Ich war immer bekennender Gegner von WhatsApp. Lange bevor der Dienst von Facebook gekauft wurde, war ich mit ganz vielen Dingen nicht einverstanden. Die geradezu abenteuerlich schlechte Absicherung des Dienstes, fällt mir da immer als aller erstes ein [Link 1] [Link 2] [Link 3]. Wie man aber leicht am Datum erkennen kann, hat sich die Situation gebessert. Es gab auch in jüngerer Vergangenheit Probleme, was ich aber nicht als generell schlecht bewerte. In komplexen, großen Umgebungen muss sich Sicherheit entwickeln. Das geht nicht von einem Tag auf den anderen und birgt auch immer das Risiko von Fehlern. Und zugegeben – seit der Übernahme durch Facebook hat sich die Qualität des Produktes „WhatsApp“ drastisch verbessert. Seit wenigen Tagen gibt es nun sogar die Ende-zu-Ende-Verschlüsselung für alle. Man könnte also meinen, der Dienst hätte jetzt ein Niveau erreicht, das seiner Verbreitung angemessen ist…
Das Geschäftsmodell ist immer noch schlecht
Sicherheit ist das eine. Für jemanden wie mich wahrscheinlich sogar das Wesentliche. Angesichts der Masse an Nutzern ist aber das Geschäftliche ebenso wichtig. Und hier habe ich nie, und werde ich auch nie verstehen können, warum die Nutzer so bereitwillig ihre Daten „verkaufen“. Es dürfte vermutlich eine Tatsache sein, dass der größte Teil der Nutzer die Nutzungsbedingungen von WhatsApp noch nie gelesen hat. Und die die jetzt denken, dass sie das doch bestimmt mal irgendwann gemacht haben möchte ich fragen, wie gut ihr englisch ist? Denn tatsächlich hält es WhatsApp bis heute nicht für nötig, die Nutzungsbedingungen auf deutsch bereit zu stellen. Angesichts der ansonsten guten deutschsprachigen Lokalisation der Website, eher unverständlich. Irgendwer hat sie aber gelesen und die wesentlichen Punkte mal verständlich übersetzt. Soweit ich das beurteilen kann, gewissenhaft.
Und auch wenn seit der Übernahme von Facebook ein wenig an den gesammelten Daten geschraubt wurde, ist es immer noch eine Menge was dort erfasst wird. Insbesondere – und das ist was mich am meisten aufregt – die Speicherung von Telefonnummern (als Hashwert) sofern die Nummer keinem WhatsApp-Benutzer zugeordnet werden kann. WTF? Aber machen wir uns keine Illusionen, unverschämte Datensammelei als Feature verkaufen, konnte Facebook schon immer. Die „Freundefinder“ Funktion, die lokale Mailadressen eingesammelt hat um dann direkt großzügig Einladungen zu verschicken, ist da nur das Paradebeispiel. Immerhin ein so gutes, das sich selbst der BGH damit beschäftigt hat. Aber Schwamm drüber. Das ist lange her und es geht hier nur am Rande um Facebook, auch wenn deren Selbstverständnis in Fragen des Datenschutzes und des Verbraucherschutzes als Besitzer von WhatsApp eine gewisse Relevanz besitzt.
Warum die Ende zu Ende Verschlüsselung notwendig ist
Es geht ja viel mehr um die Frage, was ein Dienst mit einer derart großen Nutzerbasis mindestens tun muss. Und hier hat WhatsApp mit der vollständigen Verschlüsselung über alle Plattformen hinweg, endlich nachgelegt. Zwar wissen wir noch nicht im Detail wie gut die Verschlüsselung implementiert ist, aber wir können wenigstens sagen das ganz wesentliche Bereiche einen guten Eindruck machen. Aber was bedeutet das für den Nutzer eigentlich? Einfach gesagt – nur noch Sender und Empfänger können die ausgetauschten Nachrichten lesen. Weder WhatsApp als Anbieter, noch irgendwelche Dritte (siehe Links 1 bis 3) sind in der Lage, die Inhalte der Nachrichten zu lesen. Das ist nach dem allgemeinen Verständnis der IT im Jahr 2016 (Post-Snowden-Ära) eine Selbstverständlichkeit. Insofern war dieser Schritt längst überfällig und ist eine Mindestanforderung die ein solcher Dienst seinen Benutzern zur Verfügung stellen sollte. Und tatsächlich befindet sich WhatsApp damit jetzt in der Liga der sogenannten Krypto-Messenger. Anders als beispielsweise der Facebook oder der Google Chat. Ist die Einführung der Verschlüsselung nun das Killerfeature, das mich endlich zu einem Fan von WhatsApp macht und mich diesem kontroversem Kommentar anschließen lässt? No fucking Way wie man so schön sagt. WhatsApp hat eine Mindestanforderung erfüllt die angesichts der Nutzerbasis bereits lange überfällig war. Und nach wie vor ist WhatsApp closed-source, so das wir nur darauf vertrauen können, das die Techniker bei der Verschlüsselung einen guten Job gemacht haben. Auf unabhängige Audits in denen von einer neutralen dritten Stelle die Leistung der Techniker und Ingenieure überprüft wird, kann man wohl lange warten. Somit ist der Dienst für wirklich sicherheitsbewusste User immer noch raus. Wenn auch aus etwas schwächeren Gründen als bisher.
Aber wen interessiert das eigentlich?
Bei aller Kritik muss man sich schon fragen, ob meine Kritik und meine ablehnende Haltung nicht irgendwie deplatziert ist. Denn es ist ja nun mal eine unbestrittene Tatsache das all die User von WhatsApp schon da waren, als die Sicherheitslage noch ohne weiteres als lächerlich schlecht beschrieben werden konnte. Augenscheinlich interessiert es also die Menschen mal so überhaupt nicht, was mit ihren Daten passiert. Ein Phänomen das nicht neu ist und mir nun viele male am Tag irgendwo begegnet. Aber es ist auch meine Erfahrung, dass das meist in erster Instanz aus Unwissenheit heraus geschieht. Und das es einige wenige Personen gibt, denen man Alternativen aufzeigen kann, die dann auch gerne genutzt werden. Aber auch, das es Menschen gibt, die nach umfassender Information eine Kosten-Nutzen-Rechnung anstellen und zu dem Schluss kommen, das es okay ist diesen Dienst weiter zu nutzen. Auch das kann ich akzeptieren. Wenn man eine solche Entscheidung auf Basis umfassender Information beschließt, geht das in Ordnung. Was gar nicht geht, ist dieses dämliche „aber jeder hat doch WhatsApp“ Argument. Letztlich bestimmt doch der User was sich verbreitet und was nicht. WhatsApp war zur richtigen Zeit am richtigen Ort und hat schamlos die Naivität der Nutzer ausgenutzt. Nun ist es eine professionelle Anwendung die immer noch darauf setzt das sich niemand im Detail mit den Nutzungsbedingungen auseinandersetzt. Viel geändert hat sich also nicht. In sofern werde ich den Teufel tun und dem Dienst meine Absolution erteilen nur weil man jetzt eine (hoffentlich) ordentliche Verschlüsselung eingebaut hat.
Ja, für die die es eh nutzen, ist es eine Verbesserung. Aber es wird mich nicht dazu bringen, irgendwem zu sagen er könne es bedenkenlos einsetzen.
Aber was kann man benutzen?
Eigentlich stellt sich die Frage nach Alternativen kaum. Aufgrund der Verbreitung ist WhatsApp eine Quasistandard wie Microsoft Office auch. Schlecht, aber weit verbreitet und daher muss sich jeder Konkurrent daran messen lassen. Trotzdem lohnt es sich, einen Blick auf die Mitbewerber zu werfen. Aber das erfordert auch, das man sich über sein Kommunikationsverhalten Gedanken macht. Muss ich wirklich in der Lage sein, mit allen Menschen in meinem Adressbuch schreiben zu können? Will ich überhaupt das mich alle Menschen in meinem Adressbuch anschreiben können? Ist mir die Möglichkeit der Kommunikation derart wichtig das ich die Daten all der Menschen in meinem Adressbuch aus der Hand gebe?
Ich habe mir all diese Fragen gestellt und komme immer wieder zum gleichen Ergebnis: Schreibt mir eine Mail wenn ihr mich erreichen wollt. Oder installiert Threema wenn ihr mir etwas wichtiges mitteilen wollt. Und hier sind wir wieder beim Thema. Nutzt alternative Dienste! Installiert sie einfach und nutzt sie. Erzählt euren Freunden davon das es bessere Anbieter gibt. Und selbst wenn die Nutzerbasis fragmentiert wird… ich habe jetzt auch drei verschiedene Messenger auf dem Handy. Na und? Es ist doch lächerlich einfach, Inhalte von App 1 in App 2 zu kopieren. Natürlich wäre es schöner, es würde nur eine Anwendung geben die jeden potenziellen Nutzer erreicht. Das wird aber wohl in naher Zukunft nichts. Und das ist auch das eigentliche Kernproblem der Sache. Die Nutzer sind faul. Sie sind bei Facebook weil alle dort sind. Sie sind bei WhatsApp weil alle dort sind. Sie sind bei Dropbox weil alle dort sind. Und ständig lassen sie sich gute Angebote, Produkte und ähnliches entgehen, nur weil sie diese eine Plattform halt kennen und doch alle dort sind. Würde sich der Nutzer mal bewegen und eine gewisse Fragmentierung erzwingen, wäre es für die Anbieter viel verlockender sich zu öffnen. Die technischen Möglichkeiten sind da. Die Anbieter bräuchten nur einen Anreiz ihren Nutzern den Kontakt zu anderen zu ermöglichen. Die gibt es aber nicht solange jeder nur das nutzt was er kennt. Selbst dann, wenn es die denkbar schlechteste Alternative ist.
In sofern ist es eigentlich egal was man für einen Dienst nutzt. Die Basis ist breit und bietet für jeden genau das richtige. Aber wenn man sucht, und wenn man mal etwas ändern will, muss man darauf achten das der Dienst sorgsam und verständlich darüber aufklärt, was er mit den Daten macht, die zwangsweise bei der Benutzung anfallen. Und er muss sicher sein! Ende-zu-Ende-Verschlüsselung sollte eine Grundbedingung sein. Ein paar Kandidaten fallen somit also raus. Sinkende Nutzerzahlen würden sie aber vielleicht animieren ein besseres Produkt zu entwickeln.