WhatsApp hat zuletzt große Schritte unternommen, um seinen Service für die Nutzer sicherer zu machen. Die im April eingeführte Ende-zu-Ende-Verschlüsselung, die auf das sogenannte Signal-Protokoll aufbaut, gilt als qualitativ enorm hochwertig. Dennoch haben die Privacy-Aktivisten der Electronic Frontier Foundation (EFF) einige Sicherheitsbedenken gegenüber dem Instant Messenger veröffentlicht, die das Unternehmen nicht außer Acht lassen solle.

Insgesamt hat die Nichtregierungsorganisation vier Schwächen aufgelistet. Dazu schreiben die Experten im hauseigenen Blog: "Wir haben kein Problem damit, wie die Chat-Verschlüsselung von WhatsApp durchgeführt wird. Wir hoffen sogar, dass auch andere Dienste die Technologie stärker nutzen." Stattdessen wird kritisiert, das WhatsApp trotz des Signal-Protokolls an anderen Stellen schwache Sicherheitsstandards aufweise.

Diese Schwächen sieht die EFF in WhatsApp:

die unverschlüsselten Backups,

die fehlenden Key-Change-Benachrichtigungen,

die Web-Anwendung von WhatsApp,

den Datenaustausch mit Facebook.

In der Folge gehen die Experten auf die einzelnen Sicherheitsbedenken detaillierter ein und beschreiben, warum WhatsApps Standards nicht ausreichen. Jedoch nicht ohne vorher darauf hinzuweisen, dass es trotz aller Bemühungen nie eine hundertprozentige Sicherheit geben würde.

Bezüglich der Backups bemängeln die Kritiker neben der fehlenden Verschlüsselung, dass die Sicherheitskopien in der Cloud nicht passwortgeschützt sind. Generell raten sie, Chatverläufe und Kontaktdaten nicht in virtuellen Speichern abzulegen, solange diese nicht entsprechend gesichert sind. Eine Warnung, die durchaus gerechtfertigt ist, angesichts einiger Datendiebstähle in jüngster Zeit, die für Aufregung sorgten - wie etwa bei Yahoo.

Nicht weniger wichtig ist die Forderung, dass Nutzer darauf hingewiesen werden sollten, sobald der Sicherheitsschlüssel eines Kontakts geändert wird. Diese Funktion biete WhatsApp zwar an, jedoch müssen Anwender sie in den Einstellungen unter den Menüpunkten Account und Sicherheit manuell einschalten. Die EFF macht darauf aufmerksam, dass solche Benachrichtigungen wichtig sind, um sogenannte Man-in-the-Middle-Attacken früh zu erkennen zu können.

Auch ihre Sorgen um die Webanwendung von WhatsApp erklären die Privacy-Aktivisten. Positiv sei, dass Nutzer generell durch eine HTTPS-Verschlüsselung im Browser beim Verschicken und Empfangen der Nachrichten geschützt sind. Jedoch könne eine Web-Anwendung nie so sicher sein, wie etwa ein Desktop-Client, da Daten im Browser beispielsweise durch unbedacht installierte Plug-ins abgefangen werden könnten. Wenn schon browserbasiert, dann lieber in Form einer Extension, schreibt die EFF.

Während die oben genannten Mängel eher technischer Natur sind und abgestellt werden können, dürfte der letzte Punkt, den die EFF auflistet, eher schwer abzustellen sein: die Datenweitergabe an Facebook. Sie dient dazu, gezielt Werbung auf dem sozialen Netzwerk auszuspielen. Die EFF kritisiert, dass Nutzer gar nicht genau wüssten, welche Informationen dabei übermittelt werden und dass man sich zwar der Verarbeitung widersetzen könne, nicht jedoch dem Transfer an sich.

WhatsApp soll Vertrauen wiederherstellen

Um das Vertrauen der Sicherheitsexperten wiederherzustellen, könne WhatsApp zwei Dinge tun, heißt es in dem Blogpost. Zum einen sollen Anwender die Möglichkeit bekommen, anhand von nutzerfreundlicher gestalteten Privatsphäre-Einstellungen noch mehr Kontrolle über die eigenen Informationen zu bekommen. Zum anderen solle das Unternehmen sich konkreter zum Datenaustauschprogramm zwischen WhatsApp und Facebook äußern. Facebook hat sich bislang nicht zu den Bedenken der EFF geäußert.

