{"id":3887,"date":"2016-04-09T19:22:06","date_gmt":"2016-04-09T18:22:06","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=3887"},"modified":"2016-04-09T19:31:46","modified_gmt":"2016-04-09T18:31:46","slug":"whatsapp-verschluesselung-fuer-alle-wird-der-messenger-endlich-sicher","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/whatsapp-verschluesselung-fuer-alle-wird-der-messenger-endlich-sicher\/","title":{"rendered":"WhatsApp-Verschl\u00fcsselung f\u00fcr alle – Wird der Messenger endlich sicher?"},"content":{"rendered":"

Seit Mitte der Woche\u00a0besitzt der verbreitete Instant-Messenger WhatsApp eine wirksame End-zu-End-Verschl\u00fcsselung. Sicherheit wurde bei diesem Dienst bisher alles andere als gro\u00df geschrieben. Wir beantworten euch daher im folgenden die Frage: Wird WhatsApp dank der neuen Verschl\u00fcsselung nun endlich sicher? Au\u00dferdem zeigen wir auf, ob und wie der Messenger die Nachrichten seiner Nutzer in der Vergangenheit gesch\u00fctzt hat.\u00a0<\/strong><\/p>\n

Was ist End-zu-End-Verschl\u00fcsselung und warum brauchen wir sie?<\/strong><\/h3>\n

Verschl\u00fcsseln kann man Daten an verschiedenen Stellen. Beispielsweise verschl\u00fcsselt die WhatsApp-Alternative Telegram die Nachrichten der Nutzer standardm\u00e4\u00dfig auf Ihren Servern. Das\u00a0hat f\u00fcr die Sicherheit jedoch entscheidende Nachteile: Der Schl\u00fcssel wird auf den Servern des Betreibers erzeugt und gespeichert – somit kann er jederzeit die Daten entschl\u00fcsseln, ohne dass der Nutzer dies erlaubt geschweige denn erf\u00e4hrt. Dies k\u00f6nnte beispielsweise zu Werbezwecken geschehen, aber auch durch Geheimdienste wie NSA & Konsorten. Au\u00dferdem ist die \u00dcbertragung der Nachricht bis zum Server schlechter gesch\u00fctzt, sodass sie auf diesem Weg anf\u00e4lliger f\u00fcr unbefugtes Mitlesen und ggf. sogar Manipulation ist.<\/p>\n

End-zu-End-Verschl\u00fcsselung l\u00f6st diese Probleme, in dem die Nachricht bereits auf dem Smartphone des Absenders verschl\u00fcsselt wird. Die Entschl\u00fcsselung findet nicht auf den Servern des Anbieters statt, sondern erst am Ger\u00e4t des Empf\u00e4ngers der Nachricht. Daher kommt auch der Name: Am einen Ende wird verschl\u00fcsselt, und erst am anderen wieder entschl\u00fcsselt. Gro\u00dfer Vorteil: Weder die Betreiber (hier WhatsApp), noch Geheimdienste oder Kriminelle k\u00f6nnen die Nachricht unbefugt mitlesen oder gar manipulieren.<\/p>\n

WhatsApp war\u00a0bisher trotz Verschl\u00fcsselung unsicher<\/strong><\/h3>\n

Damit m\u00f6chte der Dienst anscheinend\u00a0sein Image als wohl unsicherster Messenger aufbessern: Sorgte WhatsApp bislang doch fast schon regelm\u00e4\u00dfig f\u00fcr negative Schlagzeilen durch unter anderem\u00a0Datenschutzverst\u00f6\u00dfe und mangelhafte Verschl\u00fcsselung. Auch die Sicherheit der Nutzer wurde nicht ernst genommen: Sicherheitsl\u00fccken behob der Betreiber erst Jahre nach Bekanntwerden<\/a> und gef\u00e4hrdete damit die Nutzer.<\/p>\n

Bis\u00a0Ende 2012 gab es in WhatsApp gar keine Verschl\u00fcsselung – die Nachrichten konnten mit wenig Fachwissen spielend einfach unbefugt gelesen und sogar manipuliert werden. Danach wurde zwar verschl\u00fcsselt, aber mit RC4 – Einer bereits damals seit Jahren als unsicher und geknackt geltenden Verschl\u00fcsselung, die keinen nennenswerten Schutz bot.<\/p>\n

Ende 2014\u00a0wurde endlich eine End-zu-End-Verschl\u00fcsselung eingebaut, die auf\u00a0der von Signal (ehemals TextSecure) basiert. TextSecure genie\u00dft unter Sicherheitsexperten einen ausgezeichneten Ruf und gilt als sicher – sozusagen der Mercedes unter den Messengern. Leider wurde die Verschl\u00fcsselung nur f\u00fcr Android-Ger\u00e4te eingef\u00fchrt. Nutzte der Chatpartner etwa ein Apple oder Windows-Ger\u00e4t, kam keine Verschl\u00fcsselung zum Einsatz. Ebenso wie bei \u00e4lteren Android-Smartphones.<\/p>\n

Am schlimmsten war jedoch die Tatsache, dass der Nutzer keine M\u00f6glichkeit hatte zu erkennen, ob die Verschl\u00fcsselung aktiv ist – oder eben aus oben genannten Gr\u00fcnden nicht. Au\u00dferdem konnte nicht gepr\u00fcft werden, ob Dritte die Verschl\u00fcsselung manipulieren. Damit wurde sie in der Praxis eben so unbrauchbar wie ein Airbag im Auto, von dem man vor einem Unfall nicht wei\u00df, ob er funktionsbereit ist.<\/p>\n

Neu: End-zu-End-Verschl\u00fcsselung f\u00fcr alle<\/strong><\/h3>\n

Seit dem k\u00fcrzlich durchgef\u00fchrten Update steht die Verschl\u00fcsselung nicht nur Android-Nutzern zur Verf\u00fcgung, sondern s\u00e4mtlichen unterst\u00fctzen Plattformen.\u00a0Bis auf wenige einzelne Kontakte die noch veraltete WhatsApp-Versionen einsetzen d\u00fcrften daher alle Chats gesch\u00fctzt sein. Zumal im Gegensatz zu fr\u00fcher nicht nur Dialoge sondern auch Gruppenchats und sogar Anrufe verschl\u00fcsselt werden.<\/p>\n

Au\u00dferdem wurde in der Gruppeninfo sowie auf den Profilseiten (Innerhalb einer Konvensation rechts oben\u00a0Kontakt anzeigen<\/em>\u00a0w\u00e4hlen)\u00a0der Nutzer eine Anzeige eingebaut. Sie gibt Auskunft, ob die Verschl\u00fcsselung aktiv\u00a0ist wie in diesem Beispiel:<\/p>\n

<\/p>\n

Ist die Verschl\u00fcsselung derzeit nicht aktiv, erscheint ein offenes Schloss mit entsprechendem Infotext:<\/p>\n

\"\"<\/p>\n

In diesem Fall nutzt der jeweilige Gegen\u00fcber wohl eine veraltete Version von WhatsApp, die den Schutz der Nachrichten nicht gew\u00e4hrleisten kann. Abhilfe schafft das Aktualisieren der App im jeweiligen AppStore der Plattform – etwa Google Play unter Android oder dem App Store von Apple.<\/p>\n

Ist mein Chatpartner wirklich der, f\u00fcr den ich ihn halte?\u00a0<\/strong><\/h3>\n

Es d\u00fcrfte keine neue Erkenntnis sein, dass Daten\u00fcbertragungen grunds\u00e4tzlich von dritten manipuliert werden k\u00f6nnen. Man spricht dann von einem sogenannten\u00a0Man-in-the-Middle-Angriff<\/strong>, oder kurz MITM-Angriff. Der Name ist dabei Programm: Die \u00dcbertragung von A (Ich) zu meinem Partner B (z.B. WhatsApp-Kontakt) l\u00e4uft \u00fcber eine dritte Partei C (Angreifer). Diese dritte Partei befindet sich zwischen A und B, wodurch diese s\u00e4mtliche Daten aussp\u00e4hen und\u00a0sogar manipulieren kann.<\/p>\n

End-zu-End-Verschl\u00fcsselung verhindert dies durch Schl\u00fcssel jeder Partei. Zu Beginn gibt es aber ein Problem: Woher wei\u00df ich, dass der empfangene Schl\u00fcssel auch wirklich zu meinem erwarteten Gespr\u00e4chspartner Max M\u00fcller geh\u00f6rt? Ein Angreifer k\u00f6nnte wie in obigem Szenario die Daten \u00fcber sich selbst umleiten – ich w\u00fcrde also den Schl\u00fcssel des Angreifers erhalten, und nicht von Max M\u00fcller.<\/p>\n

Um dies zu verhindern, zeigt WhatsApp den eigenen Schl\u00fcssel an bzw. l\u00e4sst diesen sogar \u00fcber einen QR-Code abscannen. Dadurch wird die Eingabe langer, kryptischer Schl\u00fcssel vermieden.\u00a0Zur Best\u00e4tigung sollte der erwartete Empf\u00e4nger daher am besten pers\u00f6nlich kontaktiert werden. So l\u00e4sst sich zu 100% sicherstellen, dass er wirklich am anderen Ende der Leitung sitzt. Im Falle eines MITM-Angriffes w\u00fcrde man an dieser Stelle Abweichungen feststellen, weil der Schl\u00fcssel des Angreifers angezeigt wird. <\/p>\n

An dieser Stelle sei auch auf die Sicherheits-Benachrichtigungen hingewiesen. Sie k\u00f6nnen in den Einstellungen unter\u00a0Account > Sicherheit<\/strong> aktiviert werden. Dadurch wird man informiert, wenn sich die Handynummer eines Kontaktes \u00e4ndert – beispielsweise durch einen Wechsel des Handyanbieters. In der Vergangenheit hat dies bereits \u00f6fter dazu gef\u00fchrt, dass Nachrichten an v\u00f6llig andere Personen geschickt wurden als beabsichtigt. Die Netzbetreiber vergeben Nummern n\u00e4mlich nach K\u00fcndigungen neu. Richtet sich der neue Kunde auch ein WhatsApp-Konto ein, ist die Gefahr von Irrl\u00e4ufern ohne entsprechende Benachrichtigung gro\u00df. <\/p>\n

<\/div>\n

Ist die\u00a0Verschl\u00fcsselung wirklich sicher?\u00a0<\/strong><\/h3>\n

Grunds\u00e4tzlich erf\u00fcllt WhatsApp nun weitestgehend alle Anforderungen, die man an eine sichere, verschl\u00fcsselte Kommunikation stellen muss: Sie ist sicher und bew\u00e4hrt (Von TextSecure\/Signal bereits erprobt), man sieht ob verschl\u00fcsselt wird, und die Manipulation der Schl\u00fcssel l\u00e4sst sich durch Abgleich mit dem Chatpartner pr\u00fcfen.<\/p>\n

Leider ist der Programmcode nicht offiziell einsehbar (Open Source). So k\u00f6nnen Verschl\u00fcsselungsexperten nicht pr\u00fcfen, ob beispielsweise Fehler die Verschl\u00fcsselung schw\u00e4chen oder gar Hintert\u00fcren f\u00fcr Geheimdienste eingebaut sind. Gerade bei Software aus den USA ist dies nicht unwahrscheinlich – die NSA hat bereits in der Vergangenheit Geld daf\u00fcr gezahlt, damit Firmen Ihre Verschl\u00fcsselung deutlich schw\u00e4cher und damit unsicherer machen.<\/p>\n

Heise hat sich an einem Test versucht<\/a>. Laut diesem scheint die Verschl\u00fcsselung tats\u00e4chlich wie versprochen umgesetzt zu sein. Allerdings wurde f\u00fcr die Analyse eine inoffizielle Library genutzt, die lediglich Teile von WhatsApp nachbildet.\u00a0Dies ist daher lediglich ein erster Indikator f\u00fcr die Qualit\u00e4t der Verschl\u00fcsselung, nicht weniger aber eben auch nicht mehr.<\/p>\n

Denn die Smartphone-App von WhatsApp k\u00f6nnte die Verschl\u00fcsselung auch unter bestimmten Umst\u00e4nden aussetzen, etwa f\u00fcr einzelne L\u00e4nder. Oder gar wenn definierte Schl\u00fcsselw\u00f6rter im Text enthalten sind. Denkbar w\u00e4re auch, die Verschl\u00fcsselung f\u00fcr einzelne Nutzer abzuschalten.\u00a0Die Funktion daf\u00fcr ist sogar bereits in WhatsApp eingebaut, damit Nachrichten auch an \u00e4ltere Ger\u00e4te geschickt werden k\u00f6nnen, die noch keine Verschl\u00fcsselung unterst\u00fctzen.<\/p>\n

Hier k\u00f6nnte der Dienst durch eine Anzeige in den jeweiligen Nachrichten entgegenwirken, die den Verschl\u00fcsselungsstatus anzeigt – \u00e4hnlich wie es andere Dienste (z.B. Signal) bereits umgesetzt haben.\u00a0W\u00fcnschenswert w\u00e4re zudem wenigstens ein Security-Audit. Hierbei gew\u00e4hrt WhatsApp Verschl\u00fcsselungsexperten Einsicht in ihren Programmcode. Er kann daher feststellen, ob beispielsweise Fehler vorhanden sind, welche die Sicherheit beeintr\u00e4chtigen. Und nat\u00fcrlich, ob die zur Entschl\u00fcsselung verwendeten privaten Keys tats\u00e4chlich auf dem Ger\u00e4t bleiben. W\u00fcrde WhatsApp diese serverseitig erstellen oder anderweitig auf die Server \u00fcbertragen, w\u00e4re der Mehrwert an Sicherheit dahin – Denn dann k\u00f6nnten die Daten von jedem Entschl\u00fcsselt werden, der auf diese Daten von WhatsApp aus Zugriff hat. <\/p>\n

Die Metadaten sind auch wichtig!\n<\/strong><\/h3>\n

Bisher haben wir uns lediglich auf die Verschl\u00fcsselung an sich konzentriert und die Metadaten v\u00f6llig au\u00dfer acht gelassen. Dabei handelt es sich um zus\u00e4tzliche Informationen zur Nachricht. Beispielsweise der Empf\u00e4nger sowie\u00a0Zeitpunkt, als sie versendet wurde. WhatsApp verschl\u00fcsselt lediglich den Inhalt einer Nachricht – S\u00e4mtliche Metadaten werden nach wie vor ohne weitere Schutzma\u00dfnahmen \u00fcbertragen.<\/p>\n

Aber die eigentliche Nachricht ist doch das wichtigste – oder? K\u00f6nnte man meinen,\u00a0Metadaten verraten aber weit mehr als man glaubt.\u00a0Teilweise reichen diese aus, um den Inhalt ermitteln zu k\u00f6nnen.\u00a0Man braucht nicht erst die Verschl\u00fcsselung von\u00a0Nachrichten\u00a0an die Anonymen Alkoholiker knacken um festzustellen, dass der Absender wahrscheinlich\u00a0Alkoholprobleme hat. Forscher der Universit\u00e4t Stanford belegten dies in einem Experiment<\/a>.<\/p>\n

Wie brisant Metadaten in Wirklichkeit sind, hat uns der ehemalige NSA- und CIA-Chef\u00a0Michael Hayden pers\u00f6nlich gezeigt:\u00a0„Wir t\u00f6ten auf Basis von Metadaten“ sagte er Mitte 2014<\/a>. Mit anderen Worten: Ein Mensch wird alleine aufgrund der Tatsache get\u00f6tet, weil er mit einer Zielperson – etwa einem mutma\u00dflichen Terroristen – Kontakt hatte. Ob es sich dabei tats\u00e4chlich um einen kriminellen Verb\u00fcndeten handelt – oder Smalltalk mit einem Bekannten, der nichts von den Machenschaften der Zielperson wei\u00df, wird v\u00f6llig au\u00dfer acht gelassen.<\/p>\n

Fazit: Guter erster Schritt, aber ausbauf\u00e4hig<\/strong><\/h3>\n

Zusammenfassend ist\u00a0die Richtung, in die sich WhatsApp aktuell bewegt, lobenswert: Die katastrophalen Zust\u00e4nde hinsichtlich der Sicherheit haben sich seit der \u00dcbernahme durch Facebook deutlich verbessert. Aus einer zun\u00e4chst lange Zeit nicht vorhandenen und sp\u00e4ter unsicheren Verschl\u00fcsselungen ist ein recht solider Schutz f\u00fcr die Nachrichten der Nutzer geworden, wenn man den bisherigen Erkenntnissen glauben mag. Die Gefahr von Hintert\u00fcren bleibt aktuell, da der Quellcode nicht offen ist und insbesondere die USA f\u00fcr solche Schritte rigoros bekannt ist.<\/p>\n

Immerhin bietet der Messenger nun ein Mindestma\u00df an Sicherheit, und ist daher zumindest einigerma\u00dfen Datenschutzkonform nutzbar. Wobei es nach wie vor Verbesserungspotenzial gibt.\u00a0Neben den hier bereits genannten Dingen kommen Klassiker wie die unn\u00f6tig weitreichenden Zugriffsrechte der App auf das Smartphone des Besitzers oder Datenschutzprobleme beim \u00dcbertragen des Adressbuches der Nutzer.\u00a0F\u00fcr Smalltalk und andere weniger wichtige Informationen kann man den Messenger nach dem aktuellen Stand daher durchaus als ausreichend betrachten, wenngleich auch ein etwas fader Beigeschmack bleibt. Wichtige Daten sollten nach wie vor \u00fcber gesondert gesch\u00fctzte Dienste\u00a0\u00fcbertragen werden, die s\u00e4mtliche Sicherheitskriterien erf\u00fcllen.<\/p>\n

Vergessen werden sollte auch nicht die Tatsache, dass WhatsApp mittlerweile kostenfrei ist. Und das dahintersteckende Unternehmen Facebook sein Geld mit dem Verkauf von Nutzerdaten verdient. Ob und in wie weit der Dienst daher \u00fcberhaupt ein Interesse hat, auch Metadaten zu sch\u00fctzen und sich damit dieses Gesch\u00e4ftsmodell selbst ausschlie\u00dft, ist fraglich. Es bleibt spannend zu beobachten, wie WhatsApp sich zuk\u00fcnftig entwickeln wird.<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit Mitte der Woche\u00a0besitzt der verbreitete Instant-Messenger WhatsApp eine wirksame End-zu-End-Verschl\u00fcsselung. Sicherheit wurde bei diesem Dienst bisher alles andere als gro\u00df geschrieben. Wir beantworten euch daher im folgenden die Frage: Wird WhatsApp dank der neuen Verschl\u00fcsselung nun endlich sicher? Au\u00dferdem zeigen wir auf, ob und wie der Messenger die Nachrichten seiner Nutzer in der Vergangenheit …<\/p>\n","protected":false},"author":5,"featured_media":3919,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,5],"tags":[454,456,455,438,453],"class_list":["post-3887","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-news","category-news","tag-end-zu-end-verschluesselung","tag-signal","tag-textsecure","tag-verschluesselung","tag-whatsapp"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/3887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=3887"}],"version-history":[{"count":41,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/3887\/revisions"}],"predecessor-version":[{"id":3929,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/3887\/revisions\/3929"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/3919"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=3887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=3887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=3887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}