Signal oder Threema? Telegram oder Whatsapp? Wire oder KakaoTalk? Oder gleich mehrere Apps für verschiedene Freundeskreise? Die Welt der Messenger ist groß und unübersichtlich, am Ende entscheiden sich viele für den Platzhirsch und laden Whatsapp herunter. Dazu trägt der Netzwerkeffekt bei: Alle gehen dahin, wo alle sind. Doch bei Whatsapp sind die Nut­ze­r:in­nen ziemlich transparent.

Die Studie

Auch wenn Whatsapp die Inhalte der versendeten Nachrichten verschlüsselt – jenseits dessen sind persönliche Nut­ze­r:in­nen­da­ten ziemlich leicht verfügbar. Das zeigt nun eine Gruppe von Wiener For­sche­r:in­nen in einem auf der Entwicklerplattform Github veröffentlichten Paper. Denn Whatsapp ist quasi ein großes Telefonbuch, und vielen der Nummern in diesem Telefonbuch sind Profilfotos zugeordnet sowie weitere persönliche Informationen, etwa zum Wohnort, zum Arbeitgeber, zur sexuellen Orientierung oder zu politischen Überzeugungen.

Die For­sche­r:in­nen zeigen, welche Konsequenzen das hat. Sie überlegten sich Bereiche von Telefonnummern, zum Beispiel beginnend bei 0049150 für Deutschland, mit denen Whatsapp-Accounts verknüpft sein könnten, und definierten schließlich 63 Milliarden Nummern für 245 Länder und Territorien. Diese ausgedachten Nummern glichen sie dann über Whatsapp-Konten mit den Servern des Dienstes ab.

Am Ende erhielten sie so rund 3,5 Milliarden bei Whatsapp registrierte Telefonnummern – gut die Hälfte davon samt Bild und etwa ein Drittel samt persönlichem Infotext. Anhand einer Stichprobe von einer halben Million der Konten fanden die For­sche­r:in­nen heraus, dass etwa zwei Drittel der Profilfotos ein menschliches Gesicht zeigen. Ihre Ergebnisse stellen sie im Februar auf einer Fachkonferenz in Kalifornien vor.

Was bringt’s?

Wenn Kriminelle Zugriff auf solche Daten erhalten, könnten diese „für Spam-Kampagnen, Phishing-Angriffe oder Robocalls missbraucht werden, was ernsthafte Risiken für die Privatsphäre und Sicherheit mit sich bringt“, schreiben die Forscher:innen. Persönliche Angaben wie der Arbeitsplatz oder die sexuelle Orientierung können, je nach politischer Situation, auch Menschen in Gefahr bringen.

Die For­sche­r:in­nen haben vor der Veröffentlichung mehrfach den Whatsapp-Mutterkonzern Meta kontaktiert und auf die Gefahr hingewiesen, schließlich sogar ihre Veröffentlichung verschoben, um Meta mehr Zeit für die Umsetzung der technischen Gegenmaßnahmen zu geben. Doch mal ein paar Telefonnummern durchprobieren, das bleibt möglich.

Solange also nicht gesetzlich vorgeschrieben ist, dass Plattformen wie Whatsapp sämtliche Standardeinstellungen auf möglichst privat zu setzen haben, müssen sich die Nut­ze­r:in­nen selbst darum kümmern – und um Datenminimierung. Denn Meta kann die persönlichen Informationen natürlich trotzdem auswerten.