Das Threema-Experiment – Teil 1: Bye bye WhatsApp

WhatsApp hat weltweit mehr als 400 Millionen Nutzer, davon alleine 30 Millionen in Deutschland. Damit ist der Messenger hierzulande beliebter als Facebook, was angesichts der Schwächen und Nachteile für mich schwer verständlich ist.

[perma-whatsapp-webseite]

Ich nutze WhatsApp seit ich vor drei Jahren mein erstes Android-Smartphone in den Händen halten durfte. Seither war es für mich die Zentrale meiner Kommunikation zu Familie und Freunden. Aber ich bin in letzter Zeit immer wieder enttäuscht worden, was die Sicherheit und vor allem den Umgang mit diesem Thema bei dieser App anging. Somit habe ich vor etwa einer Woche damit begonnen, ein Experiment zu starten. Ich habe mich bei WhatsApp gelöscht und mich nach einer besseren Alternative umgeschaut. Das Ergebnis war Threema, die nicht nur einen europäischen Sitz in der Schweiz vorweisen können, sondern deren Augenmerk auch auf der verschlüsselten Kommunikation liegt.

In diesem Beitrag möchte ich allerdings erstmal auf die Gründe eingehen, warum ich WhatsApp Lebewohl gesagt habe.

Ursache 1: WhatsApp ist unsicher

Wer viele Nutzer hat, kommt auch schneller in die Medien. Das ist leider Gottes so und wird sich wohl auch nie ändern, denn das Interesse an Nachrichten um ein begehrtes Objekt sind immer interessanter als über ein Nischenprodukt. Wenn man sich allerdings Kritik anhören muss, sollte man auch darauf reagieren und transparent informieren. Dies ist bei WhatsApp leider zu keiner Zeit der Fall gewesen.

Ich habe euch mal ein paar Vorkommnisse zusammengetragen. Sicherlich nicht vollständig, aber es sollte mal jedem vor Augen geführt werden.

[perma-whatsapp-iosapp]

31.07.2012 – “WhatsApp bleibt unsicher” – ntv.de

Mit der im Internet kursierenden Android-App „WhatsApp Sniffer“ ist es möglich, innerhalb eines WLAN-Netzes den kostenlosen Nachrichtenverkehr von WhatsApp-Nutzern auszuspähen. Möglich ist dies, weil WhatsApp die Nachrichten unverschlüsselt übers Internet verschickt. Besonders kritisch ist das Problem in öffentlichen WLAN-Netzwerken, sogenannten Hotspots.

WhatsApp Sniffer war nur kurz in Googles Play Store, wird aber noch auf zahlreichen Webseiten zum Download angeboten.

WhatsApp hatte zwar kurz nach der Sicherheitswarnung ein Pflicht-Update verteilt. Doch GDATA stellte fest, dass die App Nachrichten immer noch unverschlüsselt sendet.

01.08.2012 – “Spionage-App liest Whatsapp-Gespräche mit” – focus.de

Doch immer wieder gibt es Ärger um die beliebte Anwendung: Sie geriet in Verruf, weil sie unbemerkt Daten der User sammelte und an die Entwickler weitergab. Ein Update der App für iPhone-User brachte das Programm zum Absturz.

25.12.2012 – “WhatsApp erneut unsicher” – t-online.de

Laut Heise wurden die WhatsApp-Hersteller bereits über die Sicherheitslücke informiert. Auf ein Angebot alle Informationen aus den Tests und das Passwort-Skript bereitzustellen, habe bisher allerdings keine Reaktion gegeben. Da die WhatsApp-Hersteller in der Vergangenheit zwischen der Entdeckung einer Schwachstelle und einem entsprechenden Sicherheits-Update mehrere Monate verstreichen ließen, ist ein schneller Fix des aktuellen Fehlers unwahrscheinlich.

26.07.2013 – “Kritische Sicherheitslücke in WhatsApp“ – giga.de

Möchte man sein Abo verlängern, so wird der Nutzer auf eine Website weitergeleitet. Dort soll nun die gewünschte Zahlungsart ausgewählt werden. Hier befindet sich der Haken. Der Bezahlprozess wird nicht durchgehend in HTTPS geschützt, sondern setzt stellenweise auf HTTP. An diesen Punkten können Hacker als “Man-in-the-Middle” eingreifen und den Nutzer unbemerkt auf nachgeahmte Fake-Versionen der eigentlichen Website lotsen, wo ahnungslos vertrauliche PayPal- und Kreditkartendaten eingegeben werden.

08.10.2013 – “Verschlüsselung von Whatsapp ist unsicher” – golem.de

Das Problem: Whatsapp nutzt den Stromverschlüsselungsalgorithmus RC4 und verwendet für die Kommunikation in beide Richtungen den identischen Schlüssel. Eigentlich ein trivialer Anfängerfehler, denn eine Stromverschlüsselung darf niemals mehrfach mit demselben Schlüssel genutzt werden.

[…]

Jenseits der von Alkemade gezeigten Probleme ist auch unklar, warum Whatsapp überhaupt RC4 als Verschlüsselungsalgorithmus einsetzt. RC4 gilt seit langem als unsicher und bei der IETF wird zurzeit diskutiert, ob man die Nutzung von RC4 im Rahmen von TLS generell für unzulässig erklären sollte.

17.10.2013 – “Größter Knackpunkt in der WhatsApp-Sicherheit ist die Verschlüsselung” – giga.de

Aktuell wird die Stromverschlüsselung RC4 eingesetzt. Sowohl für ein-, als auch für ausgehende Nachrichten wird hierbei der identische Schlüssel verwendet. Demniederländischen Mathe- und Informatikstudent Thijs Alkemade ist es gelungen, die Verschlüsselung zu umgehen und Nachrichten abzufangen.

14.02.2014 – “Wie die „Super-Wanze“ Whatsapp die Privatsphäre aushöhlt” – derwesten.de

Die App kann Gespräche und Telefongespräche mitschneiden, sie kann Fotos einsehen, mit dem aktuellen Standort versehen und hochladen. Diese Daten werden, wie niederländische Behörden nachgewiesen haben, auf amerikanische Server übertragen, ohne dass man es merkt.

Am 13.02.2014 erschien übrigens ein vierminütiger Beitrag mit dem Titel “WhatsApp und Co. – Kostenlos und unsicher” in der ARD Mediathek. Dort wurde berichtet, dass die angebliche Firmendresse von WhatsApp ein Sushi-Restaurant ist. Kanadische wie niederländische Behörden ermitteln zudem derzeit gegen WhatsApp mit dem Vorwurf des Verstoßes gegen Datenschutzbestimmungen. Sorry, aber in Zeiten von Enthüllungen rund um NSA und Co. und dem scheinbar schutzlosem Ausliefern der privaten Daten, macht mich ein solcher Fakt einfach nur noch wütend.

[perma-whatsapp]

Des Weiteren ist WhatsApp eine amerikanische Firma, deren Server auch unter amerikanisches Datenschutzrecht fallen. Da dieses bekanntlich etwas lockerer ist, als die deutschen/europäischen Gesetze, kann man sich nicht ganz sicher sein, wer wann Zugriff auf die privaten Chatnachrichten und Dateien bekommt. Es ist naiv und töricht zu glauben, man habe nichts zu verbergen, denn es geht um das Prinzip der Privatsphäre.

Ursache 2: WhatsApp ist unflexibel

Umso größer eine Anwendung ist, umso schwerfälliger wird sie. Das merkt man nicht nur an Microsoft und Facebook, sondern auch an WhatsApp. Man möchte nicht zu viele Änderungen pro Update einbringen, denn das könnte die zahlreichen Nutzer ja verwirren und schlussendlich vertreiben.

[perma-whatsremote]

WhatsApp allerdings fehlen einfach seit jeher grundlegende Funktionen, die dem Dienst einen gewissen Schub geben würden. So ist es bis heute nur möglich, die App auf einem Gerät gleichzeitig auszuführen. Auch das Einloggen via PC oder Tablet ist nur über inoffizielle Hacks möglich. Zum Vergleich: Facebook, Google Hangouts, ICQ und Co. können das seit Jahren!

Fazit

WhatsApp hat mich einfach zutiefst enttäuscht. Man reagiert weder auf Kundenwünsche, noch auf die relevante Beachtung von Privatsphäre. Ich habe dem Dienst Lebewohl gesagt und werde nunmehr auf die Alternative Threema setzen. Im nächsten Beitrag zu der Serie wird es dann also um die Einrichtung von Threema gehen.

[tl-follow Bleibt also auf dem Laufenden und folgt uns einfach bei %socials%.]

Wie seht ihr das? Seid ihr noch bei WhatsApp und ist euch die Weitergabe eurer vertraulichen Daten wirklich so egal?

[thumbs-whatsapp]

3 Responses to “Das Threema-Experiment – Teil 1: Bye bye WhatsApp”

  1. […] Facebook ein paar erfahrene Leute, wie man recht schnell eine große Nutzerbasis aufbaut. Da ich ja bekanntlich nicht mehr bei WhatsApp zu finden bin, aber bei Facebook, wäre sicherlich eine Integration beider Dienste in einer App garnicht mal so […]

  2. […] Heute wende ich mich an euch mit einem Thema, was mir seit Tagen schon unter den Fingern brennt und einfach erzählt werden muss. Bekanntlich bin ich ein fleißiger Nutzer der App WhatsApp 2Date gewesen, die es mir ermöglicht hat aktuellere WhatsApp-Versionen zu installieren, die noch nicht die breite Masse besitzt (gewesen, da ich bekanntlich kein WhatsApp mehr habe). […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.