Hacking und Spionage

Ist WhatsApp sicher genug für die Diplomatie?

In den Korridoren der Macht ist der Messengerdienst das Mittel der Wahl. Nun empfehlen EU-Experten den Wechsel zu Signal. Hat WhatsApp in der Diplomatie ausgedient?

Whatsapp and the diplomat
CC-BY 4.0 Oliver Hinzmann

Der Brexit sorgt für einen digitalen Frühjahrsputz in Brüssel. Denn für die EU-Diplomatie ist WhatsApp ein beliebtes Werkzeug, ganze Arbeitsgruppen im Rat koordinieren sich über die grüne App. Nun fliegen die britischen Kollegen aus den Chatgruppen raus, manche Gruppe gründet sich ganz neu – ohne Briten.

Was in Brüssel passiert, ist nicht ungewöhnlich: WhatsApp ist der Standardkanal für internationale Verhandlungen geworden. Die App gehört seit 2014 zum Facebook-Konzern, weltweit nutzen sie zwei Milliarden Menschen.

Bereits vor einigen Jahren sprach der Guardian vom „Aufstieg der internationalen WhatsApp-Diplomatie“.

Die Popularität von WhatsApp liege daran, dass es verschlüsselt sei und eine große Nutzerbasis habe, sagt Corneliu Bjola. Der Politologe forscht an der Universität Oxford zu digitaler Diplomatie und berät Diplomat:innen. „Fast jeder hat ein WhatsApp-Konto“, sagt Bjola.

Doch Sicherheitslücken bei WhatsApp werfen Fragen auf. Der Beliebtheit der App schaden könnten auch die Cryptoleaks-Enthüllungen. Sie zeigen, dass die USA und Deutschland über Jahrzehnte systematisch die verschlüsselte Kommunikation ihrer Verbündeten belauschten.

Der NSA-Skandal vor sechs Jahren rüttelte am Image des Mutterkonzerns Facebook. Die Affären schüren Zweifel, ob ein US-amerikanischer Gratisdienst wie WhatsApp tatsächlich die nötigen Maßnahmen trifft, um den sensiblen Austausch unter EU-Staaten vor dem Zugriff von Geheimdiensten und Spionage aus Russland und China zu schützen.

Europa muss sich fragen: Ist WhatsApp für das sensible Geschäft der Diplomatie sicher genug?

EU prüft Alternativen

Eine Expertengruppe der EU-Kommission bezweifelt das offenbar. Eine interne Notiz, die netzpolitik.org im Volltext veröffentlicht, empfiehlt die Nutzung der App Signal als „sicherere Alternative“ für den Austausch unter Kollegen.

Die Kommission bestätigt auf Anfrage, dass diese Empfehlung an ihre Mitarbeiter:innen ausgeschickt wurde. Es gebe keine Verpflichtung, einen bestimmten Dienst zu nutzen, schrieb eine Sprecherin.

Inwiefern Alternativen zu WhatsApp tatsächlich genutzt werden, weiß die Kommission nicht. Informell darf WhatsApp weiter als das Mittel der Wahl unter Diplomatinnen und Beamten gelten.

Vertreter der EU-Staaten betonen, es handle sich um informelle Kommunikation, die nicht zentral gesteuert werde – daher sei sie schwer zu kontrollieren.

Inhalt verschlüsselt, Metadaten offen

Nachrichten auf WhatsApp sind an sich gut gesichert. Sie sind seit 2016 standardmäßig Ende-zu-Ende-verschlüsselt – lesen kann sie also nur, wer Zugriff auf die Geräte von Sender oder Empfänger hat.

WhatsApp verwendet zur Verschlüsselung das gleiche Protokoll wie Signal, das von Überwachungsgegnern wie etwa NSA-Enthüller Edward Snowden empfohlen wird. Diese Verschlüsselung ist mit heutiger Technik schwer zu knacken.

Das gilt jedoch nicht für die Metadaten. Bei den Metadaten handelt es sich um Angaben über Sender und Empfänger, Zeit und Datum sowie Nachrichtengröße.

Aus den Metadaten lässt sich ablesen, wer mit wem kommuniziert. Durch die Dateigröße lassen sich Rückschlüsse treffen, ob etwa Bilder oder Videos mitgeschickt wurden.

Der Facebook-Konzern speichert Metadaten zentral auf seinen Servern. WhatsApp greift zudem regulär auf das gesamte Telefonbuch im Handy der Nutzer:innen zu. WhatsApp teilt die Daten mit Facebook.

Signal speichert nach eigenen Angaben möglichst wenige Informationen über Nutzer:innen. Der Dienst verschlüsselt Metadaten und löscht sie von seinen Servern, sobald die Nachricht verschickt ist.

Schrems: „Metadaten gehen an US-Behörden“

Geheimdienste drängen auf den verpflichtenden Einbau von Hintertüren in Messengerdienste, um verschlüsselte Nachrichteninhalte lesen zu können. WhatsApp, Apple sowie ein breites Bündnis aus Firmen und NGOs wehren sich dagegen – bisher erfolgreich.

Metadaten verraten aber oft genausoviel wie Nachrichteninhalte. In der Diplomatie geht es um Netzwerke, um vertrauliche Absprachen. Schreibt eine französische Diplomatin ihrem deutschen Gegenüber vor der entscheidenden Abstimmung, ist das Wissen darum nicht ebenso bedeutend wie der Inhalt?

„Für Beamte zum Beispiel aus Außen- und Verteidigungsministerien, aber auch für Journalistinnen und Menschenrechtsaktivisten ist das ein erhebliches Risiko“, sagt Jan Penfrat von der Brüsseler Digital-NGO EDRi.

Eine drastische Illustration der möglichen Konsequenzen des Datenzugriffs durch US-Geheimdienste brachte der frühere NSA-Chef Michael Hayden auf den Punkt: „Wir töten Leute auf der Basis von Metadaten“.

Der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber sieht die Nutzung von WhatsApp durch von ihm beaufsichtigte Behörden „kritisch“, schrieb uns sein Pressesprecher. Kelber bemängelt, dass Metadaten von WhatsApp an Facebook weitergeleitet werden.

Der österreichische Datenschützer Max Schrems formuliert es gegenüber netzpolitik.org drastischer: „Die Metadaten gehen direkt an Facebook und damit auch an die amerikanischen Geheimdienste. Allein wer wann wie oft mit wem kommuniziert, kann extrem viele Rückschlüsse erlauben.“

Facebook antwortete nicht auf die Frage von netzpolitik.org, wie es die Metadaten seiner Nutzer:innen wirksam vor dem Zugriff durch US-Geheimdienste schützen möchte.

USA spionierte Diplomaten aus

Diplomaten und EU-Beamte müssen generell damit rechnen, belauscht zu werden. Brüssel gilt seit Jahren als Spionagehochburg, erst im Januar geriet ein prominenter deutscher Ex-Diplomat wegen mutmaßlicher Spionage für China unter Verdacht.

Doch solche Fälle sind eher selten: Der Großteil der Spionage läuft vermutlich elektronisch ab.

Die NSA-Affäre enthüllte 2013 ein massives Abhörprogramm der USA gegen EU-Diplomaten in Brüssel und an den UN-Sitzen in Wien und Genf.

Am Schweizer Sitz der Vereinten Nationen war Whistleblower Edward Snowden stationiert, als er noch für den US-Geheimdienst spionierte. Snowden sagte später, die USA spioniere weiterhin in Genf und anderen Orten.

Engster Verbündeter der USA in Geheimdienstangelegenheiten ist Großbritannien. Gemeinsam mit Kanada, Australien und Neuseeland bilden die Staaten die Five-Eyes-Allianz.

Für die technisch hochgerüsteten Dienste sind die EU-Staaten attraktive Ziele, besonders nach dem Brexit.

Die Mitgliedsstaaten haben festgelegt, dass in den Verhandlungen über die künftigen Beziehungen mit Großbritannien alle Dokumente grundsätzlich vertraulich sind.

Ähnliches gilt für Handelsgespräche mit den USA oder internationale Klimaverhandlungen. Wer im Voraus weiß, was der andere sagen wird, hat einen Vorteil. Der mögliche Zugriff von US-Geheimdiensten auf Metadaten könnte dieser Vorteil sein.

Was sicher ist

Für ein sichere Kommunikation in der internationalen Diplomatie liegt die Latte höher als bei normalen Nutzer:innen. Die Sicherheit der Metadaten bei WhatsApp wirft unangenehme Fragen auf.

Wer aus beruflichen oder persönlichen Gründen die Möglichkeit eines Zugriffs auf Metadaten durch US-Geheimdienste verringern will, solle zu anderen Diensten wie Signal greifen, empfiehlt Jan Penfrat von EDRi.

Als Alternativen nennt der NGO-Experte neben Signal Dienste wie den Messenger Threema mit Sitz in der Schweiz, den Dienst Wire oder das Open-Source-Projekt Matrix, dessen Technologie von der Bundeswehr genutzt wird.

Die EU-Kommission verfolgt allerdings andere Pläne. In der Notiz, die wir veröffentlichen, ist Signal nur als Zwischenlösung gedacht. Längerfristig rät die Gruppe zu Skype for Business, einem Dienst von Microsoft.

Eine Lösung, die unabhängig von US-Konzernen und Geheimdiensten ist, liegt offenbar noch weiter in der Ferne.

Update vom 24. Februar 2020: In dem Artikel hieß es ursprünglich, sowohl die Messengerdienste Threema als auch Wire hätten ihren Sitz in der Schweiz. Nach einem Bericht von Golem.de hat Wire allerdings seinen Hauptsitz zuletzt in die USA verlegt. Der Artikel wurde entsprechend geändert.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

19 Ergänzungen
  1. Ich bin einigermaßen sprachlos. Auf dieser Ebene sollte man so wenig wie möglich technisch kommunizieren, das sollte nach den letzten 15-20 Jahren doch klar sein. Die Empfehlung, Signal oder einen anderen Dienst zu verwenden, ist ebenfalls im besten Fall blauäugig.

    Aber einer bestimmten politischen Ebene DARF man Software heute nicht mehr vertrauen, Punkt.

    Was diese Leute dort treiben, ist grob fahrlässig und muss Konsequenzen haben.

    1. Welche *realistischen* Konseqeunzen stellst du dir denn bitte vor? Und wie kommst du überhaupt darauf dass Politker, die eben mehrheitlich nicht lobbygesteuerte Schröders und Kochs, sondern ganz „normale Leute“ sind, als Abgeordnete anders handeln als zu Hause, sofern es ihnen niemand von der Spionageabwehr sagt?

      1. @ Titus von Unhold

        Wir reden hier nicht von Politikern, sondern von Mitarbeitern der EU-Kommission. Das sind i.d.R. Beamte, die man bei grober Fahrlässigkeit arbeitsrechtlich belangen kann und muss. Die EU-Kommission ist kein rechtsfreier Raum, auch wenn sie das vielleicht manchmal glaubt.

        WhatsApp für diplomatische Verhandlungen nutzen, my ass! Sogar Unternehmen haben bei WhatsApp Bauchschmerzen, und da geht es „nur“ um deren Geschäftsgeheimnisse, d.h. deren Geld.

        Internationale Politik ist doch kein Kinderspielplatz!

        1. „Wir reden hier nicht von Politikern, sondern von Mitarbeitern der EU-Kommission. Das sind i.d.R. Beamte, die man bei grober Fahrlässigkeit arbeitsrechtlich belangen kann und muss.“

          Politische Beamte sind auch Politiker. Aber nochmal: Welche konkreten Konsequenzen stellst du dir vor? Vor allem aber: Auf welcher Rechtsgrundlage? Die Komission sieht offenbar keinen Weg die Nutzung zu untersagen.

          „WhatsApp für diplomatische Verhandlungen nutzen, my ass!“

          „Informellen Austausch“ unter Mitarbeitern sehe ich nicht als „dipolmatische Verhandlung“.

          „Internationale Politik ist doch kein Kinderspielplatz!“

          Da bin ich mir nicht sicher. ^^

          1. @ Titus von Unhold

            „Auf welcher Rechtsgrundlage? Die Kommission sieht offenbar keinen Weg die Nutzung zu untersagen.“

            Eine leere Schutzbehauptung der Kommission. Jedes Unternehmen kann IT-Nutzung regulieren und tut dies auch. Die EU-Kommission wird doch wohl ihre Arbeitsverträge im Griff haben.

            Die haben einfach tüchtig Mist gebaut und reden sich jetzt raus. Nicht die beste Werbung für eine Institution, die selbst für immer mehr Regulierung an allen Stellen arbeitet.

  2. „[…]Die Popularität von WhatsApp liege daran, dass es verschlüsselt sei und eine große Nutzerbasis habe…[…]“ Meine These: Die Popularität von WhatsApp liege daran das es Populär ist wenn 2 Mrd. Menschen Riot(Matrix) nutzen würden wäre das auch Populär.
    Ich wäre im übrigen für bei Nachrichtendiensten von Unternehmen und Politikern für einen Dezentralen Standard,
    warum? Signal ist schön und gut(vor allem für Whatsapp umsteiger eine wesentlich bessere Alternative) mit oder ohne Metadaten aber fakt ist daten werden in die USA verschickt und es gibt eine Instanz die die Server kontrolliert gerade für Regierungen Kritisch.

    1. „Die Popularität von WhatsApp liege daran, dass es verschlüsselt sei“ => beim Zugriff über WhatsApp-Web entfällt diese Verschlüsselung auf dem Weg in den Browser.

    2. „Ich wäre im übrigen für bei Nachrichtendiensten von Unternehmen und Politikern für einen Dezentralen Standard,“
      Den gibt es längst: XMPP oder besser bekannt als „Jabber“. Das Problem dabei ist, mit diesem Protokoll kann man kaum bis garnichts verdienen! Und evtl. noch viel schlimmer: Es ist unmöglich ein darauf Basierendes System flächendeckend zu stören, zu kontrollieren oder gar abzuhören.
      Es wäre nicht die erste Entwicklung, welche leider geanu weil sie zu gut ist sich nicht durchsetzen kann, bzw. eine Durchsetzung verhindert wird.

  3. Metadaten beschreiben umfassend Kommunikation. Es sind gerade jene Daten, die soziale Beziehungsgeflechte Beteiligter, Intensität der Kommunikation, Ort, Zeit, und noch vieles mehr offenlegen. Wer Metadaten besitzt, hat Barrieren der Privatheit beseitigt. Metadaten reichen völlig aus, um relevante Aufklärungsziele zu beschreiben. Es sind unabstreitbare Indizien, die gerichtsverwertbar sind wenn sie einer Person zugeordnet werden können.

    Zu jedem Zeitpunkt wird Massenauswertung von Kommunikations-Metadaten betrieben. Das bedeutet, man kann Analysieren, wer mit wem wann und wo kommuniziert und ggf. verschlüsselt kommuniziert.

    Was viele vergessen ist, dass der Betreff einer Email (wird nicht verschlüsselt) zu den Metadaten gehört und damit legal auswertbar ist.

    Metadaten sind meist aufschlussreicher, als der Inhalt der Kommunikation. So gesehen kann man weitgehend auf Kenntnis des Inhalts verzichten.

    Was oft nicht beachtet wird ist, dass bei verschlüsselter Kommunikation Angriffsvektoren den Inhalt entweder schon vor der Verschlüsselung abschöpfen können oder nach erfolgter Entschlüsselung beim Empfänger.

    Wer selbst umsichtig und kompetent technische Hürden bewältigt, sollte sehr sorgsam bei der Auswahl seiner Kommunikationspartner sein. Nachlässige, unbedarfte Kommunikationspartner auf der einen Seite können sämtliche Bemühungen auf der anderen Seite konterkarieren bzw. vollständig aufheben.

  4. Diplomaten nutzen ganz offiziell Whatsapp? Ich falle echt vom Stuhl, wenn ich so etwas lese. Ich warte noch auf den Tag, an dem Leute massenhaft verklagt werden, weil sie ungefragt und ohne jede Erlaubnis die Namen und Telefonnummern völlig unbeteiligter Menschen (Leute die weder Facebook Nutzer sind noch Whatsapp haben, vielleicht aus Datenschutzbedenken heraus) einfach mal eben so an Whatsapp, respektive FB weitergeben. Das genau passiert ja, wenn man Whatsapp Zugriff auf seine Kontakte gibt. Ich nutze Whatsapp ohne Freigabe meiner Kontakte nur mit einem kleinen Kreis von Leuten und käme im Leben nicht auf die Idee, meine Kontakte freizugeben. Dann lese ich, dass das diplomatische Corps sich einen Dreck um Datenschutz bemüht. Geht’s eigentlich noch?

  5. Zu Whatsapp die letzte Meldung von Heise:
    https://www.heise.de/security/meldung/WhatsApp-Hunderttausende-Gruppenchats-waren-via-Google-auffind-und-betretbar-4666737.html

    Aber ganz ehrlich, gibt sich hier tatsächlich jmd der Hoffnung hin, daass in der digitalen Welt etwas geheim bleibt ???

    Vermutlich sind einfache Briefe noch besser, weil kaum einer noch glauben kabnn, dass darüber geheime Nachrichten ausgetauscht werden :)

    Wie hat es Bin Laden noch mal getan ?
    Genau, er hat ihm vertraute Boten für die Nachrichtenübertragung genutzt.

    1. „Aber ganz ehrlich, gibt sich hier tatsächlich jmd der Hoffnung hin, daass in der digitalen Welt etwas geheim bleibt ???
      Vermutlich sind einfache Briefe noch besser“
      Genau so ist es doch!
      In der Digitalen welt ist und war man noch nie Wirklich Anonym auch wenn ich für sie Anonym bin und umgekehrt so sind wir beide für Netzpolitik bekannt außer mit VPN,… aber da kennt Netzpolitik den VPN und der wiederum die user.
      Es gibt fast nur „false“ unbekannt und „true“ bekannt es gibt nichts anderes man kann das „Problem“ maximal verschieben aber nicht auflösen.
      Anders ist es im Realen Leben… klar sieht jeder mein Gesicht aber mal im Ernst wer erinnert sich daran, Überwachungskameras dürfen eh nicht aufzeichnen und sind aus Sicherheitsgründen so verpixelt das die Sicherheitskräfte schon Probleme hätten ihre bekannten ausfindig zu machen.

      Darum wird doch Datenschutz auch für den Digitalen Raum gefodert Analog darf ich Anonym sein(z.B. Bargeld, Post(ohne Absender),…) aber digital ist es Legal(ist es eigentlich nicht wenn ich mich dagegen Ausspreche) mich quer durchs Web zu Stalken und meine Daten gegen mich zu verwenden und auch noch Geld damit zu verdienen.

  6. Der Artikel lässt einen ganz entscheidenen Unterschied zwischen WhatsApp und Signal unter’m Tisch fallen:

    WhatsApp ist proprietär, Signal nicht. Warum wohl wird der Quellcode von WhatsApp geheimgehalten? Was haben sie zu verbergen? Vielleicht ein Hintertürchen? Wenn es um vertrauliche Kommunikation geht, ist es absolut fahrlässig, proprietärer Software zu vertrauen. Denn woher willst du wissen, ob der Entwickler selbst nicht bösartig ist? Du musst dem Entwickler halt einfach blind vertrauen. Und das ist Mist.

    Und daher sind auch alle Versprechungen zum Thema Verschlüsselung komplett wertlos. Wenn WhatsApp ein Hintertürchen hat, ist alles für die Katz.

    1. Es sieht auf den ersten Blick so aus, weil Quellcode zur Signal App veröffentlicht wird. Es gibt aber – da Signal an die Google Play Dienste gekoppelt ist und damit Google der Admin für dein Telefon ist – für den Benutzer keine wirkliche Kontrolle, ob die App tatsächlich dem Quellcode entspricht.

      Desweiteren ist jede Messaging App die dir keine Kontrolle über Schlüsselgenerierung und Import gibt, kritisch zu betrachten.

      Es ist halt wie an vielen anderen Stellen: Ein paar Partnern in der Informationskette musst du vertrauen.

        1. „Die neue Signal-Version ist momentan noch nicht über den Play Store installierbar. Das sollte sich aber in naher Zukunft ändern.“ – Zukunft noch nicht erreicht.

  7. Wir wissen, was zu tun ist: Programme und Dienste der einschlägigen Anbieter bis auf weiteres vollumfänglich verbieten.

    Warum machen wir es nicht? Weil Bequemlichkeit siegt. Immer. Auch auf politischer Ebene.

    Ergo: Die Abhängigkeit ist gewollt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.