Whatsapp hat zuletzt große Schritte unternommen, um seinen Service für die Nutzer sicherer zu machen. Die eingeführte Ende-zu-Ende-Verschlüsselung, die auf das sogenannte Signal-Protokoll aufbaut, gilt als qualitativ enorm hochwertig. Dennoch haben die Privacy-Aktivisten der renommierten Electronic Frontier Foundation (EFF) einige Sicherheitsbedenken gegenüber dem Instant Messenger veröffentlicht, die das Unternehmen nicht außer Acht lassen solle.

Insgesamt hat die Nichtregierungsorganisation (NGO) vier Schwächen aufgelistet. Dazu schreiben die Experten auf dem hauseigenen Blog: „Wir haben kein Problem damit, wie die Chat-Verschlüsselung von Whatsapp durchgeführt wird. Wir hoffen sogar, dass auch andere Dienste die Technologie stärker nutzen.“ Stattdessen wird kritisiert, das Whatsapp trotz des Signal-Protokolls an anderen Stellen schwache Sicherheitsstandards aufweise.

Shutterstock.com)

Die vier Schwächen sieht die EFF in den unverschlüsselten Backups, den fehlenden Key-Change-Benachrichtigungen, dem Whatsapp-Web-Client und dem generellen Datenaustausch mit Facebook, so die Privacy-Aktivisten. In der Folge gehen die Experten auf die einzelnen Sicherheitsbedenken detaillierter ein und beschreiben, was und warum diese Standards nicht ausreichend sind. Jedoch nicht ohne vorher darauf hinzuweisen, dass es trotz aller Bemühungen nie eine 100 prozentige Sicherheit geben würde.

Bezüglich der Backups bemängeln die Kritiker neben der fehlenden Verschlüsselung auch, dass sie in der Cloud nicht passwortgeschützt sind. Generell wird dazu geraten, Chat-Verläufe und Kontaktdaten nicht in virtuellen Speichern abzulegen, solange die nicht entsprechend gesichert sind. Eine Warnung, die durchaus gerechtfertigt ist, angesichts einiger Datendiebstahle in letzter Zeit, die für Aufregung sorgten – wie etwa bei Yahoo.

„Key-Chance-Benachrichtigungen sind essentiell, um sogenannten ‚Man-in-the-Middle‘-Attacken früh zu identifizieren.“

Nicht weniger wichtig ist die Forderung, dass Nutzer darauf hingewiesen werden sollten, sobald sich ein Sicherheitsschlüssel eines Kontaktes ändert. Diese Funktion biete Whatsapp zwar an, jedoch müssen Anwender sie selber in den Einstellungen unter den Menüpunkten „Account“ und „Sicherheit“ einschalten. Die EFF macht darauf aufmerksam, dass solche Benachrichtigungen essentiell sind, um sogenannte „Man-in-the-Middle“-Attacken früh zu identifizieren.

Auch die Sorgen um den Whatsapp-Web-Client führen die Privacy-Aktivisten konkreter aus. Positiv sei, dass Nutzer generell durch eine HTTPS-Verschlüsselung im Browser beim Verschicken und Empfangen der Nachrichten geschützt sind. Jedoch kann ein Web-Client nie so sicher sein, wie etwa ein Desktop-Client, da Daten im Browser beispielsweise durch unbedacht installierte Plugins abgefangen werden können. Wenn schon browserbasiert, dann lieber in Form einer Extension, schreibt die NGO.

Während die oberen Mängel eher technischer Natur und womöglich umsetzbar sind, zielt der letzte Punkt auf ein strategisches Gebaren ab, dass womöglich nicht verändert wird: die Datenübergabe an Facebook, die dazu dient, gezieltere Werbung auf dem sozialen Netzwerk auszuspielen. Die EFF kritisiert, dass Nutzer gar nicht genau wüssten, welche Informationen übermittelt werden und dass man sich zwar der Verarbeitung widersetzen könne, nicht jedoch dem Transfer an sich.

Um das Vertrauen der Sicherheitsexperten wiederherzustellen, so heißt es in dem Blogpost, kann Whatsapp zwei Dinge sicherstellen: Zum einen sollen Anwender die Möglichkeit haben, anhand von nutzerfreundlich gestalteten Privatsphäre-Einstellungen noch mehr Kontrolle über die eigenen Informationen zu bekommen. Und zum anderen solle das Unternehmen sich konkreter zum Datenaustausch-Programm zwischen Whatsapp und Facebook äußern. Eine Reaktion blieb bislang aus.