Ist WhatsApp geheim? Ist WhatsApp sicher?

Ist WhatsApp geheim? Ist WhatsApp sicher?

„Ist es geheim? Ist es sicher?“ – Gandalf – Gemeinschaft des Rings – J. R. R. Tolkien

Diese unsterblichen Worte wurden über ein ganz anderes Thema gesprochen als das, mit dem wir uns heute beschäftigen: Ein magischer Ring, der einst nur als cleverer Trick angesehen wurde. Diese Worte wurden durch Sorgen, durch traumatische Erfahrungen und durch gesunde Paranoia genährt.

Wir sind natürlich keine Zauberer; unser Wissen beschränkt sich auf diesen allzu soliden Bereich (lesen Sie etwas Shakespeare, wenn Sie die Anspielung nicht verstehen). doch sind vielen von uns sofort die gleichen Fragen durch den Kopf gegangen, als WhatsApp kürzlich seine Änderungen der Nutzungsbedingungen bekannt gab. Die Zeile, die am meisten Alarm auslöste, war:

„WhatsApp erhält Informationen von und teilt Informationen mit den anderen Facebook-Unternehmen. Wir können die Informationen, die wir von ihnen erhalten, verwenden, und sie können die Informationen, die wir mit ihnen teilen, verwenden, um den Betrieb zu unterstützen.“

Dies war vor allem ein Schritt, um gezielte Werbung zu verkaufen, indem demografische Daten und Ähnliches innerhalb der Unternehmensgruppe geteilt werden. Aber die Leute hatten natürlich eine Menge Datenschutzbedenken.

Nach einer massiven Menge an Rückschlägen versicherte WhatsApp seinen Nutzern, dass private Unterhaltungen privat bleiben werden, und sie schoben das Datum der effektiven Datenweitergabe ein paar Mal nach hinten, um schließlich zu erklären, dass es am 15. Mai passieren wird.

Die letzten Wochen waren ein absoluter Strudel aus wissenschaftlichen Diskussionen, geflüsterten Gerüchten, geschrienen Lügen, Online-Messenger-Rasenkriegen, Verschwörungstheorien, Expertenmeinungen und Massenverwirrung.

Alles läuft jedoch auf zwei grundlegende Fragen hinaus, die es noch zu klären gilt:

Ist WhatsApp geheim? Ist WhatsApp sicher?

Wie denken Sie darüber?

Habe ich das richtig gehört?

WhatsApp verwendet das Signal Security Protocol?

Um die Fragen nach „geheim“ und „sicher“ zu beantworten, müssen wir uns die Art und Weise ansehen, wie WhatsApp seine Nachrichten verschlüsselt, und die Möglichkeit, diese zu überwachen.

WhatsApp verwendet das Signal-Protokoll, um seine Chat-Nachrichten Ende-zu-Ende zu verschlüsseln. Das Signal-Protokoll (nicht zu verwechseln mit der Signal-App… bis wir das in unserem nächsten Beitrag absichtlich erwähnen) wurde von Open Whisper Systems entwickelt. Notieren Sie sich das, es wird in Kürze wieder auftauchen, ob Sie es glauben oder nicht.

Richtig implementiert, ist das Signal-Protokoll unglaublich sicher. Und wir haben keinen Grund zu glauben, dass es unsachgemäß implementiert wurde, da die Erfinder selbst zwei Jahre damit verbracht haben, es in jeden Aspekt von WhatsApp zu integrieren. Um sich zu vergewissern, dass jemand wirklich derjenige ist, der er vorgibt zu sein, kann der Nutzer sogar manuell die öffentlichen Schlüssel mit denen derjenigen vergleichen, mit denen er in der Vergangenheit gechattet hat.

Der wichtige Teil: Nichts von dem, was kürzlich angekündigt wurde, ändert sich, soweit es Punkt zu Punkt und Gruppennachrichten betrifft. Das einzige wirkliche Schlupfloch liegt im Betriebssystem des Geräts selbst, es puffert, bevor eine Nachricht verschlüsselt wird. Es ist technisch möglich, dass die WhatsApp- und Facebook-Apps Rohdaten hin- und herschicken könnten, wenn sie die richtigen Berechtigungen auf dem Telefon von jemandem hätten. Aber da die Leute beide Apps wie ein Falke auf Änderungen überwachen, ist es unwahrscheinlich, dass das in nächster Zeit passiert.

Wenn also Ihre Nachrichten auf WhatsApp privat sind und die Ende-zu-Ende-Verschlüsselung unverändert bleibt, was ist dann das Problem?

Ihre persönlichen Daten. Das ist die große Sache. Ist es das nicht immer?

Was die WhatsApp-Ankündigung ändert, ist der Umfang, in dem die beiden Firmen planen, Ihre persönlichen Daten zu vermischen. Dies beinhaltet nun Standortdaten, den echten Namen, die Telefonnummer, die Adresse, Login-Gewohnheiten, Schlafzeiten, Kaufgewohnheiten, Mobilfunkverträge und einen Haufen anderer Dinge. Sie haben sich im Wesentlichen dazu verpflichtet, Ihre Nachrichten zu schützen, aber alles andere über Sie frei zu teilen. Denken Sie daran, dass die Informationen nur intern in der Unternehmensgruppe geteilt werden sollen. Wenn auch eine große Firma….

Also… ist es geheim? Ihre Nachrichten schon.

Ist es sicher? Nicht soweit es um Ihre persönlichen Informationen geht.

Das wurde mit einem Preisschild versehen und wird Mitte Mai an Facebook ausgeliefert.

Ist es ein Preis, der es wert ist zu zahlen?

Der aufkommende Sturm: WhatsApp vs. Signal

Es gibt jedoch eine weitere sichere App, die das Signal-Protokoll für die Ende-zu-Ende-Chat-Verschlüsselung verwendet. Verwirrenderweise, oder vielleicht auch nicht, heißt die App selbst auch Signal.

Was ist der Unterschied zwischen Signal und WhatsApp? Signal speichert keine Benutzerdaten. Es gibt also keine Benutzerdaten weiter. Außerdem ist es komplett quelloffen, das heißt, jeder kann den Code jederzeit einsehen. Und es wird von der gemeinnützigen Signal Foundation verwaltet und betrieben.

Klingt zu schön, um wahr zu sein, oder? Wo ist der Haken?

Der Haken ist… einige unglückliche persönliche Verbindungen zwischen einigen ziemlich einflussreichen Leuten, die Signal’s neu entdeckte Popularität umgeben.

Jack Dorsey, CEO von Twitter und Square, befürwortet Signal von ganzem Herzen und auf Schritt und Tritt. Moxie Marlinspike, der die Signal Foundation leitet, hat seine vorherige Firma von Twitter aufgekauft und zwei Jahre lang mit ihnen zusammengearbeitet. Der Name dieser Firma? Whisper Systems. Nicht Open Whisper Systems (der Name, den Sie sich aus unserem vorherigen Posting merken sollten), der später kommen würde, aber Sie können sich vorstellen, wie das Verwirrung stiftete.

Oh, und wer ist der andere Signal Foundation Mitbegründer? Brian Acton, der auch WhatsApp mitbegründet hat.

Kurz gesagt, jeder sollte wissen, dass innerhalb des Signal-Ökosystems ein gewisses Maß an Vetternwirtschaft am Werk ist, aber bisher ist nichts Unheimliches dabei herausgekommen. Jeder kennt sich in dieser Branche, es fließt viel Zeit und Geld ineinander.

Das Einzige, was wir anmahnen würden, ist, dass Twitter und die Signal Foundation weiterhin überwacht werden sollten, um sicherzustellen, dass Führungsentscheidungen unabhängig voneinander bleiben. Wenn Dorsey und Marlinspike jemals in denselben Vorständen sitzen, dann wird es Probleme geben.

Ist Signal also geheim? Ist Signal sicher? Bis jetzt, kleiner Ringträger. Bis jetzt…

Wie sieht es mit Telegram aus?

Der Innenausschuss des britischen Parlaments teilte eine pikante Statistik: In den drei Wochen nach dem Sündenfall von WhatsApp gewann Signal 7,5 Millionen Nutzer. Telegram gewann 25 Millionen Nutzer hinzu.

Telegram hat eine schlechtere Verschlüsselung, aber das ist ein niedrig hängender Ast. Nur Einzelchats können bei Telegram Ende-zu-Ende verschlüsselt werden, und das auch nur über einen speziellen Modus. Gruppenchats können von jedem, der in der Mitte sitzt, gelesen und überwacht werden. Und doch sind Millionen zu Telegram geflüchtet, weil es ein bekannter Name ist. Unklug, aber vorhersehbar.

Einer der Gründe, warum Telegram so viel an Boden gewann, war ein falscher Syllogismus: „Wenn ISIS und andere Terrorgruppen es sicher nutzen können, muss es wirklich schwer sein, ihre Sicherheit zu brechen!“‚

Die Wahrheit ist, dass die Gruppenchats von Telegram weit offen und praktisch ungesichert sind. Die Art von Propagandakanälen, die von großen Terrororganisationen betrieben werden, sind von der Polizei jeder größeren Nation vollständig infiltriert. Das könnte der Grund sein, warum die französische Polizei 2018 einen Rizin-Anschlag vereitelte, der auf Telegram geplant wurde. Es ist unwahrscheinlich, dass sie es geschafft haben, die Benutzer-zu-Benutzer-Verschlüsselung zu knacken… sie haben wahrscheinlich nur die öffentlichen Gruppen des Verdächtigen überwacht und die Informationen bekommen, die sie brauchten.

Und für Telegram ist es nicht schwer, diese Leute zu finden. Sie werden immer wieder blockiert! Es ist einfach so, dass sie neue Konten auf neuen Telefonen erstellen und kleinere, ungebrandete Kanäle für ihre Aktivitäten nutzen. Bis sie erwischt werden und der Prozess wieder von vorne beginnt.

Die politische Linie ist klar: Wenn es öffentlich ist, schreitet Telegram gerne ein, schwingt den Verbothammer und hilft sogar den Strafverfolgungsbehörden bei den Ermittlungen. Wenn es sich um einen privaten, verschlüsselten Chat handelt, können sie den Strafverfolgungsbehörden nicht helfen, selbst wenn sie es versuchen würden.

Nur für den Fall, dass Sie es nicht wussten: Telegram bietet eine Ende-zu-Ende-Verschlüsselung. Das Problem ist, dass sie nicht standardmäßig aktiviert ist. Würden Sie gerne ein Auto fahren, bei dem man die Airbags manuell einschalten muss?

Irreführung, Lügen und der Preis der Gerüchteküche

Als der erste Ansturm von Spekulationen über die Änderung der Datenschutzrichtlinien und Nutzungsbedingungen über sie hereinbrach, veröffentlichte WhatsApp eine Erklärung, die mit „Wir möchten einige Gerüchte adressieren und zu 100% klarstellen, dass wir Ihre privaten Nachrichten weiterhin mit einer Ende-zu-Ende-Verschlüsselung schützen.“

Dies geschah natürlich auf Twitter.

Indem sie auf die wildesten Gerüchte eingingen, aber nicht auf die vernünftigeren (wie z. B. wie diese Richtlinie in die aktuellen Vereinbarungen von Facebook mit den Strafverfolgungsbehörden einfließen wird, zu einer Zeit, in der das Vertrauen in die Strafverfolgungsbehörden auf einem historischen Tiefstand ist), schürten sie die Flammen.

Die Leute begannen, auf widersprüchliche Aussagen in ihren ToS über die Aufzeichnung von Standortdaten hinzuweisen. Das wurde eher ignoriert als angesprochen, was zu einer ganzen Reihe neuer Verschwörungstheorien führte.

Es gab keine Pressekonferenz, keine offenen Fragen und Antworten, keine Transparenz. Weil sie keine Transparenz wollten. Sie haben die Menge der Nutzerdaten, die sie an Facebook weitergegeben haben, erweitert, so viel war klar. Wer würde da schon völlig transparent sein wollen?