Mehr als eine Milliarde Menschen nutzen tagtäglich den Messenger Whatsapp. Damit ist das seit einiger Zeit zu Facebook gehörende Kommunikationstool für Smartphones das mit Abstand beliebteste seiner Art.

Das hat die App auch in Österreich zu einem politischen Streitobjekt gemacht. So drängte etwa die ÖVP bei den vorerst gescheiterten Verhandlungen über ein neues Sicherheitspaket darauf, den Behörden eine Überwachung von Whatsapp-Chats und anderen Krypto-Messengern zu ermöglichen. Doch ist das technisch überhaupt machbar? Und wenn ja, welche Implikationen hat das für die Nutzer?

Ende-zu-Ende-Verschlüsselung

Whatsapp und einige andere Messenger nutzen Ende-zu-Ende-Verschlüsselung – ein Prinzip, das sich stark vereinfacht mit einer Metapher erklären lässt. Man stelle sich vor, zwei Nutzer, die via Whatsapp kommunizieren, erhalten zu Beginn ihres Chats jeweils einen Schlüssel für Kisten, in denen sie ihre Nachrichten vor dem Versand verstauen. Nur Sender und Empfänger können den Inhalt einsehen, der Bote – also Whatsapp – nicht. Für Außenstehende ist nur nachverfolgbar, wer wann an wen eine Botschaft schickt, man spricht hier auch von Metadaten.

Das Schloss zu knacken ist nicht unmöglich, setzt aber sehr viel Geduld und teures Werkzeug voraus. Oder, übersetzt ins Computerzeitalter: massive Rechenressourcen. Erschwerend kommt hinzu, dass für jede Kiste ein neuer Schlüssel erforderlich ist.

Methode 1: Einbruch mit dem Bundestrojaner

Für die Überwachung von Whatsapp wären nun drei Methoden denkbar. Die erste wäre ein Einbruch in das Haus der Nutzer, um an die bereits geöffneten Kisten heranzukommen. In diesem Falle würde die Verschlüsselung schlicht umgangen. Umgesetzt werden könnte das etwa mit dem sogenannten "Bundestrojaner", also einer staatlichen Malware, die sich auf dem Handy des betroffenen Nutzers einnistet und ihn ausspioniert.

Dieser Einbruch ist allerdings nur möglich, wenn Sicherheitslecks im Betriebssystem ihn erlauben oder der Gerätehersteller gar gezwungen wird, das Spionagewerkzeug vorzuinstallieren. In zweiterem Falle würde damit aber ab Werk eine Sicherheitslücke geschaffen, die auch Cyberkriminellen potenziell offensteht. Oder, um in der Metapher zu bleiben: Die Haustür ist absichtlich fehlerhaft gebaut, und wer ihre Schwäche kennt, kommt auch ohne Schlüssel rein.

Methode 2: Hintertür in Whatsapp

Justizminister Wolfang Brandstetter (ÖVP) hatte den Bundestrojaner auf seiner Wunschliste für das Sicherheitspaket. Kanzleramtsminister Thomas Drozda (SPÖ) wiederum sprach sich für eine "unkomplizierte" Überwachung von Whatsapp ohne Trojaner aus. Auch der Ex-Grüne Peter Pilz (Liste Pilz) vertrat zuletzt eine ähnliche Position. Doch andere Methoden sind weder einfacher noch sicherer.

Die Varianten zwei und drei sehen eine Verpflichtung von Whatsapp zur Kooperation vor. Eine Möglichkeit wäre, dass die Entwickler eine Hintertür in ihrer App schaffen, über die die Behörden bei Bedarf Chats einsehen können. Es würden also manipulierte Kisten ausgeliefert, die auch ohne Schlüssel aufgehen, wenn man weiß, wie. Und an dieses Wissen können eben auch böswillige Zeitgenossen gelangen und dann Chats mitlesen.

Methode 3: Den Schlüssel kopieren

Überwachungstrick Numero drei sieht vor, dass nicht nur den Chat-Teilnehmern, sondern auch Whatsapp die Schlüssel zu den Kisten ausgehändigt werden. Die Entwickler würden damit zum Mittelsmann der Behörden, wenn diese die Herausgabe von Inhalten von Chats beziehungsweise eine Öffnung bestimmter Kisten fordern.

Was verhältnismäßig harmlos klingt, ist jedoch nicht minder problematisch. Eine Speicherung der Schlüssel bei Whatsapp würde viel Vertrauen der Nutzer erfordern, dass diese nicht willkürlich verwendet werden und Nachrichten an die Behörden nur bei absoluter Notwendigkeit und richterlichem Beschluss weitergegeben werden. Gerade dieses Vertrauen stellt für Unternehmen wie Whatsapp in Zeiten weltweiter elektronischer Überwachungsprogramme ein wichtiges Kapital dar.

Auch die Sicherheit würde durch diese faktische Aufhebung des Ende-zu-Ende-Prinzips geschwächt. Gelingt etwa Cyberkriminellen ein Zugriff auf die Server von Whatsapp – also ein Überfall auf die Boten –, würden sie im schlimmsten Fall auch gleich über die passenden Schlüssel für die Kisten verfügen. Die gleichen heiklen Fragen drängen sich auf, wenn die Schlüssel direkt an Justiz oder Exekutive übermittelt und dort für Anlassfälle gespeichert würden.

Terroristen haben Alternativen

Es ist entgegen politischen Versprechen unwahrscheinlich, dass eine Überwachung von Whatsapp und anderen populären Messengern mit Verschlüsselung wirklich einen signifikanten Sicherheitsgewinn bringt. Dem entgegen steht eine klare Gefährdung des digitalen Briefgeheimnisses der User. Es wird zudem schwer möglich sein, sämtliche Anbieter von Messenger-Apps zur Kooperation zu bewegen.

Terroristen und andere Kriminelle haben außerdem Alternativen. Sie können einfach ihre Endgeräte und SIM-Karten oft wechseln oder auf Eigenbau-Lösungen setzen. Schon Anfang 2016 wurde berichtet, dass die Jihadisten des "Islamischen Staats" einen eigenen Krypto-Messenger entwickelt haben. Und dort, wo es sich anbietet, können sie auch auf Offline-Kommunikation ausweichen. (Georg Pichler, 6.9.2017)