Warum WhatsApp trotz Verschlüsselung unsicher bleibt
WhatsApp hat eine Ende-zu-Ende-Verschlüsselung mittels TextSecure angekündigt. Nutzer des zu Facebook gehörenden Messengers sollten sich trotzdem nicht in Sicherheit wiegen.
von Volker Birk
Whatsapp verwendet ab der aktuellen Version eine Ende-zu-Ende-Verschlüsselung. Der zu Facebook gehörende Messenger bietet damit – bisher wenigstens für Android – endlich ein wichtiges Sicherheits-Feature, das von vielen lange herbeigesehnt wurde. Alllerdings sollte man sich nicht zu früh freuen. Das liegt unter anderem daran, dass Nutzer ihre WhatsApp-Profile mit ihrer Handynummer verbinden müssen, es sind also eindeutige Rückschlüsse auf die Identität des Anwenders möglich.
Hinzu kommt: Um zu beweisen, dass man einer Software vertrauen kann, ist es notwendig, dass der Quellcode zur Verfügung steht. Dem verweigern sich allerdings diverse Anbieter von Krypto-Messenger, etwa der Schweizer Anbieter Threema. Dafür ist dies bei TextSecure der Fall, im Gegensatz zu WhatsApp. Der Messenger nutzt künftig die Technologie TextSecure, um Nachrichten der Anwender per Ende-zu-Ende-Verschlüsselung zu schützen. Was aber hat Netzaktivist Cory Doctorow geritten, sich zu dieser Aussage über WhatsApp hinreissen zu lassen? «Es ist die grösste Verbreitung von Ende-zu-Ende-Kryptographie in der Geschichte, und vorausgesetzt, dass sie keine Backdoors hinzugefügt oder fatale Fehler begangen haben, bedeutet das, dass mehrere Hundert Millionen Nutzer nun kommunizieren können, ohne dass sie von Regierungen, Gaunern, Bullen, Spionen oder Voyeuren ausspioniert werden können.»
Das ist schlicht unwahr. Die Aussage Doctorows muss in Frage gestellt werden, weil WhatsApp mit Sicherheit eine Hintertür enthalten muss. Und Doctorow weiss das. Das ist der Fall, weil es die Section 215 des amerikanischen Überwachungsgesetzes Patriot Act gibt – zumindest gibt es deshalb eine rechtliche Backdoor, die von US-Behörden beliebig und jederzeit benutzt und missbraucht werden kann. Der Versuch der Obama-Regierung, die totale Überwachung für amerikanische Bürger etwas zurückzunehmen (der alle anderen Personen auf unserem Planeten sowieso völlig ungeschützt ausgesetzt sind), ist diese Woche gescheitert. Denn dieser Versuch wurde von Politikern der republikanischen Partei im Senat blockiert. Ich bin mir sicher, dass Doctorow auch diese Fakten bekannt sind. Warum also erzählt er hier nicht die Wahrheit?
Geschäftsrisiko NSA
Was schon kurz nach den Snowden-Veröffentlichungen befürchtet wurde, ist nun zum offenen Geheimnis geworden, das praktisch jedermann in der Branche bekannt sein dürfte: Das Misstrauen in amerikanische IT-Dienstleistungen gefährdet die Gelddruckmaschine Cloud-Dienste. Als mehr und mehr Leute begannen, amerikanischen Systemen zu misstrauen, nahmen die Dinge eine unangenehme Wendung für viele Unternehmen wie Google, Facebook oder Apple.
Firmen wie Google haben ihr Geschäftsmodell auf die Grundlage gestellt, dass sie alle ihre Kunden unter eigener holistischer Überwachung halten. Googles Verwaltungsratspräsident Eric Schmidt machte im inzwischen berüchtigten «CNBC»-Interview keinen Hehl daraus, und bestätigte gleichzeitig, dass auch die amerikanischen Behörden von der Datenflut auf Anfrage jederzeit profitieren.
Nicht Apples Schuld
Apple reagierte prompt. Das Unternehmen verdient sein Geld im Wesentlichen mit Hardwareverkäufen und Verkäufen von Musik, Apps und anderem Content; die Cloud ist für Apple im Wesentlichen ein Zusatzgeschäft. Deshalb ist es wenig überraschend, dass Apple als eines der ersten Unternehmen aus dem Silicon Valley den Nutzern gute Nachrichten-Verschlüsselung bot. Aber es gibt einen grossen Unterschied zwischen guter Verschlüsselung und «die Behörden können nicht mitlesen», wie auch beispielsweise dieser Bericht des amerikanischen Blogs «Techdirt» erklärt. Das ist nicht unbedingt Apples Schuld, um es klar zu sagen. Kein Unternehmen in den USA hat hier die Wahl.
Zur Vertrauensbildung trägt in jedem Fall nicht bei, dass Facebook vor ein paar Jahren mit In-Q-Tel, dem Risikokapitalgeber der CIA, in Verbindung gebracht wurde. Ob dies allerdings über personelle Verflechtungen hinausreicht, bleibt offen. Davon abgesehen, bleibt die Frage, warum in der Hackerszene angesehene Leute wie Krypto-Spezialist Moxie Marlinspike und sein Projekt Open WhisperSystems bei der Integration von TextSecure mit Facebooks Tochterfirma WhatsApp kooperieren. Und Cory Doctorow, der kürzlich in den Beirat von Googles Datenschutz-Thinktank Simply Secure berufen wurde, applaudiert.
Honi soit qui mal y pense.
Autor Volker Birk engagiert sich im Chaos Computer Club (CCC) Schweiz und arbeitet am Anonymisierungsprojekt Pretty Easy Privacy (Pep), das unter anderem WhatsApp verschlüsseln und die Metadaten verschleiern will.
