WhatsApp unter der Lupe: Hochmodern verschlüsselnder Messenger mit Datenschutzproblemen
Fulda – Von der NSA für die Hosentasche zu einem hochmodern verschlüsselnden Messenger: So würde Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP, WhatsApp heute bezeichnen: „Seit 2014 hat sich WhatsApp deutlich zum Positiven gewandelt. Mit Einführung einer belastbaren und plattformübergreifenden Ende-zu-Ende Verschlüsselung sämtlicher Inhalte inklusive Multimediadateien und Anrufe hat der Messenger einen riesigen Schritt in Richtung Privatsphäre getan.” Noch vor zwei Jahren zeigte sich Heutger entsetzt über den Messenger-Dienst, der mit RC4 einen schwachen Algorithmus und denselben Schlüssel, Initialisierungsvektor sowie HMAC-Schlüssel sowohl für ein- als auch ausgehende Nachrichten nutzte.
Das Fuldaer Unternehmen mit Schwerpunkt auf der IT-Sicherheit hat sich die Facebook-Tochter nun noch einmal genauer angesehen. Das Fazit: Neben der umfassenden Ende-zu-Ende-Verschlüsselung hat sich auch ergeben, dass die App nun für alle kostenfrei ist und dass eine Desktop-Version für Windows und Mac existiert. „Hier hat sich also einiges getan. Dennoch bleibt noch Luft nach oben, insbesondere, was Sicherheit und Datenschutz betrifft”, so Christian Heutger. Denn nach wie vor sammelt WhatsApps Server Metadaten. Ein reines WhatsApp-Problem ist dies freilich nicht, denn alle modernen und ansonsten sicheren Kommunikationsprodukte kennen dieses technisch schwer lösbare Problem. Deutlich schwergewichtiger wiegt für den Experten der nicht offen liegende Quellcode, so dass Nutzer nie ganz sicher sein können, ob der Anbieter ihnen nicht doch eine manipulierte App unterschiebt, die die Verschlüsselung untergräbt.
Dass obendrein eine zweite Sicherheitsfunktion, nämlich die Sicherheitsnummer, nicht per Default aktiviert ist und die Mobilfunknummern aus dem Adressbuch des Mobiltelefons auf US-Servern landen, ist dem Experten ein Dorn im Auge. Gravierend ist auch eine neu entdeckte Sicherheitslücke, nach der Datendiebe lediglich Zugang zum iPhone oder zu einem nicht verschlüsselten Backup benötigen, um Chatinhalte auszulesen. Übrigens: Noch immer stehen AGB und Datenschutzrichtlinien nur in englischer Sprache zur Verfügung und nach wie vor gibt WhatsApp kein Impressum auf der Site an.
Kritisch sieht Heutger auch etliche Zugriffsberechtigungen, die der Messenger-Dienst fordert: „Viele Berechtigung werden zwar benötigt, um die App vollumfänglich nutzen zu können. Dennoch sollten Anwender sich immer auch fragen, ob sie wirklich alle Zugriffe erlauben möchten. Die Berechtigung zum Nachrichtenempfang und -versand beispielsweise ist notwendig, damit die Mobilfunknummer verifiziert werden kann und sich der Nutzer mit seiner Nummer anmelden kann. Diese Berechtigung führt aber dahin, dass WhatsApp auch alle empfangenen SMS mitlesen könnte. Warum WhatsApp auch SMS versenden möchte, ist mir ein Rätsel.”
Ähnlich verhält es sich mit der Berechtigung auf Netzwerke & WLAN zuzugreifen. Diese ist zwar unabdingbar, um Internet nutzen zu können. Warum aber WhatsApp das WLAN ein- und ausschalten möchte, ist unklar. Auch erhöhen Berechtigungen rund um personenbezogene Daten wie Telefonnummern oder -status zwar den Komfort ungemein, sind aus datenschutzrechtlicher Sicht jedoch zweifelhaft. „Bei anderen Messengern mag es schwieriger sein, Kontakte hinzuzufügen, jedoch lassen diese die Kontakte des Nutzers in Ruhe”, gibt Christian Heutger zu bedenken. Auch nur in Teilen sinnvoll erachtet er die Berechtigung „Informationen zu Ihren Apps”: „Dass sich WhatsApp beim Start selbstständig ausführt, ist verständlich, um Nachrichten nicht erst beim Starten der App zu erhalten. Warum der Messenger jedoch aktuelle oder kürzlich ausgeführte Apps abrufen können möchte, ist mir schleierhaft. Sicher würde WhatsApp auch ohne die Berechtigung funktionieren, die es theoretisch erlaubt, mit Daten zum Nutzungsverhalten gekoppelt zu werden.”
Wer seine Daten ungern US-Servern mit Facebook im Hintergrund anvertraut, für den lohnt sich nach Einschätzung der PSW GROUP der Schweizer Messenger-Dienst Threema: „Threema hat sich weiter entwickelt und ist neben iOS und Android längst auch in einer Windows Phone-Version erhältlich. Optik und Bedienbarkeit lassen keine Wünsche offen und die saubere, klare Datenschutzerklärung des Schweizers darf gerne als Vorbild angesehen werden”, informiert Christian Heutger.
Zwar geht den Schweizer Entwicklern die Sicherheit und Privatsphäre seiner User vor, was sich zulasten eines Funktionsumfanges, wie man ihn beispielsweise beim Spaßmessenger WeChat kennt, auswirkt. Aber mit seinem Abstimmungstool und der Option, sämtliche Medien zu senden, hat Threema deutlich aufgeholt. „Wenn Threema beizeiten noch bei der Anruffunktion nachjustieren könnte, vielleicht mit einer gut abgesicherten Alternative ohne Verknüpfung von Threema-ID und Mobilfunknummer, würden sich sicher noch deutlich mehr Nutzer als bisher für den Messenger begeistern können”, schätzt Christian Heutger. Übrigens: Dem großen Kritikpunkt des nicht veröffentlichten Quellcodes ist Threema endlich durch ein externes Audit begegnet. Somit dürften die Gerüchte um etwaige Hintertüren oder Fehlimplementierungen nun ein Ende haben.
Quelle: PSW GROUP
Veröffentlicht von:
-
Despina Tagkalidou ist Mitglied in der MiNa-Redaktion und schreibt über Wirtschaftsverbände, Macher im Mittelstand, Produkte + Dienstleistungen, Digitale Wirtschaft und Familienunternehmer.
Mail: redaktion@mittelstand-nachrichten.de
Letzte Veröffentlichungen:
Karriere1. Juni 2018Unternehmensgespräch
Aktuelle Meldungen1. Juni 2018Deutsche sind begeisterte App-Nutzer
Karriere30. Mai 20183. Bremer Karrieretag am 31. Mai 2018
Aktuelle Meldungen30. Mai 2018Konjunkturklima: Abkühlung auf hohem Niveau
