Whatsapp verzeichnet über eine Milliarde Nutzer und ist der wohl am weitesten verbreitete Messenger der Welt. Dementsprechend löste ein Bericht des "Guardian" im vergangenen Jänner für Aufregung, in dem der Vorwurf aufgebracht wurde, dass eine Hintertür das Mitlesen von Nachrichten ermöglichen würde.

Ein Sicherheitsforscher der University of California entdeckte einer seiner Einschätzung nach kritische Lücke bei der Implementierung der Verschlüsselung. Konkret geht es um einen Wechsel des Schlüssels zum Schutz der Nachrichten in bestimmten Fällen. Datenschützer reagierten teils entsetzt auf den Bericht, beim Centre for Research into Information, Surveillance and Privacy sprach man von einer "riesigen Gefahr für die Meinungsfreiheit".

"Fehlinterpretationen, Fehler und Missverständnisse"

Schnell sorgte der Bericht aber auch für Kritik am Guardian selbst. Die Gefahr sei eher theoretischer Natur und stark überzogen dargestellt, hieß es. 72 Security-Experten unterzeichneten einen offenen Brief. Nach einigen Änderungen zum ursprünglichen Artikel gesteht die Zeitung nun ein, damals fehlerhaft berichtet zu haben.

Im Laufe der Erarbeitung des Artikels sei es zu "Fehlinterpretationen, Fehlern und Missverständnissen" gekommen. Die Gefahr sei tatsächlich überhöht worden und habe zu weiteren Berichten in anderen Medien geführt, welche die Darstellung übernommen hatten. Auch DER STANDARD hatte den Artikel aufgegriffen, inklusive einem Statement Seitens Whatsapp, wo man die Existenz einer kritischen Lücke seit je her vehement bestritten hatte.

Man hätte auf den offenen Brief umfassender reagieren müssen, als ihn nur zu erwähnen und einen Link zu setzen, habe es aber verabsäumt, weitere Fachpersonen zu konsultieren.

"Angemessener" Kompromiss bei Verschlüsselung

Bezogen hatte sich der Bericht auf folgendes Verhalten von Whatsapp: Wird eine Nachricht an einen Nutzer geschickt, der zum Versandzeitpunkt offline ist, so wird diese so lange auf Facebook gespeichert, bis er sich wieder verbindet. Geschieht dies nicht binnen 30 Tagen, so wird sie gelöscht.

Meldet sich der Empfänger mit einem neuen Endgerät bei Whatsapp an, so werden die in Zustellung befindlichen Nachrichten mit dem dafür generierten Schlüssel erneut verschlüsselt und wieder zugestellt, da sie mit dem alten Schlüssel auf dem neuen Handy nicht gelesen werden könnten. Hier besteht ein geringes Risiko einer sogenannten "Man-in-the-Middle"-Attacke.

Die Implementation wird von vielen Fachleuten allerdings nicht als Sicherheitslücke gesehen, sondern als "angemessener" Kompromiss zwischen Sicherheit und Usability. Whatsapp habe "ziemlich gute Absicherung gegen Massenüberwachung", heißt es von einem Experten. Es sei "sicher für die Mehrheit der Menschen", so ein weiterer.

Folgen

Der Bericht hatte Folgen, wobei deren Ausmaß unklar ist. So soll ein Mitarbeiter der türkischen Regierung den Artikel verwendet haben, um Nutzer vor Whatsapp zu warnen. Aktivisten, die im Begriff waren, von einer unsicheren Messaging-Lösung zu Whatsapp zu wechseln, sollen von dem Text "verwirrt" worden sein.

Dabei sei Whatsapp mit seiner Ende-zu-Ende-Verschlüsselung auch deswegen für Aktivisten sicher sein, weil sie hier leichter in der Masse der Nutzer untertauchen könnten, als bei der Verwendung von Sonderlösungen.

Artikel nicht ganz zurückgezogen

Komplett zurückziehen will der Guardian seinen Bericht allerdings nicht, er wurde allerdings umfassend überarbeiten. Ein gewisses Risiko sei vorhanden und man müsse Facebook genau auf die Finger schauen. Mit der Ankündigung, Daten von Whatsapp-Nutzern innerhalb des eigenen Konzerns auszutauschen habe man offenbar vorherige Versprechungen gebrochen.

Dazu ist völlig unklar, wie genau Facebooks Server Nachrichten von Whatsapp-Nutzern weiter schleusen, Nutzer müssen dem Konzern hier also vertrauen. Zudem, so heißt es auch von Sicherheitsfachleuten, könnte das Unternehmen auch mehr tun, um selbst über den eingegangenen Kompromiss bei der Whatsapp-Verschlüsselung aufzuklären.