Im Chat verschlüsselt: Warum das nicht genug ist
Verschlüsselt im Chat? „Endlich“, freuen sich viele, weil WhatsApp, die beliebte Smartphone-App, ihren Nutzern jetzt Ende-zu-Ende-Verschlüsselung anbietet. Die Chat Inhalte also geschützt versendet. Der Schritt des US-amerikanischen Unternehmens ist ein gewaltiger. US-Unternehmen wie Google könnten sich ein Beispiel nehmen. Doch so umfassend geschützt, wie viele Nutzer glauben, sind sie nicht. Besonders in Unternehmen muss die Chat-App daher weiterhin mit kritischem Auge betrachtet werden.
Wie heise online bei einem Test jetzt geklärt hat, gibt es zwei große Schwachpunkte:
- Whatsapp schützt nicht vor der Weitergabe und Auswertung der Metadaten
- das Adressbuch wird nach wie vor auf die Server des zu Facebook gehörigen Messengers geladen
Damit, so vermutet heise durchaus im Sinne vieler Juristen, dürfte WhatsApp gegen deutsches Datenschutzrecht verstoßen. Ob dies tatsächlich der Fall ist, müssten Gerichte entscheiden.
Denn solange dem Unternehmen die Metadaten offen vorliegen, können sie jederzeit
- von den US-Behörden angefordert
- von Mitarbeitern eingesehen
- an Dritte weitergegeben
- und ausgewertet
werden. Metadaten sind Verbindungsdaten. Sie sind systematisch und strukturiert, weil sie die Aufgabe haben, den Rechnern zu sagen, was sie mit den Daten zu tun haben. Deshalb sind Verbindungsdaten äußerst verräterisch.
Was verraten Metadaten tatsächlich?
Was aber lässt sich mit diesen Verbindungsdaten überhaupt anfangen? Das fragen Nutzer und zucken gleichgültig mit der Schulter. Ein Umstand, der Barack Obama dazu verleitete, am Beginn des Abhör-Skandals des amerikanischen Geheimdienstes National Security Agency (NSA) die staatliche Überwachung abzuschwächen, indem er sagte, es würden „nur Metadaten gesammelt“.
Deshalb haben Forscher an der Stanford Universität in einer Studie die Frage gestellt, was die Verbindungsdaten tatsächlich verraten. Sie sammelten mit einer legalen Spionage Software Daten von Freiwilligen und waren über das tatsächliche Ergebnis verblüfft: Die Forscher konnten in kürzester Zeit 91 Prozent der anonymen Daten ihrer Testpersonen eindeutig identifizieren. Sie erfuhren einiges über Verfehlungen, Familienplanungen und außereheliche Affären. Fünf Monate dauerte das Experiment insgesamt. Das Resultat: Die vermeintlich anonymen Verbindungsdaten gaben Geheimnisse preis, die man kaum privat jemanden anvertrauen will – geschweige denn, einer vom Staat geführten oder von einem Unternehmen unterhaltenen Datenbank.
WhatsApp: Transparent im Chat
Dass es nicht unbedingt Verfehlungen sein müssen, zeigt das Experiment des Niederländers Ton Siedsma: Eine Woche ließ er sich freiwillig überwachen. Heraus kamen seine Lebensumständen, Freundschaften und Unternehmungen. Siedsmas Daten verrieten, dass er als Anwalt für die Bürgerrechtsorganisation Bits of Freedom (BoF) arbeitet und sich hauptsächlich mit internationalen Handelsabkommen beschäftigt, sowie mit dem Außenministerium und ein paar Mitgliedern des Parlaments zu diesem Thema Kontakt hält. Eine Reihe von Nachrichten drehten sich in der überwachten Woche um die Planung einer Leistungsüberprüfung innerhalb der Organisation, die – vermutlich – der Direktor durchführen sollte. Selbst als Siedsma ein paar Dateien im geschützten Teil der BoF-Website aktualisierte, waren die Themen aus den Metadaten ersichtlich. Die Namen der Dateien schienen nämlich in den URLs auf.
Die Tatsache, dass Nutzer durch Online-Aktivitäten, wie eMails verschicken, sich in Chats unterhalten, Webseiten besuchen oder Dokumente teilen (FileSharing), transparenter werden, ist für Unternehmen gefährlich.
Die Schwierigkeit liegt darin, dass den Anbietern von Systemen, die direkt von einem Empfänger zum Sender verbinden, die Adressen der Empfänger bekannt sein müssen. Das ist der Grund, warum den Anbietern von Diensten, wie zum Beispiel dem Chat Anbieter WhatsApp, heute immer die Verbindungsdaten vorliegen, selbst wenn eine Ende-zu-Ende-Verschlüsselung eingesetzt wird.
Die Metadaten ermöglichen es aber, auf Inhalte zu schließen. Daher gelten Verbindungsdaten auch als personenbezogene Daten und unterliegen dem Datenschutz. Unternehmen müssen sich deshalb genau erkundigen, besonders dann, wenn Mitarbeiter auch beruflich WhatsApp einsetzen.
Informationen zu idgard®, der versiegelten Business-Cloud für sicheren Datenaustausch, finden Sie in der Software-Wiki.
Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.