18.06.2014

WhatsApp Sicherheit: Sicheres chatten?

Messaging und Chatten sind äusserst beliebt, auch im Unternehmensbereich. Die direkte und sofortige Nachrichtenübermittlung per SMS, WhatsApp, Facebook Messenger, Google Talk und Konsorten erfährt seit Jahren steile Zuwachsraten. Diese Beliebtheit ist recht bemerkenswert, denn die Clients für das Instant Messaging galten und gelten vielen als Einfallstor für das Ausspähen persönlicher Daten.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
WhatsApp Sicherheit

To WhatsApp oder nicht WhatsApp?! Ist WhatsApp Sicherheit gegeben?

Als Clients verstehen wir die lokal auf den Laptops, PCs, vor allem aber Smartphones und Tablets installierten Apps, mit denen Anwender auf die Nachrichtenserver zugreifen. Nun werden diese Apps sicherlich nicht per se zum Zwecke des Ausspionierens der Daten, die ein User auf seinem Smartphone beherbergt, programmiert; aber alleine schon der unbeschränkte Zugriff auf die persönlichen Kontakte und die Übermittlung des aktuellen Standorts, den viele dieser Dienste einfordern oder zumindest sehr nachdrücklich anfragen, sorgte bei vielen Nutzern immer schon für ein gewisses Misstrauen.

WhatsApp beispielsweise «setzt zur Identifizierung seiner Nutzer auf die Telefonnummer. Der Dienst durchsucht das Adressbuch des Nutzers und lädt sämtliche gespeicherte Handy-Nummern auf seine Server in den USA», wurde auf der Webseite teltarif.de bereits vor längerer Zeit gewarnt. Und weiter: «Auf den Servern werden die Nummern analysiert und die Benutzer miteinander verbunden». Zu all dem gibt man als User nicht unbedingt implizit seine Zustimmung. Zwar wurde auch immer wieder erklärt, dass bei einer Telefonnummer, die «nicht als Nutzer von WhatsApp bekannt (ist), (…) laut den Datenschutzbestimmungen nur ein Hash der Nummer gespeichert werden» solle. (zit. n. www.teltarif.de)

Wie aber die aktuelle Diskussion um das Thema NSA, Prism, Snowden und Co. zeigt, weiss eigentlich niemand so richtig, was mit seinen Daten geschieht. Weltweit verfügbare Dienste im Internet, die übrigens oftmals auf Cloudlösungen beruhen, sind aus sicherheitsrelevanter Sicht alles andere als vertrauenswürdig. Wir wollen hier diese Diskussion nicht erneut aufgreifen, aber darauf hinweisen, dass solche Bedenken hinsichtlich der unbedarften Nutzung sozialer Netzwerke keineswegs haltlos sind. Nicht umsonst sind Facebook, WhatsApp und Co. in so manchem Unternehmen verbannt, sofern die IT-Verantwortlichen dies technisch überhaupt hinbekommen. Mobile Device Management, Proxies, Contentfilter und so weiter sind hier die Mittel der Wahl.

WhatsApp Sicherheit: Was passiert mit unseren Daten?

Zurück zur Frage, was mit unseren Daten in den sozialen Netzwerken und Chaträumen geschieht. Können wir schon nicht ganz sicher sein, welche Daten auf welchen Servern gelagert und möglicherweise mitgelesen werden, sind zwei Erkenntnisse hierbei wiederum doch recht eindeutig. Zum einen werden die Nachrichten bei vielen Diensten unverschlüsselt übertragen. Somit können andere Nutzer im Netzwerk diese mitlesen, sofern ihnen die technischen Möglichkeiten hierfür zur Verfügung stehen. Zwar wird sich der durchschnittliche Freizeithacker – die berüchtigten «Script-Kiddies» oder der neugierige Nachbar mit zuviel Freizeit und Hackerambitionen – kaum in ein Telefon- oder Mobilfunknetz einklinken können. Aber bei WhatsApp geht es ja gerade darum, die Chats kostengünstig über das WLAN ablaufen zu lassen. Und hierzu warnte die Webseite areamobile.de bereits im Frühjahr 2012: «Android-Anwendung liest WhatsApp-Unterhaltungen mit. Die Sicherheits-Spezialisten von G-Data warnen vor einer Android-App, die in einem öffentlichen WLAN WhatsApp-Konversationen ausspähen kann. Google hat inzwischen die WhatsApp Sniffer genannte Applikation aus dem Google Play Store entfernt, doch mehrere tausend Nutzer hatten das Schnüffel-Programm bereits zuvor heruntergeladen.» (zit. n. www.areamobile.de) Somit war die WhatsApp Sicherheitlange nicht gewährleistet.

Allzu sorgloser Umgang beim Chatten kann sich also früher oder später rächen. Und auf den Servern vieler Dienstanbieter werden unsere Chats dann ohnehin (unverschlüsselt?!) gelagert. Der eigentliche Skandal ist dabei aber, dass die Anbieter der Chatdienste, allen voran WhatsApp, dies unbedingt voraussetzen. Der zweite Skandal ist derjenige, dass wir als User dem ganzen auch noch zustimmen.

«Denn die Anwendung», so wird auf dem Blog pretioso-blog.com gewarnt, «überträgt das gesamte Adressbuch – ohne klaren und direkten Hinweis hierauf – heimlich im Hintergrund auf amerikanische Server, was für den Unternehmenseinsatz ein totales Ausschlusskriterium ist. Wenn man diese Datenübertragung – genauer gesagt den Zugriff auf das Adressbuch – unterbindet, ist die Anwendung funktionsunfähig.» Und WhatsApp weist hierauf in den Softwarebedingungen sogar eindeutig – wenngleich auf Englisch – hin: «The Whats­App Sites and Services are hosted in the United States and are intended for and directed to Users in the United States. If you are a User accessing the WhatsApp Sites and Services from the European Union, Asia, or any other region (…) please be advised that (…) you are transferring your personal information to the United States and you consent to that transfer.» (zit. n. www.pretioso-blog.com)

Entsprechend fällt die Warnung auf pretioso-blog.com auch eindeutig aus: «Wir stellen bei Pretioso jeden Tag fest, dass die Bedrohungslage in der schönen neuen mobilen Welt von vielen Firmen noch nicht oder nur unzureichend verstanden wird».

WhatsApp und Facebook

Seit dem Verkauf von WhatsApp an Facebook ist auch ein weiterer Grund für das Interesse an diesen Daten klar. Es dürfte den Unternehmen weniger um die regelmässigen Beiträge der Anwender gehen. Diese bewegen sich zwar im Millionenbereich, rechtfertigen aber sicherlich nicht die immense Verkaufssumme, die Facebook für WhatsApp gezahlt hat, sondern um den Zugriff auf die Daten, vor allem die Adressdaten der 450 Millionen Anwender.

Den Ausweg aus diesem Dilemma bietet derzeit nur, zumindest auf WhatsApp und Facebook zu verzichten.

Es gibt aber durchaus Alternativen, die den Schwerpunkt auf Sicherheit legen. Immerhin sind die Vorteile der schnellen Chats (Unkompliziertheit, Multimediafähigkeit, geringe Kosten bei WLAN- bzw. Mobildaten-Nutzung) ja nicht von der Hand zu weisen, auch nicht im Businessbereich.

Threema: Schweizerisch und sicher

Erfunden haben´s mal wieder die Schweizer. Threema wird von der Kasper Systems GmbH aus der Nähe von Zürich entwickelt und vertrieben. Die App ist immer wieder eine der beliebtesten in Apples AppStore und bei Google Play.

Threema verschlüsselt die Nachrichten zwischen Sender und Empfänger und die Kommunikation zwischen dem jeweiligen Smartphone und den Threema-Servern, die übrigens laut Eigenaussage von Threema sämtlich in der Schweiz verortet sind. Neben der Ende-zu-Ende-Verschlüsselung für die Chats werden auch die Verbindungen zwischen Smartphone und Server verschlüsselt, um sicherzustellen, dass ein Angreifer keine Rückschlüsse auf die Identität des Absenders ziehen kann. Da Verschlüsselung und Entschlüsselung auf dem Smartphone durchgeführt werden, kann nicht einmal der Serverbetreiber den Inhalt der Kommunikation entziffern.

Allerdings weist die Stiftung Warentest darauf hin, dass Threema keine quelloffene Software ist: «Eine komplette Analyse des Datensendeverhaltens ist daher nicht möglich. Die Prüfer können ausschliessen, dass die App Nutzerdaten unverschlüsselt überträgt. Ob sie manche Daten aber eventuell verschlüsselt kommuniziert, konnten sie nicht zweifelsfrei feststellen».

Einen Überblick über den Test, der neben Threema und WhatsApp auch Telegram, Line und den Blackberry Messenger einer kritischen Betrachtung unterzieht, finden Sie hier: www.test.de

Fazit zur WhatsApp Sicherheit

Wir sehen also, ein weitgehend sicherer und vertraulicher Chat ist möglich. Allerdings muss man sich nichts vormachen. Bekanntlich setzen sich die Fliegen auf den grössten Haufen und auch McDonald ist ein weltumspannender Konzern geworden, obwohl kaum jemand dort isst. Bei den sozialen Netzwerken wird inzwischen ebenfalls gerne darauf geschimpft, aber Facebook und WhatsApp zählen zu den beliebtesten Plattformen für soziale Netzwerke und Nachrichtenaustausch. Auch der Autor dieser Zeilen der WhatsApp nutzt, sich aber auf private Chats mit wenigen Kontakten beschränkt, muss beim Blick in das Adressbuch seines Smartphones feststellen, dass WhatsApp von einigen hundert Kontakten genutzt wird und Threema von ganzen fünfzehn. Immerhin, die Adressliste wird langsam, aber stetig länger. Und wer weiss, welchen Weg die Entwicklung in einem oder zwei Jahren genommen haben wird. Ein längst bekannter Grundsatz, der aber leider zu selten befolgt wird, dürfte aber auch dann noch Gültigkeit haben: geben Sie im Internet so wenig von sich preis wie möglich, und versenden Sie sensible Daten nur über Kommunikationswege, denen Sie vertrauen können. WhatsApp zählt sicherlich nicht dazu.

MaLiWi IT

Produkt-Empfehlungen

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    CHF 98.00

  • Cloud-Computing

    Cloud-Computing

    Erfahren Sie welchen Nutzen Cloud-Computing Ihnen und Ihrem Unternehmen bringen kann.

    Mehr Infos

  • Erfolgreiches Networking

    Erfolgreiches Networking

    Wie Sie mit Ihrer Persönlichkeit und Ihrem Auftreten überzeugen

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Nächster Termin: 19. Juni 2018

mehr Infos