Verschlüsselung von Kurznachrichten Whatsapp setzt endlich auf Privatsphäre

Whatsapp selbst äußert sich bislang nicht zu den Neuerungen

(Foto: dpa)
  • Whatsapp verschlüsselt Nachrichten seiner Nutzer mit einem als sicher geltenden System.
  • Sicherheits-Architekt Moxie Marlinspike will nun auch Metadaten für Dritte unsichtbar machen.
  • Krypto-Experte Joseph Bonneau hofft auf Nachahmer in der Branche, rechnet aber mit Kritik von Sicherheitsbehörden.
Von Johannes Kuhn, San Francisco

Ist Whatsapp jetzt NSA-sicher? Weil die wichtigste aller Fragen auch die naivste ist, kommt Moxie Marlinspike ins Grübeln. "Ich weiß nicht, wie 'NSA-sicher' aussieht.", sagt der Krypto-Experte nach kurzem Nachdenken. "Ich würde sagen, wir haben gerade einen Schritt getan, um das massenhafte Auslesen von Kurznachrichten unmöglich zu machen."

Es ist, da sind sich Sicherheitsexperten einig, ein großer Schritt: 600 Millionen Whatsapp-Nutzer verschlüsseln ihre Botschaften künftig nach der derzeit sichersten Methode, dem Ende-zu-Ende-Prinzip. Das bedeutet: Eine Nachricht kann nur von Sender und Empfänger gelesen werden, nicht aber von Whatsapp. Selbst wenn die Firma von Geheimdiensten oder Ermittlungsbehörden zur Herausgabe gezwungen würde, könnte sie nur einen Zeichensalat übermitteln.

Sechs Monate haben Moxie Marlinspike und sein Entwicklerteam von Open WhisperSystem an der Verschlüsselung gearbeitet. Das Open-Source-Kollektiv steckt bereits hinter den Krypto-Apps Signal, Redphone und TextSecure, ihr Ruf in der Branche ist ausgezeichnet. Das TextSecure-System gilt als Musterbeispiel für gute Verschlüsselung, bereits mehrmals erhielt es nach Tests von Kryptografie-Experten die Bescheinigung, keine relevanten Sicherheitsprobleme zu haben.

Whatsapp galt als Super-Wanze

Nun steckt TextSecure also in Whatsapp, das eine lange Historie von Sicherheitslücken aufweist und Nachrichten vor 2012 überhaupt nicht verschlüsselte. Es ist eine Kehrtwende, die Außenstehende überrascht. "Sie haben schon länger nach so etwas gesucht, aber es gab nichts Passendes", erzählt Marlinspike. Der Konzern selbst äußert sich nicht zu den Neuerungen.

Wie kann Whatsapp Geld verdienen?

Angeblich macht Whatsapp schlappe 20 Millionen Dollar Umsatz im Jahr, und das nur unfreiwillig: Die 89 Cent Jahresbeitrag hatte das Unternehmen nach eigenen Angaben eingeführt, um das schnelle Wachstum zu drosseln. Werbung lehnen die Macher offiziell ab, doch das könnte sich ändern: Die weitreichenden App-Berechtigungen würden eine Sammlung von Interessen theoretisch durchaus erlauben. Wahrscheinlicher erscheint jedoch, dass mittelfristig Firmen die Nutzer nach deren Einwilligung per Chat kontaktieren können, um ihnen besondere Angebote zu machen. Whatsapp würde dafür als Vermittler Geld erhalten.

Erst Anfang des Jahres hatte Facebook Whatsapp für 22 Milliarden US-Dollar gekauft. Doch während der Mutterkonzern seine Werbeeinnahmen durch die extreme Auswertung von Nutzerdaten in die Höhe treibt, verzichtet Whatsapp mit der Verschlüsselung zumindest darauf, die Dialoge seiner Kunden auf werberelevante Inhalte zu scannen.

Whatsapp-Gründer Jan Koum.

(Foto: dpa)

Whatsapp-Mitgründer Jan Koum ist im ukrainischen Teil der damaligen Sowjetunion aufgewachsen und positionierte sich seit den Snowden-Enthüllungen gegen die digitale Überwachung. "Niemand sollte das Recht haben, zu spionieren, oder du wirst ein totalitärer Staat", sagte der 38-jährige Wahl-Amerikaner in einem Interview Anfang des Jahres, "genau jener Staat, aus dem ich als Kind geflohen bin, um in dieses Land zu kommen, wo Demokratie und Redefreiheit herrschen."

"500 Millionen Nutzer wachen jetzt morgens auf und verschlüsseln plötzlich ihre Nachrichten, ohne dass sie dafür etwas tun müssen", lobt der Krypto-Experte Joseph Bonneau von der Universität Princeton die Neuerungen. "Hoffentlich merken nun auch andere Firmen, dass man Nutzern Sicherheit bieten kann, ohne sie zu vergraulen." Bislang ist in vielen Fällen etwa die Nutzung von Verschlüsselungstechniken mit zusätzlichem Aufwand verbunden, den aber viele Nutzer scheuen.

PFS - der Wegwerf-Schlüssel

Das Albtraum-Szenario der Krypto-Welt ist der Diebstahl eines Schlüssels, mit dem sich theoretisch alle alten Nachrichten dechiffrieren lassen. TextSecure arbeitet deshalb mit "Perfect Forward Secrecy". Diese Technik erstellt für jede Chat-Sitzung einen zweiten Schlüssel, der aber nach dem Ende der Kommunikation zerstört wird. Somit werden alte Chats sozusagen hermetisch versiegelt, niemand hat mehr Zugang zu ihren Inhalten.

Noch allerdings sind nicht alle Dialoge verschlüsselt: Das Update betrifft bislang nur die Android-Version, iOS soll in absehbarer Zeit folgen. Auch Gruppenchats sind noch nicht Teil der Ende-zu-Ende-Verschlüsselung. Mittelfristig soll es auch erschwert werden, falsche Nutzerprofile anzulegen.

Hundertprozentige Privatsphäre bietet Whatsapp jedoch nicht. Was weiterhin übermittelt wird, sind die Metadaten der Kurznachrichten, also Informationen darüber, wer wann mit wem chattet. "Wir müssen hier vorankommen und werden daran bei TextSecure in den nächsten Monaten arbeiten", kündigt Moxie Marlinspike an. Er hofft auch darauf, dass weitere Messenger-Anbieter dem Beispiel von Whatsapp folgen und die Technologie übernehmen.

Vor wenigen Wochen kritisierte FBI-Direktor James Comey Google und Apple dafür, dass ihre Betriebssysteme Smartphone-Daten nun komplett verschlüsseln. Sollte das Beispiel Whatsapp zum Standard für Messenger werden, dürfte sein Zorn noch wachsen - und auch deutsche Sicherheitsbehörden werden über die Verschlüsselung von Milliarden Textnachrichten wenig begeistert sein.

EFF, Mozilla und Co. bieten Gratis-Zertifikate an

Auch eine zweite Nachricht machte am Dienstag die Runde, die noch folgenreicher als die Whatsapp-Verschlüsselung sein könnte: Eine Gruppe aus Akteuren wie Mozilla, der EFF, Cisco und Akamai will ab 2015 kostenlose Verschlüsselungszertifikate für Webseiten anbieten, damit auch kleinere Betreiber die Kommunikation zwischen ihrer Seite und den Nutzern chiffrieren können. Damit wäre das Absaugen des Internet-Verkehrs nutzlos, da aus den Daten keine Informationen gewonnen werden könnten. Bislang kosten die Zertifikate in der Regel Geld oder sind an ein Freemium-Modell gekoppelt.

"Wir marschieren langsam in Richtung sicherer Kommunikation und Privatsphäre", sagt Krypto-Experte Bonneau, "und ich erwarte, dass die Strafverfolgungsbehörden bei jedem einzelnen Schritt laut aufschreien werden."