Original-URL des Artikels: https://www.golem.de/news/datenschutzbeauftragte-wirre-whatsapp-behauptungen-aus-berlin-1704-127285.html    Veröffentlicht: 13.04.2017 09:10    Kurz-URL: https://glm.io/127285

Datenschutzbeauftragte

Wirre Whatsapp-Behauptungen aus Berlin

Äußerungen von Politikern zur Verschlüsselung von Whatsapp lösen immer wieder Kopfschütteln aus. Dieses Mal will die Berliner Datenschutzbeauftragte den Einsatz von Whatsapp an Schulen untersagen - und spricht ohne Quelle von Lücken in der Verschlüsselung.

Whatsapp ist also wieder einmal geknackt - wie so oft in diesem Jahr. Diesen Eindruck jedenfalls muss gewinnen, wer den Jahresbericht [PDF] der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit liest. Nur: Stimmt das auch? Und: Auf welche Erkenntnisse stützt sich die Datenschutzbeauftragte Maja Smoltczyk?

Ursache der Erwähnung von Whatsapp im Jahresbericht der Berliner Behörde ist eine Auseinandersetzung an einer Berliner Schule. Ein Lehrer hatte dort eine Whatsapp-Gruppe mit den Eltern der Kinder eingerichtet, um eine unkomplizierte Kommunikation mit den Eltern zu ermöglichen. So geschehen sicher viele tausend Mal in Deutschland.

Ein Elternteil aus der Klasse jedoch beschwerte sich bei der Datenschutzbehörde, die bei der Schule intervenierte. Diese habe die Lehrer dann geschult, die Gruppe soll mittlerweile nicht mehr existieren. Es folgen Begründungen der Datenschutzbehörde. Und die sind zum Teil abenteuerlich.

In dem Bericht heißt es: "Zwar behauptet der Betreiber [von Whatsapp, Redaktion], dass die Daten verschlüsselt (im Ende-zu-Ende-Verfahren) übertragen würden, dies ist aber nicht in allen Fällen garantiert." Als Quelle wird ein späteres Kapitel des Berichtes erwähnt. Nur: Wer dort sucht, findet keine Hinweise auf Sicherheitslücken in der Ende-zu-Ende-Verschlüsselung von Whatsapp, sondern lediglich einen Hinweis auf den zu Recht umstrittenen geplanten und zurzeit pausierten Datenaustausch zwischen Whatsapp und Facebook.

Golem.de hat die Datenschutzbehörde um Stellungnahme gebeten, ob dort neue, bislang unbekannte Fakten zur Sicherheit der implementierten Verschlüsselung nach dem Signal-Protokoll vorlägen. Das wäre tatsächlich eine brisante Neuigkeit. Eine Antwort liegt bislang nicht vor. Wir vermuten, dass die Behördenleiterin und ihre Mitarbeiter die zumindest irreführend formulierte und von verschiedenen Kryptographen kritisierte Whatsapp-Geschichte des Guardian gelesen oder den selbsternannten Sicherheitsforscher auf Russia Today gesehen haben.

Die Datenschutzbeauftragte ignoriert geltendes Recht

Frau Smoltczyk geht in ihrer Kritik aber noch weiter: Whatsapp sei ein US-Unternehmen und unterläge nicht dem deutschen Datenschutzrecht. Und das US-Recht garantiere kein dem europäischen Rechtsrahmen vergleichbares Datenschutzniveau. Das ist zwar grundsätzlich richtig, ignoriert aber, dass die EU-Kommission mit dem Privacy Shield in Zusammenarbeit mit der WP-29-Arbeitsgruppe der Europäischen Datenschützer das Nachfolgeabkommen zum gekippten Safe-Harbor-Arrangement verhandelt hat.

Mit diesem, zu recht umstrittenen Verfahren attestieren Unternehmen sich selbst, die Vorschriften des Datenschutzrechtes in Europa einzuhalten. Kontrollen sind selten, von verhängten Sanktionen wegen Fehlverhaltens ist bislang nichts bekannt. Das Abkommen wird also zu Recht immer wieder von Bürgerrechtlern und Datenschutzaktivisten kritisiert. Doch es ist geltender Rechtsrahmen. Die Nutzung einer Software vor diesem Hintergrund für illegal zu erklären, ist abenteuerlich.

Telefonlisten waren schon immer problematisch

In dem Bericht heißt es weiter, dass die Einrichtung einer Whatsapp-Gruppe eine Übermittlung personenbezogener Daten nach dem Berliner Schulgesetz sei. Auch das stimmt - ist aber im Grundsatz nichts anderes, als eine Telefonliste an alle Eltern in der Klasse zu verteilen.

Auch bei solchen Telefonlisten ist Vorsicht geboten. Der Autor dieses Artikels erinnert sich noch daran, wie immer wieder Tanzlehrer und andere Unternehmer vor seiner Haustür standen oder telefonisch ihre Dienste anboten. Auf die Frage, wo die Kontaktinformationen herkämen, hieß es meist: Wir haben die Klassenliste von einem anderen Elternteil erhalten. Das Problem ist also nicht neu.

Security wird ein Medienthema - mit Nebenwirkungen

IT-Sicherheit wird mehr und mehr zu einem Thema, für das sich auch Menschen außerhalb der Hackerszene interessieren. Auch Breitenmedien berichten darüber. Das ist gut so. Dieser Umstand führt aber auch dazu, dass immer mehr selbsternannte Sicherheitsfirmen mit vermeintlich brisantem Material auf Medien zugehen, in der Hoffnung, dass diese kostenlose Werbung für sie machen und die Ergebnisse teils obskurer Untersuchungen veröffentlichen. Dabei stehen immer Firmen im Mittelpunkt, die besonders angesagte Produkte anbieten. Es ist schade, wenn auch so wichtige Behörden wie die Datenschützer diesem Trend folgen.

Und so werden Tesla-Limousinen oder deutsche Luxusautos "gehackt" oder eben Whatsapp. Zuletzt brachte das Fraunhofer-Institut eine Untersuchung heraus, die kritisierte, dass die bei Whatsapp empfangenen Bilder und Videos nicht sicher seien - weil diese lokal auf dem Smartphone gespeichert seien. Dabei ist es dem Wirkungsbereich von Whatsapp weitgehend entzogen, was mit empfangenen Bildern geschieht. Und die meisten Nutzer würden es wohl kaum verstehen, wenn die bei Whatsapp empfangenen Bilder den restlichen Anwendungen nicht zur Verfügung stünden.

Wer die lokale Speicherung der Bilder aus Sicherheitsgründen deaktivieren will, kann das in den Einstellungen von Whatsapp übrigens ohne Probleme tun. Man könnte in der Auseinandersetzung mit diesem Problem auch auf die Lücken in der Verschlüsselung von Android hinweisen - insbesondere im laufenden Betrieb. Aber das ist natürlich kompliziert und keine tolle Story.

Die Berliner Datenschutzbeauftragte empfiehlt statt Whatsapp die Nutzung von Wire oder Threema. Dort sei der Datenschutz sichergestellt. Beide Programme sind brauchbare Whatsapp-Alternativen. Doch werden bei beiden Apps weiterhin personenbezogene Daten von fremden Anbietern verwaltet. Auch wenn Wire kürzlich angekündigt hat, den Code des eigenen Servers offenzulegen, ist nicht davon auszugehen, dass die Datenschutzbehörde beide Apps vor dieser Empfehlung intensiv geprüft hat.  (hg)


Verwandte Artikel:
Crypto Wars: Facebook soll Messenger-Chats entschlüsseln   
(20.08.2018, https://glm.io/136086 )
Brexit-Abstimmung: IT-Wirtschaft warnt vor Datenchaos in Europa   
(16.01.2019, https://glm.io/138752 )
Trotz Brexit: Briten wollen EU-Datenschutzregeln weiter einhalten   
(28.09.2018, https://glm.io/136839 )
Digitale Forensik: Deutsche Behörden nutzen sieben Anbieter zum Handy-Auslesen   
(16.08.2018, https://glm.io/136030 )
Privacy Shield: Europaparlament will Datenaustausch mit den USA stoppen   
(05.07.2018, https://glm.io/135345 )

© 1997–2019 Golem.de, https://www.golem.de/