Zum Newsportal

WhatsApp: „Das Problem ist die Unwissenheit der Nutzer“

Forschungsergebnis vom 07.10.2014

Diese Untersuchung schlägt Wellen: Andreas Buchenscheit, Dozent für Informatik an der Hochschule Ulm und Geschäftsführer der Cortex Media GmbH, hat zusammen mit vier Mitstreitern der Uni Ulm und der Universität Pittsburgh massive Sicherheitslücken beim Messengerdienst WhatsApp (600 Millionen Nutzer weltweit) nachgewiesen. Einzig mit Hilfe der Telefonnummern der Probanden und einer selbstentwickelten Software konnten durch das Abfragen des Onlinestatus komplette Tagesabläufe sowie das Kommunikationsverhalten einer Gruppe von 19 Versuchspersonen rekonstruiert werden. Mit kompakt, dem Magazin der Hochschule Ulm, sprach Andreas Buchenscheit über die Folgen seiner Studie.

kompakt: Herr Buchenscheit, wo liegt denn jetzt genau das Problem mit dem Onlinestatus bei WhatsApp? Man will doch als Nutzer, dass zu sehen ist, wann man verfügbar ist?

Andreas Buchenscheit: Stimmt. Grundsätzlich ist der Onlinestatus ein Feature, das den Nutzern helfen soll. Das Problem besteht zunächst einmal in der Verfügbarkeit der Daten. Wir konnten den Onlinestatus der Probanden ermitteln, selbst wenn diese in WhatsApp den Zeitstempel „zuletzt online“ abgeschaltet hatten. Wenn Sie diese Daten nun abgreifen, erhalten Sie einen lückenlosen Überblick über das Kommunikationsverhalten des mobilen Nutzers mit WhatsApp. Wenn Sie darüber hinaus, noch Vergleichsdaten erheben, können Sie anhand der Aktivitätsmuster erkennen, wer mit wem spricht, wann die Versuchsperson aufsteht oder auch wann sie ins Bett geht. Kommen Sie dann noch an Kontextwissen heran, können Sie sehr viel aus diesen frei verfügbaren Daten herauslesen. Wenn man bedenkt, wie weit verbreitet Handynummern sind, und wie intensiv WhatsApp in Deutschland genutzt wird, ist das ein ernstzunehmendes Problem, Stichwort „Überwachung“.

kompakt: Könnte WhatsApp diese Sicherheitslücke denn nicht einfach beheben?

Andreas Buchenscheit: Können bestimmt. Im Prinzip sollte es doch so sein: Der Nutzer bestimmt selbst, wer sehen kann, wann er online ist bzw. zuletzt online war. Nur er selbst, seine Freunde oder alle Nutzer. Wir haben, nach dem wir die Sicherheitslücke entdeckt hatten, auch direkt den Mutterkonzern Facebook informiert, aber bis heute keine Reaktion erhalten.

kompakt: Was können die Nutzer von WhatsApp tun?

Andreas Buchenscheit: Zunächst muss ein Problembewusstsein entstehen. Viele Nutzer haben eine gewisse „Egal“-Haltung, was ihre Daten angeht: „Die sind eh verfügbar, also macht das doch keinen Unterschied, wie und wo die erhoben werden.“ Das macht es aber sehr wohl. Wenn man um ein Problem weiß, kann man anders damit umgehen. Unsere Probanden waren geschockt, als sie von den Ergebnissen der Studie erfahren haben. Sie werden in Zukunft wenigstens gewarnt sein. Man sieht das auch ganz gut bei Facebook: Am Anfang haben die Nutzer da vieles vollkommen öffentlich gepostet. Heutzutage geht der Trend zu privaten Posts, die nur eine beschränkte Personengruppe sehen kann. Außerdem ist die Welt der sozialen Netzwerke ständig in Fluss. Facebook zum Beispiel laufen gerade massiv jüngere Nutzer davon. Insofern ist es nicht ausgeschlossen, dass mal ein Messengerdienst kommt, der sensibler mit Nutzerdaten umgeht.

kompakt: Betrifft das Problem nur WhatsApp oder auch andere Messengerdienste?

Andreas Buchenscheit: Grundsätzlich betrifft das Problem alle Messengerdienste, die mit einem Onlinestatus arbeiten, also beispielsweise auch den Facebookmessenger oder Line, einen Dienst, der in Asien sehr beliebt ist. Der Onlinestatus enthält in Zeiten der mobilen Nutzung viele Informationen über den einzelnen Nutzer. Und diese Informationen müssten besser geschützt werden. Die Nutzer können doch nicht vorhersehen, dass vermeintlich harmlose Meta-Daten bei kontinuierlicher Protokollierung einen derart detaillierten Einblick in das Privatleben geben.

kompakt: Nutzen Sie denn trotz der Erkenntnissen Ihrer Studie weiterhin WhatsApp?

Andreas Buchenscheit: Schon. Es gibt viele Menschen, die ich so am besten erreichen kann. Und mit ein wenig Hintergrundwissen kann man die Daten, die der Onlinestatus sammelt, auch so modifizieren, dass das Extrahieren von Informationen deutlich erschwert wird.

kompakt: Werden Sie an dem Thema dran bleiben?

Andreas Buchenscheit: Ich stelle die Studie im November auf der Konferenz „MUM 2014: The International Conference on Mobile and Ubiquitous Multimedia“ in Melbourne offiziell vor. Danach werden meine Kollegen und ich entscheiden, ob es einen „Follow-Up“ gibt, oder ob wir uns einem neuen Problem zuwenden. Es ist auf jeden Fall toll, dass diese Untersuchung eine solch hohe Aufmerksamkeit erhalten hat. Sonst schlafen die Leute ja meistens ein, wenn man ihnen etwas über unsere Forschung in der Informatik erzählen will. (lacht)

kompakt: Herr Buchenscheit, wir danken für das Gespräch.

Hochschule Ulm – Technik, Informatik, Medien

Andreas Buchenscheit, Dozent für Informatik an der Hochschule Ulm zeigt sich besorgt über die Sicherheitslücken beim Messengerdienst WhatsApp.

Branche Organisationen und Institutionen
Firmenprofil