Dieses Video ist über 1 Jahr alt und kann von der heutigen Qualität abweichen.

Ist WhatsApp sicher? (Verschlüsselung)

Inhalt

Whatsapp ist seit vielen Jahren der beliebteste Chat-Messenger der Welt. Mindestens genauso lange steht er in Kritik das er unsicher sein soll. Seit April 2016 aber, benutzt er die „Ende-zu-Ende“-Verschlüsslung.

Tatsächlich verschlüsselt er so schon seit November 2014! Aber nur manche Nachrichten… irgendwie…

Neu ist nun, das alle Nachrichten, Daten und auch Gruppenchats verschlüsselt werden sollen. Aber was bedeutet „Ende-zu-Ende-Verschlüsslung“ eigentlich? Und ist Whatsapp nun wirklich sicher?

Doch bevor wir uns die Verschlüsselung ansehen, sollten wir erstmal verstehen wie solche Chat-Messenger funktionieren. Und dafür nehmen wir uns die verhassten „Häkchen“ zur Hilfe. Denn die erklären den Aufbau und die Funktionsweise von Whatsapp ganz gut.

Whatsapp ist eine Client-Server-Applikation. Das heißt es gibt einen Server (der in in Amerika steht) und einige Clients. Oder auch ein paar Millionen. Eigentlich über 1 Milliarde ums genau zu nehmen. Denn die Clients seid ihr! Euer Handy auf der die App läuft. Der Server steht bei Whatsapp selber.

Also, wie ist das ganz Aufgebaut und was passiert wenn ihr eine Nachricht weg schickt? Naja grob gesagt wird eure Text-Nachricht nach dem Abschicken in Binärcode, also Einsen und Nullen, umgewandelt. Denn nur so können Nachrichten über WLAN, Kabel und Satelliten verschickt werden – Strom ja/nein, Signal ja/nein – wie eine Art Morsecode (Morse-Geräusche).

Die Umwandlung in Einsen und Nullen passiert über eine bestimmte Tabelle wo genau ein Buchstabe einem 8-zeichenstarken Binärcode zugeordnet ist. Eine zum Beispiel ist die ASCII Tabelle. So lässt sich jedes Zeichen einfach in Binärcode umwandeln. Etwas anders werden da Bilder, Videos und Sprachnachrichten umgewandelt.

Emoticons werden auch nur in Binärcode übertragen – aber nicht das Bild sondern auch nur als eindeutiger Code. Dein Empfänger besitzt ja auch Emoticons, die dann für diesen Code angezeigt werden Je nach System kann so euer Empfänger ein anderes Aussehen der Smileys haben. Oder es wird gar nichts angezeigt, weil er diesen Smiley nicht hat.

Nun wird eure Nachricht in mehrere Pakete gepackt die jeweils einen Absender und Empfänger bekommen. Wie ein Paket bei der Post. Da ihr Informationen in Paketen verschickt spricht man auch von Paketvermittlung. So verschickt ihr nicht nur Daten von Whatsapp durchs Internet – sondern alles was ihr im Internet macht.

Würdest ihr alles auf einer festen Strecke permanent schicken, wie auf einem Fließband, würde man das Leitungsvermittlung nennen.

Ist das Paket fertig wird es zu gemacht und ihr bekommt dieses Symbol. Habt ihr kein Internet – ändert es sich das auch nicht.

Erst wenn ihr Internet habt gehen eure Pakete auf Reisen. Der Moment wo dieses Symbol bei euch im Chat erscheint und ihr die Nachricht nicht mehr rückgängig machen könnt.

Das erste Ziel ist aber nicht dein Empfänger, sondern die zentrale Poststelle – der Whatsapp Server. Dort wird die Nachricht sowie auch die anderen Dateien wie Bilder, Musik und Videos als abgespeichert. Und das ist auch wichtig! Denn falls euer Kumpel nicht erreichbar ist müsste man das Paket wegschmeißen. Das Paket kann ja nicht ausgeliefert werden.

Erst wenn er erreichbar ist wird die Nachricht vom Whatsapp Server zum Empfänger ausgeliefert. Die Adresse deines Kumpels kennt Whatsapp.

Nach dem die Nachricht dann endlich bei eurem Kumpel angekommen ist wird sie wieder mit der ASCII Tabelle von Binär in Text umgewandelt. Oder halt in Videos, Musik und Sprachnachrichten – auch wenn das um einiges Komplizierter ist. Nun wird auch euer Häkchen zu einem Doppel Häkchen. Wenn dein Gegenüber die „Lesebestätigung“ aktiviert habt informiert die App euch. Wird die Nachricht geöffnet und gelesen wird eine Art „ok“-Paket zu euch geschickt.  Bei euch wird das „wurde gelesen“ Zeichen angezeigt. Verhasst wie kein anderes Icon der Internet Geschichte.

Ist euch was aufgefallen?

Das Paket ist einfach nur zugeklappt. Und liegt so gespeichert auf den Servern – unserer Poststelle. Euer Paket ist offen und lesbar. Man kann einfach reinschauen und anschließend wieder reinlegen. Okay… „offen“ ist übertrieben. Whatsapp hat seine Nachrichten ab 2013 mit dem RC4 Algorithmus verschlüsselt. Dieser ist aber schon lange als nicht sicher eingestuft worden und wurde zu dem auch noch ungeschickt eingesetzt so dass das entschlüsseln kein Problem wäre.

Und genau das wurde Jahrelang kritisiert. Denn wer weiß was sie mit euren Nachrichten machen? Wer lässt sich schon gerne über die Schulter schauen wenn man mit Schatzi Hasi schreibt.

Und das erschreckende: Durch eine Hackerangriffsattacke die sich „Man-in-the-Middle“ nennt, ist es auch möglich das normalen Leute aus eurer Umgebung „mitlesen“ können. Wie der Name schon sagt, sitzt der Angreifer zwischen dir und deinem Chat-Partner und fängt alle Pakete ab, schaut einmal rein und schickt sie weiter. Was auch hier wieder kein Problem ist. Aber dagegen gibt es ein Hilfsmittel.

Denn nun kommt die Ende-zu-Ende Verschlüsslung ins Spiel die seit April 2016 endlich nicht nur einige Nachrichten sondern alles in den Chats verschlüsselt. Man kann sich das als Klebeband vorstellen. Wir kleben das Paket zu!

Aber was heißt das nun? Naja… zunächst einmal das die Nachrichten irgendwie verschlüsselt werden. Das heißt eure Nachrichten, Bilder, Videos und weitere Inhalte werden so umgeändert das sie nicht mehr gelesen werden können – sie ergeben keinen Sinn. Erst wenn die Nachricht wieder entschlüsselt wird kann sie gelesen werden.

Dafür hat jeder Nutzer 2 Schlüssel. Einen öffentlichen, den alle sehen können, und einen geheimen den, logischer Weise, nur die Person selber hat. Die öffentlichen Schlüssel liegen alle samt auf den Whatsapp Servern, wo auch die Nachrichten liegen. Verschicken wir nun eine Nachricht, holen wir uns den öffentlichen Schlüssel des Empfängers der die Nachricht erhalten soll und verschlüsseln sie. Nach dem die Nachricht dann sicher beim Empfänger angekommen ist, kann diese Person mit seinem eigenen geheimen Schlüssel die Nachricht wieder lesbar machen. Und das verschlüsseln und entschlüsseln passiert in der App selber – völlig Automatisch – noch bevor es in Einsen und Nullen umgewandelt wird.

Und da die Verschlüsselung und Entschlüsslung immer erst beim Sender und Empfänger im Gerät passiert sprechen wir hier von einer Ende-zu-Ende Verschlüsslung. Macht doch Sinn oder?

Sicherlich fragst du dich nun wozu ich dann die Sicherheitsnummer bestätigen soll. Nunja… damit kann man sicher stellen, dass ihr beide dieselbe Nummer habt – ihr also Ende zu Ende verbunden seid.

Deswegen haben weder Angreifer noch Konzerne eine Chance in die Inhalte rein zu schauen – egal ob sie permanent auf den Server liegen oder nicht. Eure Inhalte sind so geschützt und wertlos.

Ich betone aber mit Absicht „Inhalt“ denn das Ganze hat ein Manko. Denn nicht das ganze Paket wird verschlüsselt. Denn zum Beispiel die Informationen

  • wann
  • von wem es losgeschickt wurde
  • und an wen es gehen soll

werden nicht verschlüsselt. Das sind sogenannte Metadaten – sozusagen das was außen auf dem Paket steht. Der Konzern weiß also genau wann ihr mit wem telefoniert und gechattet habt. Und da euer Adressbuch gescannt wird, weiß der Messenger sogar noch ein wenig mehr. Und damit verdienen sie ihr Geld.

Whatsapp hat also einen riesigen Fortschritt gemacht was das Thema Sicherheit angeht. Nur beim Datenschutz könnte es sich an seine schweizer Alternative Threema orientieren. Denn dort ist das Adressbuch nicht zwingend. Man arbeitet mit Pseudonamen und genierten Codes.

Das Whatsapp wirklich verspricht was es hält und sicherer geworden ist, bestätigt auch nochmal ein Artikel von Heise denn ich in der Beschreibung verlinkt habe.