In einer perfekten Welt ist Ende-zu-Ende-Verschlüsselung ein simples Prinzip ohne Wenn und Aber: Nur Sender und Empfänger können eine Nachricht lesen. Punkt. Bekanntlich ist die Welt aber alles andere als perfekt.

Gibt es nur einen Sender und einen Empfänger, lässt sich der Idealzustand gut erreichen. Als WhatsApp vor knapp zwei Jahren die Ende-zu-Ende-Verschlüsselung einführte, war er auf einen Schlag für mehr als eine Milliarde Nutzer Realität. Schwieriger wird es, wenn es mehr als einen Sender und einen Empfänger gibt - also in Gruppenchats. Drei Forscher der Ruhr-Universität Bochum haben das nun an den Messenger-Apps WhatsApp, Signal und Threema demonstriert. In allen drei zugrundeliegenden Protokollen fanden sie Schwachpunkte, den potenziell bedeutendsten bei WhatsApp.

Das Grundprinzip "Nur Sender und Empfänger" wird hier nämlich aufgeweicht: Wie Paul Rösler, Christian Mainka und Jörg Schwenk herausfanden, kann jeder, der einen WhatsApp-Server kontrolliert, sich selbst als Administrator ausgeben, sich selbst oder jemand anderen zu einer Gruppe hinzufügen und ab diesem Zeitpunkt mitlesen oder sogar manipulieren, was andere schreiben. Sei es ein Hacker, der es irgendwie schafft, einen WhatsApp-Server zu übernehmen, oder eine Regierung beziehungsweise Behörde, die das Unternehmen gesetzlich zur Kooperation zwingen kann.

"Es gibt keinen Grund zur Panik"

Genau aus diesem Grund sollte in einer vorbildlich verschlüsselten Kommunikation auch ein kompromittierter Server keine Gefahr für die Gesprächsteilnehmer darstellen. So aber gerät das Prinzip der Ende-zu-Ende-Verschlüsselung ins Wackeln: "Wenn der Server sich nicht vor sich selbst schützt, dann braucht man auch keine Ende-zu-Ende-Verschlüsselung", sagt Rösler. Oder wie es der Kryptografie-Professor Matthew Green ausdrückt: "Wenn man dem Server vertrauen muss, unterläuft es das eigentliche Ziel der Ende-zu-Ende-Verschlüsselung".

Bisher gibt es keinen bekannten Fall eines gehackten oder von einer Regierung kontrollierten WhatsApp-Servers. Für die allermeisten Nutzer bedeutet der Fund der Bochumer deshalb nur, dass sie den Sicherheitsversprechen des Unternehmens nicht blind vertrauen sollten: Wo Ende-zu-Ende-Verschlüsselung draufsteht, ist nicht zwingend pure Ende-zu-Ende-Verschlüsselung drin.

Dass man Opfer eines Spionageversuchs wird, wie die Forscher ihn beschreiben, ist aber unwahrscheinlich. Allenfalls Gruppen, die WhatsApp zum Beispiel nutzen, um Proteste in autoritären Regimen zu organisieren, müssen gewisse Vorsichtsmaßnahmen ergreifen oder auf einen anderen Messenger ausweichen. Zum Beispiel auf Signal. In der Open-Source-Software fanden die Bochumer zwar ebenfalls Schwächen. Die auszunutzen, wäre aber noch deutlich schwieriger.

Keine Belohnung von Facebook für die Forscher

Frieder Steinmetz von der Technischen Universität Hamburg sagt: "Es gibt keinen Grund zur Panik." Zusammen mit Roland Schilling hatte Steinmetz zu den Anforderungen und Schwächen verschlüsselter Messenger-Dienste geforscht. Das Bochumer Szenario hält er für "kein probates Mittel zur Massenüberwachung. Und auch, um einzelne Gruppen von besonderem Interesse anzugreifen, ist es kein besonders attraktiver Ansatz." Dafür gebe es effektivere, weniger aufwendige Methoden.

Den Hack eines WhatsApp-Servers hält auch Rösler für "das unrealistischste Szenario". Der 25-jährige Doktorand und Kryptografie-Spezialist hat es natürlich selbst auch gar nicht erst versucht. Er und sein Team haben vielmehr theoretisch mögliche Angriffe entwickelt, die nach der Serverübernahme beginnen. Zu theoretisch, wie die Sicherheitsabteilung des Mutterunternehmens Facebook entschied.

"Wir haben Ende 2016 angefangen, die Protokolle zu analysieren", sagt Rösler. "Mitte 2017 haben wir unsere Erkenntnisse über Facebooks Bug-Bounty-Programm an das Unternehmen weitergeleitet." Statt einer Prämie für die Hacker gab es vom Unternehmen die lapidare Antwort: "Wir belohnen im Moment keine theoretischen Angriffsszenarien."

Die Gruppe genau im Blick behalten

Offiziell verweist WhatsApp darauf, dass Gruppenmitglieder immer automatisch informiert werden, wenn ein neues Mitglied hinzugefügt wird. Heimliche Mitleser könne es daher nicht geben.

Für Risikogruppen bedeutet das: Sie sollten sehr genau im Blick behalten, welche neuen Mitglieder hinzugefügt werden, und Nachfragen am besten direkt an den Administrator richten - in einer nicht manipulierbaren Eins-zu-eins-Nachricht. Denn Rösler, Mainka und Schwenk sagen, dass jemand, der den Server kontrolliert, Gruppennachrichten auch zurückhalten oder nur einzelnen Mitglieder zustellen und so seine Entdeckung verzögern kann.

Rösler will die Schutz- und Warnmechanismen von WhatsApp nicht schlechtreden. Sie sind seiner Ansicht nach aber unnötig. "Es gibt ganz einfache Methoden, die Benachrichtigung über neue Gruppenmitglieder vom Administrator fälschungssicher zu signieren", sagt er. Dann könnten sich alle sicher sein, dass das Neumitglied wirklich vom Gruppenadministrator hinzugefügt wurde. Aber WhatsApp und Facebook hätten daran kein Interesse signalisiert.

Sicherheit hängt von der Aufmerksamkeit der Nutzer ab

Facebooks Sicherheitschef Alex Stamos deutete auf Twitter einen möglichen Grund an: Bisher können Gruppenadministratoren eine Einladung zum Beitritt per Link versenden, was täglich millionenfach geschehe. An dieser Funktion müsste WhatsApp Änderungen vornehmen, wenn es die Vorschläge der Bochumer berücksichtigen wollte - wie das funktionieren könnte, kann sich Stamos auf Anhieb nicht vorstellen.

Frieder Steinmetz sagt: "Hier wird sehr deutlich, dass WhatsApp nie mit Ende-zu-Ende-Verschlüsselung im Sinn entworfen wurde. Sie wurde als Feature nachgereicht" - was immer schlechter sei, als sie von Anfang an mitzudenken.

Steinmetz und Schilling kritisieren WhatsApp dafür, die Verantwortung für sichere Kommunikation auf die Nutzer zu übertragen: "Kryptomessenger werben damit, dass sie einfach zu bedienen, aber trotzdem sicher sind. Wenn diese Sicherheit vom Fachwissen und der Aufmerksamkeit einzelner Nutzer abhängt, ist dieses Versprechen gebrochen."