Gratis und gefährlich?

10. Oktober 2012 11:27; Akt: 10.10.2012 12:23 Print

«Die Probleme bei WhatsApp sind Tatsache»«Die Probleme bei WhatsApp sind Tatsache»

von Oliver Wietlisbach - Seit Monaten macht WhatsApp mit Sicherheitsproblemen Schlagzeilen. Sollte man die Finger vom Gratis-Messenger lassen? Im Interview erklärt Sicherheitsexperte Oliver Kunz die Risiken.

storybild

«SMS sind schwieriger mitzulesen als WhatsApp-Nachrichten oder unverschlüsselte E-Mails», sagt IT-Experte Oliver Kunz. (Bild: Keystone/pd/Fotomontage)

Zum Thema
Fehler gesehen?
Fehler beheben!
Senden

Die von zwei Computerfreaks erfundene Kurznachrichten-App WhatsApp sorgt weiter für Furore. Pro Tag werden zehn Milliarden Gratis-Nachrichten verbreitet: in Echtzeit und werbefrei. Allerdings hapert es bei der Sicherheit, wie Oliver Kunz von der Sicherheitsunterehmung Scip im Interview erklärt. Die Nachrichten können nicht nur von Dritten mitgelesen werden, Angreifer können gar das WhatsApp-Konto «entführen» und im Namen ihres Opfers Nachrichten versenden.

Umfrage
Wie kommunizieren Sie hauptsächlich mit dem Smartphone?
11 %
2 %
1 %
13 %
70 %
1 %
2 %
Insgesamt 6579 Teilnehmer
Nichts verpassen

Das Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.

www.twitter.com/20min_digital

Herr Kunz, nutzen Sie WhatsApp?
Oliver Kunz: Ja, um mich mit meinen Kollegen auf ein Bier zu verabreden, ist WhatsApp eine tolle Gratis-Alternative zur SMS. Allerdings würde ich nie heikle Daten wie meine Kreditkartennummer darüber senden - die würde ich aber auch nicht im Zug über das Telefon mitteilen. Grundsätzlich gilt: Was man im ÖV nicht herausposaunt, sollte man auch über WhatsApp nicht tun – beide Unterhaltungen können mitgehört werden.

WhatsApp ist die Gratis-Alternative zur SMS: Heisst gratis auch unsicherer?
Auch die Kommunikation über SMS ist nicht für vertrauliche Informationen geeignet. SMS sind aber schwieriger mitzulesen als WhatsApp-Nachrichten oder unverschlüsselte E-Mails.

Das US-Startup gerät immer wieder wegen Mängeln bei der Sicherheit in die Schlagzeilen. Verbreiten die Medien Panik?
Die Sicherheitsprobleme sind Tatsache. Es war bislang für jedermann mit sehr wenig Wissen möglich, das WhatsApp-Konto eines anderen zu übernehmen und in seinem Namen Nachrichten zu versenden. Manche Medien haben aber gewiss übertrieben, wenn sie pauschal von der Nutzung abgeraten haben.

WhatsApp hat seinen Dienst vor einigen Wochen verschlüsselt. Warum gilt die App trotzdem noch als unsicher?
Die Nachrichten werden nicht durchgängig verschlüsselt, also von Endgerät zu Endgerät. Lediglich die Kommunikation zwischen Smartphone und Server wird verschlüsselt. Wer sich Zugriff auf die Server verschafft, kommt daher an alle Daten. Ich vermute, die junge Firma wurde von ihrem gewaltigen Erfolg überrascht und hat sich vor allem um die Weiterentwicklung der App gekümmert. Sicherheitsaspekte blieben dabei lange auf der Strecke.

Erst vor kurzem kam raus, dass sich ein fremdes WhatApp-Konto übernehmen lässt.
Das Problem ist, dass WhatsApp die Anmeldedaten anhand von bekannten Werten generiert. Die Benutzerkennung ist immer die Telefonnummer. Als Passwort wird beim iPhone die sogenannte MAC-Adresse verwendet. Diese Nummer lässt sich sehr einfach in den Einstellungen finden, wenn das Opfer sein Smartphone kurz unbeaufsichtigt lässt. Kennt der Angreifer Telefonnummer und MAC-Adresse, kann er das WhatsApp Konto übernehmen und im Namen seines Opfers gefälschte Nachrichten senden.

Gibt man das iPhone nicht aus der Hand, ist man auf der sicheren Seite?
Leider nein. Der Angreifer braucht keinen physischen Zugriff. Die MAC-Adresse, also das Passwort, kann mit einfachen Mitteln im WLAN mitgelesen werden.

In einem passwortgeschützten WLAN ist man aber sicher?
Nein. Der Aufwand für einen Angreifer erhöht sich zwar, aber mit speziellen Tools lässt sich auch die MAC-Adresse in einem verschlüsselten WLAN mitlesen. Es ist jedoch komplexer, als wenn sich der Angreifer bereits im gleichen WLAN befindet.

Sind Android-Nutzer genauso gefährdet?
WhatsApp nutzt bei Android die sogenannte IMEI, die 15-stellige Seriennummer des Handys, für das Passwort. Sie kann ebenfalls sehr einfach in den Einstellungen gefunden werden. Aus der Ferne ist es aber schwieriger ein WhatsApp-Konto für Android zu übernehmen, da die IMEI-Nummer im Gegensatz zur MAC-Adresse nicht über das WLAN übermittelt wird. Die Achillesferse bei Android ist der App-Store.

Warum?
Angreifer können IMEI-Nummern auch über Spionage-Apps in Erfahrung bringen, die sie in Googles App-Store platzieren. Eine solche bösartige App braucht lediglich die Berechtigung, den Telefonstatus zu lesen. Schon kann sie im Stil eines Trojaners die IMEI- und Telefonnummer, also das WhatsApp-Passwort, an den Angreifer senden. Apple verweigert den Zugriff auf die IMEI für App-Entwickler, was wohl zur Verwendung der MAC-Adresse führte.

Bei der Installation verlangen zahlreiche Apps umfassende Rechte. Warum vertrauen die Nutzer Apps aus völlig unbekannter Herkunft?
Die Berechtigungen klingen oft sehr harmlos, gewähren den Apps aber umfassenden Zugriff auf das Smartphone. Kommt hinzu: Die Apps lassen sich sehr einfach installieren und wieder löschen. Ich beobachte daher immer wieder, dass Anwendungen aus anonymer Quelle ohne viel zu überlegen installiert werden. Ich denke, wir müssen bei Smartphones zuerst noch lernen, kritisch zu werden. Am PC würden wir wohl kaum ein Programm von irgendeinem unbekannten Unternehmen installieren.

Was raten Sie konkret?
Die Nutzer sollten sich überlegen, ob sie eine App wirklich brauchen und misstrauisch sein, wenn die Applikation umfassende Zugriffsrechte verlangt. Damit das WhatsApp-Konto nicht in falsche Hände gerät, sollte das Smartphone mit einem PIN geschützt werden. Zudem sollten iPhone-Nutzer öffentliche und halböffentliche WLANs meiden, bis WhatsApp einen anderen Wert als Passwort verwendet.

Ausgewählte Leser-Kommentare

Jaja :) Ich glaube das einzige Problem ist dass der Staat nicht direkt auf die Daten zugreifen kann. Plötzlich ist Datenschutz wichtig wenn es um dritte geht. Jetzt mal ehrlich: SMS sind veraltet, zu teuer und im Vergleich wird nicht's geboten. Keine Bilddateien (nur MMS), keine Audioaufnahmen und man sieht nicht ob es gelesen wurde. Short Message Service Auf Wiedersehen. – JaySamzy

Discussion
Weitere 180 Kommentare
20min Login Facebook Connect
Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»

Unsere Leser kommentieren fleissig - durchschnittlich gehen Tag für Tag 4000 Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.

«Gibt es eine Möglichkeit, dass mein Beitrag schneller veröffentlicht wird?»

Wer sich auf 20 Minuten Online einen Account zulegt und als eingeloggter User einen Beitrag schreibt oder auf einen Kommentar antwortet, der wird vorrangig behandelt. Hat ein eingeloggter User bereits viele Kommentare verfasst, die freigegeben wurden, so werden seine neuen Beiträge mit oberster Priorität behandelt.

«Warum wurde mein Kommentar gelöscht?»

Womöglich wurde der Beitrag in Dialekt verfasst. Damit alle deutschsprachigen Leser den Kommentar verstehen, ist Hochdeutsch bei uns Pflicht. Sofort gelöscht werden Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar sind, werden das Licht der Öffentlichkeit nie erblicken. (oku)

Haben Sie allgemeine Fragen zur Kommentarfunktion?

Schreiben Sie an feedback@20minuten.ch
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Deshalb können Storys, die älter sind als 72 Stunden, nicht mehr kommentiert werden. Wir bitten um Verständnis.
  • JaySamzy am 11.10.2012 16:41 Report Diesen Beitrag melden

    Böses WhatsApp

    Jaja :) Ich glaube das einzige Problem ist dass der Staat nicht direkt auf die Daten zugreifen kann. Plötzlich ist Datenschutz wichtig wenn es um dritte geht. Jetzt mal ehrlich: SMS sind veraltet, zu teuer und im Vergleich wird nicht's geboten. Keine Bilddateien (nur MMS), keine Audioaufnahmen und man sieht nicht ob es gelesen wurde. Short Message Service Auf Wiedersehen.

  • Jonas am 11.10.2012 11:23 Report Diesen Beitrag melden

    Ahnungslos

    Alle die hier schreiben von wegen sie haben nichts zu verbergen etc. haben doch keine Ahnung: 1. Könnt ihr nicht von euch auf alle anderen schliessen 2. Habt ihr wirklich keine Phantasie? Ich kann mir hunderte Szenarien ausmahlen was mit dieser Lücke machbar wäre. Und wenn ich einer Person wirklich schaden will ist es ja so leicht an deren Handynr. und zugehörige MAC zu kommen. 3. Sicherheitslücken in einem Programm sind immer schlecht, da geht es ums Prinzip. Oder wie fänded ihr es wenn ein Hacker sich z.B. zugang zu eurem Facebook Account verschaffen würde und diesen verunstaltet / löscht?

    • Josha Kuhn am 11.10.2012 12:23 Report Diesen Beitrag melden

      Apropoz Facebook

      Lieber Jonas... Leider muss ich mich da einschalten und diesen Kommentar dementieren. Facebook verfügt lediglich über ein normales Kennwort und eine Emailadresse für die Sicherheitsidentifikation. Das herausfinden der Emailadresse ist heutzutage gar kein Problem mehr, da sie ja sowieso in den meisten Fällen schon auf Facebook veröffentlich wurde. Wer eine Macadresse in einem WLAN Netzwerk nachsehen kann, hat weniger Probleme das Facebookpasswort zu knacken. Was ist nun sicherer??

    • Roger am 11.10.2012 12:51 Report Diesen Beitrag melden

      Tja...

      Angst um seine Daten haben und dann Facebook nutzen??? Aha...

    • Jonas am 11.10.2012 15:11 Report Diesen Beitrag melden

      Facebook / Datenschutz

      @Josha Verstehe nicht was du mir sagen willst, habe FB nur als vergleich genommen, um die Auswirkungen einer Lücke aufzuzeigen. Mir ist auch klar das ein FB Login unter umständen relativ einfach geknackt weden kann. Ebenso habe ich geschrieben das die MAC Adresse sowie E-Mail einfach herauszufinden sind. @Roger Wo steht denn das ich Facebook nutze? Aber selbst wenn, ob nun FB meine Daten hat, mit welchen ich einen eindeutigen Vertrag habe welcher genau regelt was diese mit meinen Daten machen dürfen oder ob irgend ein krimineller meine Daten hat ist wohl noch ein gewaltiger Unterschied!

    einklappen einklappen
  • beni am 11.10.2012 09:40 via via Mobile Report Diesen Beitrag melden

    ist mir egal

    kann mir doch egal sein, wenn irgendeiner den Blödsinn mitliest, den ich meinen Kollegen schreibe. Und meine KK-Nummer sage ich wenn überhaupt nur jemandem persönlich, wenn er mir gegenüber steht, von daher sehe ich kein Problem mit WA.

    • jann/volken am 11.10.2012 12:18 via via Mobile Report Diesen Beitrag melden

      Mitlesen/Senden

      mitlesen ist ja nicht unbedingt das Problem sondern zb die "Übernahme" des Kontos den dan könnte man zb nachrichten im Namen des anderen Nutzers schreiben wie zb "ich bin schwanger"

    • Aeppchen am 11.10.2012 17:05 Report Diesen Beitrag melden

      Senden

      Mitlesen ist ja nicht das Problem. Die mit deinem Namen gesendeten Nachrichten sind schlimmer. Ueberlegt dir mal, wasman damit alles anrichten kann

    einklappen einklappen
  • Alle 180 Kommentare Alle 180 Kommentare
Digital aktuell

Neue Spielkonsole

Xbox One – die ersten Eindrücke

Neue Spielkonsole

Philipp Rüegg, Redmond - Microsoft hat die neue Xbox aus dem Hut gezaubert. Auf einem kurzen Rundgang durch den Xbox-Campus gingen wir mit der Next-Gen-Konsole auf Touchfühlung.

Sie kommt definitiv

Microsoft hat die Xbox One enthüllt

Sie kommt definitiv

Microsofts neue Spielkonsole erscheint noch in diesem Jahr. Zu den ersten Spielen gehören bekannte Namen wie «Call of Duty: Ghosts», «Fifa 14» und «Forza Motorsport 5».

qaStaHvIS yIn 'ej

Bing spricht Klingonisch

qaStaHvIS yIn 'ej

Microsofts Suchmaschine Bing kann seit Neustem Klingonisch. Mit der Aufnahme der Fantasy-Sprache aus dem Star-Trek-Universum zollen die Redmonder der Weltraum-Sage Tribut.

titelFliegen Sie für zwei Tage nach Valencia

teaser image

20 Minuten und SWISS suchen einen «Fliegenden Reporter», der vom 1.-2. Juni mit Begleitung nach Valencia fliegt und danach auf 20minuten.ch darüber berichtet.

Flickr lebt

Ein Terabyte Gratis-Speicher für Ihre Fotos

Flickr lebt

Yahoo haucht seiner Foto-Galerie Flickr neues Leben ein: Der ab sofort offerierte Speicher reicht für eine Viertelmillion 14-Megapixel-Fotos. Auch das Layout wurde umfassend entrümpelt.

Dreckiges Geschäft

«Schicken Sie Ihre Feinde offline!»

Dreckiges Geschäft

Webseiten lahmlegen und unliebsame Internet-Nutzer abschiessen: Im Internet bieten «Booter» ihre fragwürdigen Dienstleistungen für wenige Dollar pro Stunde an. Ein Experte deckt auf.

titelLieblingsfamilie wählen und Reisegutscheine gewinnen

teaser image

Helfen Sie dem Helsana-Maskottchen Helsi bei der Suche nach der Helsana-Family und sichern Sie sich einen der 5 Reka-Checks im Wert von je 200 Franken.

«FC3: Blood Dragon»

Ein Tritt ans Schienbein von Game-Fanatikern

«FC3: Blood Dragon»

Jan Graber - Die Bewertungen reichen von hervorragend bis schrottig: Unser Gameredaktor hält den Ego-Shooter «Far Cry 3: Blood Dragon» für einen der witzigsten Kommentare zur Lage der Gamenation.

titelOTTO'S Webshop: PE-Rattangruppe LOVA

teaser image

Viel Platz für gute Freunde und gute Gespräche bietet dieses edle Lounge-Set. Das Rattangeflecht aus wetterfestem, UV-beständigem PE-Kunststoff wird inklusive Kissen geliefert. Mit Gratislieferung und 2 Jahren Garantie, diese Woche mit zusätzlichem gratis Kissenbezugsset in brown-grey!

Der PS4-Rivale

Bühne frei für die Xbox One

Der PS4-Rivale

Nach über acht Jahren kommt der Xbox-360-Nachfolger. Der grosse PlayStation-Rivale wird vor Weihnachten in den Läden stehen.

Superhirn

Teenie erfindet angeblich den Schnelllade-Akku

Superhirn

Ein neuer Superkondensator soll Smartphone-Akkus in 20 bis 30 Sekunden aufladen. Hinter der Erfindung steht die 18-jährige Nachwuchsforscherin Eesha Khare. Doch die Story hat einen Haken.

Video des Tages

Durchdrehn zu zweit

Video des Tages

Ob das die neue Kampftechnik der Südkoreanischen Armee ist? Diese zwei verstehen es auf jeden Fall ausgezeichnet, sich die Zeit mit Spässen zu vertreiben.

titelLacoste Live! Shopping Night: Tickets gewinnen

teaser image

20 Minuten Friday und Lacoste Live! präsentieren den zweiten Shopping-Event im Live!-Store in Zürich. Gewinnen Sie jetzt exklusive Tickets für Sie und Ihre Begleitung.

Gratis-Spiel

So werden Sie zum Geo-Detektiv

Gratis-Spiel

«GeoGuessr» schickt die Spieler per Zufallsgenerator von einem Ende der Welt zum andern. Im süchtig machenden Browser-Game gilt es Aufnahmen aus Googles Street View zu lokalisieren.