Seit kurzem ermöglicht WhatsApp allen Nutzern, den Instant-Messenger verschlüsselt zu verwenden. Damit begegnet das Unternehmen Kritik an der Sicherheit seines Dienstes – ein wichtiger Schritt. Gleichwohl sind die datenschutzrechtlichen Bedenken nicht vollständig ausgeräumt.

Whatsapp

WhatsApp ist heutzutage auf nahezu jedem Smartphone installiert. Weltweit nutzen den Dienst laut den jüngsten Angaben des Unternehmens mehr als eine Milliarde Menschen. Der 2014 von Facebook für etwa 17 Mrd. Euro erworbene Messenger-Dienst ist einer der am schnellsten wachsenden mobilen Anwendungen. WhatsApp gehört aber auch zu den mit am Schärfsten kritisierten Programmen.

Sicherheitslücken, die den Zugriff auf Paypal-Konten ermöglichten, die Schadsoftware „Piryanka“ oder Lücken beim Anmeldeprozess brachten dem Messaging-Dienst erhebliche Kritik ein. Auch um den Datenschutz gab es zahlreiche Kontroversen bis hin zu Boykottaufrufen von Datenschutzbehörden. Nun hat WhatsApp die Ende-zu-Ende-Verschlüsselung eingeführt. Sind damit die Bedenken passé?

Ende-zu-Ende-Verschlüsselung: IT-Sicherheit und Marketing
Alle WhatsApp-Nutzer, welche die aktuelle Version auf ihr Smartphone laden, können nun verschlüsselt kommunizieren. Geschützt sind damit die Inhalte der Kommunikation, also die ausgetauschten Nachrichten, Bilder oder Videos, aber auch Telefongespräche über WhatsApp. Damit können nur noch die Kommunikationsteilnehmer Kenntnis von den Inhalten erhalten – auch WhatsApp hat keinen Zugriff mehr. So jedenfalls die Versprechungen des Unternehmens.

Da WhatsApp nicht den gesamten Quellcode der App veröffentlicht, kann dies von unabhängigen IT-Experten bislang nicht komplett überprüft werden. Positiv stimmt, dass die Verschlüsselungstechnik vom Anbieter Open Whisper Systems stammt, der auch den Messenger-Dienst Signal betreibt, den Edward Snowden empfohlen hatte. Ein erster Test ergab auch, dass die Verschlüsselung hohen Anforderungen Stand hält. Wer an den technischen Details interessiert ist, kann sie in einem Whitepaper von WhatsApp nachlesen.

Dass WhatsApp die Verschlüsselung standardmäßig einführt, zeigt aber auch, dass immer mehr Unternehmen der Technologiebranche erkennen, dass der technische Schutz der Nutzerdaten auch ein wichtiges Marketing-Element ist. Bereits die Auseinandersetzung zwischen Apple und dem FBI um das Hacken eines iPhones hat diesen Aspekt in das Licht der Öffentlichkeit gerückt. WhatsApp droht damit aber nun auch die Auseinandersetzung mit Sicherheitsbehörden, denn das Unternehmen ist technisch aufgrund der Verschlüsselung nicht mehr in der Lage, beispielsweise die über WhatsApp ausgetauschten Nachrichten zur Verfügung zu stellen. Offenbar nimmt das Unternehmen dies in Kauf.

Datenschutzrechtlich einwandfrei? – Eher nicht.
Die Kritik am Messenger aus Sicht des Datenschutzes hat sich durch die Verschlüsselung jedoch nicht grundlegend geändert. Es werden nämlich auch weiterhin personenbezogene Daten unverschlüsselt übertragen. Dies betrifft zum einen die sogenannten Metadaten, die sowohl von WhatsApp wie auch von Strafverfolgungsbehörden ausgewertet werden können. Metadaten sind Informationen über den Kommunikationsvorgang, beispielweise wer mit wem kommuniziert hat oder zu welcher Zeit die Kommunikation stattgefunden hat. Mithilfe dieser Informationen sind Profilbildungen möglich, unter anderem mit wem ein Nutzer besonders intensiv kommuniziert.

Zum anderen liest WhatsApp beim Installieren und beim Neustart der App automatisch die Telefonnummern aller Kontakte aus dem Adressbuch des Smartphones aus. Diese werden auf den Servern von WhatsApp in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen, um zu prüfen, wer von den Kontakten auch bei WhatsApp angemeldet ist. Allerdings landen auch Daten von Personen bei WhatsApp, die sich dort nicht registriert haben. Zumindest auf iOS-Geräten kann der Zugriff aber unter Einstellungen – Datenschutz – Kontakte untersagt werden.
Benötigt man also für die Nutzung von WhatsApp eine Einwilligung all seiner Telefonbuchkontakte? Oder muss man für die Datenübertragung in die USA Standardvertragsklauseln mit WhatsApp vereinbaren? Kurz: Darf man WhatsApp nicht nutzen?

Unter Rechtsexperten ist diese Frage durchaus umstritten. Der österreichische IT-Experte Peter Burgstaller hält eine legale Nutzung von WhatsApp in Europa für praktisch unmöglich. Andere sehen zumindest bei der rein privaten Nutzung des Messengers keine Probleme. Gerichte haben sich mit dieser Frage jedoch noch nicht befasst. Ein Risiko gehen aber gewerbliche Nutzer ein, da diese hierfür abgemahnt werden könnten. Dafür spricht jedenfalls, dass der Bundesgerichtshof (BGH) im Januar dieses Jahres die „Freunde finden“-Funktion von Facebook, die mit dem Auslesen des Adressbuchs bei WhatsApp Ähnlichkeiten aufweist, für wettbewerbswidrig gehalten hat.

Prüfung der Verschlüsselung
Trotz der datenschutzrechtlichen Kritik an WhatsApp ist die Einführung der Verschlüsselung zu begrüßen. Nutzer können nun die Verschlüsselung auch selbst prüfen. So enthalten die Kontaktinfos den Hinweis, ob mit dem jeweiligen Kontakt verschlüsselt kommuniziert werden kann. Wenn der Nutzer diesen Teil der Informationen antippt, wird ferner die Sicherheitsnummer angezeigt und die Kontakte können sich gegenseitig verifizieren, indem sie den Code scannen. Bei den Einstellungen und dort unter Sicherheit können Nutzer aktivieren, dass sie informiert werden, wenn sich die Sicherheitsnummer eines Kontakts ändert. Ist dies der Fall, sollte überprüft werden, ob sich eventuell ein Dritter des WhatsApp-Profils des anderen Kontakts bemächtigt hat.

Alternativen zu WhatsApp
Spätestens seit den Enthüllungen von Edward Snowden haben sich zahlreiche andere Anbieter auf dem Markt etabliert, die ebenfalls einen Instant-Messenger anbieten, aber den Schutz der Nutzerdaten noch stärker in den Vordergrund rücken. Dazu zählen Threema, Signal oder Surespot. Für Nutzer haben diese Dienste aber meist den Nachteil, dass dort nicht so viele Kontakte vertreten sind wie auf WhatsApp. Insofern ist die neue Verschlüsselung ein erster, wichtiger Schritt, um die mobile Kommunikation über Instant-Messenger sicherer zu machen.

Autor: Malte Kröger