taz.de -- SMS-Ersatz und Datenschutz: Sicherheitslücken bei WhatsApp

Mit WhatsApp werden kostenlos Milliarden von SMS verschickt. Doch bei der Anwendung für Handy-Betriebssysteme gibt es Mängel.
Bild: Beliebt, aber unsicher: WhatsApp.

BERLIN taz | Das Angebot ist bestechend: Textnachrichten über das Handy versenden, ohne die dafür üblichen Tarife der Mobilfunktanbieter zahlen zu müssen. Kostenlos soll die Nutzung sein, zumindest für das erste Jahr, verspricht der Anbieter von WhatsApp – doch immer mehr kristallisiert sich heraus, dass die Nutzer dafür mit schlampigen Sicherheits- und Datenschutzeinstellungen leben müssen.

Seit 2009 ist das Unternehmen aus dem kalifornischen Silicon Valley, gegründet von zwei ehemaligen Yahoo-Mitarbeitern am Markt. Das Produkt, eine App für verschiedene Handy-Betriebssysteme, mit der Textnachrichten verschickt werden können, steht derzeit bei Google Play auf Platz eins der kostenlosen Apps.

Im August teilte das Unternehmen einen neuen Rekord mit: Vier Milliarden Nachrichten würden täglich verschickt, sechs Milliarden empfangen. Die Differenz erklärt sich nach Angaben des Unternehmens durch Gruppen-Chats, bei denen eine Nachricht an mehrere Empfänger zugestellt wird. Ende vergangenen Jahres [1][entschied sogar die Regionalregierung von Teneriffa], dass das Personal der Kommune die App nutzen soll – um die Ausgaben für die Mobilfunknutzung zu senken.

Doch ein [2][Test von heise Security] Ende vergangenen Woche ergab: Die Nutzung der App ist alles andere als sicher. Sowohl bei bei Android- als auch bei Apple-Nutzern lasse sich WhatsApp problemlos kapern. Besonders ungeschützt seien iPhone-Nutzer in unverschlüsselten Wlans, warnen die Tester. Dazu kommt: Sei der Account einmal geknackt, habe der rechtmäßige Nutzer keine Möglichkeit, das Passwort wieder zu ändern und den Account damit zurückzuholen.

Fragwürdige Verschlüsselung

Das Angebot war bereits früher in die Schlagzeilen geraten, weil es die Kommunikation der Nutzer nicht verschlüsselte. Das ist mittlerweile seit gut einem Monate behoben – doch es gibt bereits Berichte, dass die Verschlüsselung geknackt ist. Eine Anfrage der taz zu Sicherheit und Datenschutz der Anwendung ließ das Unternehmen unbeantwortet.

„Aus Datenschutzsicht ist von WhatsApp abzuraten“, sagt Peter Knaak, Redakteur bei der Stiftung Warentest, die die Anwendung im Frühjahr getestet hatte. Auch, wenn einige Kritikpunkte mittlerweile behoben seien – laut Knaak gibt es noch genug Lücken. „Wir haben zum Beispiel kritisiert, dass bei der Einrichtung alle gespeicherten Telefonnummern nicht anonymisiert auf den Server übertragen werden“.

Darüber hinaus erfahre das Unternehmen die Mobilfunkanbieter der Nutzer. „Das muss niemand wissen und das ist auch für die Funktion der App nicht nötig“, kritisiert Knaak. Natürlich sei der Nutzen der Anwendung hoch. „Aber man sollte zumindest wissen, dass die übertragenen Daten in den USA landen und unklar ist, was damit passiert.“

18 Sep 2012

LINKS

[1] http://www.santacruzdetenerife.es/actualidad/noticias/noticia/articulo/el-ayuntamiento-establece-medidas-de-ahorro-en-el-uso-de-la-mensajeria-de-telefonia-movil-utiliza/
[2] http://www.heise.de/security/meldung/WhatsApp-Accounts-fast-ungeschuetzt-1708132.html

AUTOREN

Svenja Bergt

TAGS

WhatsApp
Datenschutz
Schwerpunkt Überwachung

ARTIKEL ZUM THEMA

Sicherheitslücken bei WhatsApp: Löchrige Kommunikation

Beim Versuch besonders einfach zu bleiben, ist der SMS-Ersatz WhatsApp auch besonders unsicher geraten. Kaum ist eine Lücke geschlossen, tut sich die nächste auf.

Sicherheitsrisiko Smartphone: Die Furcht vor den Apps

Nutzer wünschen sich „saubere“ Apps, Unternehmen viele Daten. Verbraucherministerin Aigner reagiert nur sehr verhalten auf Datenschutzbedenken.

Netz-Schnüffeltechnik DPI: „Nacktscanner fürs Internet“

Mit Deep Packet Inspection (DPI) können Internet-Anbieter Nutzern in ihren Datenverkehr schauen. Netzwerkexperte Rüdiger Weis sieht akuten Handlungsbedarf.

Sicherheitslücken beim Internet Explorer: Bundesamt empfiehlt Abschaltung

Der Browser Internet Explorer ist nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik ein hohes Sicherheitsrisiko. Er sollte nicht genutzt werden.

Googles Autovervollständigung: Wenn Algorithmen tratschen

Nach der Klage von Bettina Wulff steht die Frage im Raum: Muss Google für die Autocomplete-Funktion die redaktionelle Verantwortung übernehmen?

Bayerischer Datenschutzbeauftragter: Trojaner-Einsatz ohne Regeln

Thomas Petri folgt der Kritik des Chaos Computer Clubs. Es fehlten klare Vorgaben für den Umgang mit Spähsoftware. Das bayerische Innenministerium wertet den Bericht als Entlastung.

Sicheres Chatten mit Crypto.cat: Der Katzenkryptograf

Nutzer haben Vieles im Netz nicht unter ihrer Kontrolle, findet Nadim Kobeissi. Deshalb hat er einen verschlüsselten Browserchat erfunden.

Sicherheitspanne im Android-Appstore: Sauber testen, dreckig nachladen

Mit dem Programm „Bouncer“ wollte Google schädliche Software aus seinem Appstore tilgen. Doch Sicherheitsexperten zeigen nun, wie einfach es ausgetrickst werden kann.