Es ist ein riesen Projekt und eine riesen Überraschung noch dazu: Der Messenger WhatsApp will die Nachrichten seiner Nutzer Ende-zu-Ende-verschlüsseln.
Der Inhalt im Überblick
Mangelnde Datensicherheit stand schon lange in der Kritik
Die Kritik an der mangelnden Datensicherheit bei WhatsApp hatte sich nach der Übernahme durch Facebook weiter verschärft. Wir berichteten im Februar über die Probleme beim Datenschutz. Noch vor zwei Wochen verglich die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) die Sicherheitsmaßnehmen verschiedener Messaging-Dienste, wobei WhatsApp erwartungsgemäß schlecht abschnitt. Die anhaltende Kritik bescherte der Konkurrenz regen Zulauf.
Der Coup: Zusammenarbeit mit Open Whisper Systems
Mit mehr als 600 Millionen aktiven Nutzern und mehr als einer Milliarde Nachrichten pro Tag ist WhatsApp immer noch der größte Chat-Dienst der Welt. Trotzdem versucht WhatsApp nun gegenzusteuern. Schon seit einem halben Jahr kooperiert man nämlich mit Open Whisper Systems, wie das Partnerunternehmen in einem Blog bekanntgab.
Es bietet mit „TextSecure“ ein Verfahren für den geschützten Nachrichtenaustausch an, darüber hinaus den gleichnamigen Messaging-Dienst, RedPhone für verschlüsselte Sprachnachrichten (Android) und die iOS Signal App, die Sprach- und Textnachrichten schützt. Der Messenger TextSecure erfüllt übrigens sämtliche Sicherheitsmerkmale, die die EEF ihrem Vergleich zu Grunde gelegt hatte.
End-zu-Ende-Verschlüsselung
Die jüngste Android-Version von WhatsApp nutzt das Protokoll von TextSecure, das eine Ende-zu-Ende-Verschlüsselung ermöglicht. Wenn beide Gesprächspartner dazu die aktuellste Version installiert haben, werden ihre Nachrichten auf dem kompletten Verkehrsweg zwischen Sender und Empfänger verschlüsselt. Bislang wurden sie das lediglich zwischen dem Sender und den WhatsApp-Servern. Dort angelangt, konnten die Inhalte eingesehen werden.
Wie der Guardian und die Zeit berichten, kommt unter anderem Perfect Forward Secrecy zum Einsatz, sodass für jede Nachricht ein neuer Schlüssel generiert wird. Eine Nachrichten bleibt sogar verschlüsselt, wenn einer der Schlüssel entwendet wird oder die Nachrichten zeitversetzt verschickt werden. Etwa, wenn der Empfänger gerade offline ist und die Nachrichten zwischengespeichert werden müssen.
Auf dem richtigen Weg
Allerdings funktioniert die Verschlüsselung bisher nur für persönliche Nachrichten, nicht für Gruppen-Chats oder Fotos und Videos. Man arbeite an diesen Funktionen ebenso wie an der Verschlüsselung von WhatsApp-Nachrichten auf iPhones, heißt es bei Open Whisper Systems.
Ob die Nachrichten damit auch dem Zugriff der NSA entzogen sind, bleibt zweifelhaft. Doch WhatsApp hat nach einem überraschenden Kurswechsel auf jeden Fall den richtigen Weg eingeschlagen.
@Dr. Datenschutz
Viele Leute, auch Sie Dr. Datenschutz, machen den Fehler, als Bedrohung allzu oft die NSA heranzuziehen. In ein ordentliches Bedrohungsmodell gehören vor allem einige andere Akteure. Klassische Kriminelle, kommerzielle Unternehmen und Datensammler, rechtsstaatsfeindliche „normale“ (Polizei-)Behörden – all diese Akteure sind auf der Jagd nach unseren Daten. Wenn unser Sicherheitsniveau gegen alle außer der NSA ausreichen würde, wäre schon viel gewonnen. Am Endes des Tages geht es um Risikoreduzierung, nicht um Risikoausschluss.
Bitte verstehen Sie „NSA“ als Synonym für die gesamte staatliche Überwachung des Internets in der westlichen Welt. Beteiligt sind selbstverständlich nicht nur Nachrichtendienste der USA.
Ein ebenso großes Problem ist natürlich die Überwachung durch private Unternehmen wie Facebook. Mit der Ende-zu Ende-Verschlüsselung ist insofern ein Fortschritt verbunden, als WhatApp/Facebook die Nachrichten bei der Übermittlung nicht mehr mitlesen kann. Auch wenn die Methode nicht absolut sicher ist, sind per WhatsApp verschickte Nachrichten zumindest besser davor geschützt, von Dritten (auch mit krimineller Energie), abgefangen zu werden.