Wer wie die meisten deutschen Smartphone-Besitzer bei Whatsapp chattet, wägt sich eigentlich in relativer Sicherheit. Um Kontakt aufzunehmen, braucht man die Handy-Nummer. Ein Register mit Nutzern, in dem Betrüger sich Opfer suchen können, gibt es nicht - zumindest nicht offiziell. Denn ein Sicherheits-Experte aus Holland hat nun gezeigt, dass sich eine solche Datenbank mit wenig Aufwand erstellen lässt, inklusive Profilbild.

Das Problem ist an sich schon länger bekannt: Speichert man eine Rufnummer in seinem Adressbuch, zeigt Whatsapp die Daten der entsprechenden Person an - ganz egal, ob diese davon weiß oder einen überhaupt kennt. Das Profilbild, die Status-Meldung und der Online-Status sind so abrufbar. Wollte man größere Mengen von Nutzern auf diese Art ausspionieren, müsste man dafür allerdings alle ihre Nummern einspeichern. Eigentlich. Denn Sicherheits-Experte Loran Kloeze schaffte es auf viel einfachere Weise, wie er in einem Blogpost erklärt.

Whatsapp-Register im Eigenbau

Dazu bediente er sich eines Tricks. Wenn man die Seite web.whatsapp.com aufruft und den abgebildeten Code mit der Whatsapp-App auf dem Smartphone scannt, kann man den Messenger auch über den Browser nutzen. Hier griff Kloeze an. Er schrieb ein kleines Programm, das einfach Nummern durchprobierte - und erhielt von fast allen die entsprechenden Infos. Ganz ohne die Nummern als Kontakt speichern zu müssen. Er ist sicher: Mit genug Zeit lässt sich auf diese Weise eine Datenbank fast aller Nutzer anlegen. Ein Traum für Spammer und Betrüger. Zudem ist eine Art Überwachung möglich, indem etwa ausgewertet wird, wie oft man online ist, das Profilbild wechselt oder den Status ändert.

Als Kloeze Whatsapp damit konfrontierte, erhielt er eine erschreckende Antwort: Der Konzern wisse um die Möglichkeit - sehe sie aber nicht als Problem an, antwortete ein Mitarbeiter. Es handle sich nicht um einen Fehler, schließlich könnten die Nutzer ihre Privatsphäre-Einstellungen ändern. Und tatsächlich: Laut Kloeze konnten die Daten von Nutzern mit Privatsphäre-Sperre nicht über das Netz abgerufen werden.

So schützen Sie Ihre Daten

Idealerweise sollten also alle Nutzer ihre Daten so schützen. Öffnen Sie dazu die Whatsapp-Einstellungen. Dort lässt sich unter "Account" und dann "Datenschutz" einstellen, wer die Profil-Informationen sehen kann. In der Standard-Einstellung, die kaum jemand ändern dürfte, kann tatsächlich jeder die Daten abrufen. Sinnvoller ist allerdings, es nur Kontakten zu erlauben. Wer völlig auf seine Privatsphäre bedacht ist, kann es auch allen verbieten. Praktisch: Die Einstellung lassen sich für jede der Profil-Informationen einzeln vornehmen.