Home » Weiteres » Warum Whatsapp's Verschlüsselung eine verarsche ist

Warum Whatsapp's Verschlüsselung eine verarsche ist

VonMario

WhatsApp merkt gross an, dass die Chats End zu End verschlüsselt sind, und dass nicht mal sie Zugriff auf die Chats haben, tatsächlich verwenden sie auch eine echte Ende-zu-Ende-Verschlüsselung (E2EE), und das ist technisch gesehen auch keine Lüge. Allerdings gibt es einige Punkte, die die Sicherheit und Privatsphäre in der Praxis beeinflussen können. Lasst uns das gemeinsamen etwas aufschlüsseln.

Quelle Bild: requestly.com
Inhaltsverzeichnis Verbergen
Was bedeutet echte Ende-zu-Ende-Verschlüsselung
Wie funktioniert das bei WhatsApp
Warum gibt es Kritik an der E2EE von WhatsApp
Warum unverschlüsselte Backups die Ende-zu-Ende-Verschlüsselung aushebeln
Was passiert mit unverschlüsselten Backups
Wie wird die E2EE dadurch ausgehebelt
Warum ist das ein Problem
Warum ist es eine Schande, dass E2EE-Backups nicht standardmäßig aktiviert sind
Wie könnte es besser sein
Die Chat-Melde Funktion von Whatsapp
Welche Daten werden bei einer Meldung übermittelt
Warum ist das ein Problem für die Privatsphäre
Was kann ich tun um die Situation zu verbessern
Fazit

Was bedeutet echte Ende-zu-Ende-Verschlüsselung

  • Bei echter E2EE wird eine Nachricht auf deinem Gerät (Client) verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Dazwischen (auch auf den WhatsApp-Servern) ist die Nachricht unlesbar.
  • WhatsApp nutzt das Signal-Protokoll, das weithin als sicher gilt und auch in Signal selbst zum Einsatz kommt.

Wie funktioniert das bei WhatsApp

  1. Verschlüsselungsschlüssel: Jede Konversation hat eigene Schlüssel, die auf den Geräten der Nutzer generiert und gespeichert werden. WhatsApp selbst hat keinen Zugriff auf diese Schlüssel.
  2. Nachrichtenfluss: Nachrichten sind während der Übertragung zwischen den Geräten verschlüsselt. Auf den WhatsApp-Servern sind sie nur in verschlüsselter Form gespeichert.

Warum gibt es Kritik an der E2EE von WhatsApp

  1. Meta-Daten:
    • Obwohl die Inhalte verschlüsselt sind, sammelt WhatsApp Meta-Daten (z. B. wer mit wem wann kommuniziert hat, IP-Adressen, Gerätetypen usw.). Diese Daten können Rückschlüsse auf eure Aktivitäten und Kontakte ermöglichen.
    • Meta (die Muttergesellschaft von WhatsApp) nutzt diese Daten für Werbezwecke und teilt sie mit Behörden.
  2. Cloud-Backups:
    • WhatsApp bietet die Möglichkeit, Nachrichten in der Cloud (Google Drive oder iCloud) zu sichern. Diese Backups sind standardmäßig nicht E2EE-geschützt, es sei denn, ihr aktiviert die "E2EE-Backups"-Option. Ohne diesen Schutz könnten Dritte (z. B. Cloud-Provider, Behörden, oder gar Whatsapp/Facebook selber durch Umwege) auf die Nachrichten zugreifen.
  3. Implementierung und Vertrauen:
    • Obwohl das Signal-Protokoll sicher ist, ist WhatsApp eine proprietäre Software. Das bedeutet, ihr kannst den Quellcode nicht überprüfen, um sicherzustellen, dass alles korrekt implementiert ist.
    • Es besteht immer die theoretische Möglichkeit, dass WhatsApp eine Hintertür eingebaut hat, um bestimmte Nachrichten zu entschlüsseln. Beispielsweise könnte die Melde Funktion missbraucht werden, und teile eurer Chats an Facebook in Klartext übermittelt werden. Dies könnte auf staatlichen Druck geschehen.
  4. Clientseitige Überwachung:
    • Es gibt Berichte, dass WhatsApp (wie andere Plattformen auch) Algorithmen verwendet, um Inhalte auf eurem Gerät zu überprüfen, beispielsweise um Missbrauch oder illegale Inhalte zu erkennen. Dies könnte potenziell die Privatsphäre beeinträchtigen. Dies erfordert gewisse Hintertüren die eingebaut sind, um die Chats clientseitig vor der Verschlüsselung zu analysieren.
Backups sind stardmässig nicht verschlüsselt und für alle Cloudbetreiber lesbar.

Warum unverschlüsselte Backups die Ende-zu-Ende-Verschlüsselung aushebeln

Ein zentraler Kritikpunkt an WhatsApp ist die Möglichkeit, Chatverläufe in Cloud-Diensten wie Google Drive oder iCloud zu sichern, die nicht standardmäßig Ende-zu-Ende verschlüsselt sind. Dieses "Feature" macht die ganze E2EE-Implementierung im Grunde genommen hinfällig – und das ist tatsächlich ein großer Kritikpunkt.

Was passiert mit unverschlüsselten Backups

  • Wenn ihr ein Backup erstellt, werden alle Nachrichten, Bilder und Videos in einer Datei gespeichert und in die Cloud hochgeladen.
  • Standardmäßig sind diese Backups nicht Ende-zu-Ende verschlüsselt, es sei denn, ihr aktiviert explizit die entsprechende Option in den Einstellungen (was nur wenige Nutzer wissen oder tun).

Wie wird die E2EE dadurch ausgehebelt

  • Entschlüsselung bei Backup-Erstellung: Auf eurem Gerät werden die Nachrichten entschlüsselt und im Klartext ins Backup geschrieben. Das bedeutet, dass diese Daten in der Cloud liegen, ohne die Sicherheit der ursprünglichen Verschlüsselung.
  • Angreifbarkeit der Cloud:
    • Google Drive und iCloud sind nicht für den Schutz sensibler Daten konzipiert. Sollte jemand Zugriff auf dein Cloud-Konto erhalten (z. B. durch Phishing oder Sicherheitslücken), sind eure Nachrichten leicht zugänglich.
    • Selbst Strafverfolgungsbehörden können oft relativ einfach auf diese Backups zugreifen, da sie entweder direkt von den Cloud-Anbietern herausgegeben werden oder durch rechtliche Anordnungen (z. B. bei iCloud in den USA) zugänglich sind.
  • Schlüsselverwaltung: Da die Verschlüsselung der Backups nicht automatisch durch WhatsApp erfolgt, sondern von den Cloud-Anbietern abhängt, hat Meta keinen Einfluss mehr darauf, wer diese Daten entschlüsseln kann.

Warum ist das ein Problem

  • Die Nutzer werden in falscher Sicherheit gewiegt: WhatsApp preist seine Ende-zu-Ende-Verschlüsselung als ultimativen Schutz an. Doch durch unverschlüsselte Backups werden diese Versprechen ins Gegenteil verkehrt, weil Nachrichten über Umwege wieder im Klartext verfügbar sind.
  • Unwissenheit der Nutzer: Viele Menschen gehen davon aus, dass ihre Daten immer sicher sind, weil sie den Begriff "Ende-zu-Ende-Verschlüsselung" hören. Dass sie ein Backup manuell verschlüsseln müssen, ist den meisten nicht bewusst.
  • Fehlende Transparenz: WhatsApp könnte die E2EE-Backups standardmäßig aktivieren, tut es aber nicht. Es liegt allein am Nutzer, diese Option zu finden und einzuschalten.

Warum ist es eine Schande, dass E2EE-Backups nicht standardmäßig aktiviert sind

  • WhatsApp hat die technische Möglichkeit: Die Funktion, Backups mit Ende-zu-Ende-Verschlüsselung zu sichern, existiert bereits. Es wäre ein einfacher Schritt, diese Option per Default zu aktivieren, sobald der Nutzer ein Backup einrichtet.
  • Meta hat die Ressourcen, den Standard zu setzen: Als einer der größten Messenger-Dienste der Welt könnte WhatsApp ein Vorbild für andere sein. Stattdessen zwingen sie die Nutzer, aktiv ihre Privatsphäre einzufordern – eine bewusste Entscheidung, die Bequemlichkeit über Sicherheit stellt.
  • Nutzerfreundlichkeit wird vorgeschoben: Der Grund, warum E2EE-Backups nicht standardmäßig aktiviert sind, könnte sein, dass es zusätzlichen Aufwand erfordert, wie die Erstellung eines eigenen Passworts oder Schlüssels. Doch Bequemlichkeit auf Kosten der Sicherheit ist keine Entschuldigung für eine derart weit verbreitete App.

Wie könnte es besser sein

  • Automatische Aktivierung: E2EE-Backups sollten standardmäßig aktiviert werden, und WhatsApp sollte klar darauf hinweisen, dass ein starkes Passwort notwendig ist.
  • Transparenz erhöhen: WhatsApp sollte deutlicher kommunizieren, dass unverschlüsselte Backups ein massives Sicherheitsrisiko darstellen.
  • Keine halben Versprechen: Wenn eine App mit E2EE wirbt, sollte sie sicherstellen, dass diese Verschlüsselung durchgängig ist – ohne Hintertüren wie unverschlüsselte Backups.

Dass WhatsApp so ein riesiges Sicherheitsleck nicht standardmäßig behebt, ist mehr als nur ein Versäumnis – es ist eine Schande. Es sendet die Botschaft, dass Bequemlichkeit und die Kontrolle über Daten wichtiger sind als die Privatsphäre der Nutzer. Echte Sicherheit erfordert, dass solche Funktionen standardmäßig aktiviert sind, und nicht nur als Option für diejenigen, die zufällig in den Einstellungen danach suchen.

Das Melden von Chats in WhatsApp ist ein oft diskutiertes Thema, da es auf den ersten Blick mit der Ende-zu-Ende-Verschlüsselung (E2EE) in Konflikt zu stehen scheint. Aber es gibt eine technische Erklärung, wie das funktioniert, ohne die Grundprinzipien der Verschlüsselung zu verletzen. Lass uns das im Detail betrachten:

Die Chat-Melde Funktion von Whatsapp

Wenn jemand einen Chat meldet, erlaubt WhatsApp, dass eine Kopie der letzten Nachrichten aus dem Chat an WhatsApp weitergeleitet wird. Das heisst also, dass eure verschlüsselten Chats an Whatsapp unverschlüsselt ausgeliefert werden. Diese Nachrichten werden direkt von eurem Gerät entschlüsselt (ohne dass ihr es erfahrt) und dann an die WhatsApp-Server geschickt. Das bedeutet:

  • Die Ende-zu-Ende-Verschlüsselung bleibt technisch intakt, jedoch wird eine Kopie in unverschlüsselter Form eurer Chats und der, der gemeldet hat, an Whatsapp gesendet.
  • WhatsApp erhält nur die Nachrichten, die ihr selbst entschlüsselt und gemeldet habt, oder wenn jemand eure Nachrichten gemeldet hat, jedoch nicht den gesamten Chatverlauf.

Das Melden ist also im Wesentlichen eine Freigabe von Daten durch den Benutzer, aber ohne Zustimmung des anderen.

Welche Daten werden bei einer Meldung übermittelt

Laut WhatsApp umfasst eine Meldung typischerweise:

  • Die letzten 5 Nachrichten des gemeldeten Chats oder der gemeldeten Gruppe.
  • Informationen über den Chat, z. B. den Namen des Kontakts oder der Gruppe.
  • Meta-Daten wie Zeitpunkt der Nachrichten und möglicherweise Profilinformationen des Kontakts.

Die gemeldeten Nachrichten werden dann überprüft, um Verstöße gegen die Nutzungsbedingungen festzustellen (z. B. Spam, Missbrauch, illegale Inhalte).

Warum ist das ein Problem für die Privatsphäre

Obwohl die technische E2EE erhalten bleibt, gibt es dennoch Kritik:

  • Möglichkeit des Missbrauchs: Jeder Nutzer in einem Chat kann Nachrichten weiterleiten oder melden, wodurch die Privatsphäre anderer gefährdet wird.
  • Zentralisierung der Daten: Sobald Nachrichten gemeldet werden, landen sie unverschlüsselt auf den WhatsApp-Servern und könnten dort länger gespeichert oder weiterverarbeitet werden.
  • Vertrauen in den Nutzer: Die E2EE schützt euch nicht davor, dass eure Chatpartner Nachrichten teilt, meldet oder Screenshots erstellt. Es gibt keine Garantie für Vertraulichkeit im sozialen Kontext.

Was kann ich tun um die Situation zu verbessern

Einen anderen Messenger verwenden! Nein, Spass, wir wissen genau was dies für eine Hürde darstellt, deshalb geben wir auch Tipps, und motzen nicht nur, um die Situation etwas zu entschärfen. Aktiviert die Verschlüsselung für die Chat Backups, benutzt wenn möglich einen Whatsapp Proxy wie unseren Servern um eure IP zu verstecken, und entfernt unnötige Berechtigungen wie Standort, und Geräte in der Nähe. Die Berechtigungen zu entfernen, nicht mehr auf euer Kontaktbuch zuzugreifen nützt nicht mehr viel, den eure Kontakte hat Whatsapp schon, und eure Kontakte tauchen nur noch als Telefonnummern auf. Nutzt wenn möglich auf GrapheneOS Storage Scopes und erlaubt Whatsapp nur Zugriff auf bestimmte Ordner, und nicht all eure Medien! Gegen die Meldefunktion könnt ihr allerdings nicht viel tun. Wann und wie oft sie ausgeführt wird, habt ihr nicht unter Kontrolle.

Fazit

WhatsApp verwendet echte Ende-zu-Ende-Verschlüsselung nach dem Signal-Protokoll, was bedeutet, dass deine Nachrichten für WhatsApp selbst unlesbar sein sollten. Die Kritikpunkte liegen hauptsächlich bei:

  • Meta-Daten-Sammlung,
  • nicht standardmäßig verschlüsselten Backups,
  • mangelnder Transparenz aufgrund proprietärer Software,
  • und der Möglichkeit von clientseitiger Überwachung.

Wenn Privatsphäre wirklich ein Anliegen von WhatsApp wäre, gäbe es keine unverschlüsselten Backups – Punkt.

Wenn ihr absolute Sicherheit und Privatsphäre sucht, wäre ein Dienst wie Signal/Molly oder Matrix (mit E2EE standardmässig für Chats und Backups aktiviert) eine bessere Wahl, da diese Plattformen offener und weniger datenhungrig sind.

Ähnliche Beiträge

Mit Windows und Putty SSH Verbindungen aufbauen

Mit Windows und Putty SSH Verbindungen aufbauen

VonMario

In diesem Artikel geht es darum, wie Ihr mit Windows und Putty SSH Verbindungen aufbauen könnt. PuTTY ist ein freies und weit verbreitetes Programm, das es ermöglicht, Netzwerkverbindungen zu anderen...

Scannen unter Linux und GIMP Scan Anleitung

Scannen unter Linux und GIMP Scan Anleitung

VonMario

Scannen unter Linux und Gimp Scan Anleitung heute als Thema für unsere Umsteiger: Das Scannen von Dokumenten und Bildern auf einem Computer, der mit Linux Mint betrieben wird, mag auf...

Aurora Store Installation und Anwendung

Aurora Store Installation und Anwendung

VonMario

Nach dem F-Droid Store Beitrag, befassen wir uns als nächsten mit dem Aurora Store, inklusive dessen Installation und schauen uns gleich auch die Anwendung an. Der Aurora Stora ist für...

Android Open Source Firewall ReThink

Android Open Source Firewall ReThink

VonMario

In der heutigen vernetzten Welt sind die Sicherheit und der Schutz der Privatsphäre von entscheidender Bedeutung. Eine Open-Source Firewall-Lösung für Android-Nutzer ist Rethink Firewall, die es ermöglicht, den Zugriff auf...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert