<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

19.11.14Leser-Kommentare

Wegweisender Schritt: Was die neue WhatsApp-Verschlüsselung bedeutet

Die gestern verkündete Einführung einer Ende-zu-Ende-Verschlüsselung bei WhatsApp ist ein Meilenstein. Der unerwartete Vorstoß hat einige wichtige Implikationen.

Es ist eine große Überraschung: WhatsApp liefert in seiner neuesten Android-Version eine eingebaute, ab Werk aktivierte Ende-zu-Ende-Verschlüsselung mit. Der zu Facebook gehörende Chat-Dienst nutzt dazu die Open-Source-Technologie von Open Whisper Systems. Laut Golem gilt diese als “besonders sicher”. In letzter Zeit gab es zwar einen gewissen Trend hin zu Messaging-Apps für Smartphones, bei denen durch die Integration einer Ende-zu-Ende-Verschlüsselung nur Absender und Empfänger auf eine Nachricht Zugriff haben - nicht Dienstebetreiber oder Dritte. Allerdings weigerten sich die viele hundert Millionen Anwender bei sich versammelnden Marktführer in dem Bereich bisher, entsprechende Features zu aktivieren. Umso bemerkenswerter ist, dass der mit über 600 Millionen aktiven Usern weltweit erfolgreichste Messenger, WhatsApp, nun einen derartigen Schritt wagt.

Im Folgenden beleuchten wir einige der Implikationen und Facetten des Vorstoßes:

1. WhatsApp beerdigt die Möglichkeit der Auswertung von Chat-Inhalten

Seit der Akquisition von WhatsApp haben sowohl CEO Jan Koum als auch Facebook-Chef Mark Zuckerberg mehrfach betont, dass WhatsApp auf die Monetarisierung der Nutzerdaten verzichten wird. Mit der Einführung von Ende-zu-Ende-Verschlüsselung liefert das Unternehmen den Beweis. Denn die Firma nimmt sich damit die technische Möglichkeit, die Nachrichten seiner Nutzer zu analysieren, auf deren Basis Interessenprofile zu erstellen und diese Informationen zu vermarkten. Zwar würden sich auch schon aus Profil- und Meta-Daten gewisse Erkenntnisse ziehen lassen. Wirklich ergiebig sind aber die Konversationen selbst. WhatsApp wird von dieser Möglichkeit nun keinen Gebrauch machen können.

2. Erhöhte Datensicherheit für 600 Millionen Nutzer - ohne Aufwand

Bisher litten nahezu alle Techniken, um sich als Nutzer der globalen Internetüberwachung zu entziehen, unter hoher Komplexität und für Durchschnittsanwender komplizierten Einrichtungs- und Verwaltungsprozessen. Auch im Anbetracht der Tatsache, dass Smartphone-Chats immer mehr zur bevorzugten Form der textbasierten Online-Kommunikation aufsteigen, kommen jetzt auf einen Schlag hunderte Millionen User in den Genuss erhöhter Daten- und Abhörsicherheit - ohne dass sie dazu einen Finger bewegen müssen.

3. Ende-zu-Ende-Verschlüsselung ist nur ein Aspekt von vielen

Die Ende-zu-Ende-Verschlüsselung stellt nur einen Aspekt einer bewussten, die eigene Privatsphäre vor neugierigen Blicken schützenden Onlinenutzung dar. Bislang stand WhatsApp nicht gerade für hohe Sicherheits-Standards. Das wird sich nicht schlagartig verändern. Martin Blatter, Mitgründer des im deutschsprachigen Raum recht bekannten Schweizer Krypto-Messengers Threema, betont die Bedeutung einer ganzheitlichen Lösung zum Schutz der Privatsphäre. Er bewertet die Neuerung bei WhatsApp zwar als grundsätzlich positiv, sieht aber weiterhin eine Reihe von Versäumnissen, wie etwa die zwangsweise Bindung des WhatsApp-Kontos an eine Handynummer, die Übertragung von Meta-Daten und Kontaktbuch-Informationen auf US-Server sowie Mängel beim Umgang mit lokal gespeicherten Daten. Seiner Ansicht nach wird WhatsApp den Ansprüchen von in Sachen Datenschutz sensiblen Anwendern weiterhin nicht gerecht.

4. Problemfall iOS

Vorläufig wird die Ende-zu-Ende-Verschlüsselung nur für die Android-Version von WhatsApp angeboten. Kurzfristig ließ sich von dem Dienst dazu keine Stellungnahme beziehen. Es ist aber wahrscheinlich, dass Unterschiede bei der Handhabung von Push-Mitteilungen bei Android und iOS die kalifornische Firma dazu bewog, die Neuerung zuerst für Android zu entwickeln. Wie uns Simon Braun, Geschäftsführer des deutschen Krypto-Messengers skunkit erläuterte, liegt das Poblem bei iOS darin, dass Push-Nachrichten mit einer Vorschau des Textes von der App online an Apple geschickt und von dort auf das Gerät übertragen werden. Bei einer aktivierten Ende-zu-Ende-Verschlüsselung jedoch funktioniert dies nicht, da zum Entschlüssen die jeweilige App vom Nutzer geöffnet werden müsste. Deshalb informieren die meisten besonders sicheren Chat-Apps für das iPhone per Push lediglich über das Eintreffen der Nachricht, nicht aber über den Inhalt.

Seit iOS 7 existiert zwar mit der Option “Silent Push” ein Workaround, bei dem die App unbemerkt im Hintergrund geöffnet, der Chat-Text entschlüsselt und anschließend als lokale Benachrichtigung per Push dargestellt wird. Allerdings existieren diverse Einschränkungen und potenzielle Problemfaktoren, die den Einsatz für Messenger ungeeignet machen. Es bleibt also abzuwarten, ob WhatsApp diesen Kompromiss in Kauf nimmt, auf eine Verbesserung seitens Apple hofft oder die Ende-zu-Ende-Verschlüsselung für das iPhone als Opt-In-Feature präsentiert. Dann würde es Nutzern die Wahl lassen, ob sie für erhöhte Sicherheit auf Komfort verzichten wollen oder nicht.

5. Signalwirkung - und wie wird WeChat reagieren?

Vorausgesetzt, die Implementierung der Ende-zu-Ende-Verschlüsselung bei Android wird angenommen und führt nicht zu unvorhergesehenen Nebenwirkungen, so wird der Vorstoß des dominierenden Chatdienstes eine Signalwirkung haben und andere größere Anbieter zum Nachahmen animieren. Der erwähnte Verschlüsselungsstandard würde sich von einem wünschenswerten Gimmick in eine Standardanforderung verwandeln. Besonders spannend sind die Reaktionen zweier Anbieter: Facebook mit seinem eigenen Messenger, und WeChat. Letztgenannter Dienst hat seinen Sitz in China. Die Heimat in einem Markt mit exzessiver Internetzensur verbietet eigentlich die Einführung einer Ende-zu-Ende-Verschlüsselung. WhatsApp könnte sich gegenüber dem expansiven chinesischen Konkurrenten, der ähnlich viele Anwender aufweist, auf geniale, weil schwer imitierbare Weise einen Wettbewerbsvorteil verschafft haben. /mw

Kommentare

  • Klischeepunk

    19.11.14 (09:36:59)

    Wie genau kommst du zu deiner 1. Schlußfolgerung? Ende-zu-Ende Verschlüsselung heisst noch lange nicht, dass keine Kopies vom Key existieren, erstellt oder geshared werden, das dürfte sich erst noch zeigen müssen. Ich halte die Option zwar durchaus auch für unwahrscheinlich, aber es reicht ja wenn beim Keytausch die Informationen auf einem FB Server mitabgelegt werden, Privates dort erstellt werden, Passwörter automatisch generiert statt vom Nutzer vergeben werden... Kurz: Wir haben viele Optionen die genutzt werden können das Verfahren zu kompromittieren. Hoffen wir das keine Genutzt wird, aber mit endgültiger Sicherheit 1. zu behaupten erschließt sich mir aus den angegebenen Quellen nicht.

  • Martin Weigert

    19.11.14 (11:26:12)

    Nach meinem Verständnis heißt Ends-zu-Ende-Verschlüsselung bei sauberer Implementierierung, dass die Keys nur lokal gespeichert werden, dem Serverbetreiber nicht bekannt sind, und dass die Sicherheits-Community genau darauf schaut, dass sämtliche erforderlichen Maßnahmen getroffen werden, um das versprochene Sicherheitslevel einzuhalten. Es ergibt überhaupt keinen Sinn für WhatsApp, End-to-End-Encryption anzubieten, dann aber dessen Kernmerkmal zu unterlaufen - und dabei auch noch zu glauben, nicht aufzufliegen. Zumal hier ja auch Open Whisper Systems eine Reputation zu verlieren hat.

  • Berni

    19.11.14 (11:58:40)

    "Mit endgültiger Sicherheit" ist nichts auf diesem Planeten. WhatsApp bräuchte auch den Schlüssel nicht weiter geben sondern könnte, weil closed source und closed distribution alles mögliche mit den Gesprächs in halten machen. Twittern z.B.. ;) Manche dieser Möglichkeiten lassen sich besser, andere schlechter aufspüren. Da das hier (Gott sei Dank *g) kein reverse engineering Blog ist, sollten wir uns auf die Analyse der Wirkung der kommunizierten Features beschränken, die da sind: Ende der Auswertbarkeit.

  • frank

    19.11.14 (15:00:03)

    Problemfall iOS: Eine Push kann eine App wecken, diese kann dann die Nachricht entschlüsseln und eben den Text als Push anzeigen. Wobei ja der Textinhalt nicht dargestellt werden muss, es würde ja auch Absender ID/Name reichen. Je nachdem, was der Nutzer will. Blöde Ausrede.

  • Martin Weigert

    19.11.14 (19:04:35)

    Bedenkt man, wie wettbewerbsintensiv der Markt ist, und dass das fehlende Darstellen des Inhalts der Push-Mitteilung für Nutzer der verschlüsselten Messenger ein Usability-Nachteil ist, kann man mit Sicherheit davon ausgehen, dass der Entschluss nicht auf Ignoranz oder Faulheit basiert, sondern tatsächlich bewusst getroffen wurde, weil die alternative Lösung für die Beteiligten schlechter wäre als die jetzige.

  • Norbert

    19.11.14 (19:54:45)

    Da die Verschlüsselung nur für Android-Nutzer angeboten wird, aber ca. 30% der Nutzer ein iPhone besitzten, ist die Sicherheit sehr fraglich: weiß meine Android-App, ob der Empfänger der Nachricht ein Android oder ein iOS-System ist? Wird die Nachricht eventuell zweimal (einmal verschlüsselt für einen potentiellen Android-Empfänger und einmal unverschlüsselt für einen potentiellen iOS-Empfänger) übertragen. Wenn nein, dann werden immer noch ca. 30% der Nachrichten unverschlüsselt übertragen. Das ist doch keine Sicherheit.

  • Dr. Azrael Tod

    22.11.14 (16:42:54)

    bei Verschlüsselung gibt es nur wirksame und unwirksame, keinen Zwischenweg. Unwirksame Verschlüsselung ist kontraproduktiv, da sie Nutzer in nicht vorhandene Sicherheit wiegt. Keiner kann nachsehen ob WhatsApp jemals sicher ist (siehe Schlüsselkopien), also ist davon auszugehen dass es das nicht ist. WhatsApp kann Schlüssel serverseitig speichern (und wird dies sicher auch tun, um mehrere Clients eines Nutzers zu synchronisieren), in späteren Versionen nachträglich lokal gespeicherte Logs hochladen oder noch einfacher unwirksamen blödsinn statt Verschlüsselung einbauen. Wir wissen es halt nicht. Alles was bleibt ist das heischen nach Aufmerksamkeit und nicht-haltbare Versprechen. Hier von Fortschritt oder gar Sicherheit zu reden ist albern.

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer