Firmenpunkt GmbH

WhatsApp – Datenkrake oder unerreichbare Schatztruhe?

Autor: Hannah Reuter, FIRMENPUNKT GmbH

2014 – ein Schicksalhaftes Jahr für WhatsApp

Im Februar 2014 übernimmt Facebook WhatsApp für eine Summe von 22 Milliarden Euro. Damals wie auch heute versichert WhatsApp, dass es unabhängig agiert und keine Inhalte an Facebook weitergeleitet werden würden. Auch nach der Änderung der Allgemeinen Geschäftsbedingungen von WhatsApp im September 2016 bleibt der Konzern bei dem Standpunkt, dass keinerlei Inhalte an Facebook übermittelt werden.

Firmenpunkt GmbH

Was allerdings ab diesem Zeitpunkt übermittelt wird, ist die Telefonnummer des Nutzers und die Häufigkeit der Nutzung von WhatsApp. Facebook verspricht sich mit Hilfe dieser Informationen personalisierte Werbung noch genauer auf seine Nutzer zuschneiden zu können und die Freundschaftsvorschläge besser anpassen zu können, umso das Netzwerk zu erweitern. Gegen diese AGBs konnten Nutzer über einen bestimmten Zeitraum hinweg Widerspruch einlegen. Die Telefonnummer wurde dennoch an Facebook zum Abgleich übermittelt.

Deutschland erteilt Facebook daraufhin ein Verbot. Die Erhebung solcher privater Daten wie die Nutzungsdauer und –häufigkeit sei mit dem deutschen Datenschutzrecht nicht vereinbar.

Dagegen zieht Facebook vor Gericht und verkündet bis zum Urteilsspruch sich an die Vorgaben der deutschen Datenschutzbehörde zu halten.

Wieso wehrt sich Facebook eigentlich?

Firmenpunkt GmbH

Der Datenschützer Johannes Caspar, der gegen die geänderten AGB's vorging tat das im Hinblick darauf, dass deutsche Daten zu Werbezwecken in Hamburg verarbeitet werden. Facebook verneint dies und erklärt, dass das europäische Geschäft aus dem Headquarter in Dublin heraus erledigt werden würde und somit unter irisches Datenschutzrecht fällt.

Im November stoppt WhatsApp die Weitergabe der Daten an Facebook europaweit um Datenschützern die Gelegenheit zu geben ihre Bedenken vorzutragen und darauf reagieren zu können.

Einverstanden oder nicht?

Doch womit erklären wir uns eigentlich bereits bei der Installation bzw. Nutzung von WhatsApp automatisch einverstanden? Aus vielen Punkten sind hier einige wichtige zusammengestellt:

  1. WhatsApp sucht in den lokal gespeicherten Kontakten in regelmäßigen Abständen nach anderen registrierten Nutzern.
  2. Jede Statuseingabe darf von WhatsApp zu geschäftlichen Zwecken genutzt werden. Der Konzern garantiert diesbezüglich keinerlei Vertraulichkeit.
  3. WhatsApp behält sich das Recht vor Nutzer aus jedem beliebigen Grund vom Dienst auszuschließen.
  4. WhatsApp schließt jegliche Haftung für gesendete Inhalte aus und darf nur von Personen über 16 Jahren genutzt werden.
  5. WhatsApp speichert auf seinen eigenen Servern die Telefonnummern der Kontakte eines Nutzers, nicht aber deren Namen.

Nicht nur letztes Jahr war WhatsApp Gesprächsthema. Auch im neuen Jahr, musste WhatsApp sich schon mit einem hartnäckigen Gerücht herum schlagen – das vermeintlich absichtliche Backdoor.

Nach der Einführung der Ende-zu-Ende-Verschlüsselung wiegten sich die meisten Nutzer in Sicherheit. WhatsApp garantiert sogar, dass nicht einmal sie selbst mehr den Inhalt der Nachrichten entschlüsseln könnten.

War dieses Versprechen eine Lüge?

Auf diese Frage folgt ein klares Jein! Theoretisch ist es möglich mit Hilfe eines sogenannten "man-in-the-middle"-Angriffs Nachrichten auszulesen. Aber nicht flächendeckend. Also weder WhatsApp noch Facebook lesen und speichern unsere Nachrichten.

Doch kommen wir zuerst dazu, wie die Ende-zu-Ende-Verschlüsselung eigentlich funktioniert.

Jeder Nutzer besitzt zwei Schlüssel. Einen privaten Schlüssel (private key) und einen öffentlichen Schlüssel (public key). Möchte nun ein Absender (A) eine Nachricht an seinen Bekannten (B) senden, fordert er zuerst von den WhatsApp-Servern den öffentlichen Schlüssel des B an. Mit Hilfe dessen wird die Nachricht noch vor Versandt verschlüsselt und so an den WhatsApp-Server geschickt. Ist der B gerade nicht online erreichbar, wird hier die Nachricht verschlüsselt abgelegt und erst dann weitergesendet, wenn B wieder erreichbar ist. Sollte B nach 30 Tage immer noch nicht online erreichbar gewesen sein, wird die Nachricht von A auf dem Server gelöscht und kann folglich nicht zugestellt werden.

Im Optimalfall hat B bei A seine korrekte Nummer hinterlassen und auch Zugang zum Internet, so dass seine Nachricht immer noch codiert an ihn zugestellt wird. Nun geht die auf seinem Smartphone installierte App hin und decodiert mit Hilfe des private Keys die Nachricht und kann sie so lesen.

Angreifbar wird das System erst, wenn es dem Man in the middle gelingt sich zwischen Server und Smartphone zu schalten und dort den Key, der zurück an das Smartphone gesendet wird mit dem eigenen zu vertauschen, so kann er die Nachrichten dekodieren, lesen und an den ursprünglichen Empfänger weiterleiten. Auffallen würde dies nur bei einem Abgleich der Sicherheitsnummer.

Die freiwillige Lösung

Firmenpunkt GmbH

WhatsApp bietet bereits in seiner neusten Version eine Lösung dazu an. Zwei Nutzer können ihren persönlichen Sicherheitscode per QR-Code scannen und überprüfen, ob dieser Code übereinstimmt. Tut er das, lauert keine Gefahr und der Chat ist optimal geschützt. Ist dies nicht der Fall oder ändert sich der Schlüssel, weil einer der beiden Nutzer WhatsApp erneut installiert hat (z.B. auf einem neuen Smartphone), wird im Optimalfall der Absender informiert, sobald er die nächste Nachricht an B schickt. Selbstverständlich nutzt WhatsApp zum Abgleich nicht die Original Schlüssel, sondern lediglich eine Verbildlichung derer, die von den Devices zu Kodierung der ausgehenden Nachrichten genutzt werden.

So lange allerdings dieser Sicherheitscode nicht unter dem Sender und Empfänger abgeglichen wird, hat der Nutzer keine Chance zu merken, wenn sich ein Angreifer dazwischen schaltet.

Somit ist das Abgleichen eine durchaus sinnvolle Möglichkeit zu überprüfen ob meine Nachrichten mitgelesen werden und sorgt für ein Kleinwenig mehr Sicherheit.

War das Backdoor nun Absicht oder nicht?

Die Entwickler dementieren jegliche Form von Absicht, die dahinter stecken könnte. Es sei eine designtechnische Entscheidung gewesen. Nicht jeder hat mal eben die Möglichkeit einen Sicherheitscode mit dem Chatpartner abzugleichen und möchte dennoch mit ihm kommunizieren. Deshalb hat WhatsApp diese Option auf freiwilliger Basis eingebaut.

Wir glauben WhatsApp jetzt einfach mal, dass keine böse Absicht hinter dem Sicherheitsloch in der Ende-zu-Ende-Verschlüsselung steckt, da keine massenhafte Nutzung der Lücke möglich ist. Selbstverständlich sind auch wir nicht erfreut darüber, dass unsere Nachrichten ausgelesen werden können und möchten nochmals betonen, dass auch über WhatsApp nach Möglichkeit keine sensiblen Daten verschickt werden sollten.

Ihre FIRMENPUNKT GmbH.