Es geht um Mobile Instant Messenger, im speziellen WhatsApp. Etwa 80% meiner Kontakte verwenden WhatsApp, 10% Facebook Messenger und der Rest einen anderen Messenger oder eben gar keinen. Auslöser dieses Blogposts sind zwei TV Berichte die ich letze Woche ertragen durfte, zu einem mal Gallileo und zum anderen Abenteuer Leben. In beiden Sendungen wurde WhatsApp als mittlerweile "Sicher" dargestellt. Nein, gerade WhatsApp hat mehrfach gezeigt, dass man an echter Sicherheit wenig Interesse hat. Aber dazu eine ganz kurze Einführung in Unterschiede der Verschlüsselungen:
 

Verschlüsselung?

Ich versuche mich kurz zu fassen, es gibt mehrere Möglichkeiten der Verschlüsselung. Zum einen die Transport-Verschlüsselung, hier werden die Daten auf dem Weg vom Nutzer zum Server verschlüsselt. Der Server selbst besitzt einen "Schlüssel" und entschlüsselt die Daten und verarbeitet/verteilt diese dann weiter:
MSDN;http://msdn.microsoft.com/en-us/library/ff647370.aspx
Symmetrische Verschlüsselung: Um zu verhindern das der Anbieter mitliest, kann man Nachrichten bereits bevor sie gesendet werden Verschlüsseln. Nur Empfänger welche den "Schlüssel" besitzen können die Nachricht Öffnen. Das Problem hierbei ist jedoch der Schlüssel selbst; Wie lasse ich jemandem einen Schlüssel zukommen, wenn ich mir nicht sicher sein kann das er nicht unterwegs abgefangen und womöglich kopiert wird. Da nutzt das beste Schloss nichts wenn der Einbrecher einen Schlüssel dafür besitzt. Und für jeden Kontakt einen Schlüssel persönlich auszutauschen ist unpraktikabel.
IBM;http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/index.jsp?topic=%2Fcom.ibm.mq.csqzas.doc%2Fsy10500_.htm
 
Eine Alternative dazu ist die Asymmetrische Verschlüsselung, hier besitzt man einen öffentlichen Schlüssel und einen Privaten Schlüssel. Den ersten darf und muss sogar jeder besitzen der einem Nachrichten zustellen möchte. Der zweite bleibt, wie es der Name sagt, Privat und darf auf keinen Fall in fremde Hände geraten.
IBM;http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/index.jsp?topic=%2Fcom.ibm.mq.csqzas.doc%2Fsy10500_.htm
Der Nachrichten Text wir mit dem Öffentlichen Schlüssel des Empfängers verschlüsselt, nur der Private Schlüssel ist in der Lage diese Verschlüsselung zu entschlüsseln.
Einfach erklärt: Stell Dir vor du besitzt eine Truhe; Zu dieser Truhe gibt es zwei Schlüssel. Ein Schlüssel kann nur  Abschließen und der andere kann nur aufschließen. Du gibst nun einem Freund den Schlüssel zum abschließen. Nun legt er dir eine Nachricht in die Truhe und verschließt diese.  Nur du verfügst über den Schlüssel zum aufsperren, folglich kannst nur du an diese Nachricht gelangen.
 

WhatsApp & Co

Um nun wieder zurück zu den Messengern zu kommen, WhatsApp verwendete zu Beginn gar keine Verschlüsselung. Schnell hagelte es Kritik und man schob eine SSL basierte Transport Verschlüsselung nach. Diese war zudem nur mit einem SHA-1 Zertifikat in 128bit sehr schwach und anfällig. Nachdem WhatsApp damit erneut 2012 in viele Schlagzeilen kam, schob man eine weitere Verschlüsselungs Ebene ein. Diese basierte auf einer Symmetrischen Transport Verschlüsselung. Abgesehen davon das es nach wie vor lediglich eine Transportverschlüsselung ist, wurden zudem bei der Einbindung  einige grobe Schnitzer gemacht. Mehr Details dazu z.B. bei Golem, WDR, Viamsec oder arstechnica.

Also, entgegen der Behauptungen in den genannten TV Sendungen: WhatsApp ist nicht als sicher zu bezeichnen.

Aber... Ich hab doch nichts...

Vielleicht geht es dem ein oder anderem ja ähnlich; Spricht man eine Alternativ Empfehlung aus, bekommt man Antworten wie: "Brauch ich nicht, ich verschicke ja keine Geheimsachen darüber", "Och ich hab nix zu verbergen"....

Eigentlich müsste man jedes mal eine Grundsatz Debatte über Privacy und das Internet auspacken. Kurz; Es geht nicht darum irgend welche Bomben-Bau Anleitungen geheim zu verschicken. Es geht einfach um die grundlegende Sicherheitsstruktur und den Wert der Privatsphäre. Nur weil es nicht unter klassifizierter Geheimhaltung steht muss ich doch trotzdem nicht leichtsinnig mit meinen Informationen und Gewohnheiten umgehen. Eine Leseempfehlung ist hier er Artikel: Von der informationellen Selbstbestimmung zur informationellen Fremdbestimmung.

Alternativen?

Zwei spannende Alternativen zu WhatsApp sind die Messenger Threema und Heml.is. Beide verwenden eine sehr ähnliche Technik um zwischen Sicherheit und Komfort eine gangbare Lösung zu bieten.
Sicherheitskonzepte haben nämlich eines oft gemein, sie sind furchtbar kompliziert und je höher das Sicherheitslevel wird desto impraktikabler sind die Anwendungen. Beide Messenger möchten nicht das Sichere aber hässliche Entlein sein und bieten in einer Hübschen UI all das was wir von WhatsApp kennen gelernt haben. In der Nutzung ist also keine Umgewöhnung notwendig.
Während der Schweizer Threema Client bereits seit geraumer Zeit für iOS und Android zu haben ist, bietet der per Kickstarter gegründete Heml.is bisher nur hübsche Bilder.

Das Problem...

Das Problem ist die kritische Masse der Alternativen, dank der NSA Affäre haben zwar beide viel Publicity erhalten aber gegen Whatsapp oder den Facebook Messenger kommt man nicht an. Wieso? Nun, da wären wir wieder beim Individuellen Wert der Privacy. Man schwimmt halt immer den Weg des geringsten Wiederstandes. "Whatsapp, dort sind ja alle, die anderen nutzt ja keiner" - Klassisches Henne - Ei Problem.

Auch einige Schwarze Schafe mit halbherzig implementierten Verschlüsslungen machen es gerade nicht leichter. Kryptographie ist ein sehr komplexes Gebiet, kleinste Fehler können einen aufwändigen Vorgang komplett unbrauchbar machen. Da sowohl bei Hemli.sh und Threema auf langjährig erprobte Verschlüsselungs Implementierungen gesetzt wird macht beide zu den einzigen aktuellen Alternativen.

Ich für meinen Teil hoffe mit diesem kleinen Artikel aufgezeigt zu haben wieso man das gegebene hin und wieder hinterfragen sollte. Und bitte glaubt nicht jeden Mist den man im TV erzählt.

Wer sich durchringt Threema zu installieren und meine Handynummer nicht in seinem Adressbuch hat, findet mich dort unter der ID: 4URR4YWN

Wie sieht es bei euch aus? Whatsapp Gewohnheitstier?

Auch interessant: Messenger Vergleichstabelle

Amazon Logo Diesen Blog unterstützen?
Bestell dir doch etwas bei Amazon. Nutze diesen speziellen Link, es kostet dich nichts extra und für jeden Kauf darüber erhalte ich eine kleine Gutschrift. Danke!
✉ Marco Götze//

Kommentare

noch 15 Einträge