Finger weg von Whatsapp!

kioan / CC BY-NC-ND 2.0

kioan / CC BY-NC-ND 2.0

Eine Bekannte fragte mich heute, ob ich über Whatsapp erreichbar sei. Ich verneinte mit „Sorry… der Datenschutz…!“. Auf Nachfrage hätte ich gerne begründet, warum ich nicht bei dem beliebtesten Kurznachrichtendienst mitmache. Ja, warum ich sogar in Kauf nehme, in gewissen Freundes- und Bekanntenkreisen nicht mehr auf dem Laufenden zu sein.
Aber ich wollte nicht aufdränglich sein.

Richtig, ich habe mich unlängst auch positiv über Whatsapp geäußert. Das war, als Unternehmen bekannt gegeben hat, die Konversationen künftig verschlüsseln zu wollen. Doch von diesem Vorhaben ist drei Monate nach der Publikwerden nur ein Bruchteil erfüllt: Nur Konversationen zwischen Android-Besitzern werden verschlüsselt; wer mit Whatsapp auf Apple-Geräten kommuniziert, macht das in Klartext.

Die Webseite irights.info, die viele Hintergrundinformationen zu Daten- und Persönlichkeitsrechten und -schutz bereit hält, hat die Schwachstellen des Messengers in einem aktualisierten Artikel zusammen gefasst. Ich zitiere die Knackpunkte:

  1. Als Problem betrachten Kritiker weiterhin, dass der Dienst regelmäßig Adressbuchdaten an die Whatsapp-Server in den USA übermittelt.
  2. Fraglich bleibt bis heute, ob eine Sicherheitslücke in der Android-Version definitiv geschlossen wurde, die das Auslesen von Daten der App durch andere Android-Apps ermöglicht hatte. Zu den ungeklärten Fragen bei Whatsapp gehört auch der Wurm „Piryanka“. Er tarnte sich als Kontaktaufnahme bei Whatsapp, bahnte sich so den Weg auf Android-Geräte, wo er sich im Adressbuch einnistete und weiter verbreitete.
  3. Schon im Frühjahr 2013 wiesen niederländische und kanadische Datenschützer auf eine Lücke beim Anmeldeprozess hin: Sie machte es möglich, dass Dritte eine Whatsapp-Identität stehlen und missbrauchen können. Dass die Whatsapp-Macher weder direkt darauf reagierten noch eindeutige Sicherheitsupdates zur Verfügung stellten, befremdete viele Nutzer.
  4. Ende September 2014 fand Heise Online zudem eine weitere Schwachstelle, die den Online-Status verraten kann: „Um den Online-Status einer beliebigen Rufnummer abzurufen, muss man diese lediglich zu den Kontakten hinzufügen und ein Chat-Fenster öffnen. Der Besitzer der Rufnummer bekommt davon nichts mit und muss auch nichts bestätigen“.
    Einen Schritt weiter ging der niederländische Programmierer Maikel Zweerink. Er entwickelte das Programm „Whatsspy“, das er Anfang Februar 2015 vorstellte. Mit dem Werkzeug soll man den Online-Status von Whatsapp-Nutzern rund um die Uhr überwachen können.
  5. Auch der Zugriff auf das Telefonbuch des Nutzers durch Whatsapp ist nach wie vor Standard und lässt sich zumindest bei Android-Geräten nicht ohne weiteres verhindern. Immerhin können das die Nutzer der iOS-Version über eine eine Einstellung ihres Systems, müssen dann aber Funktionseinbußen in Kauf nehmen.
  6. Die US-amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) vergleicht in ihrem Projekt Secure Messaging Scorecard die Anbieter. Hier schneidet Whatsapp nur in 2 von 7 Kategorien gut ab.

Ein niederschmetterndes Fazit: Mangelnde Verschlüsselung, komplette Kontrolle der Whatsapp-Nutzungszeit durch potenziell jeden Kontakt im Handytelefonbuch, Kopieren des Adressbuchs auf US-Server, ungelöste Sicherheitsprobleme – und keine verlässliche Kooperation der Programmierer.

Anders gesagt: Keine Handy-App, kein soziales Netzwerk ist so unsicher und so gefährlich wie Whatsapp!

  • Die Geheimdienste, mit denen Whatsapp als US-Unternehmen kooperieren muss, lesen mit, wenn sie wollen. Solange die Nutzer nicht wissen, wonach ihr digitales Leben in Zukunft vielleicht einmal durchsucht wird, könnte die heute belangloses scheinende Kommunikation bald schon relevant sein.
  • Das Miteinbeziehen aller Handykontakte (1) in die Whatsapp-Community ist unverantwortlich und entmündigt datenschutzsensible Bürger.
  • Durch die Sicherheitslücken (3) besteht das große Risiko des Missbrauchs der eigenen Identität.
  • Durch die einsehbare Online-Nutzungszeit (4) besteht das Risiko des Stalkings und des Cybermobbings.

Meine Bitte an alle Eltern: Setzt euren Kindern nicht diesen Risiken aus. Es gibt andere Messenger, die sicher sind – vor allem Threema hat eine wachsende Popularität.

Wir können nicht entkommen.

Das Computermagazin spricht von dem „Größten Mobilfunkskandal aller Zeiten“ und hat damit vermutlich nicht Unrecht: NSA und GCHQ haben den weltgrößten Hersteller für Simkarten gehackt. Quelle ist die Internetseite „The Intercept„, wo regelmäßig Dokumente aus der Beute Edward Snowdens veröffentlicht werden.

Damit haben die Geheimdienste Zugriff auf die Verschlüsselung der Simkarte, die es z. B. dem Handy ermöglicht, mit dieser Simkarte zu telefonieren.
Der Chip-Artikel enthält Sganz gut, wie die Manipulation technisch funktioniert.

Was das bedeutet? Nicht mehr oder weniger, dass die Geheimdienste seit fünf Jahren (!) Vollzugriff auf die gesamte Kommunikation von Millionen von Handynutzern haben – ganze Gespräche, SMS, Internet und Whatsapp eingeschlossen – und zudem die Möglichkeit, das Handy per SMS zu orten oder zu manipulieren. Laut SpOn haben Vodafone und die Telekom Karten von der betroffenen Firma Gemalto im Einsatz und nichts spricht dafür, dass nicht auch andere Simkartenhersteller betroffen sind.

Ich hoffe, meine Leser verzeihen mir meinen wachsenden Fatalismus. Aber ich glaube auch nach Bekanntweden dieser Praxis nicht an einen #Aufschrei bei den Internetnutzern. Noch glaube ich daran, dass die Bundespolitik aus diesem Skandal ernste Konsequenzen zieht. Die Reaktionen werden zwischen „Das ist ja schlimm, aber ich habe ja nichts zu verbergen“ und „Das wird bei meinem nächsten Treffen mit Präsident Obama sicherlich zur Sprache kommen“ versanden.

Was kann ich als potentiell Betroffener tun? Eigentlich nichts. Es gibt kein #Prismbreak.
Am ehesten schützt (zumindest die Android-Nutzer) das Programm Snoop Snitch, das mir wenigstens mitteilt, wenn sich jemand per SMS an meinem Handy zu schaffen macht (vgl. ein anderer Blogeintrag). Weil ich darüber hinaus nicht erfahre, welche Informationen er abgreift, welche Dateien er auf mein Handy lädt oder von dort herunter lädt, hilft dann nur noch Tabula Rasa: Simkarte rausnehmen und Handy auf Werkseinstellungen zurücksetzen.
Ein bisschen wegen der verlorenen Daten wimmern.
Eine Möglichkeit finden mit der Ohnmacht umzugehen.
Und dann einen #Aufschrei wagen.