Digital

Bild: EPA/EPA

Verscherbeltes Phänomen

WhatsApp: Erfolgsgeschichte mit Sicherheitslücken

Hunderte Millionen Menschen schreiben sich per WhatsApp Privates, Belangloses und Geheimes. Experten warnen seit Jahren immer wieder vor gravierenden Sicherheitslücken und der Nutzung des Dienstes. Der Popularität der App tut das keinen Abbruch. 

20.02.14, 20:38

Ein Artikel von

Judith Horchert, spiegel Online

WhatsApp ist ein Phänomen, und zwar nicht erst, seit es für 19 Milliarden Dollar an Facebook verkauft wurde. In nicht einmal fünf Jahren hat sich der Messenger-Dienst parallel zur raschen Verbreitung der Smartphones zu einem Dienst für die Massen entwickelt: 450 Millionen Nutzer schicken sich hier gegenseitig Kurznachrichten - Grüsse, Kontaktdaten, Geheimnisse, Smileys, Liebesschwüre. Teure SMS wurden überflüssig. 

Nicht nur Sicherheitsexperten dürften darüber den Kopf schütteln. In den vergangenen Jahren geriet der Dienst schliesslich immer wieder durch gravierende Sicherheitslücken in die Schlagzeilen. 

Schon 2011 gab es grundsätzliche Kritik: Die Nachrichten würden unverschlüsselt zwischen den Nutzern hin- und hergeschickt. Angreifer konnten das ausnutzen und empfangene oder verschickte WhatsApp-Nachrichten mitlesen. Die Stiftung Warentest stufte die Anwendung im Mai 2012 als "kritisch" und "unsicher" ein. Nach der öffentlichen Schelte ging der Hersteller bald dazu über, die Texte zu verschlüsseln. 

Sicher wurde der Dienst dadurch allerdings nicht. Im September 2012 zum Beispiel warnten Sicherheitsexperten eindringlich vor der App, sie sei nur unzureichend geschützt. Die Benutzerkonten liessen sich mit einfachen Mitteln übernehmen. Angreifer brauchten dafür lediglich bei iOS-Geräten die entsprechende Mac-Adresse und bei Android-Handys deren Gerätenummer (IMEI). Ein einmal gekaperter Account liess sich nicht mehr retten. 

Experten raten: zurück zur SMS 

Zwar gelobten die WhatsApp-Macher Besserung und bemühten sich, die Fehler rasch zu beheben. Doch nur zwei Monate später, im November 2012, kam heraus, dass ein Account-Klau wieder möglich war und Angreifer ganz leicht Nachrichten im Namen anderer Nutzer senden und empfangen konnten. 

Bild: X02714

Schon damals rieten etwa die Experten von Heise Security von der Nutzung des Dienstes entschieden ab - wegen des Umgangs des Unternehmens mit Sicherheitslücken. Lieber solle man auf E-Mails und wieder auf die alte SMS ausweichen, da hier die Technik "hinreichend dokumentiert" sei und sich das Risiko für die Nutzer besser abschätzen liesse. 

Doch viele Nutzer dachten gar nicht daran. Vielleicht weil die Nachrichten selbst kostenlos sind. Vielleicht weil sie schlicht nicht interessiert, wer ihre Kommunikation womöglich mitlesen kann. Vielleicht weil sie der Meinung sind, gar nichts Interessantes von sich preiszugeben. Vielleicht aus Bequemlichkeit. Oder weil es irgendwie alle machen. 

Viele Nutzer, viele Opfer 

Jedenfalls setzte sich die Erfolgsgeschichte von WhatsApp fort, selbst dann, als der SMS-Ersatz schliesslich doch nach und nach kostenpflichtig wurde. Der Preis für ein Abo ist allerdings auch nach wie vor sehr moderat und jedem Bezahlmodell für einzelne Nachrichten klar überlegen. 

Im Januar 2013 kritisierten Datenschützer die Anwendung erneut vehement, weil sie die Nutzer zwinge, ihr ganzes Adressbuch zugänglich zu machen und es auf die WhatsApp-Server übertrage. Doch auch das tat dem Erfolg des Dienstes keinen Abbruch - die meisten Nutzer blieben, Millionen neue kamen dazu. 

Und wo viele Nutzer, da viele Opfer. So versuchen immer wieder Angreifer, WhatsApp-Nutzer zu überlisten, mit Methoden, die gar nichts mit Sicherheitslücken zu tun haben, sondern nur mit Masse. Im Juli 2013 etwa machte plötzlich der Name "Priyanka" die Runde, ein Kontakt, den man besser nicht als Kontakt beim Messenger-Dienst hinzufügte. Es handelte sich um einen nervigen Schädling, der Chaos im Adressbuch verursachte: Plötzlich hiessen alle Gruppen auch Priyanka, manchmal sogar alle Kontakte. 

Ernster war der Fall aus dem September 2013, als eine Todesdrohung sich wie ein Kettenbrief über den Dienst verbreitete: Eine Computerstimme forderte die Empfänger auf, die Datei innerhalb weniger Minuten an mindestens 20 Personen weiterzuleiten. "Wenn du es nicht weiterschickst, wirst du morgen nicht mehr leben", hiess es, auch Angehörige des Empfängers wurden mit dem Tode bedroht. Kinder und Jugendliche liessen sich von der Nachricht einschüchtern, die Polizei in Niedersachsen sprach eine Warnung aus. 

Bild: EPA/dpa

Ermittlungsergebnisse per WhatsApp ausgeplaudert 

Apropos Polizei: Auch von manchen Beamten wird der Dienst offenbar bedenkenlos genutzt. Mitte Februar kam heraus, dass Stockholmer Ermittler Einsatzdetails unverschlüsselt über das unsichere WhatsApp-Programm ausgetauscht haben. Versehentlich hatten die Polizisten eine wildfremde Person ihrer fragwürdigen Chat-Gruppe hinzugefügt - und die Schlamperei flog auf. Auch das hat nichts mit Sicherheitslücken zu tun, zeigt aber die Risiken derartiger Anwendungen. 

Und es gab in der Vergangenheit noch viel mehr Angriffe auf den beliebten Dienst: Sei es eine Attacke offenbar propalästinensischer Hacker im Oktober 2013 oder ein merkwürdiger Kettenbrief, der den Nutzern im Namen von WhatsApp versprach, zum vermeintlich zehnjährigen Bestehen des Dienstes ein kostenloses Jahr zu spendieren, wenn man die Nachricht denn weiterleite. Gut informierte Nutzer stutzten: WhatsApp gibt es noch gar nicht seit zehn Jahren, sondern erst seit 2009; auch Smartphones waren vor zehn Jahren noch nicht verbreitet. 

Doch so schlecht die Schlagzeilen über den Dienst auch sein mögen, die Nutzer halten ihm hartnäckig die Treue. Vermutlich wird auch der Verkauf an Facebook daran wenig ändern - auch wenn sich WhatsApp-Alternativen derzeit wachsender Beliebtheit erfreuen. 

Abonniere unseren NewsletterNewsletter-Abo
Themen
0
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

21 frustrierende Situationen, die nur Mathe-Versager verstehen

Nach dieser Diashow mit den besten Nerd-Witzen geht es sofort weiter mit Problemen, die nur Mathe-Versager verstehen.

Nach dieser Diashow mit den witzigsten Prüfungsantworten geht es sofort weiter.

Die Lösung der Rechenaufgabe aus der Quizsendung «Wer wird Millionär?»: (2 * 2) + (2/2) – 2 = 3

Artikel lesen