Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Wer über WhatsApp kommuniziert, sollte die Stärken und Schwächen kennen.  bild: watson

Analyse

Das am meisten unterschätzte Sicherheits-Feature von WhatsApp

Der iPhone-Hersteller und die Facebook-Tochter werben mit der Ende-zu-Ende-Verschlüsselung ihrer Messenger-Apps. Doch es gibt einen gewichtigen Unterschied.



Kennst du solche System-Hinweise, die WhatsApp in Chats einblendet?

Bild

Falls nicht, solltest du unbedingt die folgende Sicherheits-Option aktivieren. Sie verbirgt sich in den App-Einstellungen (unter > Account > Sicherheit).

Bild

screenshot: watson

Wenn ich das mache, ist alles in bester Ordnung?

Hmm... nicht ganz.

Zwar verspricht WhatsApp:

«Wenn deine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe Ende-zu-Ende verschlüsselt sind, sind sie davor geschützt, in die falschen Hände zu fallen.»

quelle: whatsapp-website

Doch wegen der Ende-zu-Ende-Verschlüsselung sollten sich die Nutzerinnen und Nutzer nicht in Sicherheit wiegen. Denn diese Sicherheit kann trügerisch sein, wie wir gleich sehen ...

Was heisst das eigentlich, wenn die Sicherheitsnummer geändert wurde?

Bild

Mit dem Warnhinweis zur Sicherheitsnummer, die geändert hat, lässt uns WhatsApp wissen, dass es eine neue Ende-zu-Ende-Verschlüsselung erstellt hat. Und zwar ohne zu fragen ...

Wenn man «mehr Infos» will, heisst es ...

Bild

Tatsächlich sind mehrere gute Gründe möglich. Wie zum Beispiel, dass jemand ein neues Smartphone in Betrieb genommen hat oder den Mobilfunk-Anbieter bzw. die SIM-Karte gewechselt hat. Das bedeutet allerdings auch, dass nun Dritte in der Lage sein könnten, verschlüsselte Chats mitzulesen.

Wie ist das möglich?

Damit Nachrichten, die die vorgesehenen Empfänger nicht sofort erreichen, später trotzdem sicher (=verschlüsselt) ausgeliefert werden, greift WhatsApp zu einem Kniff. Das System generiert – ohne den Absender zu fragen – einen neuen Schlüssel. Dies wiederum bedeutet, dass nicht mehr die gleichen verschlüsselten Verbindungen bestehen. Nun könnten im Prinzip Dritte (heimlich) mitlesen, falls sie im Besitz des neuen Schlüssels sind.

Dies könnte etwa der Fall sein, wenn WhatsApp durch einen Gerichtsbeschluss zur Herausgabe gezwungen wird ...

Was soll ich tun?

Wer auf Nummer sicher gehen will, sollte die Sicherheitsnummern der WhatsApp-Kontakte eigenhändig bestätigen. In diesem FAQ-Beitrag wird erklärt, wie man vorgehen kann:

Bild

Android-, iPhone- und Windows-User können die Teilen-Funktion verwenden, um die 60-stellige Sicherheitsnummer und den QR-Code per SMS, E-Mail oder auf anderem Weg zu senden.

Nachdem am Freitag der «Guardian» einen Sicherheitsexperten zu Wort kommen liess, der die Funktionsweise als unsicher, respektive «Hintertür», kritisierte, sah sich WhatsApp zu einer Richtigstellung veranlasst. Die Facebook-Tochter erklärte, es handle sich um eine notwendige «technische Lösung», damit Nutzer etwa beim Wechseln von Geräten oder Telefonnummern weiterhin miteinander kommunizieren könnten.

«WhatsApp gibt Regierungen keine ‹Hintertür› zu seinen Systemen und würde gegen jede Forderung jeder Regierung kämpfen, eine Hintertür zu schaffen.»

WhatsApp-Sprecher quelle: business insider

Auf die Frage, ob und wie häufig WhatsApp oder Facebook auf verschlüsselte User-Chats zugegriffen habe und ob dies auf Verlangen von staatlichen Stellen geschehen sei, antwortete ein Sprecher des Unternehmens ausweichend, und verwies auf den online verfügbaren «Bericht über Regierungsanfragen»

Sicherer als WhatsApp ist Signal

Die jüngsten Diskussionen rund um die Ende-zu-Ende-Verschlüsselung von WhatsApp bestätigen, dass es keine 100-prozentige Sicherheit gibt. Die Messenger-Betreiberin Facebook bemüht sich aber allem Anschein nach, den schwierigen Spagat zwischen Benutzerfreundlichkeit und Verschlüsselung zu meistern.

Die User haben die Wahl, ob sie entsprechende Kompromisse eingehen wollen, oder zur sicheren Alternative, nämlich der von Whistleblower Edward Snowden empfohlenen Signal-App greifen. Das von Open Whisper Systems entwickelte Verschlüsselungs-Tool bildet bekanntlich die Basis für WhatsApp.

Und Apples iMessage?

Deutlich unbefriedigender sieht die Situation noch für Apples proprietären Chat-Dienst iMessage aus, der die Kommunikation zwischen iOS- und macOS-Geräten ermöglicht. Zwar gibt es wie bei WhatsApp eine idiotensichere Ende-zu-Ende-Verschlüsselung, in deren Genuss die User ohne weiteres Zutun kommen. Doch fehlt bei iMessage die Option, fremde Schlüssel zu authentifizieren. Man kommuniziert zwar verschlüsselt, kann aber im Gegensatz zu WhatsApp nicht herausfinden, ob die Verbindung wirklich abhörsicher ist.

Threema – der sichere Smartphone-Messenger aus der Schweiz 

Das könnte dich auch interessieren:

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel

Biden, Warren oder Sanders? Das Rennen der Demokraten wird zum Dreikampf

Link zum Artikel

Jack Ma tritt als Alibabas Vorsitzender offiziell zurück, aber ...

Link zum Artikel

Das sind die 50 besten Spieler in «FIFA 20» – Piemonte Calcio zweimal in den Top 15

Link zum Artikel

12 neue Serien, auf die du dich im Herbst freuen kannst

Link zum Artikel

In China sind gerade 100 Millionen Schweine gestorben – das musst du wissen

Link zum Artikel

Hat Bill Gates ein schmutziges Geheimnis?

Link zum Artikel

In Jerusalem verschwinden hunderte Katzen auf mysteriöse Weise – was ist bloss los?

Link zum Artikel

«... dann laufen sie hier 3 Tage besoffen mit geklauten Stadion-Dingen rum»

Link zum Artikel

Mit 16 der jüngste Torschütze in Barças Klub-Geschichte – 8 Fakten zu Ansu Fati

Link zum Artikel

Boris Johnson verliert wegen eines Überläufers die Mehrheit und ist jetzt in argen Nöten

Link zum Artikel

Erneut wüste Szenen bei Protesten in Hongkong

Link zum Artikel

Xherdan Shaqiris Alleingang ist ein fatales Zeichen

Link zum Artikel

Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen

Link zum Artikel

«Diese Wahlen widerlegen eine oft genannte These über die AfD»

Link zum Artikel

Wawrinka über Djokovic: «Dass er den Platz so verlassen muss, ist natürlich nicht schön»

Link zum Artikel

«Soll ich die offene Beziehung mit dem 10 Jahre Älteren beenden?»

Link zum Artikel

Messi darf Barça ablösefrei verlassen +++ Pa Modou wieder beim FC Zürich

Link zum Artikel

Kim Tschopp zeigt den grossen Unterschied zwischen Realität und Instagram

Link zum Artikel

Wie viel Schweizer Parteien auf Facebook ausgeben – und warum wir das wissen

Link zum Artikel

Der Roadie, der mich Backstage liebte (und mir biz Haare ausriss)

Link zum Artikel

Für Huawei kommts knüppeldick – neue Handys müssen auf Google-Apps verzichten, sagt Google

Link zum Artikel

Die Hockey-WM lehnt den «Eisenbahn-Deal» ab – und das ist schlicht lächerlich

Link zum Artikel

Netflix bringt 10 Filme in die Kinos – und die hören sich grossartig an

Link zum Artikel

Verrückt, aber wahr – Stuckis Sieg, der keiner war

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

28
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
28Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Natürlich 17.01.2017 17:27
    Highlight Highlight Ich verstehe ganz ehrlich nicht was die Ganze Panikmache soll.
    Kann mir das jemand genauer erläutern?
    Otto Normalverbraucher kann es doch sowas von scheissegal sein ob da irgendein Geheimdienst "mitliest" oder etwa nicht?
    Wenn das via Algorithmus gemacht wird ist das ja nur zu unserer aller Sicherheit. (Nur hätten doch dann Terrorattentate verhindert werden können?🤔)
    Wie gesagt, ich habe keine Ahnung von der Materie.
    Ich habe 2 Jahre lang ziemlich intensiv auf Kleinstbasis gedealt (ca 1kg pro Woche) das meiste über whattsapp und passiert ist nie etwas...
    daher verstehe ich das Problem nicht
  • tux_ping 16.01.2017 23:03
    Highlight Highlight Danke, endlich mal ein nicht reisserischer Artikel zum Thema. War ja schlimm, was man in den letzten Tagen von wegen "Backdoor in WhatsApp", etc... gelesen hat.
    Fragwürdig am Vorgehen von WhatsApp ist grundsätzlich nur, dass die Option standardmässig deaktiviert ist und dass beim Key Change die Nachrichtenübertragung nicht eine zusätzliche Bestätigung erfordert (wie es bspw. Signal, das (per PKE-Design) die gleichen Probleme hat, löst). Aber aus Usability-Gründen (seien wir ehrlich, was könnte der durchschnittliche Nutzer mit solchen Meldungen anfangen?) kann ich diese Entscheidung verstehen.
  • Turist 16.01.2017 22:40
    Highlight Highlight Wünsche allen viel Spass beim mitlesen meiner Chats. Ist für unbeteiligte sowieso belanglos...
  • MrJS 16.01.2017 22:30
    Highlight Highlight Hmm gab es vor Jahren nicht einmal die Meldung, das FBI könne iMessage nicht knacken und möchte gegen Apple klagen, oder was dies nur ein Marketing-Gag?
    • DEUSMAXIMUS 17.01.2017 09:38
      Highlight Highlight War das nicht das iphone ansich das die nicht knacken konnten?
    • Армин (Armin) 17.01.2017 11:15
      Highlight Highlight Ich dachte auch dass sie das ganze Iphone nicht knaken konnten.
  • The Destiny // Team Telegram 16.01.2017 20:40
    Highlight Highlight @Watson:
    Und wie steht es um Telegramm ?
    • http://bit.ly/2mQDTjX 16.01.2017 21:18
      Highlight Highlight Bei Telegram ist die benötigte Sicherheitseinstellung bereits voreingestellt. Das Risiko beim Schlüsselaustausch besteht aber genauso.
    • The Destiny // Team Telegram 16.01.2017 22:22
      Highlight Highlight Sry ich bin gerade etwas schwer von begriff, welches Risiko meinst du genau?

      Das sich jemand zwieschenschaltet und versucht den Diffie-Helsing schlüssel zu manipulieren.

      Oder

      Der user der das ganze bedient.
    • http://bit.ly/2mQDTjX 17.01.2017 00:35
      Highlight Highlight Der unwissende/naive User ist vermutlich das grösste Risiko. Daher warnt auch das FBI/DHS vorallem vor Spearphishing.

      Das Diffie-Hellman-Ding erweitert die Sicherheit um Forward-Secrecy.

      https://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch

      Aber Diffie-Hellman funktioniert nur, wenn vorher öffentliche Schlüssel ausgetauscht wurden. Beim Schlüssel-Tausch besteht die Gefahr, dass jemand dazwischen die Schlüssel abfängt und mit anderen/eigenen Schlüsseln ersetzt. Firewalls tun das meist standardmässig, damit sie die Inhalte unverschlüsselt auf Ungeziefer untersuchen können.
  • LeChef 16.01.2017 20:37
    Highlight Highlight Wer soll denn die Chats überhaupt mitlesen? Denkt ihr ernsthaft, die NSA hat nichts Besseres zu tun, als eure WhatsApp-Unterhaltungen zu verfolgen?
    • Maett 16.01.2017 21:46
      Highlight Highlight @LeChef: Sie glauben, dass das ein grosser Aufwand ist, Nachrichten automatisiert zu scannen, zu indexieren, das soziale Netz der teilnehmenden Benutzer zu verstehen und langfristig zu speichern?

      Ich mag es nicht besonders zu wissen, dass es technisch gut möglich ist, auch in 200 Jahren noch nachzuvollziehen, was ich heute überlegt oder unüberlegt von mir gegeben habe.
    • Ovolover 16.01.2017 21:51
      Highlight Highlight Denkst du, da hocken Leute am Bildschirm und lesen mit? Bei big data wird alles gesammelt, alles. Einige "falsche" Stichwörter und du bist durch Algorithmen markiert.
    • _kokolorix 16.01.2017 23:12
      Highlight Highlight Das tut ein Computergrid für die NSA. Wenn dein Account dort auffällt, z. B. weil du das Wort Kalaschnikow benutzt und dann ein Anschlag in der Nähe deines Wohnortes passiert, könntest du zum Ziel eines Drohnenangriffs werden😀
    Weitere Antworten anzeigen
  • Wehrli 16.01.2017 20:34
    Highlight Highlight Flirt über Messenger, Koks über Whatsapp und Terrorvorbereitung über Threema. Etwa so?
    • http://bit.ly/2mQDTjX 16.01.2017 21:16
      Highlight Highlight Bei Flirts ist's wohl egal, solange du ohne Nacktselfies auskommst. Bei Koks und Terrorvorbereitungen würde ich dir allerdings sowohl von Whatsapp wie auch von Threema dringendst abraten.
    • Wehrli 16.01.2017 21:29
      Highlight Highlight Bei Koks heisst es: "in der Bibliothek hatte ich heute zwei Bücher bestellt, kannst Du die vorbeibringen?"
      Bei Terror: "Der Adlerhorst keimt im Marshmallow. Hütet den Elch, Jesaia, Fers 12:17."
      Und beim Flirt:"
    • BananaJoe 16.01.2017 21:58
      Highlight Highlight also ist threema auch nicht "sicher"?
      dachte das sei eine sichere app, bin jedoch leider kein Spezialist😅
    Weitere Antworten anzeigen
  • http://bit.ly/2mQDTjX 16.01.2017 20:30
    Highlight Highlight Es gibt bei diesem Artikel technische Unschönheiten:

    "Sicherheitsnummer" ist Fakebook-Wirrsprach. Der korrekte Begriff wäre "Public Key" oder "Öffentlicher Schlüssel". Der notwendige Schlüssel-Austausch ist stets ein Schwachpunkt und bietet Angriffsfläche.

    "Nun könnten Dritte mitlesen, (...), wenn WhatsApp durch einen Gerichtsbeschluss zur [Schlüssel-]Herausgabe gezwungen wird."

    Ein Angreifer generiert die Schlüssel selbst und schiebt sich dazwischen. Statt End-to-End- kriegt man dann eine End-to-MITM-to-End-Verschlüsselung (MITM=Man in the middle=Angreifer). Ganz ohne Gerichtsbeschluss.
  • Lukas B 16.01.2017 20:29
    Highlight Highlight Als Alternative zu Signal gäbe es auch noch Wire!
    • Miikee 17.01.2017 06:52
      Highlight Highlight Wire, Signal, Threema, Telegram wir brauchen nicht mehr alternativen sondern das die Benutzer bereit sind auch mal vom gewohnten zu wechseln.
      Wenn nicht für die eigene Sicherheit zumindest für die von ihren Chatpartnern. Bei mir sieht Telegram ganz gut aus, fast alle wichtigen Kontakte haben zu diesem Messenger gewechselt.
  • Tux0ne 16.01.2017 20:25
    Highlight Highlight Man kann auch innerhalb Whatsapp zusätzlich den Inhalt PGP verschlüsseln oder gleich einen eigenen xmpp Server mit OMEMO verwenden. Zumindest für die Familie. Ob das aber jemand nervös macht, weiss ich nicht.

Lauschangriff auf Donald Trumps Handy – ausgerechnet Israel soll ihn bespitzelt haben

Rund ums Weisse Haus in Washington D.C. wurden IMSI-Catcher gefunden ...

Das US-Magazin Politico hat am Donnerstag mit einem Exklusivbericht für Aufregung gesorgt. Die US-Regierung sei zum Schluss gekommen, dass höchstwahrscheinlich Israel hinter einem Lauschangriff auf Donald Trump stecke.

Es seien Mobiltelefon-Überwachungsgeräte gefunden worden, in der Nähe des Weissen Hauses und anderer sensibler Orte um Washington, D.C. Dies hätten drei Quellen, frühere hochrangige US-Beamte mit Insider-Informationen bestätigt. Der Lauschangriff sei in den letzten zwei …

Artikel lesen
Link zum Artikel