Haben Sie die neueste Nachricht von WhatsApp über ihre Ende-zu-Ende-Verschlüsselung gesehen?
Sie verweist auf das Help Center, wo behauptet wird, dass Datenschutz und Sicherheit "in der DNA des Unternehmens" liegen. Das klingt beruhigend... vielleicht zu beruhigend.
Aber was deckt die Ende-zu-Ende-Verschlüsselung von WhatsApp wirklich ab? Und was noch wichtiger ist, was bleibt davon unentdeckt?
Lassen Sie uns das Kleingedruckte auspacken und die wichtigsten Dinge hervorheben, auf die Nutzer achten sollten, wenn es um den Schutz ihrer Daten und ihrer Privatsphäre geht.
Fangen wir von vorne an. Die Ende-zu-Ende-Verschlüsselung ist eine Sicherheitsmethode, die gewährleistet, dass Nachrichten und Anrufe vor unbefugtem Zugriff geschützt sind. Das bedeutet, dass niemand, nicht einmal der App-Anbieter, Ihre Nachrichten lesen kann.
Ein genauerer Blick in die WhatsApp-eigene Dokumentation offenbart eine differenziertere Wahrheit: Eine Ende-zu-Ende-Verschlüsselung bedeutet keine vollständige Privatsphäre und schon gar keinen vollständigen Schutz.
Laut der WhatsApp-eigenen FAQ zur Verschlüsselungsquelle wird Folgendes von E2EE abgedeckt:
Diese Inhalte werden mit dem Signal-Protokoll verschlüsselt und können nur vom Absender und Empfänger entschlüsselt werden. So weit, so gut.
Die meisten Benutzer gehen davon aus, dass "Ende-zu-Ende-verschlüsselt" bedeutet, dass alle Aktivitäten in der App sicher sind. Aber das ist bei weitem nicht der Fall. Die folgenden Daten sind nicht verschlüsselt:
Diese Metadaten können aufgezeichnet und auf Servern gespeichert werden, was häufig auch geschieht. WhatsApp sagt zwar, dass es diese Daten "einschränkt", aber sie werden trotzdem erfasst und sind nicht durch E2EE geschützt.
Denken Sie daran: Metadaten können ein äußerst detailliertes Bild Ihres Verhaltens, Ihrer Kontakte und Ihrer Gewohnheiten zeichnen, ohne dass Sie jemals den eigentlichen Inhalt der Nachricht lesen müssen.
Wenn Sie Ihre WhatsApp-Nachrichten in Google Drive oder iCloud sichern, sind diese Backups nicht durch die Ende-zu-Ende-Verschlüsselung von WhatsApp geschützt, es sei denn, Sie aktivieren ausdrücklich verschlüsselte Backups, was standardmäßig nicht der Fall ist.
Sie müssen verschlüsselte Backups manuell aktivieren und ein Passwort oder einen 64-stelligen Schlüssel wählen. Selbst dann ist diese Funktion nur so sicher wie der Schutz der Cloud-Plattform selbst, und die Nutzer wissen oft nicht, dass sie standardmäßig unverschlüsselte Backups verwenden.
Mit WhatsApp Payments, das in bestimmten Regionen verfügbar ist, können Nutzer Geld senden und empfangen. Allerdings:
Denken Sie daran: Selbst in einem privaten Chat können Ihre finanziellen Aktivitäten von externen Diensten eingesehen werden und sind damit potenziell anfällig für Kompromisse.
Wenn Sie einem Unternehmen eine Nachricht auf WhatsApp senden:
Bitte beachten Sie: Die Ende-zu-Ende-Verschlüsselung gilt nicht mehr, sobald Ihre Daten in externe Systeme oder Unternehmenstools gelangen.
Die Ende-zu-Ende-Verschlüsselung ist ein wichtiges Instrument, aber sie ist keine pauschale Garantie für den Datenschutz. Im Fall von WhatsApp gilt die Verschlüsselung nur für den Inhalt der Nachricht, nicht für das sie umgebende Ökosystem.
Wenn Sie WhatsApp für sensible Kommunikation nutzen, sei es privat, beruflich oder sogar finanziell, müssen Sie verstehen, was offengelegt wird:
Zu verstehen, was nicht verschlüsselt ist, ist ebenso wichtig wie das, was verschlüsselt ist.
Wenn Sie es mit dem Datenschutz ernst meinen, sollten Sie über das Marketing hinausgehen und sich fragen: Was wird noch gesammelt? Wo werden sie gespeichert? Wer hat noch Zugriff?
Die Antworten könnten Sie überraschen.
Ein wichtiger Hinweis ist, dass Tools wie WhatsApp und Signal nicht für geschäftliche Zwecke, sondern für die Nutzung durch Privatpersonen entwickelt wurden. Ihnen fehlen wesentliche Funktionen, die für die Wahrung der Privatsphäre, den Schutz und die Einhaltung von Vorschriften in Unternehmen und Behörden unerlässlich sind. Versuchen Sie, diese Art von Tools für die Sicherung der Arbeitskommunikation zu verwenden, und Sie könnten mit Ihrer eigenen Version von Signalgate enden.
Verschlüsselte Kommunikation im Privatkundenbereich ist nicht nur die Domäne von Signal und WhatsApp. Selbst Tools, die sich selbst als geeignet für Unternehmen und Behörden bezeichnen, können erhebliche Mängel aufweisen, die sie eher mit Consumer-Tools gleichsetzen. Bei Element beispielsweise ist die Ende-zu-Ende-Verschlüsselung in bestimmten Gruppeneinstellungen standardmäßig deaktiviert, was bedeutet, dass man leicht vergisst, sie einzuschalten, so dass die Kommunikation ungeschützt ist. Und Matrix ist (un)berühmt für das Ausmaß an Spam, mit dem die Benutzer konfrontiert werden, was auf einen etwas laxen Ansatz bei der Durchsetzung von Sicherheitsstandards für alle Konten zurückzuführen ist.
Die Lehre daraus ist, dass Sie eine Lösung benötigen, die von Grund auf auf dieses Ziel ausgerichtet ist, wenn Sie eine sichere Kommunikation wünschen, bei der die sensiblen Daten Ihres Unternehmens gut geschützt sind. Aus diesem Grund sollten Sie mehr über Wire erfahren, die branchenweit fortschrittlichste und skalierbarste Plattform für sichere Kommunikation, die für weltweit führende Unternehmen und Behörden entwickelt wurde und von diesen genutzt wird.