Wie WhatsApp am 05.04.2016 verkündete, wären nun alle Nachrichten, Bilder und Dateien, die über den Nachrichtendienst verschickt werden, auf dem kompletten Weg vom Absender bis zum Empfänger zu schützen.
Die End-to-End-Encryption (E2EE) oder zu deutsch Ende-zu-Ende-Verschlüsselung werde aktiv, wenn beide WhatsApp-Nutzer die neueste Version der App verwenden. Diese Verschlüsselungstechnik war bisher nur für Android-Nutzer verfügbar. Nach Aussagen des Unternehmens haben dadurch weder Dritte noch WhatsApp selbst Möglichkeiten die Nachrichten zu lesen.
Funktionsweise der E2E-Technik?
Einfach gesagt können bei einer End-to-End-Verschlüsselung nur Sender und Empfänger den Inhalt einer Datei entziffern, da lediglich sie die Informationen (Schlüssel) zum Entschlüsseln besitzen. Dritte, die einen Dateiverlauf „hacken“, sind prinzipiell nur in der Lage zu erkennen, wer mit wem kommuniziert. Einen Schlüssel zum Entschlüsseln des Inhalts aber müsste ein Überwacher errechnen. Heutige kryptografische Systeme sind so konzipiert, dass dies so gut wie unmöglich ist beziehungsweise sehr lange Zeit in Anspruch nehmen würde.
Wie ist zu erkennen, ob die Verschlüsselung aktiv ist?
Der Aufbau der verschlüsselten Verbindung und des notwendigen Schlüsselaustauschs erfolgt komplett im Hintergrund. Ob ein Chat verschlüsselt ist oder nicht, können Nutzer allerdings erkennen. WhatsApp weist in der Übergangsphase mit dem Text „Nachrichten, die Sie in diesem Chat senden, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.“ auf den Beginn von verschlüsselten Chats hin. Zudem zeigt ein Schloss-Symbol in den Einstellungen jedes Chats, ob dieser verschlüsselt ist oder nicht.
Letzteres kann passieren, wenn „die Person am anderen Ende“ noch eine ältere WhatsApp-Version verwendet. In Gruppenchats ist es bereits ausreichend, dass ein Mitglied über eine ältere („veraltete“) Version verfügt, damit die Ende-zu-Ende-Verschlüsselung für den gesamten Chat nicht möglich. WhatsApp-Nutzer werden daher auf diesem Wege dazu angehalten immer ein Update auf die aktuelle Version durchzuführen. Dies kann sich positiv, aber auch negativ für Nutzer auswirken.
Des Weiteren können WhatsApp-Nutzer bestätigen, ob sie wirklich mit dem gewünschten Gegenüber kommunizieren. Dazu haben beide einen sogenannten einmaligen Sicherheitscode, in der Form eines QR-Codes, der durch den Chatpartner gescannt werden kann. Alternativ existiert eine 60-stellige Nummer, die verglichen werden kann, sollte das Scannen des Codes nicht möglich sein. Das Bestätigen des Chatpartners soll den Nutzern zusätzliche Sicherheit, z. B. bei Diebstahl der SIM-Karte, geben. Passiert dies einem Chatpartner und ein Fremder verifiziert sich mit der Nummer in WhatsApp, so sind die alten Inhalte zum einen nicht ersichtlich, zum anderen kann man sich anzeigen lassen, ob sich die Sicherheitsnummer geändert hat.
Verschlüsselung nur eine Geste?
Das Programm das WhatsApp zur Verschlüsselung nutzt ist ein Open-Source-Tool, d. h. der Quellcode ist theoretisch für JEDEN offen lesbar und kann somit von externen Spezialisten auf versteckte Hintertüren überprüft werden.
Zum Schutz der WhatsApp-Nutzer vor Hackerangriffen verwendet das Open Source-Protokoll Forward Secrecy. Hierdurch werden kurzlebige Schlüssel zum Absichern jeder einzelnen Nachricht verwendet. Ein Überwacher, der WhatsApp-Nachrichten irgendwie mitschneidet, speichert und dann auch noch in den Besitz des Schlüssels eines Teilnehmers gelangt, soll damit weder alte Chats nachträglich, noch künftige Chats entschlüsseln können.
Trotz Verschlüsselung bleiben Datenschutzlücken
Kritische Stimmen bleiben. Hierbei geht es um die Natur des Programms selbst. Mit Installation des Programms wird der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht und diese werden unverschlüsselt an die WhatsApp-Server in Californien (USA) weitergegeben. Auch wenn niemand die Inhalte der Nachrichten einsehen kann, ist es möglich Nutzungsprofile zu erstellen und auszuwerten.
Weiterhin ist zu bemängeln, dass beim Nutzen zunächst die Handynummer unverschlüsselt an die Server übermittelt wird, während WhatsApp die Identität abrufen kann. Für eine Weitergabe der Daten wäre nach EU-Datenschutzrecht -streng genommen- die Zustimmung jedes Kontakts des jeweiligen Nutzers notwendig, ehe auch dessen Daten an WhatsApp weitergegeben werden. Das Problem besteht hier weniger bei angemeldete WhatsApp-Nutzern, sondern liegt vielmehr bei den Rufnummern (sog. personenbezogenes Datum) und damit verknüpft den dadurch identifizierbaren Personen, die WhatsApp NICHT NUTZEN (möchten).
Ebenfalls ließe sich argumentieren, dass nach der Abschaffung des Safe-Harbor-Abkommens für die Weitergabe der Daten in die USA eine Vorabgenehmigung der zuständigen nationalen Datenschutzbehörde nötig sei.
Die Alternative sind Messenger, die europäische Server mit schärferem Datenschutzrecht nutzen oder solche Messenger, die nicht auf Telefonnummern angewiesen sind.
