Normalerweise ist das Prinzip einfach: Bei der sogenannten Ende-zu-Ende-Verschlüsselung werden die Nachrichten zwischen den Nutzern mit geheimen Schlüsseln abgesichert. Die Schlüssel haben jeweils nur Sender und Empfänger. Die Nachrichten werden verschlüsselt verschickt und sind erst auf dem Gerät des Empfängers wieder lesbar. So ist sichergestellt, dass niemand anderes mitlesen kann.

Laut dem "Guardian"-Bericht kann Facebook diese Schlüssel jedoch ohne Wissen der Nutzer erneuern lassen, wenn diese gerade offline sind, und so Zugriff auf einzelne Chats erhalten. Die Nutzer merken demnach nichts davon. Für den Empfänger der Nachrichten gibt es gar keine Möglichkeit, den Zugriff festzustellen. Der Absender kann eine Information darüber erhalten - aber nur, wenn er manuell die Sicherheits-Benachrichtigungen in WhatsApp aktiviert hat.

Die Hintertür, die sich Facebook offenhält, wurde laut der Zeitung von Tobias Boelter aufgespürt, einem Sicherheitsforscher von der University of California. "Wenn WhatsApp von einer Regierung aufgefordert wird, Nachrichtenprotokolle zur Verfügung zu stellen, kann dieser Zugriff über den Austausch der Schlüssel gewährt werden", sagte er dem "Guardian". Das betreffe nicht nur einzelne Nachrichten, sondern auch komplette Chats.

Demnach hat Boelter Facebook bereits im April 2016 über die Lücke informiert. Ihm sei jedoch gesagt worden, dass Facebook von dem Problem wisse, man aber nicht aktiv an der Behebung arbeite. Wie "heise.de" berichtet, hatte Boelter die Sicherheitslücke schon auf dem "CC3C"-Kongress des Chaos Computer Club vorgestellt. Laut "Guardian" existiert die Sicherheitslücke auch heute noch. Die Zeitung zitiert dazu verschiedene Datenschutz-Aktivisten, die von einer "großen Gefahr für die Meinungsfreiheit" sprechen.

Ein WhatsApp-Sprecher wies die Behauptungen des "Guardian" auf Anfrage unserer Redaktion in Teilen zurück. "WhatsApp gibt Regierungen keine 'Hintertür' in sein System", heißt es in einer Stellungnahme. Das Unternehmen würde sich auch gegen jede Aufforderung einer Regierung wehren, eine solche Hintertür einzubauen.

WhatsApp würde mit der Besonderheit in seiner Verschlüsselung "verhindern, dass Millionen von Nachrichten verloren gehen". Dass Nachrichten trotz Veränderung des Sicherheitsschlüssels zugestellt würden, trete meistens dann auf, wenn Leute auf ein neues Smartphone oder eine neue Telefonnummer wechseln. WhatsApp wolle sicherstellen, dass Nachrichten auch dann nicht verloren gehen.

Außerdem biete der Messenger seinen Nutzern an, dass diese über mögliche Sicherheitslücken informiert werden. Damit bezieht sich der Sprecher auf die Option "Einstellungen > Account > Sicherheit" in der App. Dort kann jeder Nutzer einstellen, dass er benachrichtigt wird, wenn sich der Sicherheitsschlüssel eines Chats ändert. Generell achte man bei der Einführung neuer Funktionen darauf, dass diese einfach zu bedienen sind — so auch bei der standardmäßigen Ende-zu-Ende-Verschlüsselung für Nachrichten, Fotos, Videos und andere Dateien.

Auf unsere Nachfrage, ob Facebook oder WhatsApp bereits Zugriff auf Nachrichten von Nutzern genommen haben und ob dies auf Nachfrage von Regierungen oder Dritten erfolgt sei, verwies WhatsApp auf die Website, die Facebook für die Information über Regierungsanfragen bereitstellt sowie auf das Whitepaper, in dem WhatsApp seine Verschlüsselung vorstellt (PDF).

Laut dem Bericht des "Guardian" ist die Besonderheit in der Verschlüsselung nicht Teil des Signal-Protokolls vom Sicherheitsunternehmen Open Whisper Systems. Facebook arbeitet für die WhatsApp-Verschlüsselung mit Open Whisper zusammen. Die Möglichkeit, dass Nachrichten zugestellt werden, obwohl der Sicherheitsschlüssel verändert wurde, ist laut "Guardian" jedoch nur bei WhatsApp möglich, nicht bei Signal-Chats. Signal wird auch von Whistleblower Edward Snowden für sichere Kommunikation empfohlen.

WhatsApp hatte die Verschlüsselung seiner Chats im April 2016 eingeführt. Vorher hatte es immer wieder Kritik daran gegeben, dass Nachrichten bei dem Messenger mitgelesen werden können. Im Februar 2016 hatte sich WhatsApp öffentlich dagegen ausgesprochen, dass Firmen von Regierungsorganisationen gezwungen werden, Konten ihrer eigenen zu hacken. Im konkreten Fall ging es um ein Smartphone, auf das Hersteller Apple den US-Behörden Zugriff gewähren sollte.

Seit Februar 2014 gehört WhatsApp zu Facebook. Das soziale Netzwerk kaufte den Messenger für insgesamt 19 Milliarden. WhatsApp ist dabei der beliebteste Messenger in Deutschland.

Hinweis: Nach Veröffentlichung unseres Artikels hat WhatsApp auf eine Anfrage unserer Redaktion reagiert und eine Stellungnahme abgegeben. Später wurde diese Stellungnahme noch einmal aktualisiert. Wir haben unseren Artikel daraufhin angepasst.