Sinnvoller Schutz für den Alltag

WhatsApp führt Benutzernamen ein: Ein wichtiger Schritt

Whatsapp
Bildquelle: DenPhotos / Shutterstock.com

Danilo Bargen, CTO bei Threema, ordnet die Benutzernamen-Einführung von WhatsApp ein – auch im Kontext von Cyberangriffen und außereuropäischen Gesetzesräumen. 

Dass WhatsApp künftig Benutzernamen ermöglicht und die Telefonnummer im Chat nicht mehr automatisch offenlegt, ist ein wichtiger und richtiger Schritt. Wer Gruppen beitritt, neue Kontakte anbahnt oder beruflich wie privat mit externen Personen kommuniziert, reduziert so die unnötige Preisgabe eines Schlüssels zur eigenen Identität.

Anzeige

Was jedoch weiterhin fehlt – und dessen muss man sich vor allem im beruflichen Kontext im Umgang mit vertraulichen Daten bewusst sein – ist eine vertikale Anonymität. Das bedeutet, es gibt keinen Identitätsschutz gegenüber dem Dienstbetreiber selbst. Wenn die Registrierung weiterhin über die Telefonnummer läuft, bleiben trotz Benutzernamen vier Problemstellungen bestehen:

1. Nutzer können über mehrere Dienste hinweg wiedererkannt und gegebenenfalls getrackt werden. Der Benutzername ändert daran nichts, wenn die Nummer im Hintergrund die Person identifiziert. Das ist insbesondere dann ein Problem, wenn ein Konzern mehrere Dienste besitzt und die Informationen appübergreifend verknüpft.

2. Das führt zu einem weiteren Manko: Profilbildung ist weiterhin möglich. Zwar haben viele der populärsten Dienste mittlerweile Ende-zu-Ende-Verschlüsselung, die die Inhalte schützt – Metadaten und Kontobeziehungen bleiben besonders im Zusammenhang mit der Telefonnummer jedoch aussagekräftig. Wer mit wem, wann, wie häufig, über welche Geräte kommuniziert: Daraus entstehen Muster. Das ist insbesondere in Kombination mit Problemstellung 1 ein Problem: Auch wenn das Profil bei einem einzelnen Dienst wenig sensitiv erscheinen mag, kann sich das rasch ändern, wenn mehrere Profile zu einem Gesamtbild zusammengefügt werden.

Anzeige

3. Man bleibt als Person oder Unternehmen angreifbar über außereuropäische Gesetzgebungen. In anderen Worten: Eine Telefonnummer ermöglicht es, Inhalte und Aktivitäten von Personen nach Auskunftsersuchen oder juristischen Anfragen zuzuordnen, zum Beispiel im Kontext des CLOUD Acts. Es ist zumindest wesentlich einfacher, als es eine zufällige, nicht-personenbezogene ID zulassen würde. Digitale Souveränität benötigt also unbedingt auch vertikale Anonymität.

4. Sicherheitslücken beim Betreiber werden zur Identitätssicherungslücke, denn wenn der Dienst Telefonnummern als Kernmerkmal speichert, verwandelt jeder erfolgreiche Angriff auf den Betreiber – ob durch Sicherheitslücke, Fehlkonfiguration oder kompromittierte Systeme – die Infrastruktur in eine Quelle für Identitäten. Dann reicht ein Datensatz mit Nummern, um Personen zuzuordnen, Profile anzureichern und Angriffe gezielt zu personalisieren. Benutzernamen helfen in diesem Moment kaum, weil der Identitätsanker im Backend liegt.

Zusammenfassend kann man also sagen, Benutzernamen sind ein sinnvoller Schutz für den Alltag, aber sie ersetzen kein Datenschutzkonzept, das auf Datenvermeidung basiert. Wer Privatsphäre wirklich konsequent schützen will, muss auf Messaging-Apps setzen, bei denen Konten nicht über Telefonnummern laufen, sondern über zufällig generierte – oder frei gewählte – IDs und minimale Metadaten. Anonymität auf Systemebene ist für Privatsphäre, was Ende-zu-Ende-Verschlüsselung für die Sicherheit von Inhalten ist.

Autor: Danilo Bargen, CTO bei Threema

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.