhatsApp- Mutter Facebook für die Verschlüsselungsalgorithmen in WhatsApp einen starken Partner vorzuweisen, der sein Handwerk versteht.

Signal ist Open Source, WhatsApp proprietär

Allerdings: Während Open Whisper Systems beim hauseigenen Chat- Tool Signal  auf Open- Source setzt, also den Quellcode öffentlich macht und so jedem Interessenten ermöglicht, darin nach Schwachstellen zu suchen, handelt es sich bei den für WhatsApp entwickelten Verschlüsselungs- Routinen um proprietäre Software.

Hier kennen nur die Urheber den Quellcode, er ist nicht offen zugänglich und kann somit nicht von Dritten auf seine Sicherheit untersucht werden. Man muss Facebook und Open Whisper Systems also bis zu einem gewissen Grad vertrauen, kann sich nicht selbst davon überzeugen, dass keine Sicherheitslücken existieren.

Erste Verschlüsselungs- Tests sind vielversprechend

Eine Möglichkeit, um die Sicherheit der WhatsApp- Verschlüsselung trotzdem unabhängig zu prüfen, sind sogenannte Audits. Dabei gewährt eine Firma unabhängigen Experten Einsicht in den Quellcode, damit diese ihn auf seine Sicherheit untersuchen können, ohne ihn gleich zu veröffentlichen. Wie das deutsche Nachrichtenmagazin "Spiegel"  berichtet, ist bislang noch nicht bekannt, ob WhatsApp solchen unabhängigen Audits unterzogen werden soll.

Erste Tests hinsichtlich der Abhörsicherheit durch das IT- Portal "Heise"  legen jedoch nahe, dass die Verschlüsselung tatsächlich zuverlässig funktioniert. Beim Versuch, Nachrichten aus WhatsApp abzufangen, hielt der Messenger dicht. Das heißt freilich nicht, dass sich jemand mit Wissen über etwaige Schwachstellen nicht trotzdem Zugang zum Messenger verschaffen könnte.

Einige Schwachstellen bleiben bestehen

Überhaupt hat WhatsApp dem Magazin zufolge noch die eine oder andere Schwachstelle bei der Verschlüsselung. Die wohl wichtigste: WhatsApp verschlüsselt nur dann zuverlässig, wenn alle an einem Chat beteiligten Nutzer die aktuellste Version verwenden. Hat beispielsweise in einem Gruppen- Chat nur ein User eine veraltete Version installiert, wird weiterhin unverschlüsselt übertragen. Im Chat- Fenster wird darauf aber zumindest hingewiesen.

Hinzu kommt: Zwar wird der Inhalt einer Konversation nun verschlüsselt übertragen und ist somit selbst für die WhatsApp- Betreiber unlesbar, die Metadaten - also die Info, wer wann mit wem kommuniziert - liegen WhatsApp aber weiterhin vor. Für Geheimdienste und Ermittler sind Metadaten oft ähnlich wertvoll wie ganze Nachrichten, kann man sich damit doch ein recht gutes Bild vom Beziehungsgeflecht einer etwaigen Zielperson machen.

Angriffe mit Trojanern oder Identitätsklau denkbar

Eine andere Schwachstelle kann der Nutzer selbst bzw. sein Smartphone sein. Gelingt es Angreifern, die in WhatsApp eingegebenen Texte - etwa als Screenshot oder Rohtext - schon vor dem Absenden abzugreifen, hilft die ganze Verschlüsselung nichts. Und im Zeitalter von Smartphone- Trojanern und manipulierten Tastatur- Apps ist das für versierte Angreifer durchaus machbar.

Ein anderer Angriffsweg führt über gestohlene Smartphones oder SIM- Karten. Gelingt es einem Angreifer, das Gerät oder die Telefonnummer eines WhatsApp- Nutzers in seine Gewalt zu bringen, kann er sich als sein Opfer ausgeben und Nachrichten abfangen. Dieser Fall ist aber unwahrscheinlich - und wird von WhatsApp durch Sicherheitsnummern erschwert .

Fazit: Guter Ansatz mit ein paar Schwächen

Es spricht letztlich also vieles - etwa der vertrauenswürdige Partner Open Whisper Systems und die fehlgeschlagenen Abhörversuche des IT- Magazins - dafür, dass WhatsApp mit seiner neuen Verschlüsselung wirklich sichere Kommunikation ermöglicht. Ein paar Haare sind aber in der Suppe - etwa, dass der genutzte Quellcode nicht einsehbar ist und in Einzelfällen, beispielsweise bei Nutzung einer alten WhatsApp- Version, unverschlüsselt übertragen wird.

11.04.2016, 12:15
der, krone.at
Kommentare  
Kommentare sortieren nach:
km_num_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
Antworten sortieren nach:
km_antworten_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).
Werbung
Jetzt online spielen!
Werbung
Angaben gem ECG und MedienGesetz: Medieninhaber, Hersteller und Herausgeber bzw. Diensteanbieter
Krone Multimedia GmbH & Co KG (FBN 189730s; HG Wien) Internetdienste; Muthgasse 2, 1190 Wien
Krone Multimedia © 2016 krone.at | Impressum