Das WhatsApp Design gleicht eine gewisse Sicherheit für die Benutzerfreundlichkeit aus, eine Entscheidung, von der die meisten Benutzer wahrscheinlich keinen Einfluss haben. Aber Menschen, deren Bedrohungsmodelle sehr sichere Nachrichten erfordern, sollten den Kompromiss sorgfältig prüfen.
Was ist End-to-End-Verschlüsselung?
Ende-zu-Ende-Verschlüsselung (E2EE) stellt sicher, dass eine Konversation nur von Absender und Empfänger gelesen werden kann und nicht von einem Mittelsmann abgefangen wird. WhatsApp verwendet das anerkannte Signal-Verschlüsselungsprotokoll, das auf dem Austausch von eindeutigen Sicherheitsschlüsseln beruht, die zwischen Benutzern verifiziert werden, um zu garantieren, dass die Kommunikation nicht von einem Zwischenhändler abgefangen werden kann. Alles, was zwischen Benutzern mit E2EE gesagt wird, ist garantiert während des Transports privat, es sei denn, es gibt eine Schwachstelle bei der Implementierung dieser Verschlüsselung.
Was hat WhatsApp gemacht?
Das Signal-Verschlüsselungsprotokoll hat keine bekannten Schwächen, wenn es korrekt implementiert ist. Die Implementierung von WhatsApp generiert neue Verschlüsselungsschlüssel für Offline-Benutzer, die mit einem neuen Gerät wieder online sind. Nachrichten, die an sie weitergeleitet wurden, wenn sie offline waren, werden erneut verschlüsselt und automatisch an den Empfänger gesendet. Der Absender hat keine Möglichkeit, die Weiterleitung der Nachrichten zu stoppen, und er erfährt von der Schlüsseländerung nur dann, wenn der Absender die Benachrichtigung in seinen Einstellungen aktiviert hat.
Warum ist es so?
WhatsApp sagt, dass es diese Implementierung des Signalprotokolls verwendet hat, um die Benutzerfreundlichkeit zu verbessern. Wenn es nicht vorhanden ist, werden Nachrichten, die an einen Offline-Benutzer gesendet werden, der dann sein Smartphone wechselt oder WhatsApp neu installieren muss und dabei neue Sicherheitsschlüssel für sich selbst erstellt, nicht zugestellt, sobald der Benutzer wieder online ist. Ein WhatsApp-Sprecher sagte dem Guardian: "In vielen Teilen der Welt wechseln die Leute häufig Geräte und SIM-Karten. In diesen Situationen wollen wir sicherstellen, dass die Nachrichten der Leute zugestellt werden und nicht verloren gehen. "
Wie gefährlich ist das?
Beruhigend sagen Sicherheitsexperten, dass der Trade-off nicht für die Massenüberwachung von WhatsApp-Nutzern ausgenutzt werden kann - Einzelpersonen müssen gezielt angesprochen werden - und weil sie nur für Nachrichten genutzt werden können, die noch nicht als ausgeliefert markiert wurden. Zugriff auf Nachrichten, die als geliefert bestätigt wurden. Für Benutzer, die einen Dienst auswählen, der Ende-zu-Ende-Verschlüsselung bietet, um sicherzustellen, dass ihre Nachrichten sicher sind, haben einige Sicherheitsexperten davor gewarnt, dass der Kompromiss ein Risiko darstellen könnte.
Auf nicht zugestellte Nachrichten kann zugegriffen werden, auch in Situationen, in denen WhatsApp nicht involviert ist: Wenn beispielsweise ein Aktivist verhaftet wird, verhindert die App nicht, dass Nachrichten, die an den Aktivisten gesendet, aber noch nicht zugestellt wurden, von Karte in ein anderes Telefon. Selbst wenn beide Benutzer die stärksten Sicherheitseinstellungen von WhatsApp aktiviert hätten, würde der Absender nicht benachrichtigt werden, dass der Austausch stattgefunden hat, bis die Nachrichten erneut gesendet wurden. Die Grundprinzipien dieses Angriffs sind leicht nachzuweisen.
Der Konsens unter Experten ist, dass, wie WhatsApp derzeit verstanden wird - und sich daran erinnern, dass Facebooks Server eine Blackbox für Außenstehende sind, also Vertrauen erforderlich ist - eine systematische gezielte Überwachung sehr schwierig wäre. Herausforderungen wie Timing, Verstecken und Targeting wären sogar für einen großen privaten oder öffentlichen Akteur mit Zugang zu den Servern von Facebook gewaltig. Die Electronic Frontiers Foundation hat das Thema analysiert. Das Risiko für die Sicherheit von nicht zugestellten Nachrichten von Aktivisten, wenn zum Beispiel ihre Telefone beschlagnahmt wurden und eine Schlüsseländerung inszeniert wurde, wurde durch die Einführung der zweistufigen Verifizierung stark reduziert.
Was sind die Alternativen?
Es gibt mehrere Alternativen zu WhatsApp, die Verschlüsselung verwenden, um die Kommunikation gegen Abfangen zu sichern. Am meisten empfohlen für seinen Fokus auf Sicherheit ist Signal, das von Open Whisper Systems entwickelt wurde, der Namensgeber des Signal E2EE-Protokolls ist und von dem NSA Whistleblower Edward Snowden verwendet wird. Einige Sicherheitsexperten sagen jedoch, dass es weniger benutzerfreundlich als WhatsApp ist, und heben hervor, dass die Nutzung einen Benutzer als eine Person von Interesse für Behörden markieren könnte. Andere Messaging-Dienste wie Apples iMessage verfügen über eine Ende-zu-Ende-Verschlüsselung, implementieren aber keine Fingerabdrücke - so haben Benutzer keine Möglichkeit, Verschlüsselungsschlüssel selbst zu überprüfen. Facebook's Messenger und Googles Allo haben standardmäßig keine Ende-zu-Ende-Verschlüsselung, obwohl Formulare davon aktiviert werden können. Andere ältere Nachrichtenübertragungsmethoden wie SMS haben überhaupt keine Verschlüsselung.
Sollte ich aufhören, WhatsApp zu verwenden?
Es gibt keine einfache Antwort. Alle Entscheidungen rund um die Sicherheit beinhalten Kompromisse, insbesondere zwischen Usability und Vertraulichkeit. Für Personen, die sich wegen Massenüberwachung oder der Überwachung von Nachrichten zu Werbe- oder kommerziellen Zwecken Sorgen machen, ist die Sicherheitslücke in der WhatsApps-Implementierung möglicherweise nicht allzu bedenklich. Für Einzelpersonen, für die eine einzelne Nachricht sie in Gefahr bringen könnte, könnte die Sicherheitsanfälligkeit kritisch sein. Die EFF hat Vorbehalte gegen WhatsApp geäußert und die Benutzer gewarnt, "bei der Entscheidung, ob und wann sie mit WhatsApp kommunizieren sollen, besondere Vorsicht walten zu lassen".
Verantwortlich für den Inhalt dieser Seite ist ausschließlich der
Autor dieser Homepage, kontaktierbar über dieses Formular!