15

Chat-Verschlüsselung Wie sicher ist WhatsApp?

Der zu Facebook gehörende Messengerdienst WhatsApp wirbt damit, dass über ihn geführte Chats so sicher verschlüsselt sind, dass nicht einmal WhatsApp selbst mitlesen könne. Ein deutscher Informatik-Doktorand bezweifelt das. Er hat eine Schwachstelle gefunden.

Stand: 14.01.2017

Icon auf Telefon | Bild: picture-alliance/dpa Ritchie B. Tongo

Ist es eine Sicherheitslücke, die der Informatiker Tobias Boelter in WhatsApp entdeckt hat oder ist es ein Feature, wie WhatsApp selbst das Ganze nennt? Für Boelter ist klar: "Whatsapp hat mit dieser Sicherheitslücke, die ich entdeckt habe, die Möglichkeit, bestimmte Gespräche zwischen Nutzern quasi anzuzapfen."

Der Haken mit dem Haken

Es geht darum, wie WhatsApp mit Nachrichten umgeht, die zwar verschickt wurden, aber noch nicht zugestellt werden konnten. Zum Beispiel, weil der Empfänger inzwischen das Handy oder die Sim-Karte gewechselt hat. Wer schon mal über WhatsApp gechattet hat, kennt das Ganze. Verschickt man eine Nachricht, setzt WhatsApp dahinter einen Haken. Das heißt: die Nachricht ging raus.

Aber erst, wenn der Empfänger sie gelesen hat, kommt noch ein zweiter Haken hinzu. Dazu braucht es einen sogenannten Schlüssel, eine Art eindeutigen Ausweis, der sicherstellt: Ja, das ist der, für den die Nachricht gedacht war. Nur dann kann die Nachricht entschlüsselt und gelesen werden. Bleibt die Nachricht aber stecken, schickt WhatsApp sie später aber erneut - auch wenn der Empfänger inzwischen einen neuen Schlüssel hat, also sozusagen seinen Ausweis erneuert hat. Und da sieht Boelter das Problem.

"Das könnte auch missbraucht werden vom WhatsApp-Server. Der WhatsApp-Server könnte ganz ohne Grund einen neuen Schlüssel unterjubeln. Und zwar nicht den vom Empfänger, sondern den von WhatsApp selbst. Und dann hätten Sie alle Ihre Nachrichten, die noch im Transit waren, mit einem neuen Schlüssel entschlüsselt an einen Empfänger, an den Sie die Nachricht gar nicht senden wollten."

Tobias Boelter, IT-Doktorand

Die Mutterfirma Facebook reagiert nicht

Es geht also um Nachrichten, die - wie Boelter sagt - im Transit sind, das heißt, die noch nicht zugestellt wurden. Boelter hat keine Hinweise darauf, dass WhatsApp auf den Inhalt älterer Nachrichten Zugriff hat.

Und es gebe auch keine Belege dafür, dass WhatsApp die Lücke schon einmal ausgenutzt und einem Geheimdienst oder einer Regierung Zugriff auf bestimmte Nachrichten verschafft hat.

"WhatsApp gibt Regierungen keine Hintertür zu seinen Systemen und würde gegen jede Forderung jeder Regierung kämpfen, eine Hintertür zu schaffen."

Ein Sprecher von WhatsApp

Boelter macht gerade seinen Doktor an der Uni Berkely in Kalifornien. Schon im vergangenen April hat er seine Erkenntnisse in einem Blogeintrag veröffentlicht und auch Facebook kontaktiert, die Mutterfirma von WhatsApp.

"Ich habe mir damals gedacht: Gut, du hast jetzt einen Fehler gefunden, meldest du den mal an Facebook, die werden den schon beheben. Aber Facebook hat bis jetzt diese Schwachstelle nicht behoben. Und so stellen sich Fragen."

Tobias Boelter, IT-Doktorand

Es geht auch sicherer

Dem britischen "Guardian" hat WhatsApp erklärt, dass in vielen Teilen der Welt die Leute häufig ihre Geräte und Sim-Karten wechseln. Und man wolle sicherstellen, dass die Nachrichten ausgeliefert werden und nicht unterwegs verloren gehen.

Dass es auch anders und nach Boelters Einschätzung sicherer geht, zeigen andere Messenger, etwa der Dienst Signal, den auch schon Edward Snowden empfohlen hat.

"Der Signal-Messenger sendet diese Nachricht gar nicht ein zweites Mal raus. Sondern er zeigt einfach an: Nachricht konnte nicht übermittelt werden. Und dann gibt es einen neuen Security Key, also einen Hinweis darauf, dass die Identität des Empfängers nicht mehr sicher ist. Dann die Frage: Möchten Sie die Nachricht erneut senden?"

Tobias Boelter, IT-Doktorand

Wir hätten gern von WhatsApp gewusst, warum sie Boelters Vorschlag nicht aufgreifen. Doch auf unsere Interviewanfrage hat die Firma nicht geantwortet. Im Dezember hat der Verschlüsselungsexperte seine Entdeckung dann noch mal beim C3 Kongress in Hamburg vorgestellt. Und nun hat der britische "Guardian" darüber berichtet. Das Medieninteresse ist seitdem groß. Seit vier Uhr früh am Freitag prasseln die Journalistenanfragen auf Boelter ein. Allerdings:

"WhatsApp selbst hat sich nicht gemeldet, nein."

Tobias Boelter, IT-Doktorand


15