Ralf Krauter: Das soziale Netzwerk Facebook hat gestern eine Sicherheitswarnung an die Nutzer des Messenger-Dienstes Whatsapp rausgegeben - und den Appell diese App umgehend zu aktualisieren. Denn ansonsten können Angreifer über eine Sicherheitslücke Spionagesoftware auf dem Smartphone installieren. Frage an unseren IT-Sicherheitsexperten, den Wissenschaftsjournalist Peter Welchering: Wie gravierend ist diese Sicherheitslücke?
Peter Welchering: Die gehört zu einer ganzen Klasse von Sicherheitslücken, die unter anderem von einer Spionagesoftware namens Pegasus ausgenutzt werden, um die Herrschaft über anderer Leute Smartphones zu übernehmen. Wenn diese Spionagesoftware dann installiert ist, kann sie nicht nur Adressbücher, Dateien, die auf dem Smartphone gespeichert sind, und ähnliches ausspionieren. Sie kann auch - unbemerkt vom Besitzer - das Mikrofon einschalten und das Handy zur Wanze in der Hosentasche machen.
Rund 1,5 Milliarden Menschen betroffen
Krauter: Betroffen sind rund 1,5 Milliarden Menschen, die Whatsapp installiert haben. Müssen die jetzt alle damit rechnen, dass sie abgehört wurden oder ihre Dateien auf dem Smartphone ausspioniert wurden?
Welchering: Diese Klasse von Sicherheitslücken ist zumindest seit 2018 bekannt. Im Jahr 2016 hat Apple eine vergleichbare Sicherheitslücke geschlossen, nachdem der arabische Menschenrechtler Ahmed Mansur darüber ausspioniert worden war. Es sind Einzelfälle, auch nach dem Spionageangriff auf Ahmed Mansur, mit denen zum Beispiel mit der Spionagesoftware Pegasus vor allen Dingen Menschenrechtler ausspioniert wurden.
Jetzt bei Whatsapp ist das einem britischen Anwalt noch am vergangenen Sonntag aufgefallen. Der hatte sein Smartphone in einem Sicherheitslabor der Universität Toronto untersuchen lassen, weil er komische Anrufe von norwegischen Anschlüssen bekommen hatte. Da arbeitete allerdings Facebook schon an einem Patch. Facebook hat in der vergangenen Woche bereits die Sicherheitsbehörden in den USA über diese Lücke informiert.
Wanze in der Hosentasche
Krauter: Nun ist dieser Spionageangriff einem britischen Anwalt aufgefallen, weil der genau hingeschaut hat. Kanadische Sicherheitsforscher haben daraufhin das Smartphone untersucht und den Spionageangriff nachgewiesen. Habe ich als normaler Whatsapp-Nutzer eigentlich eine Chance, so einen Spionageangriff zu bemerken?
Welchering: Meistens fallen solche Anrufe gar nicht auf, weil die nicht gespeichert werden. Spionagesoftware wie Pegasus kann über SMS-Sendungen oder über Messenger-Nachrichten oder eben über Anrufe Schadsoftware auf ein Smartphone bringen, das dann eben anschließend ausgelesen und als Wanze eingesetzt wird. Diese Angriffe werden gegen bestimmte einzelne Menschen durchgeführt, vornehmlich Rechtsanwälte und Journalisten. Für eine Massenüberwachung eignet sich diese Software nicht.
"Länger gebraucht, als akzeptabel ist"
Krauter: Whatsapp hat nach eigenen Angaben Anfang Mai von dieser Sicherheitslücke erfahren. Haben die schnell genug reagiert?
Welchering: Nein, auf keinen Fall. Zum einen sind diese Lücken, die sich in der Voice-over-IP-Software der Smartphones befinden, wirklich schon seit längerem bekannt. Da hätte Whatsapp bzw. Facebook bei seinem eigenen VoIP-Stack sorgfältiger sein müssen. Solche Dinge müssen vorher durch eine Sicherheitsüberprüfung. Und wenn da ordentlich gearbeitet wird, dann fallen solche Lücken auch auf.
Wenn das Facebook bei der Sicherheitsüberprüfung durchgerutscht ist und sie werden von einem Tippgeber darauf aufmerksam gemacht, dann kann und muss solch eine Lücke innerhalb weniger Tage beseitigt werden. Whatsapp hat dazu einige Tage länger gebraucht, als akzeptabel ist.