Gratis und gefährlich?

10. Oktober 2012 11:27; Akt: 10.10.2012 12:23 Print

«Die Probleme bei WhatsApp sind Tatsache»

von Oliver Wietlisbach - Seit Monaten macht WhatsApp mit Sicherheitsproblemen Schlagzeilen. Sollte man die Finger vom Gratis-Messenger lassen? Im Interview erklärt Sicherheitsexperte Oliver Kunz die Risiken.

storybild

«SMS sind schwieriger mitzulesen als WhatsApp-Nachrichten oder unverschlüsselte E-Mails», sagt IT-Experte Oliver Kunz. (Bild: Keystone/pd/Fotomontage)

Zum Thema
Fehler gesehen?

Die von zwei Computerfreaks erfundene Kurznachrichten-App WhatsApp sorgt weiter für Furore. Pro Tag werden zehn Milliarden Gratis-Nachrichten verbreitet: in Echtzeit und werbefrei. Allerdings hapert es bei der Sicherheit, wie Oliver Kunz von der Sicherheitsunterehmung Scip im Interview erklärt. Die Nachrichten können nicht nur von Dritten mitgelesen werden, Angreifer können gar das WhatsApp-Konto «entführen» und im Namen ihres Opfers Nachrichten versenden.

Umfrage
Wie kommunizieren Sie hauptsächlich mit dem Smartphone?
11 %
2 %
1 %
13 %
70 %
1 %
2 %
Insgesamt 6579 Teilnehmer

Herr Kunz, nutzen Sie WhatsApp?
Oliver Kunz: Ja, um mich mit meinen Kollegen auf ein Bier zu verabreden, ist WhatsApp eine tolle Gratis-Alternative zur SMS. Allerdings würde ich nie heikle Daten wie meine Kreditkartennummer darüber senden - die würde ich aber auch nicht im Zug über das Telefon mitteilen. Grundsätzlich gilt: Was man im ÖV nicht herausposaunt, sollte man auch über WhatsApp nicht tun – beide Unterhaltungen können mitgehört werden.

WhatsApp ist die Gratis-Alternative zur SMS: Heisst gratis auch unsicherer?
Auch die Kommunikation über SMS ist nicht für vertrauliche Informationen geeignet. SMS sind aber schwieriger mitzulesen als WhatsApp-Nachrichten oder unverschlüsselte E-Mails.

Das US-Startup gerät immer wieder wegen Mängeln bei der Sicherheit in die Schlagzeilen. Verbreiten die Medien Panik?
Die Sicherheitsprobleme sind Tatsache. Es war bislang für jedermann mit sehr wenig Wissen möglich, das WhatsApp-Konto eines anderen zu übernehmen und in seinem Namen Nachrichten zu versenden. Manche Medien haben aber gewiss übertrieben, wenn sie pauschal von der Nutzung abgeraten haben.

WhatsApp hat seinen Dienst vor einigen Wochen verschlüsselt. Warum gilt die App trotzdem noch als unsicher?
Die Nachrichten werden nicht durchgängig verschlüsselt, also von Endgerät zu Endgerät. Lediglich die Kommunikation zwischen Smartphone und Server wird verschlüsselt. Wer sich Zugriff auf die Server verschafft, kommt daher an alle Daten. Ich vermute, die junge Firma wurde von ihrem gewaltigen Erfolg überrascht und hat sich vor allem um die Weiterentwicklung der App gekümmert. Sicherheitsaspekte blieben dabei lange auf der Strecke.

Erst vor kurzem kam raus, dass sich ein fremdes WhatApp-Konto übernehmen lässt.
Das Problem ist, dass WhatsApp die Anmeldedaten anhand von bekannten Werten generiert. Die Benutzerkennung ist immer die Telefonnummer. Als Passwort wird beim iPhone die sogenannte MAC-Adresse verwendet. Diese Nummer lässt sich sehr einfach in den Einstellungen finden, wenn das Opfer sein Smartphone kurz unbeaufsichtigt lässt. Kennt der Angreifer Telefonnummer und MAC-Adresse, kann er das WhatsApp Konto übernehmen und im Namen seines Opfers gefälschte Nachrichten senden.

Gibt man das iPhone nicht aus der Hand, ist man auf der sicheren Seite?
Leider nein. Der Angreifer braucht keinen physischen Zugriff. Die MAC-Adresse, also das Passwort, kann mit einfachen Mitteln im WLAN mitgelesen werden.

In einem passwortgeschützten WLAN ist man aber sicher?
Nein. Der Aufwand für einen Angreifer erhöht sich zwar, aber mit speziellen Tools lässt sich auch die MAC-Adresse in einem verschlüsselten WLAN mitlesen. Es ist jedoch komplexer, als wenn sich der Angreifer bereits im gleichen WLAN befindet.

Sind Android-Nutzer genauso gefährdet?
WhatsApp nutzt bei Android die sogenannte IMEI, die 15-stellige Seriennummer des Handys, für das Passwort. Sie kann ebenfalls sehr einfach in den Einstellungen gefunden werden. Aus der Ferne ist es aber schwieriger ein WhatsApp-Konto für Android zu übernehmen, da die IMEI-Nummer im Gegensatz zur MAC-Adresse nicht über das WLAN übermittelt wird. Die Achillesferse bei Android ist der App-Store.

Warum?
Angreifer können IMEI-Nummern auch über Spionage-Apps in Erfahrung bringen, die sie in Googles App-Store platzieren. Eine solche bösartige App braucht lediglich die Berechtigung, den Telefonstatus zu lesen. Schon kann sie im Stil eines Trojaners die IMEI- und Telefonnummer, also das WhatsApp-Passwort, an den Angreifer senden. Apple verweigert den Zugriff auf die IMEI für App-Entwickler, was wohl zur Verwendung der MAC-Adresse führte.

Bei der Installation verlangen zahlreiche Apps umfassende Rechte. Warum vertrauen die Nutzer Apps aus völlig unbekannter Herkunft?
Die Berechtigungen klingen oft sehr harmlos, gewähren den Apps aber umfassenden Zugriff auf das Smartphone. Kommt hinzu: Die Apps lassen sich sehr einfach installieren und wieder löschen. Ich beobachte daher immer wieder, dass Anwendungen aus anonymer Quelle ohne viel zu überlegen installiert werden. Ich denke, wir müssen bei Smartphones zuerst noch lernen, kritisch zu werden. Am PC würden wir wohl kaum ein Programm von irgendeinem unbekannten Unternehmen installieren.

Was raten Sie konkret?
Die Nutzer sollten sich überlegen, ob sie eine App wirklich brauchen und misstrauisch sein, wenn die Applikation umfassende Zugriffsrechte verlangt. Damit das WhatsApp-Konto nicht in falsche Hände gerät, sollte das Smartphone mit einem PIN geschützt werden. Zudem sollten iPhone-Nutzer öffentliche und halböffentliche WLANs meiden, bis WhatsApp einen anderen Wert als Passwort verwendet.

Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»

Unsere Leser kommentieren fleissig - durchschnittlich gehen Tag für Tag 4000 Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.

«Gibt es eine Möglichkeit, dass mein Beitrag schneller veröffentlicht wird?»

Wer sich auf 20 Minuten Online einen Account zulegt und als eingeloggter User einen Beitrag schreibt oder auf einen Kommentar antwortet, der wird vorrangig behandelt. Hat ein eingeloggter User bereits viele Kommentare verfasst, die freigegeben wurden, so werden seine neuen Beiträge mit oberster Priorität behandelt.

«Warum wurde mein Kommentar gelöscht?»

Womöglich wurde der Beitrag in Dialekt verfasst. Damit alle deutschsprachigen Leser den Kommentar verstehen, ist Hochdeutsch bei uns Pflicht. Sofort gelöscht werden Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar sind, werden das Licht der Öffentlichkeit nie erblicken. (oku)

«Habe ich ein Recht darauf, dass meine Kommentare freigeschaltet werden?»

20 Minuten ist nicht dazu verpflichtet, eingehende Kommentare zu veröffentlichen. Ebenso haben die kommentierenden Leser keinen Anspruch darauf, dass ihre verfassten Beiträge auf der Seite erscheinen.

Haben Sie allgemeine Fragen zur Kommentarfunktion?

Schreiben Sie an feedback@20minuten.ch
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Deshalb können Storys, die älter sind als 2 Tage, nicht mehr kommentiert werden. Wir bitten um Verständnis.

Ausgewählte Leser-Kommentare

Jaja :) Ich glaube das einzige Problem ist dass der Staat nicht direkt auf die Daten zugreifen kann. Plötzlich ist Datenschutz wichtig wenn es um dritte geht. Jetzt mal ehrlich: SMS sind veraltet, zu teuer und im Vergleich wird nicht's geboten. Keine Bilddateien (nur MMS), keine Audioaufnahmen und man sieht nicht ob es gelesen wurde. Short Message Service Auf Wiedersehen. – JaySamzy

Die beliebtesten Leser-Kommentare

  • Rumms Feld am 10.10.2012 11:51 Report Diesen Beitrag melden

    Wo liegt das Problem?

    btw. kann JEDER über eine fremde Telefonnummer SMS versenden, problemlos, ohne Applikation etc. nur einfach so. Da aber eh jeder Anruf - auch in der Schweiz - getracked wird und jedes SMS inhaltlich geprüft wird wundere ich mich über die Diskussionen: Wo liegt das Problem?

    einklappen einklappen
  • Massimo Cerra am 10.10.2012 12:04 via via Mobile Report Diesen Beitrag melden

    Kick

    Ich finde es das beste !!

  • Miguel Pablo am 10.10.2012 13:29 via via Mobile Report Diesen Beitrag melden

    iMessage vs. Whats app

    iMessage ist doch super. Leider muss man ein iPhone-Besitzer sein dennoch ist es einfach besser!

    einklappen einklappen

Die neusten Leser-Kommentare

  • JaySamzy am 11.10.2012 16:41 Report Diesen Beitrag melden

    Böses WhatsApp

    Jaja :) Ich glaube das einzige Problem ist dass der Staat nicht direkt auf die Daten zugreifen kann. Plötzlich ist Datenschutz wichtig wenn es um dritte geht. Jetzt mal ehrlich: SMS sind veraltet, zu teuer und im Vergleich wird nicht's geboten. Keine Bilddateien (nur MMS), keine Audioaufnahmen und man sieht nicht ob es gelesen wurde. Short Message Service Auf Wiedersehen.

  • Jonas am 11.10.2012 11:23 Report Diesen Beitrag melden

    Ahnungslos

    Alle die hier schreiben von wegen sie haben nichts zu verbergen etc. haben doch keine Ahnung: 1. Könnt ihr nicht von euch auf alle anderen schliessen 2. Habt ihr wirklich keine Phantasie? Ich kann mir hunderte Szenarien ausmahlen was mit dieser Lücke machbar wäre. Und wenn ich einer Person wirklich schaden will ist es ja so leicht an deren Handynr. und zugehörige MAC zu kommen. 3. Sicherheitslücken in einem Programm sind immer schlecht, da geht es ums Prinzip. Oder wie fänded ihr es wenn ein Hacker sich z.B. zugang zu eurem Facebook Account verschaffen würde und diesen verunstaltet / löscht?

    • Josha Kuhn am 11.10.2012 12:23 Report Diesen Beitrag melden

      Apropoz Facebook

      Lieber Jonas... Leider muss ich mich da einschalten und diesen Kommentar dementieren. Facebook verfügt lediglich über ein normales Kennwort und eine Emailadresse für die Sicherheitsidentifikation. Das herausfinden der Emailadresse ist heutzutage gar kein Problem mehr, da sie ja sowieso in den meisten Fällen schon auf Facebook veröffentlich wurde. Wer eine Macadresse in einem WLAN Netzwerk nachsehen kann, hat weniger Probleme das Facebookpasswort zu knacken. Was ist nun sicherer??

    • Roger am 11.10.2012 12:51 Report Diesen Beitrag melden

      Tja...

      Angst um seine Daten haben und dann Facebook nutzen??? Aha...

    • Jonas am 11.10.2012 15:11 Report Diesen Beitrag melden

      Facebook / Datenschutz

      @Josha Verstehe nicht was du mir sagen willst, habe FB nur als vergleich genommen, um die Auswirkungen einer Lücke aufzuzeigen. Mir ist auch klar das ein FB Login unter umständen relativ einfach geknackt weden kann. Ebenso habe ich geschrieben das die MAC Adresse sowie E-Mail einfach herauszufinden sind. @Roger Wo steht denn das ich Facebook nutze? Aber selbst wenn, ob nun FB meine Daten hat, mit welchen ich einen eindeutigen Vertrag habe welcher genau regelt was diese mit meinen Daten machen dürfen oder ob irgend ein krimineller meine Daten hat ist wohl noch ein gewaltiger Unterschied!

    einklappen einklappen
  • beni am 11.10.2012 09:40 via via Mobile Report Diesen Beitrag melden

    ist mir egal

    kann mir doch egal sein, wenn irgendeiner den Blödsinn mitliest, den ich meinen Kollegen schreibe. Und meine KK-Nummer sage ich wenn überhaupt nur jemandem persönlich, wenn er mir gegenüber steht, von daher sehe ich kein Problem mit WA.

    • jann/volken am 11.10.2012 12:18 via via Mobile Report Diesen Beitrag melden

      Mitlesen/Senden

      mitlesen ist ja nicht unbedingt das Problem sondern zb die "Übernahme" des Kontos den dan könnte man zb nachrichten im Namen des anderen Nutzers schreiben wie zb "ich bin schwanger"

    • Aeppchen am 11.10.2012 17:05 Report Diesen Beitrag melden

      Senden

      Mitlesen ist ja nicht das Problem. Die mit deinem Namen gesendeten Nachrichten sind schlimmer. Ueberlegt dir mal, wasman damit alles anrichten kann

    einklappen einklappen
  • Johannes von Hinten am 11.10.2012 08:48 Report Diesen Beitrag melden

    unzufrieden ?

    Bei einer Gratisapp muss man keine Sicherheit erwarten.

    • Jonas am 11.10.2012 15:12 Report Diesen Beitrag melden

      Verantwortung

      Muss man nicht, darf man aber. Wer so eine App zur Verfügung stellt die von so vielen Leuten genutzt wird trägt auch eine Verantwortung!

    einklappen einklappen
  • cicipurla am 11.10.2012 08:15 via via Mobile Report Diesen Beitrag melden

    i am loving it

    ich liebe whatsapp und werde es weiterhin täglich nutzen