WhatsApp kennt nun wirklich fast jeder: Der zum Facebook-Konzern gehörende Messaging-Dienst ist äußerst beliebt, gilt als Quasi-Standard. Immer wieder gerät der Messenger in der Kritik, unter anderem wegen Datenschutz-Problemen, wie zuletzt noch vor einigen Wochen, weil Facebook künftig Nutzer-Daten erheben will.
Doch jetzt wird ein ganz anderes Problem diskutiert: Offensichtlich hat WhatsApp ein Sicherheits-Leck, das Mithören von Nachrichten ermöglicht.
Seit April vergangenen Jahres bietet WhatsApp serienmäßig eine Ende-zu-Ende-Verschlüsselung aller Nachrichten. Das bedeutet: Zumindest was wir schreiben geht nicht in Klartext durchs Netz, sondern verschlüsselt – in den Geräten von Sender und Empfänger. Selbst WhatsApp selbst kann diese Verschlüsselung nicht knacken, die Nachrichten nicht mitlesen. In diesem Punkt sind sich Experten einig: Ein gutes Verfahren.
Allerdings hat der Sicherheits-Experte Tobias Boelter von der University of California ein Sicherheits-Leck in der Verschlüsselung entdeckt. Wer diese Lücke geschickt ausnutzt, kann nicht nur einzelne Nachrichten unverschlüsselt mitlesen, sondern im ungünstigsten Fall sogar komplette Chat-Protokolle abrufen und unverschlüsselt lesen. Eine dramatische Lücke, die unbedingt gestopft werden muss, berichtet nicht nur der Guardian.
Seit wann ist das Leck bekannt?
Der Sicherheits-Experte kennt das Leck bereits seit April 2016. Also bereits wenige Tage, nachdem WhatsApp die Ende-zu-Ende-Verschlüsselung aktiviert hat, hat Boelter auch schon das Leck entdeckt – und auch öffentlich gemacht. Er hat erklärt, unter welchen Umständen eine Sicherheits-Lücke auftaucht – und wie man sie ausnutzen kann.
WhatsApp kennt das Problem und hat im Mai 2016 gesagt: Das Problem beseitigen wird nicht. Kaum zu glauben, aber wahr. Auf der letzten Hacker-Konferenz 33C3 im Dezember 2016 in Hamburg hat Boelter erneut auf das Leck hingewiesen und mögliche Folgen deutlich gemacht – und jetzt kommt etwas in Bewegung.
Wer kann das Leck nutzen?
WhatsApp selbst könnte das Leck am einfachsten ausnutzen – sogar weitgehend unbemerkt. Das Leck erlaubt zwar nicht, massenweise Nachrichten zu entschlüsseln und mitzulesen, aber man könnte durchaus ganz konkret die Nachrichten von bestimmten Personen ergaunern.
Dazu müsste man dem Smartphone des Betreffenden einfach einen neuen Schlüssel anbieten – und das Smartphone schickt dann die betreffende Nachricht und auf Wunsch sogar den Verlauf des Chats. Ein folgenreiches Leck, deshalb wird auch von einer möglichen „Backdoor“ die Rede, eine absichtlich vorgesehene Hintertür.
Wie stopft WhatsApp das Leck nicht?
Genau das ist die Frage, die sich viele jetzt stellen. Man muss fast davon ausgehen, dass WhatsApp dieses Sicherheits-Leck äußerst recht ist. Manche gehen davon aus, WhatApp nutze das Leck bereits, um zum Beispiel im Auftrag von Behörden oder Geheim-Diensten gezielt Nachrichten auszuspionieren.
Eine nahe liegende Erklärung, denn eine andere plausible Erklärung gibt es nicht, wieso WhatsApp das bekannte Leck nicht schleunigst stopft. Auch andere Angreifer könnten das Leck ausnutzen, etwa indem gleichzeitig Sicherheits-Lücken im GSM-Netz genutzt werden – das wäre aber aufwändiger. Denkbar, aber weniger wahrscheinlich.
Signal nicht betroffen
Der alternative Messenger Signal, der von Whistle-Blower Edward Snowden genutzt wird und prinzipiell auf derselben Verschlüsselungstechnologie beruht wie WhatsApp, hat das Problem laut Boelter nicht. Denn bei Signal werden Nachrichten nicht automatisch neu übermittelt, wenn sich der Schlüssel eines Kommunikations-Partners ändert.
Außerdem werden Signal-Benutzer deutlicher und auch früher (nicht erst nach der Übermittlung, wie bei WhatsApp) auf den Umstand hingewiesen, dass sich der Schlüssel des Kommunikations-Partners geändert hat. Wer auf Sicherheit wert legt, ist mit Signal also weiterhin besser bedient.
Wenn Microsoft Edge, der Browser von Windows 10, nicht mehr korrekt arbeitet, ist das nervig. Denn immerhin ist dies der Standard-Browser des Systems. Einen Reparatur-Button gibt es zwar nicht. Um den Browser wieder zum Laufen zu bringen, kann man aber einen Trick anwenden.
Andere Browser, etwa Firefox oder Chrome, lassen sich notfalls durch Entfernen und erneute Installation zurücksetzen. Spätestens dann sollten sie ja wieder laufen. Bei Edge geht das aber nicht. Denn Microsoft hat den Browser tief ins Windows 10-System integriert.
Funktionieren der Edge-Browser und/oder seine Add-Ons nicht mehr richtig, können Nutzer den Browser komplett zurücksetzen. Das geht direkt über die Einstellungen. Hier zum Bereich Browser-Daten löschen wechseln, dort auf Zu löschendes Element auswählen klicken und nun sämtliche Haken setzen. Nach einem Klick auf Löschen wird der Browser neu gestartet – fertig.
Word-Dokumente müssen nicht langweilig sein. Wer von einem Dokument aus auf andere Dokumente im Netzwerk oder auf Webseiten verweisen will, kann das durch Einfügen von Links in den Text. Auch der Text selbst kann rechts, zentriert oder links ausgerichtet sein.
Beide Funktionen – das Einfügen von Links und die Ausrichtung eines Absatzes auf der linken Seite – sind über Tastenkürzel erreichbar:
[Strg]+[K] in Word für Windows bzw. [command]+[K] am Mac fügt einen neuen Hyperlink ein.
[Strg]+[L][command]+[L] setzt den aktuellen Absatz links.
Auf vielen Linux- und Mac-Systemen ist neben dem mächtigen vi-Editor auch der einfacher nutzbare nano installiert. Sollen viele Stellen einer langen Datei, zum Beispiel einer Konfiguration, geändert werden, muss man nicht alles bei Hand machen. Kaum jemand ist sich bewusst, dass im nano-Editor auch eine Funktion zum Suchen und Ersetzen integriert ist.
Zum Ersetzen eines Begriffs im nano-Editor geht man wie folgt vor:
Zuerst wird die betreffende Datei geöffnet, etwa durch Eingabe des folgenden Befehls: nano eine-datei.conf [Enter]
Jetzt gleichzeitig [Strg]+[AltGr]+[ß] (für den Back-Slash) drücken.
Nun den gesuchten Betriff eintippen und mit [Enter] bestätigen.
Dann den Ersatz-Begriff eingeben und wieder mit [Enter] bestätigen.
Jetzt können die Fundstellen einzeln oder in einem Rutsch ersetzt werden.
Was tun, wenn der Server down ist? Was kann man im Vorfeld tun, damit der Schaden und der Arbeits-Aufwand so gering wie möglich bleiben?
Täglich Back-ups machen, automatisiert lässt sich’s leichter leben. Tipp: Wenn man es nachts laufen lässt, etwa gegen 4 Uhr, dann hat man die wenigsten Probleme und den meisten Nutzen, weil die meisten Leute um 4 Uhr schon oder noch schlafen.
Einen zweiten Server betriebsbereit aufgesetzt haben, auf den bei Ausfall des Haupt-Servers umgehängt werden kann. Tipp: Wenn dann nur noch der DNS-Eintrag auf die andere IP-Adresse konfiguriert werden und die gesicherten Datenbanken nur noch neu eingespielt werden müssen, erspart man sich viel Zeit und Nerven.
Der Haupt-Server ist dann wieder komplett neu aufgesetzt nach 2-3 Tagen. Tipp: Man muss jetzt nur alles zurück umziehen. Das ist binnen 4-5 Stunden, je nach Umfang, dann ganz einfach erledigt.
Wer unterwegs keinen Strom mehr hat, muss die nächste Steckdose suchen. Oder man beugt vor und hat eine mobile PowerBank dabei.
Das sind kleine oder größere Akkus, mit denen man Handys, Tablets oder gar Notebooks ganz schnell wieder aufladen kann. Diese PowerBanks gibt es in verschiedenen Kapazitäten und speichern demnach mehr oder weniger Strom.
Beim Kauf unbedingt auf den Input und Output sowie auf die Anschlüsse achten, da es für verschiedene Geräte auch verschiedene Anschlüsse gibt – noch. Wer ein iPhone hat, tut gut, auch ein Lightning- oder Dock-Kabel dabei zu haben, welches für das eigene Gerät passt.
Tipp: Die PowerBank auch nachladen und nicht nur in der Tasche spazieren tragen. Sonst ist kein Strom drauf, wenn man ihn wirklich braucht.
