Eigentlich war es eine gute Nachricht für Fans des Messengers: Im April 2016 kündigte Whatsapp an, sämtliche Chats Ende-zu-Ende zu verschlüsseln. Im Klartext heißt das: Nicht mal die Betreiber selbst hätten Zugriff auf versendete Nachrichten, Bilder und Videos. Zumindest theoretisch. Denn gerade wurde eine Sicherheits-Lücke bekannt, durch die Whatsapp und Konzern-Mutter Facebook doch alles mitlesen könnten. Und schnell wurden Vorwürfe laut, es könnte sich um eine Hintertür für Geheimdienste handeln.
Die Lücke steckt in der Verschlüsselung selbst. Die erfolgt, vereinfacht gesagt, über zwei Schlüssel, einen zum Senden und einen zum Empfangen. Wenn sich einer der Schlüssel ändert, etwa weil jemand das Gerät wechselt, sendet Whatsapp in der Zwischenzeit verpasste Nachrichten erneut. Das Problem: Ist ein Nutzer offline, kann Whatsapp den Schlüssel auch manuell ändern - und dann theoretisch alle erneut geschickten Nachrichten mitlesen. Der Nutzer erfährt nur davon, wenn er eine bestimmte Option in den Einstellungen aktiviert hat. Andere Messenger verzichten wegen dieser Sicherheitsprobleme auf das erneute Verschicken und weisen den Absender lieber auf das erfolglose Senden hin.
Whatsapp bestreitet die Vorwürfe - teilweise
Der britische "Guardian" war von dem Sicherheits-Experten Tobias Boelter auf die Lücke hingewiesen worden. Der arbeitet an der renommierten US-Universität Berkeley und hatte den Fehler bereits im April 2016 entdeckt - also ganz kurz nach Einführung der Verschlüsselung. Boelter hatte auch die Hintertür-Möglichkeit in den Raum geworfen: "Wenn Whatsapp eine Anfrage von Regierungsbehörden erhält, die Nachrichten herauszugeben, könnte man das nach einem Schlüssel-Wechsel auch tun", sagte er dem "Guardian".
Whatsapp hat der Hintertür-Theorie mittlerweile widersprochen: Die Entscheidung, die Nachrichten erneut zu senden, sei kein Einfallstor für Geheimdienste und Behörden, sondern Service. So sollen demnach Millionen von verlorenen Nachrichten der Nutzer verhindert werden. Über Behörden-Anfragen gäbe der Messenger gemeinsam mit der Konzern-Mutter Facebook in einem Transparenz-Bericht Auskunft. Dem Vorwurf, dass durch die Lücke ein Mitlesen möglich ist, widerspricht Whatsapp in dem Statement aber nicht.
Boelter hatte seine Entdeckung schon im April an Whatsapp gemeldet. Er erhielt die Antwort, dass Facebook den Fehler kenne und es sich um "erwartetes Verhalten" der App handle, berichtet der "Guardian". Man würde nicht aktiv an einer Lösung arbeiten. Auch das Statement von Whatsapp enthält keinen Hinweis darauf, dass man das Problem beheben will.
Das sollte man als Nutzer tun
Wenn einen die Verschlüsselung nicht interessiert, ist das theoretische Mitlesen natürlich erst einmal ziemlich egal. Wer auf Nummer sicher gehen möchte, sollte die Sicherheits-Benachrichtigungen aktivieren. Die Lücke wird so zwar nicht geschlossen. Ändert sich aber der Schlüssel, wird man von Whatsapp informiert. Die Option findet sich sowohl unter Android als auch auf dem iPhone in den Whatsapp-Einstellungen unter "Account" und "Sicherheit".
