Zum Inhalt springen

Panorama Wie sicher ist WhatsApp?

Für den Sicherheitsexperten ist es eine Lücke, für WhatsApp lediglich eine Vereinfachung für Nutzer. Tatsächlich sind Verschlüsselungssysteme komplizierter, als selbst Fachleute meinen. Ein hohes Mass an Privatsphäre und Komfort schliessen sich deshalb aus.

WhatsApp Logo im Hintergrund, vorne eine Kette mit Schloss
Legende: Die WhatsApp Verschlüsselung gilt als ziemlich sicher. Reuters

Tobias Boelter, Kryptograph und Sicherheitsforscher an der University of California, hat WhatsApp-Besitzerin Facebook im April 2016 auf eine Sicherheitslücke aufmerksam gemacht. Weil der Konzern darauf nicht reagierte, wandte sich der Doktorand nun an die Öffentlichkeit.

Die Sicherheitslücke

Tobias Boelter beschrieb, Link öffnet in einem neuen Fenster, wie WhatsApp unter ganz bestimmten Bedingungen die Verschlüsselung von Chat-Nachrichten umgehen kann – theoretisch. Das funktioniert dann, wenn ich eine Nachricht verschicken will und der Empfänger

  • nicht erreichbar ist
  • und zuvor auch noch seinen WhatsApp-Client neu installiert hat.

Unter diesen Umständen schickt mir der WhatsApp-Server den neuen Schlüssel des Empfängers.

Und hier liegt das Problem: WhatsApp könnte mir nämlich statt des echten Schlüssels einen selber generierten unterjubeln. Ab dann könnten die Betreiber des Netzwerkes meine Nachrichten mitlesen (über einen sogenannten Man-in-The-Middle-Angriff, Link öffnet in einem neuen Fenster).

Feature nicht Fehler, Link öffnet in einem neuen Fenster

Die Verantwortlichen bei WhatsApp sehen diesen Prozess nicht als Sicherheitslücke, sondern als bewusst geplanten Ablauf. Da Nutzerinnen und Nutzer WhatsApp gelegentlich auf einem neuen Gerät installieren oder die SIM-Karte tauschen, werden immer wieder neue Schlüssel generiert. Würde WhatsApp dabei jedes Mal Alarm schlagen, würde das die meisten Nutzer überfordern, so die Begründung von WhatsApp.

Adrian Perrig, Professor für Informationssicherheit an der ETH Zürich, hat Verständnis für diese Argumentation: «Bei Sicherheitssystemen ist es sehr schwierig, herauszufinden, was man einem Benutzer noch zumuten kann.»

Der Informatiker spricht dabei aus eigener Erfahrung. Er hat selber während seiner Zeit an der renommierten Carnegie Mellon Universität das Chat-System , Link öffnet in einem neuen FensterSafeSlinger, Link öffnet in einem neuen Fenster entwickelt – und dabei die Komplexität erst einmal gewaltig unterschätzt: «Ich dachte, das ist so ein kleines Projektli, da haben wir nicht lange.» Tatsächlich verbrachte er dann Jahre damit. Die Problematik sei eben extrem komplex, so der Sicherheitsexperte.

Schwierige Schlüsselübergabe

Das Problem bei einer Chat-App ist nicht die Verschlüsselung der Nachrichten. Die Herausforderung besteht viel mehr darin, wie der Empfänger einer Message seinen Schlüssel sicher der Absenderin übergeben kann, ohne dass sie sich um etwas kümmern muss.

Für Adrian Perrig ein Ding der Unmöglichkeit: «Es ist wie die Suche nach dem Perpetuum Mobile. Ich kenne kein System, bei dem Nutzerinnen und Nutzer absolute Sicherheit bekommen, ohne dass sie etwas dazu beitragen müssen.»

Für WhatsApp Anwenderinnen, die den Schutz der Privatsphäre ernst nehmen, bedeutet das:

WhatsApp informiert nun, wenn sich bei einem Bekannten der Schlüssel geändert hat. Will man auf Nummer sicher gehen, so muss man die Person kontaktieren und dann die Schlüssel vergleichen, Link öffnet in einem neuen Fenster. Bei Sicherheit gilt eben: Ohne Schweiss kein Preis.

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen.

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren.

7 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Teilen Sie Ihre Meinung... anwählen um einen Kommentar zu schreiben

Wir haben Ihren Kommentar erhalten und werden ihn nach Prüfung freischalten.

Einen Kommentar schreiben

Bitte beachten Sie unsere Netiquette verfügbar sind noch 500 Zeichen

Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.