Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Wer über WhatsApp kommuniziert, sollte die Stärken und Schwächen kennen.  bild: watson

Analyse

Das am meisten unterschätzte Sicherheits-Feature von WhatsApp

Der iPhone-Hersteller und die Facebook-Tochter werben mit der Ende-zu-Ende-Verschlüsselung ihrer Messenger-Apps. Doch es gibt einen gewichtigen Unterschied.



Kennst du solche System-Hinweise, die WhatsApp in Chats einblendet?

Bild

Falls nicht, solltest du unbedingt die folgende Sicherheits-Option aktivieren. Sie verbirgt sich in den App-Einstellungen (unter > Account > Sicherheit).

Bild

screenshot: watson

Wenn ich das mache, ist alles in bester Ordnung?

Hmm... nicht ganz.

Zwar verspricht WhatsApp:

«Wenn deine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe Ende-zu-Ende verschlüsselt sind, sind sie davor geschützt, in die falschen Hände zu fallen.»

quelle: whatsapp-website

Doch wegen der Ende-zu-Ende-Verschlüsselung sollten sich die Nutzerinnen und Nutzer nicht in Sicherheit wiegen. Denn diese Sicherheit kann trügerisch sein, wie wir gleich sehen ...

Was heisst das eigentlich, wenn die Sicherheitsnummer geändert wurde?

Bild

Mit dem Warnhinweis zur Sicherheitsnummer, die geändert hat, lässt uns WhatsApp wissen, dass es eine neue Ende-zu-Ende-Verschlüsselung erstellt hat. Und zwar ohne zu fragen ...

Wenn man «mehr Infos» will, heisst es ...

Bild

Tatsächlich sind mehrere gute Gründe möglich. Wie zum Beispiel, dass jemand ein neues Smartphone in Betrieb genommen hat oder den Mobilfunk-Anbieter bzw. die SIM-Karte gewechselt hat. Das bedeutet allerdings auch, dass nun Dritte in der Lage sein könnten, verschlüsselte Chats mitzulesen.

Wie ist das möglich?

Damit Nachrichten, die die vorgesehenen Empfänger nicht sofort erreichen, später trotzdem sicher (=verschlüsselt) ausgeliefert werden, greift WhatsApp zu einem Kniff. Das System generiert – ohne den Absender zu fragen – einen neuen Schlüssel. Dies wiederum bedeutet, dass nicht mehr die gleichen verschlüsselten Verbindungen bestehen. Nun könnten im Prinzip Dritte (heimlich) mitlesen, falls sie im Besitz des neuen Schlüssels sind.

Dies könnte etwa der Fall sein, wenn WhatsApp durch einen Gerichtsbeschluss zur Herausgabe gezwungen wird ...

Was soll ich tun?

Wer auf Nummer sicher gehen will, sollte die Sicherheitsnummern der WhatsApp-Kontakte eigenhändig bestätigen. In diesem FAQ-Beitrag wird erklärt, wie man vorgehen kann:

Bild

Android-, iPhone- und Windows-User können die Teilen-Funktion verwenden, um die 60-stellige Sicherheitsnummer und den QR-Code per SMS, E-Mail oder auf anderem Weg zu senden.

Nachdem am Freitag der «Guardian» einen Sicherheitsexperten zu Wort kommen liess, der die Funktionsweise als unsicher, respektive «Hintertür», kritisierte, sah sich WhatsApp zu einer Richtigstellung veranlasst. Die Facebook-Tochter erklärte, es handle sich um eine notwendige «technische Lösung», damit Nutzer etwa beim Wechseln von Geräten oder Telefonnummern weiterhin miteinander kommunizieren könnten.

«WhatsApp gibt Regierungen keine ‹Hintertür› zu seinen Systemen und würde gegen jede Forderung jeder Regierung kämpfen, eine Hintertür zu schaffen.»

WhatsApp-Sprecher quelle: business insider

Auf die Frage, ob und wie häufig WhatsApp oder Facebook auf verschlüsselte User-Chats zugegriffen habe und ob dies auf Verlangen von staatlichen Stellen geschehen sei, antwortete ein Sprecher des Unternehmens ausweichend, und verwies auf den online verfügbaren «Bericht über Regierungsanfragen»

Sicherer als WhatsApp ist Signal

Die jüngsten Diskussionen rund um die Ende-zu-Ende-Verschlüsselung von WhatsApp bestätigen, dass es keine 100-prozentige Sicherheit gibt. Die Messenger-Betreiberin Facebook bemüht sich aber allem Anschein nach, den schwierigen Spagat zwischen Benutzerfreundlichkeit und Verschlüsselung zu meistern.

Die User haben die Wahl, ob sie entsprechende Kompromisse eingehen wollen, oder zur sicheren Alternative, nämlich der von Whistleblower Edward Snowden empfohlenen Signal-App greifen. Das von Open Whisper Systems entwickelte Verschlüsselungs-Tool bildet bekanntlich die Basis für WhatsApp.

Und Apples iMessage?

Deutlich unbefriedigender sieht die Situation noch für Apples proprietären Chat-Dienst iMessage aus, der die Kommunikation zwischen iOS- und macOS-Geräten ermöglicht. Zwar gibt es wie bei WhatsApp eine idiotensichere Ende-zu-Ende-Verschlüsselung, in deren Genuss die User ohne weiteres Zutun kommen. Doch fehlt bei iMessage die Option, fremde Schlüssel zu authentifizieren. Man kommuniziert zwar verschlüsselt, kann aber im Gegensatz zu WhatsApp nicht herausfinden, ob die Verbindung wirklich abhörsicher ist.

Threema – der sichere Smartphone-Messenger aus der Schweiz 

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

28
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
28Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Natürlich 17.01.2017 17:27
    Highlight Highlight Ich verstehe ganz ehrlich nicht was die Ganze Panikmache soll.
    Kann mir das jemand genauer erläutern?
    Otto Normalverbraucher kann es doch sowas von scheissegal sein ob da irgendein Geheimdienst "mitliest" oder etwa nicht?
    Wenn das via Algorithmus gemacht wird ist das ja nur zu unserer aller Sicherheit. (Nur hätten doch dann Terrorattentate verhindert werden können?🤔)
    Wie gesagt, ich habe keine Ahnung von der Materie.
    Ich habe 2 Jahre lang ziemlich intensiv auf Kleinstbasis gedealt (ca 1kg pro Woche) das meiste über whattsapp und passiert ist nie etwas...
    daher verstehe ich das Problem nicht
  • tux_ping 16.01.2017 23:03
    Highlight Highlight Danke, endlich mal ein nicht reisserischer Artikel zum Thema. War ja schlimm, was man in den letzten Tagen von wegen "Backdoor in WhatsApp", etc... gelesen hat.
    Fragwürdig am Vorgehen von WhatsApp ist grundsätzlich nur, dass die Option standardmässig deaktiviert ist und dass beim Key Change die Nachrichtenübertragung nicht eine zusätzliche Bestätigung erfordert (wie es bspw. Signal, das (per PKE-Design) die gleichen Probleme hat, löst). Aber aus Usability-Gründen (seien wir ehrlich, was könnte der durchschnittliche Nutzer mit solchen Meldungen anfangen?) kann ich diese Entscheidung verstehen.
  • Turist 16.01.2017 22:40
    Highlight Highlight Wünsche allen viel Spass beim mitlesen meiner Chats. Ist für unbeteiligte sowieso belanglos...
  • MrJS 16.01.2017 22:30
    Highlight Highlight Hmm gab es vor Jahren nicht einmal die Meldung, das FBI könne iMessage nicht knacken und möchte gegen Apple klagen, oder was dies nur ein Marketing-Gag?
    • DEUSMAXIMUS 17.01.2017 09:38
      Highlight Highlight War das nicht das iphone ansich das die nicht knacken konnten?
    • Армин (Armin) 17.01.2017 11:15
      Highlight Highlight Ich dachte auch dass sie das ganze Iphone nicht knaken konnten.
  • The Destiny // Team Telegram 16.01.2017 20:40
    Highlight Highlight @Watson:
    Und wie steht es um Telegramm ?
    • http://bit.ly/2mQDTjX 16.01.2017 21:18
      Highlight Highlight Bei Telegram ist die benötigte Sicherheitseinstellung bereits voreingestellt. Das Risiko beim Schlüsselaustausch besteht aber genauso.
    • The Destiny // Team Telegram 16.01.2017 22:22
      Highlight Highlight Sry ich bin gerade etwas schwer von begriff, welches Risiko meinst du genau?

      Das sich jemand zwieschenschaltet und versucht den Diffie-Helsing schlüssel zu manipulieren.

      Oder

      Der user der das ganze bedient.
    • http://bit.ly/2mQDTjX 17.01.2017 00:35
      Highlight Highlight Der unwissende/naive User ist vermutlich das grösste Risiko. Daher warnt auch das FBI/DHS vorallem vor Spearphishing.

      Das Diffie-Hellman-Ding erweitert die Sicherheit um Forward-Secrecy.

      https://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch

      Aber Diffie-Hellman funktioniert nur, wenn vorher öffentliche Schlüssel ausgetauscht wurden. Beim Schlüssel-Tausch besteht die Gefahr, dass jemand dazwischen die Schlüssel abfängt und mit anderen/eigenen Schlüsseln ersetzt. Firewalls tun das meist standardmässig, damit sie die Inhalte unverschlüsselt auf Ungeziefer untersuchen können.
  • LeChef 16.01.2017 20:37
    Highlight Highlight Wer soll denn die Chats überhaupt mitlesen? Denkt ihr ernsthaft, die NSA hat nichts Besseres zu tun, als eure WhatsApp-Unterhaltungen zu verfolgen?
    • Maett 16.01.2017 21:46
      Highlight Highlight @LeChef: Sie glauben, dass das ein grosser Aufwand ist, Nachrichten automatisiert zu scannen, zu indexieren, das soziale Netz der teilnehmenden Benutzer zu verstehen und langfristig zu speichern?

      Ich mag es nicht besonders zu wissen, dass es technisch gut möglich ist, auch in 200 Jahren noch nachzuvollziehen, was ich heute überlegt oder unüberlegt von mir gegeben habe.
    • Ovolover 16.01.2017 21:51
      Highlight Highlight Denkst du, da hocken Leute am Bildschirm und lesen mit? Bei big data wird alles gesammelt, alles. Einige "falsche" Stichwörter und du bist durch Algorithmen markiert.
    • _kokolorix 16.01.2017 23:12
      Highlight Highlight Das tut ein Computergrid für die NSA. Wenn dein Account dort auffällt, z. B. weil du das Wort Kalaschnikow benutzt und dann ein Anschlag in der Nähe deines Wohnortes passiert, könntest du zum Ziel eines Drohnenangriffs werden😀
    Weitere Antworten anzeigen
  • Wehrli 16.01.2017 20:34
    Highlight Highlight Flirt über Messenger, Koks über Whatsapp und Terrorvorbereitung über Threema. Etwa so?
    • http://bit.ly/2mQDTjX 16.01.2017 21:16
      Highlight Highlight Bei Flirts ist's wohl egal, solange du ohne Nacktselfies auskommst. Bei Koks und Terrorvorbereitungen würde ich dir allerdings sowohl von Whatsapp wie auch von Threema dringendst abraten.
    • Wehrli 16.01.2017 21:29
      Highlight Highlight Bei Koks heisst es: "in der Bibliothek hatte ich heute zwei Bücher bestellt, kannst Du die vorbeibringen?"
      Bei Terror: "Der Adlerhorst keimt im Marshmallow. Hütet den Elch, Jesaia, Fers 12:17."
      Und beim Flirt:"
    • BananaJoe 16.01.2017 21:58
      Highlight Highlight also ist threema auch nicht "sicher"?
      dachte das sei eine sichere app, bin jedoch leider kein Spezialist😅
    Weitere Antworten anzeigen
  • http://bit.ly/2mQDTjX 16.01.2017 20:30
    Highlight Highlight Es gibt bei diesem Artikel technische Unschönheiten:

    "Sicherheitsnummer" ist Fakebook-Wirrsprach. Der korrekte Begriff wäre "Public Key" oder "Öffentlicher Schlüssel". Der notwendige Schlüssel-Austausch ist stets ein Schwachpunkt und bietet Angriffsfläche.

    "Nun könnten Dritte mitlesen, (...), wenn WhatsApp durch einen Gerichtsbeschluss zur [Schlüssel-]Herausgabe gezwungen wird."

    Ein Angreifer generiert die Schlüssel selbst und schiebt sich dazwischen. Statt End-to-End- kriegt man dann eine End-to-MITM-to-End-Verschlüsselung (MITM=Man in the middle=Angreifer). Ganz ohne Gerichtsbeschluss.
  • Lukas B 16.01.2017 20:29
    Highlight Highlight Als Alternative zu Signal gäbe es auch noch Wire!
    • Miikee 17.01.2017 06:52
      Highlight Highlight Wire, Signal, Threema, Telegram wir brauchen nicht mehr alternativen sondern das die Benutzer bereit sind auch mal vom gewohnten zu wechseln.
      Wenn nicht für die eigene Sicherheit zumindest für die von ihren Chatpartnern. Bei mir sieht Telegram ganz gut aus, fast alle wichtigen Kontakte haben zu diesem Messenger gewechselt.
  • Tux0ne 16.01.2017 20:25
    Highlight Highlight Man kann auch innerhalb Whatsapp zusätzlich den Inhalt PGP verschlüsseln oder gleich einen eigenen xmpp Server mit OMEMO verwenden. Zumindest für die Familie. Ob das aber jemand nervös macht, weiss ich nicht.

«Kompletter Blödsinn» – so demontiert ein Biophysiker ein Video eines deutschen Arztes

Ein Video eines deutschen Arztes, der die Corona-Krise für reine Panikmache hält, findet auf den sozialen Medien grosse Beachtung. Richard Neher, Biophysiker am Biozentrum der Universität Basel, demontiert die Aussagen des vermeintlichen Experten und entlarvt seine Aussagen als das, was sie sind: «Kompletter Blödsinn.»

Es geht ein Gespenst um in den sozialen Medien. Das Gespenst heisst Wolfgang Wodarg. Er ist Protagonist verschiedener Videos, die derzeit auf WhatsApp, Facebook und Twitter verbreitet werden. Mit ernstem Blick hinter runden Brillengläsern schaut Wodarg in die Kamera und verkündet die Wahrheit. Vermeintlich.

Die wenige Minuten langen Filme heissen «Stoppt die Corona-Panik» oder «Krieg gegen die Bürger». Darin erklärt Wodarg, warum die Corona-Krise reine Panikmache sei. Solche Viren habe es …

Artikel lesen
Link zum Artikel