Hmm... nicht ganz.
Zwar verspricht WhatsApp:
Doch wegen der Ende-zu-Ende-Verschlüsselung sollten sich die Nutzerinnen und Nutzer nicht in Sicherheit wiegen. Denn diese Sicherheit kann trügerisch sein, wie wir gleich sehen ...
Mit dem Warnhinweis zur Sicherheitsnummer, die geändert hat, lässt uns WhatsApp wissen, dass es eine neue Ende-zu-Ende-Verschlüsselung erstellt hat. Und zwar ohne zu fragen ...
Tatsächlich sind mehrere gute Gründe möglich. Wie zum Beispiel, dass jemand ein neues Smartphone in Betrieb genommen hat oder den Mobilfunk-Anbieter bzw. die SIM-Karte gewechselt hat. Das bedeutet allerdings auch, dass nun Dritte in der Lage sein könnten, verschlüsselte Chats mitzulesen.
Wie ist das möglich?
Damit Nachrichten, die die vorgesehenen Empfänger nicht sofort erreichen, später trotzdem sicher (=verschlüsselt) ausgeliefert werden, greift WhatsApp zu einem Kniff. Das System generiert – ohne den Absender zu fragen – einen neuen Schlüssel. Dies wiederum bedeutet, dass nicht mehr die gleichen verschlüsselten Verbindungen bestehen. Nun könnten im Prinzip Dritte (heimlich) mitlesen, falls sie im Besitz des neuen Schlüssels sind.
Dies könnte etwa der Fall sein, wenn WhatsApp durch einen Gerichtsbeschluss zur Herausgabe gezwungen wird ...
Wer auf Nummer sicher gehen will, sollte die Sicherheitsnummern der WhatsApp-Kontakte eigenhändig bestätigen. In diesem FAQ-Beitrag wird erklärt, wie man vorgehen kann:
Android-, iPhone- und Windows-User können die Teilen-Funktion verwenden, um die 60-stellige Sicherheitsnummer und den QR-Code per SMS, E-Mail oder auf anderem Weg zu senden.
Nachdem am Freitag der «Guardian» einen Sicherheitsexperten zu Wort kommen liess, der die Funktionsweise als unsicher, respektive «Hintertür», kritisierte, sah sich WhatsApp zu einer Richtigstellung veranlasst. Die Facebook-Tochter erklärte, es handle sich um eine notwendige «technische Lösung», damit Nutzer etwa beim Wechseln von Geräten oder Telefonnummern weiterhin miteinander kommunizieren könnten.
Auf die Frage, ob und wie häufig WhatsApp oder Facebook auf verschlüsselte User-Chats zugegriffen habe und ob dies auf Verlangen von staatlichen Stellen geschehen sei, antwortete ein Sprecher des Unternehmens ausweichend, und verwies auf den online verfügbaren «Bericht über Regierungsanfragen».
Die jüngsten Diskussionen rund um die Ende-zu-Ende-Verschlüsselung von WhatsApp bestätigen, dass es keine 100-prozentige Sicherheit gibt. Die Messenger-Betreiberin Facebook bemüht sich aber allem Anschein nach, den schwierigen Spagat zwischen Benutzerfreundlichkeit und Verschlüsselung zu meistern.
Die User haben die Wahl, ob sie entsprechende Kompromisse eingehen wollen, oder zur sicheren Alternative, nämlich der von Whistleblower Edward Snowden empfohlenen Signal-App greifen. Das von Open Whisper Systems entwickelte Verschlüsselungs-Tool bildet bekanntlich die Basis für WhatsApp.
Deutlich unbefriedigender sieht die Situation noch für Apples proprietären Chat-Dienst iMessage aus, der die Kommunikation zwischen iOS- und macOS-Geräten ermöglicht. Zwar gibt es wie bei WhatsApp eine idiotensichere Ende-zu-Ende-Verschlüsselung, in deren Genuss die User ohne weiteres Zutun kommen. Doch fehlt bei iMessage die Option, fremde Schlüssel zu authentifizieren. Man kommuniziert zwar verschlüsselt, kann aber im Gegensatz zu WhatsApp nicht herausfinden, ob die Verbindung wirklich abhörsicher ist.
"Sicherheitsnummer" ist Fakebook-Wirrsprach. Der korrekte Begriff wäre "Public Key" oder "Öffentlicher Schlüssel". Der notwendige Schlüssel-Austausch ist stets ein Schwachpunkt und bietet Angriffsfläche.
"Nun könnten Dritte mitlesen, (...), wenn WhatsApp durch einen Gerichtsbeschluss zur [Schlüssel-]Herausgabe gezwungen wird."
Ein Angreifer generiert die Schlüssel selbst und schiebt sich dazwischen. Statt End-to-End- kriegt man dann eine End-to-MITM-to-End-Verschlüsselung (MITM=Man in the middle=Angreifer). Ganz ohne Gerichtsbeschluss.