In den Korridoren der Macht ist der Messengerdienst das Mittel der Wahl. Nun empfehlen EU-Experten den Wechsel zu Signal. Hat WhatsApp in der Diplomatie ausgedient?

Der Brexit sorgt für einen digitalen Frühjahrsputz in Brüssel. Denn für die EU-Diplomatie ist WhatsApp ein beliebtes Werkzeug, ganze Arbeitsgruppen im Rat koordinieren sich über die grüne App. Nun fliegen die britischen Kollegen aus den Chatgruppen raus, manche Gruppe gründet sich ganz neu – ohne Briten.

Was in Brüssel passiert, ist nicht ungewöhnlich: WhatsApp ist der Standardkanal für internationale Verhandlungen geworden. Die App gehört seit 2014 zum Facebook-Konzern, weltweit nutzen sie zwei Milliarden Menschen.

Bereits vor einigen Jahren sprach der Guardian vom „Aufstieg der internationalen WhatsApp-Diplomatie“.

Die Popularität von WhatsApp liege daran, dass es verschlüsselt sei und eine große Nutzerbasis habe, sagt Corneliu Bjola. Der Politologe forscht an der Universität Oxford zu digitaler Diplomatie und berät Diplomat:innen. „Fast jeder hat ein WhatsApp-Konto“, sagt Bjola.

Doch Sicherheitslücken bei WhatsApp werfen Fragen auf. Der Beliebtheit der App schaden könnten auch die Cryptoleaks-Enthüllungen. Sie zeigen, dass die USA und Deutschland über Jahrzehnte systematisch die verschlüsselte Kommunikation ihrer Verbündeten belauschten.

Der NSA-Skandal vor sechs Jahren rüttelte am Image des Mutterkonzerns Facebook. Die Affären schüren Zweifel, ob ein US-amerikanischer Gratisdienst wie WhatsApp tatsächlich die nötigen Maßnahmen trifft, um den sensiblen Austausch unter EU-Staaten vor dem Zugriff von Geheimdiensten und Spionage aus Russland und China zu schützen.

Europa muss sich fragen: Ist WhatsApp für das sensible Geschäft der Diplomatie sicher genug?

EU prüft Alternativen

Eine Expertengruppe der EU-Kommission bezweifelt das offenbar. Eine interne Notiz, die netzpolitik.org im Volltext veröffentlicht, empfiehlt die Nutzung der App Signal als „sicherere Alternative“ für den Austausch unter Kollegen.

Die Kommission bestätigt auf Anfrage, dass diese Empfehlung an ihre Mitarbeiter:innen ausgeschickt wurde. Es gebe keine Verpflichtung, einen bestimmten Dienst zu nutzen, schrieb eine Sprecherin.

Inwiefern Alternativen zu WhatsApp tatsächlich genutzt werden, weiß die Kommission nicht. Informell darf WhatsApp weiter als das Mittel der Wahl unter Diplomatinnen und Beamten gelten.

Vertreter der EU-Staaten betonen, es handle sich um informelle Kommunikation, die nicht zentral gesteuert werde – daher sei sie schwer zu kontrollieren.

Inhalt verschlüsselt, Metadaten offen

Nachrichten auf WhatsApp sind an sich gut gesichert. Sie sind seit 2016 standardmäßig Ende-zu-Ende-verschlüsselt – lesen kann sie also nur, wer Zugriff auf die Geräte von Sender oder Empfänger hat.

WhatsApp verwendet zur Verschlüsselung das gleiche Protokoll wie Signal, das von Überwachungsgegnern wie etwa NSA-Enthüller Edward Snowden empfohlen wird. Diese Verschlüsselung ist mit heutiger Technik schwer zu knacken.

Das gilt jedoch nicht für die Metadaten. Bei den Metadaten handelt es sich um Angaben über Sender und Empfänger, Zeit und Datum sowie Nachrichtengröße.

Aus den Metadaten lässt sich ablesen, wer mit wem kommuniziert. Durch die Dateigröße lassen sich Rückschlüsse treffen, ob etwa Bilder oder Videos mitgeschickt wurden.

Der Facebook-Konzern speichert Metadaten zentral auf seinen Servern. WhatsApp greift zudem regulär auf das gesamte Telefonbuch im Handy der Nutzer:innen zu. WhatsApp teilt die Daten mit Facebook.

Signal speichert nach eigenen Angaben möglichst wenige Informationen über Nutzer:innen. Der Dienst verschlüsselt Metadaten und löscht sie von seinen Servern, sobald die Nachricht verschickt ist.

Schrems: „Metadaten gehen an US-Behörden“

Geheimdienste drängen auf den verpflichtenden Einbau von Hintertüren in Messengerdienste, um verschlüsselte Nachrichteninhalte lesen zu können. WhatsApp, Apple sowie ein breites Bündnis aus Firmen und NGOs wehren sich dagegen – bisher erfolgreich.

Metadaten verraten aber oft genausoviel wie Nachrichteninhalte. In der Diplomatie geht es um Netzwerke, um vertrauliche Absprachen. Schreibt eine französische Diplomatin ihrem deutschen Gegenüber vor der entscheidenden Abstimmung, ist das Wissen darum nicht ebenso bedeutend wie der Inhalt?

„Für Beamte zum Beispiel aus Außen- und Verteidigungsministerien, aber auch für Journalistinnen und Menschenrechtsaktivisten ist das ein erhebliches Risiko“, sagt Jan Penfrat von der Brüsseler Digital-NGO EDRi.

Eine drastische Illustration der möglichen Konsequenzen des Datenzugriffs durch US-Geheimdienste brachte der frühere NSA-Chef Michael Hayden auf den Punkt: „Wir töten Leute auf der Basis von Metadaten“.

Der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber sieht die Nutzung von WhatsApp durch von ihm beaufsichtigte Behörden „kritisch“, schrieb uns sein Pressesprecher. Kelber bemängelt, dass Metadaten von WhatsApp an Facebook weitergeleitet werden.

Der österreichische Datenschützer Max Schrems formuliert es gegenüber netzpolitik.org drastischer: „Die Metadaten gehen direkt an Facebook und damit auch an die amerikanischen Geheimdienste. Allein wer wann wie oft mit wem kommuniziert, kann extrem viele Rückschlüsse erlauben.“

Facebook antwortete nicht auf die Frage von netzpolitik.org, wie es die Metadaten seiner Nutzer:innen wirksam vor dem Zugriff durch US-Geheimdienste schützen möchte.

USA spionierte Diplomaten aus

Diplomaten und EU-Beamte müssen generell damit rechnen, belauscht zu werden. Brüssel gilt seit Jahren als Spionagehochburg, erst im Januar geriet ein prominenter deutscher Ex-Diplomat wegen mutmaßlicher Spionage für China unter Verdacht.

Doch solche Fälle sind eher selten: Der Großteil der Spionage läuft vermutlich elektronisch ab.

Die NSA-Affäre enthüllte 2013 ein massives Abhörprogramm der USA gegen EU-Diplomaten in Brüssel und an den UN-Sitzen in Wien und Genf.

Am Schweizer Sitz der Vereinten Nationen war Whistleblower Edward Snowden stationiert, als er noch für den US-Geheimdienst spionierte. Snowden sagte später, die USA spioniere weiterhin in Genf und anderen Orten.

Engster Verbündeter der USA in Geheimdienstangelegenheiten ist Großbritannien. Gemeinsam mit Kanada, Australien und Neuseeland bilden die Staaten die Five-Eyes-Allianz.

Für die technisch hochgerüsteten Dienste sind die EU-Staaten attraktive Ziele, besonders nach dem Brexit.

Die Mitgliedsstaaten haben festgelegt, dass in den Verhandlungen über die künftigen Beziehungen mit Großbritannien alle Dokumente grundsätzlich vertraulich sind.

Ähnliches gilt für Handelsgespräche mit den USA oder internationale Klimaverhandlungen. Wer im Voraus weiß, was der andere sagen wird, hat einen Vorteil. Der mögliche Zugriff von US-Geheimdiensten auf Metadaten könnte dieser Vorteil sein.

Was sicher ist

Für ein sichere Kommunikation in der internationalen Diplomatie liegt die Latte höher als bei normalen Nutzer:innen. Die Sicherheit der Metadaten bei WhatsApp wirft unangenehme Fragen auf.

Wer aus beruflichen oder persönlichen Gründen die Möglichkeit eines Zugriffs auf Metadaten durch US-Geheimdienste verringern will, solle zu anderen Diensten wie Signal greifen, empfiehlt Jan Penfrat von EDRi.

Als Alternativen nennt der NGO-Experte neben Signal Dienste wie den Messenger Threema mit Sitz in der Schweiz, den Dienst Wire oder das Open-Source-Projekt Matrix, dessen Technologie von der Bundeswehr genutzt wird.

Die EU-Kommission verfolgt allerdings andere Pläne. In der Notiz, die wir veröffentlichen, ist Signal nur als Zwischenlösung gedacht. Längerfristig rät die Gruppe zu Skype for Business, einem Dienst von Microsoft.

Eine Lösung, die unabhängig von US-Konzernen und Geheimdiensten ist, liegt offenbar noch weiter in der Ferne.

Update vom 24. Februar 2020: In dem Artikel hieß es ursprünglich, sowohl die Messengerdienste Threema als auch Wire hätten ihren Sitz in der Schweiz. Nach einem Bericht von Golem.de hat Wire allerdings seinen Hauptsitz zuletzt in die USA verlegt. Der Artikel wurde entsprechend geändert.