WhatsApp Erfolgsgeschichte mit Sicherheitslücken

Hunderte Millionen Menschen schreiben sich per WhatsApp Privates, Belangloses und Geheimes. Experten warnen seit Jahren immer wieder vor gravierenden Sicherheitslücken und der Nutzung des Dienstes. Der Popularität der App tut das keinen Abbruch.

Jugendliche WhatsApp-Nutzer: Smileys, Herzen, Liebesschwüre
DPA

Jugendliche WhatsApp-Nutzer: Smileys, Herzen, Liebesschwüre

Von


WhatsApp ist ein Phänomen, und zwar nicht erst, seit es für 19 Milliarden Dollar an Facebook verkauft wurde. In nicht einmal fünf Jahren hat sich der Messenger-Dienst parallel zur raschen Verbreitung der Smartphones zu einem Dienst für die Massen entwickelt: 450 Millionen Nutzer schicken sich hier gegenseitig Kurznachrichten - Grüße, Kontaktdaten, Geheimnisse, Smileys, Liebesschwüre. Teure SMS wurden überflüssig.

Nicht nur Sicherheitsexperten dürften darüber den Kopf schütteln. In den vergangenen Jahren geriet der Dienst schließlich immer wieder durch gravierende Sicherheitslücken in die Schlagzeilen.

Schon 2011 gab es grundsätzliche Kritik: Die Nachrichten würden unverschlüsselt zwischen den Nutzern hin- und hergeschickt. Angreifer konnten das ausnutzen und empfangene oder verschickte WhatsApp-Nachrichten mitlesen. Die Stiftung Warentest stufte die Anwendung im Mai 2012 als "kritisch" und "unsicher" ein. Nach der öffentlichen Schelte ging der Hersteller bald dazu über, die Texte zu verschlüsseln.

Sicher wurde der Dienst dadurch allerdings nicht. Im September 2012 zum Beispiel warnten Sicherheitsexperten eindringlich vor der App, sie sei nur unzureichend geschützt. Die Benutzerkonten ließen sich mit einfachen Mitteln übernehmen. Angreifer brauchten dafür lediglich bei iOS-Geräten die entsprechende Mac-Adresse und bei Android-Handys deren Gerätenummer (IMEI). Ein einmal gekaperter Account ließ sich nicht mehr retten.

Experten raten: zurück zur SMS

Zwar gelobten die WhatsApp-Macher Besserung und bemühten sich, die Fehler rasch zu beheben. Doch nur zwei Monate später, im November 2012, kam heraus, dass ein Account-Klau wieder möglich war und Angreifer ganz leicht Nachrichten im Namen anderer Nutzer senden und empfangen konnten.

Schon damals rieten etwa die Experten von Heise Security von der Nutzung des Dienstes entschieden ab - wegen des Umgangs des Unternehmens mit Sicherheitslücken. Lieber solle man auf E-Mails und wieder auf die alte SMS ausweichen, da hier die Technik "hinreichend dokumentiert" sei und sich das Risiko für die Nutzer besser abschätzen ließe.

Doch viele Nutzer dachten gar nicht daran. Vielleicht weil die Nachrichten selbst kostenlos sind. Vielleicht weil sie schlicht nicht interessiert, wer ihre Kommunikation womöglich mitlesen kann. Vielleicht weil sie der Meinung sind, gar nichts Interessantes von sich preiszugeben. Vielleicht aus Bequemlichkeit. Oder weil es irgendwie alle machen.

Viele Nutzer, viele Opfer

Jedenfalls setzte sich die Erfolgsgeschichte von WhatsApp fort, selbst dann, als der SMS-Ersatz schließlich doch nach und nach kostenpflichtig wurde. Der Preis für ein Abo ist allerdings auch nach wie vor sehr moderat und jedem Bezahlmodell für einzelne Nachrichten klar überlegen.

Im Januar 2013 kritisierten Datenschützer die Anwendung erneut vehement, weil sie die Nutzer zwinge, ihr ganzes Adressbuch zugänglich zu machen und es auf die WhatsApp-Server übertrage. Doch auch das tat dem Erfolg des Dienstes keinen Abbruch - die meisten Nutzer blieben, Millionen neue kamen dazu.

Und wo viele Nutzer, da viele Opfer. So versuchen immer wieder Angreifer, WhatsApp-Nutzer zu überlisten, mit Methoden, die gar nichts mit Sicherheitslücken zu tun haben, sondern nur mit Masse. Im Juli 2013 etwa machte plötzlich der Name "Priyanka" die Runde, ein Kontakt, den man besser nicht als Kontakt beim Messenger-Dienst hinzufügte. Es handelte sich um einen nervigen Schädling, der Chaos im Adressbuch verursachte: Plötzlich hießen alle Gruppen auch Priyanka, manchmal sogar alle Kontakte.

Alternativen zu WhatsApp
DPA

Sicherheitslücken und unverschlüsselte Nachrichten: WhatsApp ist nicht besonders sicher. Der Entwickler Joshua Lund hat sich vielversprechende Alternativen angesehen. Welchen Apps kann man am ehesten vertrauen? Bei welchen Programmen lässt sich der Quellcode überprüfen? Wie gut ist die Verschlüsselung?

Surespot verspricht Ende-zu-Ende-Verschlüsselung von Nachrichten: Der Quellcode steht überprüfbar im Netz, Apple- und Android-Geräte kommunizieren gleichermaßen mit der kostenlosen App.

Threema: Die beliebte WhatsApp-Alternative aus der Schweiz kostet Geld, die Firma hält den Code allerdings unter Verschluss. Dafür soll sich über eine Datenschnittstelle überprüfen lassen, dass die Verschlüsselung wirklich funktioniert.

TextSecure von WhisperSystems ist noch nicht ganz so weit: Die App ist zwar standardmäßig beim freien Android-Betriebssystem Cyanogenmod dabei. Aber die App für Android wartet noch auf ein wichtiges Update, die für Apple-Geräte muss erst noch entwickelt werden.

Sieht genau so aus wie WhatsApp: Telegram heißt eine komfortable App, die eine Ende-zu-Ende-Verschlüsselung anbietet und deren Quellcode offen steht. Kostenlos für Android und Apple-Geräte.

ChatSecure setzt auf bewährte Technik und ist Open Source: Weil die Technik aber für Computer mit ständiger Internetverbindung entwickelt wurde, ist der mobile Einsatz problembehaftet.

DPA/ Google

Beachten Sie bitte, dass SPIEGEL ONLINE die vorgestellten Apps nicht geprüft hat. Für absolut vertrauliche Kommunikation ist ein Smartphone womöglich die falsche Wahl. Besser als eine herkömmliche SMS oder eine der vielen Apps ohne Ende-zu-Ende-Verschlüsselung sind die hier genannten WhatsApp-Alternativen aber allemal. Mehr dazu lesen Sie hier.

Ernster war der Fall aus dem September 2013, als eine Todesdrohung sich wie ein Kettenbrief über den Dienst verbreitete: Eine Computerstimme forderte die Empfänger auf, die Datei innerhalb weniger Minuten an mindestens 20 Personen weiterzuleiten. "Wenn du es nicht weiterschickst, wirst du morgen nicht mehr leben", hieß es, auch Angehörige des Empfängers wurden mit dem Tode bedroht. Kinder und Jugendliche ließen sich von der Nachricht einschüchtern, die Polizei in Niedersachsen sprach eine Warnung aus.

Ermittlungsergebnisse per WhatsApp ausgeplaudert

Apropos Polizei: Auch von manchen Beamten wird der Dienst offenbar bedenkenlos genutzt. Mitte Februar kam heraus, dass Stockholmer Ermittler Einsatzdetails unverschlüsselt über das unsichere WhatsApp-Programm ausgetauscht haben. Versehentlich hatten die Polizisten eine wildfremde Person ihrer fragwürdigen Chat-Gruppe hinzugefügt - und die Schlamperei flog auf. Auch das hat nichts mit Sicherheitslücken zu tun, zeigt aber die Risiken derartiger Anwendungen.

Und es gab in der Vergangenheit noch viel mehr Angriffe auf den beliebten Dienst: Sei es eine Attacke offenbar propalästinensischer Hacker im Oktober 2013 oder ein merkwürdiger Kettenbrief, der den Nutzern im Namen von WhatsApp versprach, zum vermeintlich zehnjährigen Bestehen des Dienstes ein kostenloses Jahr zu spendieren, wenn man die Nachricht denn weiterleite. Gut informierte Nutzer stutzten: WhatsApp gibt es noch gar nicht seit zehn Jahren, sondern erst seit 2009; auch Smartphones waren vor zehn Jahren noch nicht verbreitet.

Doch so schlecht die Schlagzeilen über den Dienst auch sein mögen, die Nutzer halten ihm hartnäckig die Treue. Vermutlich wird auch der Verkauf an Facebook daran wenig ändern - auch wenn sich WhatsApp-Alternativen derzeit wachsender Beliebtheit erfreuen.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 49 Beiträge
Alle Kommentare öffnen
Seite 1
flaps25 20.02.2014
1. Threema rulez!
In Handyforen berichten die User, dass sie massenweise zu Threema wechseln. Der Dienst im komplett verschlüsselt und die Server stehen in der Schweiz. Also keine US-amerikanische Ausspioniererei mehr! Das Riesenproblem mit WhatsApp ist, dass Facebook jetzt auch Zugriff auf bisherige Facebook-Verweigerer bekommt, denn auch deren Rufnummerm sind unter den Kontakten, die die Menschen in ihren Smartphones haben. WhatsApp wird damit zu einem unerträglichen Big Brother. Ich habe die App umgehend gelöscht und kommuniziere nur noch mit Leuten, die Threema nutzen. Die App kostet 1,60 EUR. Ein Spottpreis für den relativen Schutz seiner Privatsphäre.
flaps25 20.02.2014
2. Threema rulez!
In Handyforen berichten die User, dass sie massenweise zu Threema wechseln. Der Dienst im komplett verschlüsselt und die Server stehen in der Schweiz. Also keine US-amerikanische Ausspioniererei mehr! Das Riesenproblem mit WhatsApp ist, dass Facebook jetzt auch Zugriff auf bisherige Facebook-Verweigerer bekommt, denn auch deren Rufnummerm sind unter den Kontakten, die die Menschen in ihren Smartphones haben. WhatsApp wird damit zu einem unerträglichen Big Brother. Ich habe die App umgehend gelöscht und kommuniziere nur noch mit Leuten, die Threema nutzen. Die App kostet 1,60 EUR. Ein Spottpreis für den relativen Schutz seiner Privatsphäre.
fafnar 20.02.2014
3. Telegram
Ich kann es nur immer wieder sagen, die alternative ist "Telegram". Sieht genau so aus, hat alle Features aber ist verschlüsselt, umsonst, keine Datenkrake, keine NSA. Etc.
NeroC 20.02.2014
4. Threema nicht für WP8- und Symbian-Handys
Was nutzt mir ein sicherer Messenger, wenn es keine Version für mein WP8-Handy gibt oder keiner meiner Kontakte im Telefonbuch auf hike & Co. umsteigt. Und dann gibt es da noch die Kontakte, die nicht einmal Whatsapp nutzen.
erna-schakira_schabulski 20.02.2014
5.
Zitat von sysopDPAHunderte Millionen Menschen schreiben sich per WhatsApp Privates, Belangloses und Geheimes. Experten warnen seit Jahren immer wieder vor gravierenden Sicherheitslücken und der Nutzung des Dienstes. Der Popularität der App tut das keinen Abbruch. http://www.spiegel.de/netzwelt/apps/whatsapp-populaer-trotz-sicherheitsluecken-a-954639.html
Und ? Wer blöd genug ist Mobiltelefone zu benutzen - der hat und bekommt von mir 0,00% Mitleid. Die Menschheit kam etliche tausend Jahre ohne diesen Müll klar - und plötzlich soll es unverzichtbar sein ? Macht Euch gern zum Sklaven - aber klagt dann nicht !
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.