Wie Ulmer Wissenschaftler eine Datenschutzlücke bei WhatsApp aufdeckten

Wer den internetbasierten Kurznachrichtendienst WhatsApp nutzt, gibt mehr von sich Preis, als ihm lieb sein kann. Das haben zwei Ulmer Wissenschaftler herausgefunden. Ihre Studie erregt ziemliches Aufsehen.

|
Mehr als 600 Millionen Menschen weltweit nutzen »WhatsApp«. Mit einer von Ulmer Forschern entwickelten Software (rechts) lässt viel über das individuelle Nutzerverhalten erfahren.  Foto: 

Das Medienecho war beträchtlich. Zeitungen (auch die SÜDWEST PRESSE) aus dem In- und Ausland, Magazine, Radio- und TV-Sender berichteten vor knapp drei Wochen über die von Ulmer Informatikern in einer Studie veröffentlichte Aufdeckung von Sicherheitslücken beim weltweit von mehr als 600 Millionen Menschen genutzten Kurznachrichtendienst „WhatsApp“ – er ist mittlerweile die Alternative zu SMS, weil man quasi kostenlos Nachrichten, Bilder und sogar Videos austauschen kann.

Für die Wissenschaftler um Andreas Buchenscheit (31), Dozent an der Hochschule Ulm und Geschäftsführer des Unternehmens Cortex Media, sowie Bastian Könings (32), vom Institut für Medieninformatik der Uni Ulm, war das natürlich eine tolle Sache. Denn normalerweise nimmt von Studien nur ein elitärer Zirkel Kenntnis. Andererseits sehen sie die Sache nüchtern. Ob sie glauben, dass ihre Erkenntnisse ein Umdenken bei Nutzern bewirken werden? Buchenscheit schüttelt den Kopf. „Gerade bei jungen Leuten gibt es so eine Egalhaltung, was Datenschutz angeht.“ Auch vom US-Riesen Facebook, dem „WhatsApp“ gehört, kam bisher keine Reaktion – wen wundert’s. Vor der Veröffentlichung hatten die Ulmer das Unternehmen informiert.

Vielleicht muss man an dieser Stelle erwähnen, dass es dem Team um Buchenscheit und Könings zunächst nicht um die Aufdeckung von Missständen ging. „Wir wollten herausfinden, ob man auf „WhatsApp“ automatisiert Nachrichten verschicken kann“, erzählt Könings. Dabei machten sie eine Entdeckung. Die Information, ob ein Nutzer gerade online oder offline ist, lässt sich vom „WhatsApp“-Server ablesen. Mit einer eigenen Software, die „jeder durchschnittliche Informatiker entwickeln kann“ (Buchenscheit) fanden sie das heraus. „Man braucht nur die Telefonnummer einer Person, um aufzuzeichnen, wie oft und wie lange sie online ist.“ Und: Der oder die überwachten Personen bekommen davon nichts mit.

Natürlich gingen Buchenscheit und Könings nicht illegal vor. Sie testeten ihre Methode über eine Dauer von vier Wochen an 19 Probanden, die der Verwendung ihrer Daten zugestimmt hatten. Tatsächlich gelang es ihnen, komplette Nutzungsprofile zu erstellen, das Alltagsleben ihrer Versuchskaninchen gewissermaßen zu skizzieren. „Wir konnten sehen, wann eine Person aufsteht und wann sie ins Bett geht. Wir konnten lückenlos protokollieren, ob „WhatsApp“ zu verbotenen Zeiten genutzt wird, etwa in der Arbeit oder in der Schule.“ Das sei keine Bagatelle, sagt Buchenscheit. Arbeitgeber könnten Mitarbeiter so etwa überwachen und überprüfen, wie lange sie nachts wach sind und ob sie fit zur Arbeit kommen. Bei einer Testgruppe habe man sogar die Teilnahme aller Beteiligten an einer Studentenparty nachweisen können.

Besonders kritisch: Den Forschern gelang es auch, Konversationen zwischen Probanden zu identifizieren. Diese Technik lasse sich im privaten („Chattet meine Frau mit Person X?“) wie im geschäftlichen Umfeld („Ist Mitarbeiter X mit Person Y in Kontakt“) einsetzen – aber auch von Staaten und Regierungen, die die Kommunikationsaktivitäten ihrer Bürger aus politischen Gründen überwachen wollen.

Je mehr Kontext-Informationen man über eine Person habe, desto genauer lasse diese sich ausspionieren, so Könings. „Wir waren selbst überrascht, wie gut unsere Vorhersagen waren.“ Und die Probanden? Zeigten sich überwiegend geschockt. „Überwacht werden, da winken die Leute erst mal cool ab. Aber wenn du ihnen dann konkret vorhältst, wann sie mit wem gesprochen haben, ist schon Beklommenheit spürbar.“

Mit ihrer Forschung wollen die Informatiker auf ein Problem hinweisen, das nicht nur „WhatsApp“ betrifft, sondern alle Kommunikationsdienste, die mit dem Online-Status arbeiten. So genannte Metadaten verrieten oft mehr über Nutzer, als denen bewusst sei, sagen sie. Und in Deutschland sei „WhatsApp“ eben der mit Abstand am meisten genutzte Messenger/Nachrichtendienst.

Wie man sich schützen kann? Bisher überhaupt nicht, sofern man „WhatsApp“ nutzt. Selbst wenn man den „Zuletzt online“-Status abschaltet, können die Informationen abgegriffen werden. Technisch, so Buchenscheit, wäre es kein Problem den Online-Status zu verschleiern. Der Anbieter könnte einem Benutzer die Wahl lassen, mit wem er seinen Status teilen will.

Wie halten es die beiden Enthüller selbst mit „WhatsApp“? „Ich bin selten drin. Bei mir könnte man wenig herauslesen“, sagt Könings. Buchenscheit gibt zu: „Ich nutze es intensiv, weil ich viele Personen anders gar nicht erreichen kann.“

Abonnieren Sie das kostenlose Morning-Briefing aus der Chefredaktion
Damit starten Sie top informiert in den Tag. Außerdem im Newsletter: Die Wettervorhersage und die aktuelle Verkehrslage in der Region.
» zur Registrierung

Noch kein Kommentar

Schreiben Sie Ihren eigenen Kommentar

noch 3000 Zeichen
Mit Ihrem Kommentar akzeptieren Sie unsere Netiquette

Für registrierte Nutzer

Melden Sie sich an und schicken Sie Ihren Kommentar ab:

Für noch nicht registrierte Nutzer

Registrieren Sie sich kostenlos, um Ihren Kommentar abzuschicken:

Ich bin damit einverstanden, dass die Neue Pressegesellschaft mbH & Co. KG und ihre Tochterunternehmen mich schriftlich (per E-Mail oder Brief) oder telefonisch über ihre Medienangebote und kostenlose Veranstaltungen informieren dürfen. Meine Daten dürfen zu diesem Zweck gemäß den Bestimmungen des BDSG gespeichert, verarbeitet und genutzt werden. Die Einwilligung kann ich jederzeit widerrufen.
Ich bin mit den Datenschutzbestimmungen einverstanden. *

Bitte beantworten Sie noch die folgende Sicherheitsfrage:

neu laden
Content Management by InterRed GmbH Logo
weiter zur Startseite

Donaustetten: Tödlicher Unfall auf der B30

Am Mittwoch kam es auf der B30, Höhe Donaustetten, im morgendlichen Berufsverkehr zu einem tödlichen Unfall. weiter lesen