Whatsapp zu verlassen, steht nicht zur Debatte. Von der Sogwirkung und ihren Folgen

Es ist allgemein bekannt, dass ich Whatsapp äußerst kritisch gegenüber stehe. Ich fördere offene Standards, proprietäres mag ich weniger. Problematisch ist dabei, dass es bis jetzt ausschließlich Whatsapp gelungen ist, alle Medieninhalte auf alle Geräte zu übertragen. Kein anderer Messagingdienst kann das, was Whatsapp kann. Hinzu kommt die Gruppierung von Kontakten, hier lässt sich schnell eine ganze Schulklasse zu einer Chatgruppe zusammenfassen. Vergessen wird bei der ganzen Diskussion um die Sicherheit bei Whatsapp die soziale Komponente, die eigentliche Sogwirkung von Whatsapp.
 

 
Whatsapp ist also das Medium, welches sich durch die Verbreitung auf alle Plattformen enorm schnell durchgesetzt hat und mit rd. 600 Millionen Teilnehmern der wohl größte Messagingdienst im Netz ist. Whatsapp wurde 2009 gegründet und 2014 von Facebook übernommen, obwohl Facebook selbst einen eigenen Chatdienst betreibt.

Whatsapp gegenüber stehen andere Dienste, welche mit anderem Fokus und weit weniger Nutzerkomfort und mit weniger Features um den verbleibenden, immer kleiner werdenden Anteil der Smartphones auf diesem Planeten buhlen.

Fast alle können jedoch eine Sache deutlich besser: Sicherheit. Dabei geht es zum einen um die Transit-Sicherheit, als auch um die eigentliche Inhalts-Sicherheit und das Rechtemanagement. In allen Disziplinen patzt Whatsapp so deutlich, dass man Whatsapp eigentlich nicht mehr einsetzen sollte.

Immer wieder wurde auch deutlich, dass es deutlich unklug ist, eine Funkrufnummer als primären Token zur Nutzung des Kontos bei Whatsapp zu verwenden: Im Januar 2012 wurden zum ersten Mal prekäre Sicherheitslücken von Whatsapp von unbekannten veröffentlicht. Zum Angriff gegen Nutzer zu blasen war es lediglich notwendig, die Funkrufnummer des Anwenders zu kennen. Dadurch konnten Statusinformationen von beliebigen Anwendern geändert werden. Whatsapp reagierte wie folgt: Die Website, über jene der Angriff möglich war, wurde von dem Zugriff auf die Whatsapp-API per IP-Ausschluss blockiert, eine Pressemitteilung bekundete das, jedoch nicht, wie Whatsapp die Lücke geschlossen hatte. Wie dämlich dieses Vorgehen ist, wurde bekannt, als unmittelbar nach der Pressemeldung die IP des Betreibers der Website gewechselt wurde und der Angriff erneut möglich war.

Später wurde bekannt, wie die Kommunikation unverschlüsselt übertragen wurde. Alle Informationen, die mit den Servern ausgetauscht wurden, waren klar sichtbar. Eine IMEI wurde genauso übertragen wie die Rufnummer des Nutzers und die MAC-Adresse der WiFi Schnittstelle. Alle Elemente an sich sind für den Nutzer quasi verbrannt, denn bereits damit lässt sich eine Menge Schindluder betreiben. Eigentlich kann man das Telefon schon wegwerfen. Ein Faken aller Elemente eröffnete den umgehenden Zugriff auf alle in Whatsapp Verläufen gespeicherten Inhalte, ebenso die Telefonbücher. Whatsapp hat Kenntnis über das gesamte Telefonbuch des Nutzers, d.h. auch Nutzer, die Whatsapp gar nicht nutzen. Später eröffnete Curasec in Berlin Möglichkeiten, wie man an die Zahlungstokens von Google Wallet und Paypal des Whatsapp-Anwenders kommt. Durch DNS-Spoofing wurde von der Gruppe Palestinian Hackers ein Fake-Server für Nutzer bereitgestellt.

Wie schwer es ist, Nutzerkonten, Token und Telefonbuch auf den Whatsapp-Servern löschen zu lassen, habe ich im Dezember 2012 bereits veröffentlicht.

Whatsapp verwendet in der letzten Version RC4 als Verschlüsselungsalgorithmus, und HMAC als Vektorrechner. Das ist zwar verständlich, da äußerst schwache Endgeräte in Echtzeit Sprachnachrichten, Videoinhalte und Chats ver- und entschlüsseln müssen, jedoch kann man dann eigentlich auch auf die Verschlüsselung ganz verzichten, denn RC4 ist gleich mal komplett kaputt, wie Ruedi hier erläutert: Link – Das heißt eine Verschlüsselung findet bis jetzt quasi nicht statt. Dass Whatsapp jetzt erst eine Verschlüsselungsmethodik mit Ende-zu-Ende Verschlüsselung einbauen möchte, dürfte laut heise zumindest den Skeptikern den Wind aus den Segeln nehmen, hatte die EFF doch zuletzt insbesondere Whatsapp mehr als deutlich angeschwärzt: Link. Doch heise scheint diese Meinung gottseidank exklusiv gepachtet zu haben. Ob Ende zu Ende Verschlüsselung durch bei Whatsapp gesicherte, private Schlüssel tats#chlich mit dem Wort „Verschlüsselung“ beworben werden darf, lasse ich mal zur Diskussion offen – an jener ich mich allerdings nicht weiter beteiligen werde. Die Art und Form, wie heise in heiklen Themen argumentiert, halte ich jedenfalls für gefährlich. Imho sind die Äußerungen auch gleich zu jenen in der Netzneutralitätsdebatte, der RÜckhalt von Heise in der Pro-Szene dürfte weiter schwinden.

Wehe, es kracht dort einmal im geschlossenen Quellcode, der (mit Verlaub) von Menschen geschrieben wurde. Whatsapp läuft dabei in die gleiche Falle, wie iMessage: Die Verschlüsselung ist nur so lange sicher, wie nur Du selbst im Besitz des privaten Schlüssel bist. Der private Schlüssel wird bei Whatsapp jedoch nicht im Besitz der Nutzer sein. In sofern könnte man dem schweizer Threema wohl etwas mehr Knowhow unterstellen – auch wenn die Herrschaften closed source verbreiten ist der Aufwand für das private Schlüsselhandling wohl mehr als gerechtfertigt und gut.

Whatsapp ist – mit Verlaub – eines der lohnendsten Angriffsziele überhaupt. Mit den Informationen, die dort gespeichert sind, lassen sich nicht nur Spamwellen auf Altersgruppen gezielt abstimmen, es ist noch viel mehr möglich, über jenes der Anwender (wohl besser) im Unklaren ist. Keiner ist sich der Informationen und der Nutzerverkettungen bewusst, welche auf Whatsapp-Servern gespeichert sind.

Zuletzt wurde von den Nutzern vermehrt beklagt, dass die Gelesen-Funktion einen Eingriff in deren Privatsphäre bewirke, und einige Nutzer wendeten sich vom Kurznachrichtendienst ab. Da ein Rückgang von Nutzerzahlen nicht hinnehmbar ist, wurde die Funktion wieder freigegeben, d.h. Nutzer können die „Gelesen“ Funktion wahlweise wieder abschalten.

Zur prekären Lage bei Whatsapp selbst habe ich (wieder einmal) genügend geäußert, jeder Nerd, der nur halbwegs klar bei Verstand ist, würde mit diesem Wissen um Whatsapp einen Riesenbogen machen. Es sei denn, er vertritt die „prekäre“ Auffassung, er habe doch nichts zu verbergen und „Die NSA weiß doch eh alles über mich“ oder gehört zur Gruppe der „Datenschutzkritischen Spackeria“. Doch es gibt noch eine andere Komponente, die weitaus stärker ist, als „nur“ Sicherheitsbedenken.

Zielgruppenproblem: Was mache ich mit meinem Kind?

Whatsapp ist deswegen so beliebt, weil es alle medialen Contentmöglichkeiten in einem Tool zusammenfasst. Anwender müssen sich über OTR und Verschlüsselungsmethoden keine Gedanken machen, die Anmeldung bei diesem Dienst ist denkbar einfach. Der Austausch von Informationen geschieht über die Mobilfunkrufnummer, und die ist in den jeweiligen Freundeskreisen eh bekannt.

Gerade deswegen ist eine Zielgruppe ganz besonders gefährdet – und das ist mein Trugschluss den ich habe, wenn ich versuche, beliebige Nutzer über die Gefährlichkeit von Whatsapp aufzuklären. Whatsapp zu verlassen käme für keinen der Nutzer in Frage. Die Kritikalität meiner Thesen werden dabei überhaupt nicht hinterfragt, wie man hier in einer Diskussion auf Facebook deutlich interpretieren kann:

Bildschirmfoto 2014-11-19 um 14.24.11

Es geht hier wohl weniger um den wohl sehr bewussten Weg der Nutzung von Facebook meinerseits, als um die kritische Hinterfragung eines Messagingdienstes, jener sich einen Dreck um Nutzersicherheit schert. Eine frontale Kollision. Ein Affront. Etwas Negatives über Whatsapp zu äußern wird als breiten Angriff auf die sozialen Kontakte des Whatsapp-Nutzers gewertet. Ich bin Raucher. Mir die Zigaretten wegzunehmen hätte vermutlich weitgehendere Folgen.

Der Sog, den Whatsapp auf Nutzer ausübt, bekommt besonders bei jungen Nutzern zusätzliche Brisanz. Die Gruppenfunktionalität und die Erreichbarkeit einer fiktiven Schulklasse bedeutet nichts anderes als soziale Zugehörigkeit. Wenige in den jüngeren Altersgruppen besitzen die mentale Stärke, diesem Sog zu widerstehen. Man möchte ja alle erreichen können und wissen, was gerade abgeht. Das ist noch nicht mal mehr mit dem Zustand vergleichbar, wenn in den 90er Jahren jemand eine Folge „Gute Zeiten Schlechte Zeiten“ im Fernsehen verpasst hat. Der Informationsaustausch ganzer Schulklassen wird nicht nur in Whatsapp gebündelt, er findet auch gleich fast ausschließlich nur noch über Whatsapp statt. Das führt selbst dazu, dass ganze, zuvor erfolgreiche Plattformen in Vergessenheit geraten.

Auch das Nutzerverhalten gerade der jüngeren Nutzer ist dabei prekär. Nutzer erliegen viel zu schnell der Versuchung, eine intime Nachricht, welche ausschließlich nur an sie persönlich gerichtet ist, direkt mit der ganzen Gruppe zu teilen. Prekäre Nachrichten finden über Whatsapp in Bruchteilen von Sekunden den Weg zu Nutzern, die diese Nachricht niemals hätten sehen dürfen. Als Beispiel sei hier die Audiobotschaft einer sehr jungen Nutzerin genannt, welche mit ihrer Freundin über ihren ersten Analverkehr spricht. Medieninhalte, welche Jugendliche in Notlagen zeigen und Bilder, welche Nutzer in freizügigen Posen zeigen, finden so nicht nur den Weg in Schulklassen, sondern auch zurück zu den Eltern der Nutzer oder gleich in ganze Ortschaften. Das Leben einer Person ist durch das Teilen von Informationen in bestimmten Gesellschaftsgruppen fortlaufend Geschädigt, ja fast unmittelbar in direkter Gefahr.

Eltern sind hier absolut überfordert, sie haben Angst und Sorge um ihre Kinder, dass ihnen so etwas ebenfalls widerfährt. Und das mit Recht, wie die Zeit in einem Artikel ausführlich beschreibt: Link. Hier hilft nur die Offenheit zu den Kindern und Diskussionsbereitschaft als verlässlicher, fürsorglicher Partner. Ihnen Whatsapp wegzunehmen, wäre undenkbar. Zumindest zum jetzigen Zeitpunkt.

Der Gruppe der Sicherheitsfanatiker (Zu denen man mich dann wohl auch zählen kann) kann man zu diesem Zeitpunkt tatsächlich vorwerfen, keine Alternative bereitstellen zu können, die ähnlich leichte und schnelle Kommunikation unterstützt. Für die kleine Gruppe von Nerds, welche sich bewusst und sicher im Netz bewegt, ist lediglich diese Option der einzige, mögliche Ausweg, sofern er denn von 600 Millionen angenommen werden sollte.

Wir sind hier – zumindest zum jetzigen Zeitpunkt – in einer Sackgasse ohne Wendehammer. Der Nutzer, der dem Sog von Whatsapp erliegt, wird diese Plattform niemals verlassen. Er würde einen Großteil seiner sozialen Kontakte auch im #Reallife verlieren.

FAZIT:

Also vertrete ich die These, dass ab einem gewissen Alter einem Kind Whatsapp nicht verboten werden sollte. Dennoch sollten die Eltern sich mit dem Kind proaktiv auseinandersetzen und regelmäßig über dieses Thema sprechen. Wichtig ist, dass das Kind einen Ansprechpartner hat, mit dem es sich aus eigenem Antrieb über seine Erfahrungen austauschen kann. Es bringt nichts, das Kind auszuhorchen, wohl aber, bei Problemen ein verlässlicher und kompetenter Ansprechpartner zu sein. Eine Vertrauensfrage. Man schützt ein Kind nicht, indem man alle Gefahren von vorne herein ausräumt, sondern man schützt es, indem man ihm zeigt, wie man gewissenhaft damit umgeht.

Diese These mag bedenklich sein, insbesondere mit dem Wissen über das Datenschutzproblem bei Whatsapp. Gerne diskutiere ich darüber mit Euch.