Wer beim Instant-Messaging-Dienst WhatsApp einen neuen Chat startet, hat sicherlich schon diesen Hinweis gesehen: „Nachrichten und Anrufe sind Ende-zu-Ende-verschlüsselt. Niemand außerhalb dieses Chats kann sie lesen oder anhören, nicht einmal WhatsApp.“ Was bedeutet das genau?

Die Ende-zu-Ende-Verschlüsselung kann man sich am einfachsten als Schlüssel-Schloss-Prinzip vorstellen. Beim Absender (erster Endpunkt) werden die zu versendenden Daten mit einem Schloss versehen und nur der Empfänger (zweiter Endpunkt) hat den passenden Schlüssel zum Öffnen. Alle Übertragungspunkte dazwischen haben nur Zugriff auf die verschlüsselte Form – also beispielsweise der Dienst, über den die Kommunikation erfolgt, oder auch der Internetanbieter.

Verfahren stammt von der Signal Stiftung

Neben WhatsApp setzen viele weitere Anbieter auf die „end-to-end encryption“ (E2E), wie sie im Englischen bezeichnet wird. Tatsächlich hat der Messenger Signal beziehungsweise die dahinterstehende gemeinnützige Signal Stiftung aus den USA das Verfahren entwickelt und im eigenen quelloffenen Dienst veröffentlicht. Heute gilt es als Standard. Auch iMessage, Telegram und Threema nutzen E2E.

Im Hilfebereich von WhatsApp findet sich der Hinweis, dass die Ende-zu-Ende-Verschlüsselung übernommen wurde: „Jede WhatsApp Nachricht wird durch dasselbe Signal-Protokoll verschlüsselt, das Nachrichten schützt, bevor sie dein Gerät verlassen.“ Das Fachmagazin Heise Online kam einige Zeit nach der Implementierung bei einem Test zum Fazit: „Alles in allem ist die Einführung von belastbarer Ende-zu-Ende-Verschlüsselung für über eine Milliarde WhatsApp-Nutzer, die nichts weiter tun müssen, als ein App-Update zu installieren, ein echter Gewinn in Sachen Privatsphäre.“

Metadaten werden trotzdem gesammelt

Gemeinhin gilt die Ende-zu-Ende-Verschlüsselung als sehr sicher. Es empfiehlt sich aber, dass beide Chat-Teilnehmer die aktuelle Version der entsprechenden App haben, damit die Verschlüsselung auch wirklich problemlos funktioniert. Bei WhatsApp bekommt man neben dem obigen Hinweis auch manchmal folgenden: „Deine Sicherheitsnummer für XY hat sich geändert.“ Für gewöhnlich bedeutet das, dass diese Person WhatsApp auf einem neuen Gerät installiert hat. Wer auf Nummer sicher gehen möchte, sollte das außerhalb von WhatsApp verifizieren lassen, beispielsweise via Telefon oder im direkten Gespräch.

Ein paar Haken hat die Verschlüsselung dann aber doch. Zum Beispiel, dass einige Metadaten gesammelt werden – so etwa Zeit- und Datumsstempel von zugestellten Inhalten. Es ist daher für den Anbieter offen nachvollziehbar, wer wann mit wem kommuniziert hat. Vor allem bei nicht quelloffenen Programmen muss man dem Dienst gegenüber Vertrauen aufbringen. Problematisch können auch Daten-Backups sein. Wer seine Chat-Verläufe von zum Beispiel WhatsApp über Google Drive oder die iCloud sichern möchte, muss die Ende-zu-Ende-Verschlüsselung erst in den Einstellungen aktivieren. Das geht über Einstellungen → Chats → Chat-Backup und dort „Ende-zu-Ende-verschlüsseltes Backup“ auf „An“ stellen.

Trotz Verschlüsselung: Vorsichtig mit sensiblen Daten umgehen

Neben Messenger- und Backup-Diensten gibt es die Ende-zu-Ende-Verschlüsselung auch für die E-Mail-Kommunikation. Allerdings gestaltet sich die Einrichtung in der Regel deutlich komplizierter als bei anderen Anwendungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu ein Protokoll veröffentlicht, um dies zu vereinfachen.

Doch selbst mit eingerichteter Verschlüsselung sollten einige Grundsätze bei der Online-Kommunikation eingehalten werden. Persönliche Informationen und sensible Daten wie Wohnadressen, Bankdaten oder private Fotos sind immer ein Sicherheitsrisiko, wenn sie an andere Empfänger gelangen. Achten Sie darauf, ob eine Übertragung wirklich notwendig ist oder ob eventuell auch andere Kommunikationsformen als Alternative infrage kommen.

Artikelfoto: Alok Sharma via pexels.com