Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
2 Min Lesezeit 28 mal geteilt 46 Kommentare

WhatsApp sicher nutzen: So funktioniert die Ende-zu-Ende-Verschlüsselung

Vor wenigen Tagen hat WhatsApp seine Ende-zu-Ende-Verschlüsselung für alle Nutzer plattformübergreifend aktiviert. Aber wie nutzt man die Verschlüsselung? Wir wollen Euch in diesem Artikel helfen, die Verschlüsselung von WhatsApp richtig zu nutzen und teilen Euch mit, wo es Schwachstellen gibt. 

Die Freude war groß bei den WhatsApp-Nutzern, als diese Woche die Verschlüsselung für alle Nutzer freigegeben wurde. Mit der lange überfälligen Ende-zu-Ende-Verschlüsselung von WhatsApp werden künftig Daten der rund eine Milliarde WhatsApp-Nutzer vor Hackern, Geheimdiensten und Facebook geschützt. 

So funktioniert die Verschlüsselung bei WhatsApp

Die Verschlüsselung, die WhatsApp nutzt, basiert auf dem Protokoll von Open Whisper Systems. Interessanterweise haben die Entwickler mit Signal selbst einen Messenger im Angebot, der vom Umfang her fast identisch mit WhatsApp ist. 

Whatsapp Encryption
Nachrichten und Dateien werden bei WhatsApp jetzt verschlüsselt. / © Wired

WhatsApp nutzt also das quelloffene Signal-Protokoll, um Nachrichten, Fotos, Videos oder Anrufe zu verschlüsseln. Dabei wird die Nachricht auf dem Gerät des Absenders verschlüsselt, so dass die Daten über die gesamte Strecke bis zum Empfänger verschlüsselt bleibt. Erst beim Empfänger wird die Nachricht entschlüsselt. Die Nachrichten und Dateien bleiben also bis dahin unleserlich. Selbst WhatsApp kann die Nachrichten nicht lesen und entschlüsseln.

WhatsApp Ende zu Ende Verschluesselung
In aktiven Chats werden seit der Aktivierung der neuen Verschlüsselung diese Nachrichten angezeigt. / © ANDROIDPIT

Jede Nachricht, die Ihr als WhatsApp-Nutzer verschickt, wird codiert, so dass sie sich nur mit einem passenden Schlüssel beim Empfänger decodieren lässt. Das geschieht automatisch. 

Nicht alles wird verschlüsselt

Die Verschlüsselung der Inhalte in WhatsApp und mit dem Signal-Protokoll hat aber auch ein paar Lücken. So ist die Verschlüsselung immer an eine Mobilfunknummer gekoppelt und Metadaten wie der Zeitstempel, der Absender und Empfänger bleiben unverschlüsselt. Außerdem ist es notwendig, dass die Gesprächspartner über die aktuelle Version von WhatsApp verfügen. Achtet also darauf, dass Ihr ein im Play Store verfügbares Update installiert habt. 

Um zu prüfen, ob Euer Gesprächspartner oder die Gruppenchat-Teilnehmer über die aktuelle Version verfügen, klickt einfach auf deren Namen. Auf der folgenden Übersicht seht Ihr den Eintrag Verschlüsselung. Wenn dieser geschlossen ist, dann werden sämtliche Inhalte automatisch verschlüsselt. Ist das Schloss offen oder der Eintrag Verschlüsselung ist nicht zu sehen, dann nutzt Euer Gesprächspartner eine ältere Version von WhatsApp. 

whatsapp encryption contact detail de
In den Informationen des Gruppenchats (links) oder des Gesprächspartners (rechts) könnt Ihr sehen, ob die Verschlüsselung auch wirksam ist. / © ANDROIDPIT

Als letzte Schwachstelle ist bei der Verschlüsselung selbstverständlich das Empfängergerät und dessen Nutzer anzusehen. Da die Nachrichten automatisch beim Empfänger entschlüsselt werden, sind diese auf dem Gerät auch im Klartext sichtbar. Jeder, der ungehindert Zugriff auf das Smartphone hat, kann die Nachrichten lesen. Außerdem gibt es bei der iOS-Version noch eine weitere Schwachstelle und das sind die automatischen Backups in der iCloud. Anders als bei der Android-Version, die ihre Backups verschlüsselt in Google Drive ablegt, werden die WhatsApp-Backups über die Apple Cloud unverschlüsselt hinterlegt.

28 mal geteilt

Top-Kommentare der Community

  • Tenten vor 11 Monaten

    Du kannst es natürlich ins Lächerliche ziehen, faktisch ist die Aussage aber richtig. Tatsächlich ist das Gerät, das sendet oder empfängt und die Daten unverschlüsselt zeigt, die Schwachstelle von Ende zu Ende. Das gilt letztlich auch für Passwörter und andere verschlüsselte Kommunikation, zum Beispiel am PC mit deiner Bank oder beim anmelden bei Amazon oder ebay. Du kannst da noch so ein gutes und sicheres Passwort verwenden, wenn es ein Keylogger direkt bei dir am Gerät abgreift, dann ist es völlig egal, ob im Anschluss daran perfekt verschlüsselt wird oder nicht.

  • Shu On Kwok
    • Staff
    vor 11 Monaten

    Hey Frischkopf. Schlag ruhig deinen Kopf auf die Tischplatte. Es gibt sich auch Leser, die vielleicht meinen, dass eine Verschlüsselung der Inhalte auch auf dem Smartphone gilt. Gehe nicht immer von deinem Wissensstand aus. So. Punkt

46 Kommentare

Neuen Kommentar schreiben:
  • C. F. vor 11 Monaten Link zum Kommentar

    Was passiert denn so mit meinen Daten? Viel Spaß beim spielen:

    https://beta.datadealer.com/#load

  • Blowfly vor 11 Monaten Link zum Kommentar

    @Tenten
    Zitat: "Mal davon abgesehen, dass es mich nicht kümmert, dass Facebook oder WhatsApp oder auch Fremde sehen können, wann ich wielange mit wem kommuniziert habe. Mir ist Privatsphäre durchaus wichtig, ich habe aber eine andere Definition dafür."

    Aha - die andere Definition würde ich gerne mal erfahren. Die Metadaten sind nämlich zunächst der interessantere Part, für den sich Unternehmen und alle Geheimdienste dieser Welt interessieren. Wenn dich das nicht stört, ist das dein Problem, und läuft auf das übliche Totschlagargument hinaus "ich hab ja nichts zu verbergen".
    Kommunizierst du aber zufällig mal mit jemand, der schon von wem auch immer (und aus welchem Grund auch immer) beobachtet wird, bist gleich mit auf der schwarzen Liste und hast bestenfalls ein gewaltiges Rechtfertigungsproblem an der Backe.

    "...denn du pöbelst ja nicht nur einmal, sondern pausenlos. Gegen Autoren gleichermaßen wie Nutzer. DAS ist es, was Androidpit runterzieht und nicht die Qualität der Artikel."

    da verdreht aber jemand komplett die Tatsachen. Was Leute hier in den Kommentaren schreiben, oder ob sie sich gegenseitig beschimpfen, wäre erstmal völlig uninteressant. Was APIT runterzieht ist die Qualität der Artikel, und zwar gewaltig. Das geht über technisches Nichtwissen der Autoren, schlechte Recherche der einfachsten Fakten, reisserischen Schlagzeilen wo null Inhalt folgt, "Tests" die sich auf das Anfassen des Gerätes und dem Abschreiben ein paar technischer Daten beschränken (und dann nicht mal richtig abschreiben), copy&paste von anderen Seiten, sinnlosen Umfragen, dem Aufwärmen der immer gleichen alten Artikel, bis zu Korrekturlesen und Rechtschreibung. DAS ist es was APIT runterzieht, als erstes liest man nämlich den Artikel und ärgert sich dann, warum der Autor beispielweise kompletten technischen Unsinn schreibt und das nicht wie jeder andere wenigstens durch sorgfältige Recherche ausgleicht.

  • Schöner Artikel.

    Es gibt ganz viele in meinen Kreisen, die sind mit dem neuen WA-Update überfordert. Die interessieren sich auch nicht für die Verschlüsslung.

    • Blowfly vor 11 Monaten Link zum Kommentar

      wieso überfordert ???
      Man muss doch überhaupt nichts selber machen, die Verschlüsselung geschieht doch automatisch im Hintergrund, ohne irgendwelches zutun deinerseits.

  • Rollo vor 11 Monaten Link zum Kommentar

    Zitat: "Als letzte Schwachstelle ist [...] das Empfängergerät und dessen Nutzer anzusehen. Da die Nachrichten automatisch beim Empfänger entschlüsselt werden, sind diese auf dem Gerät auch im Klartext sichtbar".
    Ach neeeee?! Das ist ja komisch und vor allem total unsinnig und gefährlich :D
    Das wird hier als Schwachstelle bezeichnet?
    Na klar, es wäre also viel besser, wenn die Nachrichten so verschlüsselt wären, dass sogar der Empfänger sie nicht lesen könnte, nicht wahr???
    Kopf --> Tischplatte!!! 100 mal mindestens und mit aller Kraft!

    • Tenten vor 11 Monaten Link zum Kommentar

      Du kannst es natürlich ins Lächerliche ziehen, faktisch ist die Aussage aber richtig. Tatsächlich ist das Gerät, das sendet oder empfängt und die Daten unverschlüsselt zeigt, die Schwachstelle von Ende zu Ende. Das gilt letztlich auch für Passwörter und andere verschlüsselte Kommunikation, zum Beispiel am PC mit deiner Bank oder beim anmelden bei Amazon oder ebay. Du kannst da noch so ein gutes und sicheres Passwort verwenden, wenn es ein Keylogger direkt bei dir am Gerät abgreift, dann ist es völlig egal, ob im Anschluss daran perfekt verschlüsselt wird oder nicht.

      • Rollo vor 11 Monaten Link zum Kommentar

        @Tenten u. Shu:
        Wie stellt ihr beiden es euch denn sonst vor? Also so sicher, dass es gar keine sog.(!) Schwachstelle mehr gibt? Bin sehr auf eure Vorschläge gespannt. Und kommt mir jetzt mit dem Motto, dass die Nachrichten erst nach einer Passworteingabe entschlüsselt werden dürften. Das würde nämlich auf's Gleiche hinauslaufen.

        Lasst euch einfach mal das "Ende zu Ende" auf der Zunge zergehen. Das bedeutet, dass es zwischen dem Senden und dem Empfang verschlüsselt ist. Punkt. Mehr nicht. Was davor und danach passiert, hat nichts mit der Verschlüsselung zu tun. Wie soll der Empfänger die Nachricht auch sonst lesen? Oder erwartet ihr dass jeder WhatsApp-Nutzer mit seinen Kontakten noch eine Geheimschrift vereinbaren muss?

        Jede Verschlüsselung hat irgendwo ihre Grenzen, damit der Empfänger sie entziffern kann, ganz egal, ob die Nachricht mit einem Messenger, auf Papier oder auf ein Butterbrot geschmiert versendet wird. Wollt ihr das nicht einsehen und einfach irgendwelche Pseudo-Makel konstruieren?

        Für die Sicherheit der empfangenen Nachrichten auf dem Gerät muss schon jeder Nutzer selber sorgen. Das ist nicht Aufgabe von WhatsApp oder anderer Dienste.
        Eine Normalität (wie z.B., dass eine Nachricht auf einem Smartphone in Klarschrift vorliegt) als Schwachstelle zu bezeichnen, ist hanebüchen!

        Und Shu: wenn du es schon so eigenwillig siehst, dass das Gerät des Empfänger eine Schwachstelle darstellen soll, dann müsstest du wenigstens so konsequent quer denken, dass auch das Gerät des Absender eine genauso böse Schwachstelle sein soll, denn auch auf dessen Gerät kann jeder, der Zugriff darauf hat, die Nachrichten im Klartext lesen. Oder stelle dir vor, dass dem Verfasser beim Schreiben jemand heimlich über die Schulter schaut?! Oh Schreck!!! Wie sieht es denn in so einem Fall mit der WhatsApp-Verschlusselung aus? Na, Ideen?

        Also was im Artikel über die Schwachstelle "Gerät des Empfängers" geschrieben wurde, ist leider echter Quatsch mit Soße à la AndroidPIT.

        @Shu: So. Punkt. Basta. Aus. Und tschüss.

      • Tenten vor 11 Monaten Link zum Kommentar

        @Frischkopf
        Du solltest deinen Kopf weniger oft gegen die Tischplatte schlagen, denn dann hättest du verstanden, dass es gar nicht darum geht, dass es noch sicherer wird oder was immer du dir da zusammenreimst.

      • Rollo vor 11 Monaten Link zum Kommentar

        Ach nein? Es geht nicht darum, dass es noch sicherer sein müsste? So so! Dann möchte ich nicht wissen, wofür der Begriff "Schwachstelle" in deiner Geheimsprache Verwendung findet. Ganz offensichtlich hast du den Artikel, bzw. den fraglichen Absatz, nicht begriffen. Schade.

      • Tenten vor 11 Monaten Link zum Kommentar

        "Geheimsprache"?? Was faselst du da ohne Zusammenhang?
        Nochmal langsam für dich:
        Du hast dich oben darüber lustig gemacht, dass der Autor etwas erklärt, was du für selbstverständlich hältst. Dafür hast du ihn regelrecht verhöhnt und unfreundlich angemacht, nur um deine "Überlegenheit" zu demonstrieren. DAGEGEN habe ich mich ausgesprochen, gegen deine rüpelhafte, fast pöbelnde Art. Es geht mir nicht darum, irgendwas bei WhatsApp zu verbessern oder was du dir da zurechtlegst. Das ist mir völlig egal. Mir ging es darum, zum Ausdruck zu bringen, dass ich deine Art und Weise, wie du dich hier benimmst für inakzeptabel halte. Das tue ich immer mehr, denn du pöbelst ja nicht nur einmal, sondern pausenlos. Gegen Autoren gleichermaßen wie Nutzer. DAS ist es, was Androidpit runterzieht und nicht die Qualität der Artikel.

        Schönen Sonntag.

      • Rollo vor 11 Monaten Link zum Kommentar

        Herzallerliebster Tenten, Fakt ist, dass Anspruch und Qualität der AP-Artikel leider seit vielen Monaten weit abgerutscht sind. So weit, dass es beim Lesen oft schon Schmerzen verursacht. Als kleine Komödienhappen für zwischendurch sind sie gerade noch geeignet. Auch dass einige AP-Schreiber nicht kritikfähig sind, ist auch nichts Neues.
        Zum Glück gibt es noch ein paar Leute, die sich von diesen AP-Artikeln einfach berieseln lassen, dabei jeden Mist glauben, der verbreitet wird und kein bisschen darüber nachdenken, ob das Geschreibsel überhaupt noch Hand und Fuß hat. Solche Leute braucht man hier auch, denn AP geht es doch ganz offensichtlich nicht mehr um anspruchsvolle Information, sondern ganz allein ums Geld. Dafür müssen nunmal möglichst viele Artikel routinemäßig runtergerattert werden, wobei der Text häufig mit der heißen Nadel gestrickt wird.
        Und dann kommen auch noch solche Lesertypen hinzu, die sich gemüßigt fühlen, sich unaufgefordert einzumischen und sich als barmherzige Samariter aufzuspielen. Mit Lügen und Unterstellungen belegen sie dann aber bloß, dass sie selber keine Argumente/Gegenargumente haben.

        Tenten, was du für akzeptabel hältst und was nicht, das darfst du selbstvertändlich gerne an deine Klotür schreiben, jedoch geht mir das wirklich kilometerweit an meinem Knackpopo vorbei. Es interessiert mich einfach nicht. Ich gehe davon aus, dass du das jetzt endlich begriffen hast, damit ich nicht noch deutlicher werden muss. Deine frechen Pöbeleien verbitte ich mir jedenfalls ab sofort. Ich wünsche dir noch einen besinnlichen (!) Sonntag.

      • Tenten vor 11 Monaten Link zum Kommentar

        Dann bleib einfach weg, wenn hier alles so unerträglich schlecht ist, wie du es schilderst. Das täte deiner Stimmung gut und der hier bei Apit ebenso.

      • Rollo vor 11 Monaten Link zum Kommentar

        Du bist doch des Lesens mächtig?! Zitat: "Als kleine Komödienhappen für zwischendurch". Damit ist alles gesagt. Wo und womit ich mich amüsiere, geht dich absolut nichts an. Also mische dich nicht in meine Angelegenheiten ein. Abgesehen davon bist du absolut nicht in der Lage, meine Stimmung einzuschätzen. Die ist nämlich vorzüglich. Meine gute Laune lasse ich mir auch nicht von dir verderben. Dass ich dich unsympathisch finde, steht auch nicht im Zusammenhang mit meiner Stimmung und auch nicht mit der hier behandelten Thematik, sondern es liegt einfach in der Natur der Sache - also mit dir persönlich und deiner unverschämten Art. So sehr du es dir auch wünscht, aber wir beide werden niemals Freunde, das verspreche ich dir. Mach's gut!

    • Shu On Kwok
      • Staff
      vor 11 Monaten Link zum Kommentar

      Hey Frischkopf. Schlag ruhig deinen Kopf auf die Tischplatte. Es gibt sich auch Leser, die vielleicht meinen, dass eine Verschlüsselung der Inhalte auch auf dem Smartphone gilt. Gehe nicht immer von deinem Wissensstand aus. So. Punkt

      • C. F. vor 11 Monaten Link zum Kommentar

        Bringt nur eine Scheinsicherheit, wenn die Daten nach wie vor auf den Servern unverschlüsselt liegen:

        "Reine Transportverschlüsselung: Häufig wird nur die Verbindung zwischen dem Mobilgerät und dem Server verschlüsselt, z.B. mittels SSL. Damit können zwar Nachrichten auf dem Transport über das Netzwerk nicht abgefangen werden (was ein häufiges Problem gerade in öffentlichen WLAN-Hotspots ist), aber auf dem Server liegen die Nachrichten wieder in unverschlüsselter Form vor.
        Bekannte Beispiele: SMS, WhatsApp®, Telegram (ohne secret chat)"

        "Ob man bei Whatsapp nun besser aufgehoben ist als bei Threema und Co., bleibt deshalb weiter offen. Im letzten Test der Stiftung Warentest schnitt Whatsapp aufgrund von Privatsphäremängeln nur "befriedigend" ab. Das dürfte sich auch mit der E2E-Verschlüsselung nicht grundlegend ändern, denn der Dienst gleicht nach wie vor die Telefonbücher seiner Nutzer über seine Server ab."

      • Frank A. vor 11 Monaten Link zum Kommentar

        Naja, aber eine Schwachstelle ist das doch trotzdem nicht mMn.
        Nicht bei einem Messenger.
        Da hat der Frischkopf schon Recht.
        Tischplatte hin oder her.

      • Ludy
        • Mod
        • Blogger
        vor 11 Monaten Link zum Kommentar

        @Culinaria du wirfst hier Dinge um dich, das passt auf keine Kuhhaut.
        Es wird auf dem Device verschlüsselt, danach wird die Verschlüsselte Nachricht per SSL zum Server gesendet und dann per SSL über GCM weiter auf das Empfangsdevice geschickt. Selbst wenn es gespeichert werden würde könnte WhatsApp den Inhalt nicht lesen.

      • C. F. vor 11 Monaten Link zum Kommentar

        Der Gegenbeweis bleibt uns leider schuldig...

      • Tenten vor 11 Monaten Link zum Kommentar

        Zum Thema Schwachstelle: Ich finde schon, dass das Gerät eine Schwachstelle darstellt. Natürlich weiß jeder, dass der Messenger an sich alles unverschlüsselt zeigt, man sieht es ja. Aber nicht vergessen sollte man seine Tastatur. Wer weiß letztlich schon, was SwiftKey oder andere nach Hause oder in die Cloud schicken. Oder andere Apps, die im Hintergrund mitlesen? Man sollte sich dessen bewusst sein, dass die Nachrichten unverschlüsselt am Gerät eventuell nicht nur vom Messenger selbst gelesen oder gespeichert werden.

      • Ludy
        • Mod
        • Blogger
        vor 11 Monaten Link zum Kommentar

        Beweise doch das es nach deiner Meinung so ist ;-)

        Warum soll WhatsApp das machen, sie sagen es wird gemacht, heiße.de hat es positiv getestet und du kommst:"Der Gegenbeweis bleibt uns leider schuldig..."

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!