Beim Messagingdienst Whatsapp traten Datenschutzrisiken und Sicherheitsprobleme in der Vergangenheit gleich gehäuft auf. Dennoch legt der Dienst beständig an Nutzern zu. Trotz Nachbesserungen im Detail bleiben viele Fragen zum Dienst jedoch ungeklärt.
Immer wieder ist der populäre Mitteilungsdienst Whatsapp in den Schlagzeilen. Zuletzt führten massive Server-Ausfälle zu Verzögerungen beim Weitertransport von Nachrichten und Bildern. Ernster sind andere Meldungen: Ende Juli wurde bekannt, dass ein Angreifer über eine Sicherheitslücke auf Konten bei Paypal oder Google Wallet zugreifen können soll, weil Whatsapp die Daten nur teilweise verschlüsselt transportiere.
Nur wenige Tage davor sorgte eine Schadsoftware mit dem Namen „Piryanka“ für Ärger. Der Virus bahnt sich, getarnt als Kontaktaufnahme bei Whatsapp, den Weg auf Android-Geräte, wo er sich im Adressbuch einnistet und dort verbreitet. Die Nutzer hatten das vorher per scheinbar harmloser Bestätigung in Whatsapp zugelassen.
Schon im Frühjahr wiesen niederländische und kanadische Datenschützer auf eklatante Sicherheitslücken beim Anmeldeprozess hin: Diese Lücken machen es möglich, dass Dritte eine Whatsapp-Identität stehlen und missbrauchen können. Die Whatsapp-Macher reagierten weder darauf noch stellten sie ein Sicherheitsupdate zur Verfügung. Das befremdete viele Nutzer noch mehr. Einige Nutzer wanderten ab, Entwickler begannen, an Alternativdiensten zu arbeiten.
Whatsapp: Der Dienst im Überblick
Mit Whatsapp können registrierte Nutzer über das Smartphone Nachrichten untereinander versenden. Dafür müssen sie nur den Nutzernamen oder die Telefonnummer des jeweils anderen Nutzers kennen. Das bedeutet: Man kann auch Unbekannten Whatsapp-Mitteilungen senden, denn ein Nutzer muss den Kontakt nicht bestätigen.
Die Whatsapp-Programme kommunizieren ausschließlich über eigene Server, in die sich das jeweilige Gerät per Mobilfunk- oder WLAN-Verbindung einwählt. Gruppennachrichten und Dateianhänge für Fotos oder Videos sowie Sprachnachrichten sind ebenfalls möglich. Die Gebühren für die Nutzung sind von Gerät und Betriebssystem abhängig. Android-Nutzer zahlen zwischen 67 und 90 Cent jährlich, iPhone-Nutzer 89 Cent für ein Jahr.
Zur großen Verbreitung dürfte beigetragen haben, dass der Dienst auf fast allen gängigen Systemen – ob Smartphone oder Desktop-Rechner – erhältlich ist und nur wenige Schritte und Angaben beim Registrieren erfordert. Nach Angaben von Whatsapp haben sich weltweit mehr als 300 Millionen Nutzer registriert, in Deutschland sollen es etwa 20 Millionen sein. Einer Studie der Jugendmesse You zufolge sollen 36 Prozent der deutschen Jugendlichen den Dienst benutzen. Demnach hat der Dienst für Jugendliche zudem größere Bedeutung für den Nachrichtenaustausch als Facebook oder SMS.
Wie hält es Whatsapp mit Datenschutz und Datensicherheit?
Als Problem betrachten Kritiker, dass der Dienst regelmäßig alle Adressbuchdaten an die Whatsapp-Server in den USA übermittelt – zumindest, wenn Nutzer das nicht per Voreinstellung blockieren, was aber nur bei einigen Versionen möglich ist. Trotz der Kritik rückte Whatsapp von dieser Praxis bisher nicht ab.
Probleme mit der Datensicherheit sind beim Anmeldeprozess bekannt. Um zu überprüfen, ob sich wirklich der registrierte Nutzer und nicht ein Dritter einwählt, verknüpfte der Dienst in einer früheren Version die Logindaten lediglich mit der Gerätenummer des Telefons, wie im Frühjahr kanadische und niederländische Datenschutzbehörden herausfanden. Diese Nummer wird beispielsweise verwendet, wenn sich ein Gerät in einem WLAN-Netzwerk anmeldet. Der Administrator eines WLAN-Routers kann diese Nummer sehen. Auf diesem Weg sei es ein leichtes, eine Whatsapp-Identität anzunehmen, um beispielsweise Spam- oder Phishing-Mitteilungen zu versenden oder Passwörter einzusammeln. Dieses Problem hatte offenbar kaum Konsequenzen.
Was sagen die Nutzungsbestimmungen?
Zunächst fällt auf, dass die Nutzungsbestimmungen (Terms of Service) ebenso wie die Datenschutz-Erklärung (Privacy Notice) nur auf Englisch vorliegen. Zwar hat das Unternehmen keine Niederlassung in Deutschland und seinen einzigen Sitz in Kalifornien. Das Unternehmen spricht seine Kunden im deutschsprachigen Raum allerdings auf Deutsch an. Liegen AGB aber nur auf Englisch vor, könnten sie unwirksam sein. Das könnte für Whatsapp noch zu einem Problem werden. Ob man sich als Nutzer im Zweifel auf diese Sichtweise berufen kann, ist aber nicht sicher.
Die Bestimmungen erläutern auch, dass der Dienst auf das Adressbuch des Nutzers zugreift. Doch sie versichern, dass auf den Whatsapp-Servern nur die Telefonnummern und Nutzernamen gespeichert würden, nicht aber die tatsächlichen Namen, E-Mail-Adressen oder andere Kontaktinformationen. Um einen Kontakt anzuzeigen, werde dessen Nutzername aus der Kontaktliste auf dem Gerät des Nutzers ausgelesen. Das wäre kein Grund zur Beunruhigung, sondern üblich für derartige Apps.
Desweiteren heißt es in den Bestimmungen, dass der Dienst werbefrei sei. Das Unternehmen Whatsapp selbst nimmt für sich in Anspruch, alle persönlich identifizierbaren Informationen zur „Analyse, Weiterentwicklung und Eigenwerbung“ zu verwenden. Das Recht dafür sollen die Nutzer dem Dienstebetreiber in dem Moment einräumen, in dem sie den Dienst nutzen, um Nachrichten zu versenden. Nutzer unterwerfen sich den Gesetzgebungen des USA-Bundesstaates Kalifornien, heißt es in den Bedingungen weiter. Die Textbotschaften der Nutzer werden nach eigenen Angaben von den Servern des Unternehmens gelöscht, sobald sie zugestellt wurden. Andernfalls würden sie maximal 30 Tage gespeichert, Anhänge etwas länger.
Außerdem fällt auf: Auf Änderungen in den Datenschutzerklärungen werden die Nutzer nicht explizit hingewiesen. Sie müssen also von sich aus etwaige Neuerungen erkunden. Das wirft ein schlechtes Licht auf das Unternehmen. Die letzten Änderungen der Nutzungsbedingungen gab es im Juli 2012. Auch das verwundert: Angesichts der zahlreichen Kritikpunkte, die seitdem öffentlich wurden, könnte man als Nutzer eigentlich Nachbesserungen erwarten.
Whatsapp hat nachgebessert, aber nur teilweise
Gleichwohl tat sich etwas bei Whatsapp: Seit Frühjahr 2013 gab es eine Reihe von Updates, die den Verifizierungs-Prozess sowie Preise und Vertragslaufzeiten änderten. Die Version für Apples iOS verschwand für einige Tage aus dem Appstore und tauchte kommentarlos etwas später wieder auf, kurz nachdem die Lücke über die Gerätenummer bekannt wurde. Das sahen viele als Indiz für dezente Änderungen im Hintergrund.
Seit der Version 2.8.3 wird die Datenübermittlung via WLAN nun verschlüsselt, was das bis dahin mögliche Mitlesen unterbinden soll. Beim Registrieren versendet der Dienst nun eine SMS mit einem Bestätigungscode, den der Nutzer eingeben muss. Ein Angreifer müsste dann Zugriff auf das Mobilgerät des Opfers haben, um dessen Whatsapp-Identität zu entführen. Auch die zuvor stets aktivierte Übermittlung von Meldungen über den Online-Status und dessen Dauer lassen sich bei manchen Versionen nun von Hand einstellen oder blockieren.
Der Wurm „Piryanka“ und der mögliche Zugriff auf Paypal-Konten sind allerdings erst kürzlich aufgedeckt worden, stellen also auch bei den neuen Versionen eine Gefahr dar. Der Zugriff auf das Telefonbuch des Nutzers ist nach wie vor fest eingebaut und lässt sich zumindest bei Android-Geräten nicht unterbinden. Immerhin können das die Nutzer der iOS-Version über eine systemseitige Einstellung beeinflussen. Für Nutzer, die Wert auf Schutz ihrer persönlichen Daten legen, scheint der Dienst weiterhin nicht vertrauenswürdig genug, auch wenn sich manches mittlerweile durch individuelle Einstellungen regeln lässt.
Bewegung bei Messaging-Diensten
Wer Whatsapp benutzt, dem sollte klar sein, dass dieser Dienst einen vergleichsweise freizügigen Umgang mit den Daten seiner Nutzer pflegt. Das wird etwa an der Freigabe des Adressbuchs deutlich. Wem das nicht behagt, wird sich wohl nach Alternativen umsehen. Bei Messaging-Diensten bewegt sich in letzter Zeit ohnehin einiges. Dienste wie etwa Threema versprechen verschlüsselte Kommunikation auch für Kurznachrichten, viele weitere Projekte sind in Entwicklung: Der Dienst Hemlis des Flattr-Gründers Peter Sunde etwa oder auch whistle.im versprechen ebenfalls, es mit Datenschutz und Datensicherheit ernster zu nehmen. Abzuwarten bleibt aber, ob das auch eingelöst wird.