Jan Koum, einer der Gründer von WhatsApp, sog die Angst vor dem Abhören schon mit der Muttermilch auf. Er wuchs in den 80er-Jahren in einem kleinen ukrainischen Dorf ausserhalb Kiews auf und erlebte dort, wie seine Eltern wenn immer möglich das Telefon mieden, aus Angst, abgehört zu werden. Nun hat seine Firma WhatsApp bekannt gegeben, dass die neuste Version der beliebten Nachrichten-App für Android-Geräte alle Text-Nachrichten in einer Weise verschlüsselt, die es angeblich selbst WhatsApp unmöglich macht, diese zu dechiffrieren und zu lesen.
Die Stärke: Schlüsselbund statt General-Schlüssel
Die Verschlüsselungs-Technologie basiert auf der Software TextSecure der Firma Whisper Systems. Das besondere daran: Für jede Nachricht berechnen Sender und Empfänger gemeinsam einen neuen Schlüssel nach dem «Diffie-Hellman-Verfahren» . Andere Lösungen wie etwa «PGP» verwenden für alle Nachrichten den selben Schlüssel (Public Key). Der Nachteil: Gelingt es einem Gegner, in den Besitz dieses General-Schlüssels zu kommen, so kann er alle Nachrichten einer Quelle lesen.
Ein weiterer Vorteil: Alle Text-Nachrichten bleiben auf dem Smartphone, Konkurrenten wie Apple (iMessage) oder Google (Mail) speichern Kopien auf ihren Servern. Bei Apple kommt hinzu, dass die Nutzer, die ein Backup ihrer Text-Nachrichten in der iCloud ablegen, eine unverschlüsselte Kopie der Text-Nachricht sichern.
Die Schwächen: Black Box, Schutz der Privatsphäre
Von der neuen Verschlüsselung könnten hunderte Millionen von WhatsApp-Nutzern auf der ganzen Welt profitieren, meint Moxie Marlinspike, der Gründer von «Whisper System». Es handle sich wohl um die grösste Verschlüsselungs-Aktion der Geschichte, so der Programmierer und Tausendsassa stolz. Aber noch lange nicht alle WhatsApp Nutzer profitieren jetzt schon: Die neue Verschlüsselung bleibt zur Zeit auf den Austausch von Text-Nachrichten zwischen zwei Android-Geräten beschränkt, Nachrichten von und nach iOS-Geräten, Gruppen-Chats und Bilder werden noch nicht nach der neuen Methode verschlüsselt.
Eine weitere Schwäche: WhatsApp legt die Programmierung nicht offen, niemand kann deshalb sicher sein, ob in der App nicht doch eine Hintertür mit Zugang zu den unverschlüsselten Nachrichten eingebaut ist. Diese Frage stellt sich insbesondere, weil durch den Patriot Act jedes amerikanische Internet-Unternehmen verpflichtet ist, den Behörden bei Bedarf Zugang zu Kunden-Daten zu gewähren. Mit hoher Wahrscheinlichkeit haben die amerikanischen Behörden also immer noch Zugang zu den Daten. Hackern hingegen sei dies nicht mehr so einfach möglich, meint Marlinspike, der die Lösung für WhatsApp entwickelt hat. Peter Heinzmann, Professor für Computer-Netze und Informationssicherheit an der Hochschule Rapperswil, sieht es nicht so rosig: «Es zirkulieren bereits Mails, die darauf hinweisen, dass eine App auf dem Smartphone verschlüsselte Textnachrichten abgreifen kann», so der Spezialist. Der Trick: Die App wartet, bis der Nutzer benachrichtigt wird, dass eine neue Message eingetroffen ist und kopiert dann den Text aus der Benachrichtigung.
Kritisiert wird auch der mangelnde Schutz der Privatsphäre. Der Schweizer Anbieter der Nachrichten-App «Threema» , durch die verbesserte Verschlüsselung der grossen Konkurrenz unter Druck geraten, weist in einer Pressemitteilung auf eine weitere Schwäche hin: WhatsApp-Nutzer sind nicht anonym, sie müssen sich mit der Handy-Nummer registrieren. Das erleichtere das Sammeln von Meta-Daten. Genau daran, wer mit wem kommuniziert, sind die Geheimdienste interessiert. Auch Heinzmann, findet, dass die Privatsphäre bei der Software von «Whisper System » nicht ausreichend geschützt wird. Er hat deren Gratis-App «TextSecure» installiert und gesehen, dass zur Generierung der Schlüssel Telefonnummern verwendet werden. Und nicht nur das: «Wenn man sieht, welche Berechtigungen diese App bei der Installation verlangt, dann wird einem grau!» meint der Sicherheitsspezialist. Für ihn ist der Schutz der Privatsphäre mindestens so wichtig wie die Verschlüsselung der Inhalte und er bezweifelt, dass die Lösung von «Whisper System» diesen Schutz genügend gewährleistet.