Fulda – Im Laufe des vergangenen Jahres hat der Chat-Dienst WhatsApp in Sachen Sicherheit nachgebessert: Die Einführung einer teilweisen Ende-zu-Ende-Verschlüsselung sowie die Möglichkeit, die Sichtbarkeit der Userdaten einzuschränken, sollen den Dienst sicherer machen.
Zufrieden zeigt sich IT-Sicherheitsexperte Christian Heutger dennoch nicht: „WhatsApp bedient sich zwar inzwischen an der Ende-zu-Ende-Verschlüsselung des freien Messengers TextSecure aus dem Hause Open Whisper Systems. Die TextSecure-Verschlüsselung ist speziell auf die Anforderungen ausgelegt, die Messenger mit sich bringen. Trotzdem ist WhatsApp noch immer mit Vorsicht zu genießen“, lautet das Urteil des Geschäftsführers des Internet-Providers PSW GROUP (www.psw-group.de).
Die Erneuerung der Verschlüsselung – weg von RC4, einem veralteten und vormals verwendeten Verschlüsselungsalgorithmus, hin zu einer mehrfach geprüften, quelloffenen und hoch geschätzten Ende-zu-Ende-Verschlüsselung – ist zwar ein sehr guter Schritt in die richtige Richtung. Dennoch: Sicher verschlüsselt WhatsApp lediglich private Nachrichten. Gruppen-Chats, Foto- oder Videoversand erfolgen noch immer mit alten Methoden. „Wenngleich WhatsApp den Nachrichtenversand nun teilweise verschlüsselt, ist der Messenger noch immer nicht sicher. Nach der Installation greift die App nämlich ohne Nachfrage auf das Adressbuch des Users zu, um diejenigen Kontakte in die Favoritenliste zu speichern, die ebenfalls WhatsApp verwenden. Das erhöht zweifelsfrei den Komfort, ist aber genau das Gegenteil von Datenschutz, da Nutzerdaten abgeglichen, also übertragen und verarbeitet werden“, bemängelt Heutger.
Kritisch betrachtet er auch die Möglichkeit, die Sichtbarkeit der eigenen Nutzerdaten einzuschränken. „Das hat wenig mit tatsächlichem Datenschutz zu tun. Denn obwohl Kontakte und Fremde nun nicht mehr alles von einem Nutzer sehen, werden dessen Daten auch weiterhin erhoben und genutzt – und in die USA transferiert, wo eigene Datenschutzregeln gelten“, erläutert Heutger.
Ein Teil der AGB ist zudem nach wie vor das Nicht-Einsehen des Quellcodes. Unabhängige Quellcodeanalysen zum Überprüfen der Sicherheitsversprechen sind damit weiterhin nicht möglich. Noch immer ist WhatsApp nach amerikanischem Recht dazu verpflichtet, auf Anfragen von US-Behörden mit der Herausgabe persönlicher Daten zu reagieren. Darüber hinaus übermittelt der Messenger Adressbuch- und weitere Daten regelmäßig auf seine Server, die in den USA beheimatet sind. „Das Datenschutzniveau der USA liegt weit unter dem hierzulande. Problematisch ist weiterhin, dass die Login-Daten der Nutzer mit der Gerätenummer ihres Mobiltelefons (IMEI) verknüpft werden. Das sorgt nicht nur dafür, dass Nutzer getrackt werden, sondern macht auch den Weg für Identitätsdiebstahl frei. Es wäre dem Admin eines WLAN-Netzes beispielsweise problemlos möglich, diese Nummer zu sehen und so ein WhatsApp-Konto zu kapern“, ergänzt der IT-Sicherheitsexperte.