WhatsApp: Studie bestätigt mangelhaften Datenschutz

Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben sich in einer Studie mit dem unzureichenden Datenschutz von WhatsApp auseinandergesetzt. „Ich weiß genau, dass du während der Arbeit chattest!“, bringen sie eine Schwachstelle auf den Punkt.

Als grundlegendes Problem machte die Forschergruppe die enge Verknüpfung von Telefonnummer und Nutzeridentität bei Smartphone-Messengern aus. Das sollte es mühelos erlauben, mit anderen Teilnehmern augenblicklich in Verbindung zu kommen, ohne eine umständliche Einrichtung oder das formelle Einholen einer Zustimmung. Diese Bequemlichkeit setzt jedoch das Hochladen der vollständigen Adressbücher der Nutzer voraus, um bestimmen zu können, welche Kontakte über den jeweiligen Messenger-Dienst erreichbar sind.

Als beunruhigend, zumal bisher weitgehend ignoriert, empfinden die Autoren der Studie (PDF) die Möglichkeit, nur mittels einer Telefonnummer Informationen über ein bestimmtes Messenger-Konto abzufragen – ohne Zustimmung des Nutzers sowie über längere Zeit. Dafür genüge, eine Messenger-App zu starten, nachdem die entsprechende Telefonnummer dem Adressbuch des Mobiltelefons hinzugefügt wurde. Sofern die Telefonnummer beim Messenger-Dienst vertreten ist, sind über seine App Informationen über den Nutzer einzusehen wie Name, Statusmeldung, Profilbild und mehr.

Mit In-App-Monitoring automatisierten die Forscher das Datensammeln. Sie nutzten dafür Messenger-Apps auf iOS-Geräten, die sie über Runtime-Patching um Überwachungsfunktionen ergänzten. So beobachten sie mit nur wenigen Geräten 1000 zufällig ausgewählte WhatsApp-Nutzer aus aller Welt neun Monate lang rund um die Uhr und protokollierten ihr Nutzungsverhalten. Dabei wollten sie insbesondere herausfinden, was sich aus den gesammelten Informationen über den Online-Status der Nutzer ablesen lässt. Aus den Daten konnten sie beispielsweise erkennen, dass die Nutzer sich durchschnittlich 23 Mal am Tag einwählten und insgesamt 35 Minuten damit verbrachten, Nachrichten zu schreiben und zu lesen.

„Wenn über einen längeren Zeitraum beobachtet werden kann, wann ein Nutzer die App nutzt, lassen sich aus den gewonnenen Daten viele empfindliche Informationen über seine Lebensgewohnheiten rekonstruieren“, erklärt Andreas Kurtz vom FAU-Lehrstuhl für Informatik 1 (Sicherheitsinfrastruktur). Zu erfahren sei beispielsweise, wann jemand zu Bett geht, wann er aufsteht, ob er am Wochenende länger unterwegs ist – und wie oft er WhatsApp während der Arbeitszeit nutzt.

Für erschreckend hält Kurtz nicht zuletzt, dass WhatsApp bislang nichts unternahm, um ein solches Ausspähen zu verhindern. Da das eingesetzte Überwachungsprogramm selbst keine Nachrichten verschickt, Kontakt zu vielen Nutzern gleichzeitig hat und rund um die Uhr mit dem Netzwerk verbunden ist, weicht es stark vom üblichen Nutzerverhalten ab – WhatsApp hätte das Vorgehen daher leicht erkennen und unterbinden können. „Durch das Projekt möchten wir insbesondere dafür sensibilisieren, wie arglos WhatsApp mit den Daten zum Online-Zustand umgeht“, sagte der Informatiker.

Definitiv nicht über WhatsApp ausforschbar ist Winfried Materna, Mitgründer und Chef des gleichnamigen IT-Dienstleisters. Der bekennende Apple-Fan nutzt WhatsApp aus rechtlichen Gründen nicht, wie er im Gespräch mit dem Handelsblatt sagte: „WhatsApp hat mir unsere IT untersagt, weil ich dann meine Kontaktdaten aus der Hand gebe.“

WhatsApp musste hierzulande Anfang des Jahres eine Abwanderung von Teilen seiner Nutzerschaft hinnehmen. Nach Bekanntwerden der Übernahmepläne durch Facebook konnte WhatsApp-Konkurrent Threema seine Nutzerzahl innerhalb von 24 Stunden auf 400.000 verdoppeln. Wenige Wochen später betrug sie 2,8 Millionen. Offenbar sorgen sich besonders deutsche Anwender um ihre Privatsphäre, die sie durch die Übernahme durch Facebook bei WhatsApp gefährdet sahen. Anderswo scheinen solche Bedenken keine große Rolle zu spielen. Trotz Übernahme durch Facebook im Februar vermeldete WhatsApp im August einen Anstieg auf insgesamt 600 Millionen aktive Anwender.

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.