Seite 2: Das "böse" WhatsApp macht's tatsächlich besser

Inhaltsverzeichnis

Das läuft übrigens bei Telegram ganz anders als bei WhatsApp. Bei WhatsApp gibt es keine solchen zentralen Datenbanken mit allen Chats der Nutzer, die man nur anzapfen müsste. Denn WhatsApp verschlüsselt alle Nachrichten so, dass nur der echte Empfänger sie lesen kann (das ist die sogenannte Ende-zu-Ende-Verschlüsselung). Eure Chats liegen nur auf eurem Handy, nicht auf irgendwelchen Servern des Betreibers. Wer mitlesen will, muss an euer Handy ran – also beispielsweise einen Trojaner dort installieren.

Das gilt übrigens auch für "WhatsApp Web". Das zeigt zwar ähnlich wie Telegram all Eure Chats im Browser. Aber diese Chat-Inhalte bekommt der Browser nicht von einem WhatsApp-Server, sondern von eurem Handy. Mit dem redet es im Hintergrund, um euch die Chats anzeigen zu können. Ihr könnt das einfach selbst überprüfen, indem ihr das Experiment mit dem Flug-Modus wiederholt. WhatsApp-Web wird (vergeblich) versuchen, Euer Handy zu erreichen und sich beschweren, dass das nicht klappt:

Wenn man es ganz genau nimmt, bekommt WhatsApp Web die Rohdaten vom WhatsApp-Web-Server, der als Zwischenstation fungiert. Aber: Die Inhalte sind dabei so verschlüsselt, dass der Server sie nicht lesen kann. Nur euer Handy und die App im Browser haben den geheimen Schlüssel, um aus dem chiffrierten Datensalat eure Chats zu rekonstruieren.

Die misstrauischen unter euch werden jetzt denken: "Wer's glaubt! Die haben doch bestimmt eine Hintertür, mit der sie trotzdem dran kommen." Das kann man tatsächlich nicht hundertprozentig ausschließen. Dass dem aber nicht so ist, dafür sprechen die seit Jahren tobenden Crypto Wars. Dabei geht es darum, WhatsApp und andere Kommunikationsdienste gesetzlich dazu zu verpflichten, genau solche Hintertüren in ihre Dienste einzubauen.

Diese Versuche sind bis jetzt im Wesentlichen gescheitert. Aktuell hat die EU eine neue Initiative gestartet, die den absurden Namen "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" trägt. Im Wesentlichen geht es darum: Ja, man wolle Verschlüsselung – wegen der Sicherheit. Aber der Zugriff auf die verschlüsselten Daten müsse trotzdem möglich sein, damit "befähigte Behörden" ("competent authorities" – wer immer das auch sein mag) damit Terroristen und Kinderschänder jagen können. Dazu sollen sie Hintertüren bekommen. Die sollen aber irgendwie sicher sein (wegen der Sicherheit!).

Und genau deshalb ist der Titel so absurd: Weil es so etwas wie sichere Hintertüren nicht gibt. Entweder man baut sichere Verschlüsselung oder man baut eine mit Hintertüren. Die ist dann unsicher und das wird ausgenutzt werden. Das ist nicht nur meine Meinung, sondern ein sehr breiter Konsens bei allen Sicherheits- und Kryptografie-Experten: Verschlüsselung ist entweder sicher oder sie hat Hintertüren<Punkt>

Signal: die bessere Alternative

Doch zurück zu möglichen Hintertüren in WhatsApp. WhatsApp ist Closed-Source-Software. Das heißt, man kann nicht reinschauen; letztlich weiß niemand so genau, was da alles drin steckt. Und was fast noch schwerer wiegt: WhatsApp gehört Facebook. Die haben den Messenger gekauft und integrieren ihn Stück für Stück weiter in ihr Imperium, das mit der exzessiven Nutzung der Daten seiner Nutzer Milliarden verdient. Das allein ist Grund genug, Misstrauen an den Tag zu legen und WhatsApp so weit wie möglich den Rücken zu kehren.

Als sichere Alternative mit guter Verschlüsselung empfehle ich den Messenger Signal. Der ist komplett Open Source – man kann also jederzeit überprüfen, was da hinter den Kulissen geschieht. Er wurde von exzellenten Krypto-Experten entwickelt, die wirklich wissen, was sie tun und sich seit Jahren für IT-Security und Privacy engagieren. Und die Infrastruktur wird von einer gemeinnützigen Stiftung betrieben, die sich dem Datenschutz verschrieben hat. Da sie sich komplett aus Spenden finanziert, besteht auch kein finanzielles Interesse an den Daten der Anwender.

Wer Telegram nutzt, sollte sich hingegen im Klaren sein, dass er sich einem undurchsichtigen und sehr dubiosen Firmen-Konstrukt ausliefert, über dessen Motive so gut wie nichts bekannt ist. Man kann das durchaus tun, etwa, weil es praktisch, schick und angesagt ist. Aber mit Sicherheit und Datenschutz sollte man dabei nicht argumentieren. Denn in dieser Hinsicht ist Telegram eine glatte Katastrophe.

(ju)