Was haben iMessage von Apple und WhatsApp von Facebook gemeinsam? In beiden Fällen behaupten die Anbieter, dass die Kommunikation zwischen den Kommunikationspartnern Ende-zu-Ende verschlüsselt würde und zwar so, dass selbst sie als Anbieter nicht in der Lage wären, diese Kommunikation mitzulesen. Und dem Nutzer bleibt nicht viel übrig, als Apple und Facebook hier zu glauben. Denn schließlich haben die Unternehmen die komplette Kontrolle über das gesamte Kommunikationssystem: Vom Client zum Server und zurück zum nächsten Client, jedes Stück Software wird von Apple bzw. Facebook kontrolliert und es handelt sich dabei mindestens teilweise um Closed Source Software.

WhatsApp: Verschlüsselung dank Backdoor wertlos

Eine Kontrolle von Dritten von außen ist bei geschlossenen Systemen nicht so einfach möglich. Natürlich kann man auch hier mögliche Lücken finden, andererseits lassen sich in so einem System auch diverse Dinge verstecken, die von außen betrachtet nicht oder zumindest nicht so leicht finden lassen. Es bleiben also am Ende dem Nutzer nur zwei Möglichkeiten: Entweder noch eine eigene Verschlüsselung oben drauf packen oder aber eben dem Anbieter zu vertrauen.

Vertrauen…

Vertrauen ist hier das Stichwort. Denn unabhängig davon, dass es sich bei der Hintertür in der WhatsApp-Ende-zu-Ende-Verschlüsselung wohl nicht um eine absichtliche Backdoor handelt und einfach nur eine Designentscheidung zugrunde liegt, die die Nutzung etwas komfortabler machen soll und genauso unabhängig davon, dass diese Lücke ganz sicher nicht für die Massenüberwachung taugt, sondern allenfalls für gezielte Abhörmaßnahmen, ist es nun mal so, dass Facebook die Nutzer hier belogen hat und weiter belügt:

Deine Nachrichten sollten in deinen Händen sein. Deshalb speichert WhatsApp deine Nachrichten nur solange auf unseren Servern, bis wir sie zustellen können und da sie Ende-zu-Ende verschlüsselt sind, können weder WhatsApp noch Dritte sie lesen.

Und bei dem Thema hat sich Facebook schon einmal unrühmlich verhalten, wir erinnern uns an die Verknüpfung der WhatsApp- Facebook-Daten der Nutzer. Etwas, das ursprünglich ausgeschlossen wurde, dann aber doch kam und für einigen Ärger mit europäischen Datenschützern führte: Macht Facebook bei den WhatsApp-Daten einen Rückzieher?

Wer hat was zu verbergen?

Klar, die große Mehrheit von uns hat in dem Sinne nichts zu verbergen, als dass unsere Kommunikation sich nicht um irgendwelche kriminellen Aktivitäten dreht. Wenn also Strafverfolgungsbehörden mitlesen würden, dann würden die da nichts zu verfolgen finden. Zumindest normalerweise. Daher reicht auch eine solche Ende-zu-Ende-Verschlüsslung mit Hintertür für die meisten Nutzer zumindest im privaten Umfeld wahrscheinlich aus. Aber auch das ändert nichts am Thema „Vertrauen“.

Denn die Lücke im Design besteht nun einmal, ob beabsichtigt oder nicht, ob zur Massenüberwachung geeignet oder nicht. Und Facebook hat trotz des Wissens um diese Lücke weiter behauptet, man könne selbst nicht auf die Nachrichten seiner Nutzer zugreifen. Vertrauen schafft so etwas nicht. Besser wäre es gewesen, wenn Facebook diese Lücke angesprochen hätte und die Software entsprechend ergänzt hätte, um wie auch bei Signal zumindest optional eine manuelle Schlüsselprüfung ermöglichen würde, bevor weitere Nachrichten verschickt werden. Transparenz und Kontrollmöglichkeiten, das sind – neben „sich nicht beim Lügen erwischen lassen“ – Möglichkeiten für ein Unternehmen, bei den Nutzern Vertrauen zu schaffen.

Nutzerfreundlichkeit vs. Sicherheit

Am Ende scheitert es dann wieder am Konflikt zwischen Nutzerfreundlichkeit und Sicherheit: Wirklich sichere Systeme sind nicht möglich, ohne dass der Nutzer hier mit einbezogen wird und sei es nur bei der Kontrolle von Schlüsseln. Die beste Verschlüsselung nutzt nichts, wenn der Nutzer am Ende jeden Schlüssel verwendet, der ihm angeboten wird, ohne zu kontrollieren, ob es der korrekte Schlüssel ist. Und zumindest bislang scheint es dafür noch keine Lösung zu geben.

Egal ob nun Apple iMessage oder WhatsApp von Facebook: In beiden Systemen wurden Entscheidungen für die Nutzerfreundlichkeit und gegen eine höhere Sicherheit – die vermeintlich zu Lasten der Nutzerfreundlichkeit ginge – getroffen. Im Zuge dieser Entscheidung wurde den Nutzern ein Teil der Verantwortung für die Sicherheit der Kommunikation abgenommen und auf den Betreiber des Systems verlagert. Also muss der Nutzer hier dem Anbieter vertrauen. Und Vertrauen gewinnt ein Unternehmen nicht dadurch, potentielle Lücken zu ignorieren, klein zu reden oder gleich ganz zu verschweigen.

…oder Sorglosigkeit.

Aber eigentlich vertraut ja eh niemand Facebook, aber warum sind immer noch so viele auf Facebook unterwegs und per WhatsApp erreichbar, wenn doch kaum einer dem Unternehmen vertraut? Sind das alles Menschen, die höchst sorgfältig dabei sind, welche ihrer Daten sie wo teilen und über welche Dienste sie welche Kommunikation führen? Oder ist es einfach Sorglosigkeit? In Anbetracht der Nutzerzahlen von WhatsApp im Vergleich zu sichereren Alternativen wie zum Beispiel Threema, würde ich mein Geld eher auf eine deutliche Mehrheit für Sorglosigkeit setzen.

Backdoor bleibt Backdoor

Am Ende bleibt die Hintertür in WhatsApp, egal ob es nun ein Versehen oder eine Designentscheidung war. Und ganz unabhängig davon, ob Facebook diese mögliche Lücke genutzt hat oder nutzen wollte, sowie auch von der technischen Frage, hat sich Facebook mal wieder nicht mit Ruhm bekleckert, wenn es um den Umgang damit geht. Auf die Nutzerzahlen wird es kaum Auswirkungen haben, aber wenn bei jeder solchen Aktion nur ein paar Menschen mehr erkennen, dass man den Versprechen eines Unternehmens nicht blind glauben sollte, dann wäre das ja schon mal ein Fortschritt.

Ach übrigens: Auch Apple würde ich nicht blind vertrauen, keinem Unternehmen sollte man blind vertrauen, man sollte immer genau überlegen und abwägen, was man bekommt und womit ein Unternehmen Geld verdient. Und danach entscheiden, ob und wie weit man einem Unternehmen vertrauen möchte.