WhatsApp-Logo © Jens Kalaene / DPA

Hunderte Millionen Menschen sollten plötzlich verschlüsselt chatten, ohne etwas dafür tun zu müssen – dank WhatsApp. Vor ziemlich genau einem halben Jahr verkündete die Non-Profit-Entwicklergruppe Open Whisper Systems, die Nachrichten der Android-Nutzer von WhatsApp würden künftig verschlüsselt. Nicht irgendwie, sondern Ende-zu-Ende, sodass nur Sender und Empfänger eine Nachricht lesen können. WhatsApp werde dazu das als besonders sicher geltende Text-Secure-Protokoll von Open Whisper Systems implementieren.

Medien und Sicherheitsexperten waren entsprechend voll des Lobes für die Facebook-Tochter. Nie zuvor nutzten mit einem Schlag mehr Menschen Verschlüsselungstechnik. WhatsApp hat weltweit 800 Millionen aktive Nutzer, Ende 2015 könnten es eine Milliarde sein.

Vom Überschwang der ersten Wochen ist mittlerweile nicht mehr viel übrig. Schon aus der Ankündigung ging hervor, dass die Neuerungen erst einmal nur für Android-Nutzer gelten. Daran hat sich bis heute nichts geändert: Sobald ein Android-Nutzer einem iPhone-Besitzer schreibt, ist die Text-Secure-Verschlüsselung dahin. In Deutschland beträgt der Anteil an Nicht-Android-Smartphones etwa 30 Prozent, in Großbritannien sogar 47 Prozent.

Gruppenchats und Medieninhalte sind ausgenommen

Auch Nachrichten innerhalb der bei WhatsApp besonders beliebten Gruppenchats sind zunächst von der Verschlüsselung ausgenommen, ebenso die Medieninhalte, also Bilder, Voice-Messages und Videos. Allein 700 Millionen Bilder laufen täglich in den Serverfarmen von WhatsApp ein. Open Whisper Systems hatte zwar angekündigt, die Verschlüsselung auszuweiten. Doch eine Bestätigung, dass das mittlerweile passiert ist, gibt es von keiner Seite.

Ein jüngst von heise online durchgeführter Test bestätigte, dass die Ende-zu-Ende-Verschlüsselung zwischen Android-Nutzern gut funktioniert, zu iOS-Nutzern hingegen nicht. Dort kommt nur der mittlerweile als unsicher geltende Algorithmus RC4 für die Transportverschlüsselung zum Einsatz. Die macht prinzipiell zumindest eine automatisierte Massenüberwachung zum Beispiel an den transatlantischen Glasfaserkabeln schwierig. Aber RC4 ist wohl auch dafür kein Garant mehr. 

Niemand weiß, wann WhatsApp verschlüsselt

Problematischer als diese Lücken ist die undurchsichtige Umsetzung der Verschlüsselung selbst und die Geheimniskrämerei von WhatsApp. Lange war nicht einmal klar, ab wann die Verschlüsselung überhaupt eingesetzt wird. Es wurde schlicht von der kommenden Version geredet. Bei annähernd täglich neuen WhatsApp-Versionen ein Ratespiel. Auch aus dem Changelog geht nicht hervor, seit wann WhatsApp verschlüsselt.

Genau kann das bis heute niemand sagen. Denn Nutzer von WhatsApp bekommen zwar inzwischen blaue Häkchen angezeigt, wenn ihre Nachrichten gelesen werden. Ob sie gerade verschlüsselt oder unverschlüsselt senden, wissen sie dagegen nicht. Wie genau WhatsApp das Text-Secure-Protokoll von Open Whisper Systems implementiert, ist ebenfalls nicht öffentlich dokumentiert. Das macht eine Überprüfung durch unabhängige Sicherheitsexperten fast unmöglich.