WhatsApp - Segen und Fluch

Diese Seite beschäftigt sich nicht mit WhatsApp als Mitbewerber zu Skype und Skype for Business sondern findet sich im Bereich "Kinder" als Information für Eltern. Ich verdiene beruflich mein Geld mit Skype for Business und Microsoft Teams. Das ist quasi die Firmenlösung für Präsenz und Kurzmitteilungen. Für Firmen gibt es noch Lotus SameTime, Cisco Yabber und der ein oder andere TK-Client. im Privatsektor sind Skype (Consumer) schon lange bekannt und ICQ, AIM (AOL) sterben wohl gerade aus während aber WhatsApp zumindest außerhalb von China eine sehr hohe Verbreitung hat.

WhatsApp History

Ich möchte nur eine ganz kurze Zeitlinie aufzeigen

Jahr Beschreibung

2009

 Gegründet von Jan Koum und Brian Acton. Die Anmeldung erfolgt mit der "Mobilfunknummer" als eindeutiger Benutzername. Die Einrichtung erfolgt per SMS-Code. Das ist bedingt sicher, da eine SMS durchaus umgeleitet werden kann.

WhatsApp hat keine eigene Kontaktliste sondern nutzt die Smartphone-Kontakte, die es zum Anbieter kopiert. Damit hat WhatsApp eine umfangreiche Datensammlung, wer in wessen Kontaktliste steht. Selbst Mobilfunknummern ohne WhatsApp sind so erfasst.

2014

Facebook kauft WhatsApp für 19 Mrd US$ in bar. Heute weiss man, dass Facebook den Konkurrenten des Facebook Messengers lieber gekauft hat. Ein Datenabgleich wird angeblich nicht gemacht.

25. Aug 2016

WhatsApp ändert die AGBs, damit es Daten zu Facebook übertragen darf. Der Hamburger Datenschutzbeauftragte untersagt dies für Deutschland. Mit der Gültigkeit der DSGVO ist die Verantwortung nun aber Europaweit nun in Irland.

2017

Gründer Brian Acton  verlässt Facebook und stiftet 50Mio für das Alternativprodukt "Signal"

8. Feb 2021

Facebook ändert die AGBs am 7. Jan 2021 und verkündet, dass die Daten von WhatsApp mit Facebook zusammengeführt werden. Aber angeblich in der EU nicht für personalisiert Werbung genutzt werden.

Noch habe ich WhatsApp auf meinem Smartphone aber ohne Zugriff auf die Kontakte. Ich sehe also nur "Rufnummern". Ich werde in einer Übergangszeit meine Kontakte über alternative Messenger (z.B. Signal) informieren und in naher Zukunft WhatsApp den Rücken kehren.

WhatsApp ist ein Risiko!

WhatsApp war und ist nur nur bei meinen Kindern sondern vermutlich bei so jedem Heranwachsenden die Nummer 1 App für welche man ein SmartPhone braucht. Ich habe den Eindruck, dass Kinder schon gemobbt oder aus der Klassengemeinschaft ausgeschlossen werden, wenn Sie nicht per WhatsApp erreichbar sind. Das bedeutet aber nicht, dass Sie als Elternteil hier nicht steuernd und kontrollierend eingreifen sollen. Bei einer Rad-Tour geben Sie ihren Sprösslingen ja auch Hinweise auf Fehlverhalten oder Tipps im Straßenverkehr. Für die Fahrt auf den digitalen Straßen tut dies auch Not. Wobei hier sicher nicht alle Eltern meinen technischen Hintergrund haben die Zusammenhänge zu verstehen. Daher möchte ich hier meine Erkenntnisse wiedergeben und zu einer Diskussion mit dem Thema innerhalb der Familie aber auch im Klassenverbund anregen.

WhatsApp ist durchaus auch ein gutes Beispiel um die Risiken beim Umgang mit der neuen Technik zu erläutern, da hier in einem kleinen Maßstab fast alle Elemente der großen Welt hat. Mit einer entsprechenden Konfiguration kann man als Elternteil zumindest die schlimmsten Kostenfallen blockieren.

Sicherheit

Lange Zeit war WhatsApp unverschlüsselt" und damit konnte ein Carrier aber auch ein WLAN-Anbieter die Nachrichten relativ einfach mitlesen. WhatsApp als "Relay" für die Nachrichten konnte diese auch sehen und weiter geben. Seit der Einführung einer "Ende zu Ende-Verschlüsselung" sollte es aber nun so sei, dass nur noch der Empfänger der Nachricht diese lesen kann. Auf dem Übertragungsweg und selbst während der Zwischenspeicherung auf den Servern von WhatsApp soll die Nachricht geschützt sein.

Das müssen wir erst mal so glauben, wobei ich mich darauf nicht verlassen würde. Es ist durchaus denkbar, dass WhatsApp einen "Masterschlüssel" hat oder die App vielleicht aus der Ferne die entschlüsselten Daten ausliefern könnte. Zudem gibt es ein WhatsApp-Backup, mit dem die Applikation die Nachrichten und Konfiguration "sichert". So gelingt auch ein Wechsel des Mobilgeräts samt der Information über Kontakte und Gruppenmitgliedschaften. Gerade die "Beziehungen" der Nutzer sind trotz Verschlüsselung bei WhatsApp natürlich nachvollziehbar. Für viele Untersuchungen reicht es ja schon zu wissen, wer mit wem wann kommuniziert hat.

Auf der anderen Seite scheint WhatsApp aber erst mal nicht die Inhalte zu kontrollieren oder zu filtern. Wie ich später noch zeigen werde, lässt WhatsApp auch Links auf Schadseiten problemlos zu und greift hier nicht ein. Bei jedem Mailsystem gibt es zumindest einen Virenscanner und vielleicht einen Spamfilter. Das Thema "Spam" ist bei WhatsApp so erst mal weniger kritisch, da die Rufnummer als "Schlüssel" und Identität genutzt wird. Diese Nummer kann anders als eine Mailadresse nicht so einfach gefälscht werden. Nerven kann es zwar immer noch aber dafür gibt es dann Blocklisten.

Zeit totschlagen

Das erste, was mir bei der "unbeschränkten" Nutzung meiner Kinder aufgefallen ist, ist die Anzahl an Nachrichten. Es hat nur wenige Stunden gedauert, nachdem meine Kinder das erste Mal WhatsApp gestartet hatten um über die Gruppe zur den Nachbarkindern, Klassenkameraden, Vereinsgruppen etc. "bekannt" zu werden. Die Kontaktliste hat sich sehr schnell gefüllt und nach kurzer Zeit kannte jeder die Mobilfunknummer des Kinds und das Kind hatte alle Nummern seiner Freunde ohne auch nur einmal die Nummer manuell erfragt zu haben. Kontakte und Integration in das SmartPhone sei dank.

Nach ein paar ersten "Hallo"-Nachrichten und dem Umgang mit der App konnte man aber sehr schnell sehen, dass viele wirklich belanglose Nachrichten übertragen wurden. Hier mal ein Beispiel

Das ist ja noch ganz harmlos genau wie andere Meldungen voll mit Emojis und belanglosen Texten.

Ich habe mich aber mal mit meiner Tochter hingesetzt und die Messages einer Woche zusammengezählt und wenn Sie für jede Message vielleicht 1 Minute für Schreiben/Lesen im Mittel aufgewendet hat, dann sind da schon erschreckend hohe Stunden zusammen gekommen. Das sollte man seinem Kinde schon einmal bewusst machen, dass diese Zeit quasi gefehlt hat um die vielen anderen viel interessanteren Dinge zu tun, z.B. Schwimmbad gehen, Trampolin springen, Kaninchen streicheln u.a. Gerade die "Terminplanung" per WhatsApp zwischen zwei Kindern ist ein gutes Beispiel, dass hier ein klärendes Telefonat viel schneller zum Ziel führt als ein Mesage-PingPoing.

Das ist zudem eine gute Gelegenheit dem Kind den Unterschied zwischen einem "Mobilfunktelefonat" und einem "WhatsApp-Gespräch" darzulegen. WhatsApp nutzt VoIP und mag ja noch gut funktionieren, wenn man zuhause im WLAN angemeldet ist. Unterwegs wird das Volumen auf die kostbare Datenraten angerechnet. Und es ist durchaus "unhöflich" jemand per WhatsApp ohne Vorwarnung anzurufen, wenn man selbst zuhause ist aber der Gegenüber vielleicht gerade keine gute Datenverbindung hat.

Kettenbriefe, Sozialer Druck/Mobbing

Interessanterweise ist es für junge Menschen wohl auch interessant, vorgefertigte Textbausteine von anderen Absendern weiter zu leiten. Ich nehme an, dass dies als Lustig oder interessant angesehen wird, auch wenn Sie für einen älteren Nutzer eher nervig sind. Allerdings sind alle diese Meldungen immer mit einer Aktion verbunden, die der Empfänger möglichst schnell und häufig ausführen sollte. Damit erinnert dies an die auch bei E-Mails geläufigen HOAXes, also Falschmeldung deren einziger Sinn darin besteht, dass sie sich wurmartig verbreiten und im schlimmsten Fall die Übertragungssystem überlasten oder Postfächer auffüllen. Wie schon bei Mails sollte man auf diese Meldungen am besten gar nicht reagieren, damit sie von alleine auslaufen. Eine Rückantwort würde nur wieder dazu führen, dass der Absender sich entweder angegriffen fühlt oder dass hinter der ersten Welle eine zweite "Aufklärungswelle" durch das System läuft.

Ich wüsste nun nicht, ob damit die Leistungsfähigkeit von "WhatsApp" Servern getestet werden soll oder ob die Urheber der Nachricht sich einfach nur daran erfreuen, wenn viele Leute darauf antworten. ich sehe aber hier eher auch den Druck, der beim Empfänger aufgebaut wird. Antwortet er nicht, dann ist der Absender vielleicht beleidigt. Die ersten Mail könnte jemand dazu verleiten, ein ungeeignetes Foto zu senden. Das Problem bei eigenen Bildern oder Texten ist, dass der Absender keine Kontrolle mehr über dieses Bild hat. Der Empfänger kann quasi alles damit machen. Das birgt durchaus Risiken bezüglich Mobbing. Wenn ein "lustiges" oder albernes Bild an eine "Freundin" dann den Weg an eine breitere Öffentlichkeit findet. "Vertrauen" aber auch eine "gute Kinderstube" ist etwas, was sich über längere Zeit entwickelt aber bei 10 Jährigen noch nicht gefestigt ist.

Bei selbst geschriebenen Texten würde ich es mit den Aussagen halten:

Würde ich das, was ich per WhatsApp schreibe, jemandem auch so unter Zeugen ins Gesicht sagen ?
Würde ich das, was ich per WhatsApp schreibe, jemandem auch an den Aushang in der Schule heften ?
Würde ich es gut finden, wenn der Empfänger diese Information anderswo öffentlich macht ?

Nur wenn ich alle drei Fragen mit Ja beantworten kann, würde ich vielleicht auf "Senden" drücken.

Fake News

Der Begriff "Fake News" wird zwar in 2017 intensiv von Donald Trump verwendet. Aber ich würde ihn auch auf WhatsApp-Meldungen der folgenden Klasse anwenden.

Einen Schadcode gibt es hier wohl nicht aber ich wüsste auch nicht, das jemand neue Emojis von WhatsApp patentiert werden. Zudem müssen beide Kommunikationspartner den gleichen "Zeichensatz" verwenden, damit die Emojis korrekt angezeigt werden. Es wäre also gar nicht im Interesse von WhatsApp, wenn nur ein Teil der Personen zusätzliche Zeichen hätte und die anderen nur "Zeichenmüll" sehen würden. Gehen Sie einfach davon aus, dass mit dem nächsten Update der App alle die gleichen Funktionen haben werden. Auch ohne eine Weiterverbreitung dieser Message.

Schadcode

Heikel kann es werden, wenn über Hyperlinks eine Tür zu Schadcode geöffnet wird. Diese Message verspricht wieder mal eine WhatsApp-Funktionserweiterung, die so sicher nicht aktiviert werden würde.

Wer genauer hinschaut sieht auch, dass die beiden "pp" im "WhatsApp" eine andere Zeichenklasse sind. Diese URL ist also sicher nicht bei WhatsApp zu finden. ein Klick auf diese URL ruft dann den Browser des Mobiltelefons auf.

Der "Weiter"-Butten verbirgt sich natürlich hinter JavaScript, der letztlich eine Bestätigung anzeigt:

Die Webseite selbst ist so aufgebaut, dass ein Ansurfen mit einem PC-Browser einen 404 liefert. Hier wird also gezielt auch der UserAgent ausgewertet. Dies lässt sich natürlich mit Fiddler dennoch analysieren.

Interessant, dass der Aufruf der Seite im Hintergrund sehr viele andere URLs abruft. Alle mit dem "Referer", der nun auch den Punnycode der URL zeigt

Ein NSLOOKUP liefert

C:\>nslookup xn--whatsa-82ba.com

Nicht autorisierende Antwort:
Name:    xn--whatsa-82ba.com
Addresses:  2400:cb00:2048:1::6818:6c88
          2400:cb00:2048:1::6818:6d88
          104.24.108.136
          104.24.109.136

Die IP-Adresse hinter dem Namen gehört zu Cloudflare. Wenn man weiter geht, wird man irgendwann genötigt, den Link zu anderen Freunden zu senden. Erst mit erreichen ausreichender Weiterverbreitung sollen dann die neuen Farben verfügbar sein. Das geht laut Anbieter natürlich nur per Installation einer App oder Add-on. Wer nun noch weiter macht, hat eine App, die ziemlich viele Rechte auf dem Smartphone oder PC hat und sicher nichts von alledem tut, was ihr euch erwartet habt. Aber auch für "Freunde" in eurer Kontaktliste wird es nun gefährlich, da diese App natürlich nun auch die Kontaktdaten weiter gibt und mit eurem "guten Namen" weitere Aktionen auslösen kann.

Geht einfach davon aus, dass das Smartphone nun infiziert ist und eure Daten auch anderswo liegen. Es wird also höchste Zeit von einem vertrauenswürdigen System seine Kennworte zu ändern und das Smartphone zurückzusetzen.

Für mich erschreckend ist, dass diese Meldungen schon seit Mail 2017 bekannt sind aber im August die Webseiten und URLs immer noch funktionieren und auch WhatsApp seinerseits nichts dagegen tut. Oder können Sie dank Verschlüsselung wirklich nichts tun? Davon würde ich aber mal nicht ausgehen.

Als Elternteil sollten Sie mit ihrem Kind die Thematik besprechen und erklären, dass nicht alle Nachrichten "freundlich" sind. Als Eltern sollten Sie aber auch schnellstens prüfen ,wie sie einen Kostendeckel auf den Mobilfunkvertrag ihres Kindes bekommen. Denn ein JavaScript oder eine App kann durchaus auch weitere Kosten (Stichwort "Drittanbietersperre") verursachen.

Zusammenfassung

WhatsApp ist eine nette App, die von vielen Kindern genutzt wird und einen Einstieg in die moderne Kommunikation erlaubt. Aber damit sind auch Risiken verbunden, wenngleich sie aktuell wohl geringer sind, da die WhatsApp-Applikation selbst wohl keinen Code ausführt. Wer aber auf einen Hyperlink klickt, sollte zweimal hinschauen, dass die URL die richtige ist. Es hilft aber nicht, wenn der Betreiber die Webseite so gestaltet, als wäre es wirklich eine WhatsApp-Seite. Die meisten Menschen werden den Unterschied nicht erkennen. Da hilft nur ein gesundes Misstrauen und die Überlegung, ob das überhaupt stimmig sein kann.

Weitere Links