35 Millionen Deutsche chatten regelmäßig mit Whatsapp – doch der Messenger muss sich in letzter Zeit viel Kritik gefallen lassen. Die Privacy-Aktivisten der Nichtregierungsorganisation Electronic Frontier Foundation (EFF) haben sich Whatsapp daher genauer angeguckt, um die Sicherheitslücken des Messengers ausfindig zu machen. TECHBOOK erklärt, wo diese Sicherheitslücken liegen und was man als Nutzer dagegen tun kann.

1. Unverschlüsselte Backups

Die Nachrichten, die man über Whatsapp verschickt, sind Ende-zu-Ende verschlüsselt. Das bedeutet, dass nur Sender und Empfänger den Inhalt einer Nachricht lesen können – Whatsapp selbst kann nicht mitlesen. Das ändert sich aber, sobald man das automatische Backup der Chatverläufe aktiviert. Denn dann werden Nachrichten in der Cloud gespeichert – und das unverschlüsselt, damit sie bei Bedarf problemlos wiederhergestellt werden können. Damit liegen die Verläufe lesbar auf den Servern des Cloud-Providers.

Um diese Sicherheitslücke zu schließen, reicht es übrigens nicht, die eigenen Backups auszuschalten – auch der Gesprächspartner darf keine Backups in die Cloud laden.

Um Whatsapp-Backups auszuschalten, gehen Sie in den Einstellungen von Whatsapp auf „Chats“ und „Chat-Backup“ und deaktivieren Sie den automatischen Backup.

2. Keine Benachrichtigung bei Änderung der Sicherheitsnummer

Jeder Kontakt hat eine eigene Sicherheitsnummer, mit der sichergestellt werden soll, dass die Person, mit der man in Whatsapp gerade schreibt, auch tatsächlich diejenige ist, für die sich sich ausgibt. Das Problem: Ändert sich diese Nummer, wird der Nutzer nicht darüber in Kenntnis gesetzt – es sei denn, er hat dieses Sicherheits-Feature in den Einstellungen aktiviert.

Dass diese Sicherheitsnummer geändert wird, kann unterschiedliche Gründe haben. Zum Beispiel, weil der Gegenüber ein neues Handy hat und Whatsapp neu installieren musste. Aber es kann auch daran liegen, dass man einer sogenannten „Man in the Middle“-Attacke zum Opfer fällt, bei der ein Angreifer versucht, sich unbemerkt in das Gespräch einzuklinken. Bekommt man das Ändern der Sicherheitsnummer überhaupt nicht angezeigt, hat man wenig Chancen eine solche Attacke zu bemerken.

Um das Anzeigen von Sicherheitsnummer zu aktivieren, wählen Sie in den Einstellungen von Whatsapp „Account“ und „Sicherheit“ und aktivieren Sie „Sicherheits-Benachrichtigungen anzeigen“.

3. Whatsapp Web

Auch das Web-Interface Whatsapp Web wird von der EFF bemängelt: Zwar laufe hier die Verbindung zu Whatsapp über eine gesicherte HTTPS-Verbindung, aber da der Zugriff über einen Browser und nicht über eine eigene App für den Desktop läuft, bestünde die Gefahr, dass unbedacht installierte Plugins im Browser mitlesen.

Auch interessant: Diese praktische Whatsapp-Funktion benutzt fast niemand

Wichtig hier also: Benutzten Sie Whatsapp Web nur an Computern, denen Sie vertrauen und in Browsern, bei denen Sie wissen, welche Plugins installiert sind.

4. Datenabgleich mit Facebook

Während die ersten drei Punkte eher technischer Natur sind, findet die Electronic Frontier Foundation auch klare Worte zu Whatsapps Politik in Sachen Datenschutz und den Datenabgleich mit Facebook, die auch in Deutschland von Verbraucherschützern harsche Kritisch erntet. Die EFF kritisiert Whatsapps intransparente Datenschutzbedingungen bezüglich des Datenaustausches mit Facebook und die spärliche Kommunikation, was genau an Facebook weitergeleitet wird. Hier bleibt dem Nutzer leider nicht viel mehr, als die Änderungen hinzunehmen oder den Messenger zu wechseln.

Neben diesen vier beträchtlichen Sicherheitslücken fand die EFF allerdings auch lobende Worte: Unter anderem sei das Signal-Protokoll, mit dem die Nachrichten verschlüsselt werden, sehr sicher und garantiere so eine vertrauenswürdige Ende-zu-Ende-Verschlüsselung. Außerdem stellte die EFF heraus, dass es absolute Sicherheit eh nicht geben könne.