Studie zu Messengerdienst WhatsApp: Gläsern chatten
Forscher sammeln unbemerkt Daten von WhatsApp-Nutzern und zeigen, wer wie oft online ist. Das zeigt auch, wie leicht man beobachtet werden kann.
BERLIN taz | Knapp 41 Minuten sind die durchschnittlichen Nutzer der Nachrichtenapp WhatsApp in Deutschland am Tag online. Diese Informationen kommen aber nicht etwa von der Facebook-Tochter selbst, auch nicht von Testpersonen, die für die Forschung gewonnen werden konnten, sondern von zufällig generierten Mobilfunknummern deutscher WhatsApp-Nutzer. Ein Team von Wissenschaftlern hat die Daten neun Monate lang unbemerkt gesammelt.
„Unser Programm erfasst die Onlinezeiten für beliebige Nummern, rund um die Uhr, und erstellt Statistiken, ohne dass die überwachten Nutzer davon etwas mitbekommen“, sagt Andreas Kurtz vom Lehrstuhl für Informatik an der Friedrich-Alexander-Universität Erlangen-Nürnberg. Die Wissenschaftler wollen mit dem Projekt darauf aufmerksam machen, dass Dritte unbemerkt beobachten können, wann jemand online ist und wann nicht.
Denn der Nutzer hat keine Möglichkeit, den Status „online“ oder „offline“ abzustellen. Daraus lassen sich viele Informationen über Lebensgewohnheiten ableiten: zum Beispiel, wann jemand zu Bett geht, aufsteht oder wie oft er oder sie WhatsApp während der Arbeitszeit nutzt.
Kurtz und sein Team haben 1.000 zufällig ausgewählte Nutzer aus zehn Ländern rund um die Uhr beobachtet. Sie wollten herausfinden, welche Informationen sich über den Onlinestatus ablesen lassen und ob WhatsApp gegen diese Form des Ausspähens vorgeht.
30 Millionen Nutzer in Deutschland
Das 2009 gegründete Unternehmen WhatsApp Inc. hat nach eigenen Angaben 600 Millionen aktive Nutzer. In Deutschland waren es im Januar 30 Millionen.
Die App der Firma stand schon oft aufgrund von Sicherheitslücken in der Kritik. So machte zum Beispiel die Berliner Sicherheitsfirma Curesec im Juli 2013 eine Sicherheitslücke öffentlich, die es ermöglichte, an Zahlungsdaten für Google Wallet und PayPal zu gelangen.
Im Februar 2014 bemängelte die Stiftung Warentest, dass bei der Nachrichtenübermittlung keine Ende-zu-Ende-Verschlüsselung eingesetzt wird – das Unternehmen also mitlesen kann, was sich Nutzer schreiben. Dies wurde nun offenbar geändert, denn WhatsApp nutzt seit November eine Ende-zu-Ende-Verschlüsselung. Den Onlinestatus kann man aber immer noch nicht selbst regeln.
Italiener 38-mal online
Und laut dem Wissenschaftler Kurtz kann dieser auch automatisiert und für viele Nutzer gleichzeitig erfasst werden. Die Forscher konnten so sogar Statistiken über die allgemeine Nutzung von WhatsApp erstellen. „Selbst die spanische Siesta lässt sich in den gesammelten Daten zu den Onlinezeiten spanischer Nutzer erkennen“, sagt Kurtz. Deutsche Nutzer öffnen die App nach den Untersuchungen durchschnittlich 26-mal am Tag, Italiener 38-mal und Thailänder nur 4-mal.
Das Unternehmen ging in den neun Monaten nach Angaben von Kurtz nicht gegen das Ausspähprogramm der Wissenschaftler vor. „Obwohl es einfach zu erkennen gewesen sein müsste“, kritisiert der Forscher. „Wir waren rund um die Uhr online, stetig mit 1.000 Nutzern in Kontakt, ohne dabei aber selbst Nachrichten zu empfangen oder zu versenden.“
Als Alternativen zu WhatsApp empfiehlt Kurtz Threema TextSecure oder Signal. Diese Nachrichtenapps wurden schon mit einem Fokus auf den Schutz der Privatsphäre entwickelt: „Nutzerkonten sind hier nicht zwingend mit der Rufnummer verknüpft, und so etwas wie einen Onlinestatus gibt es hier erst gar nicht.“