Auf ProPublica wird behauptet, Facebook würde WhatsApp-Nachrichten mitlesen. Das Medien und Social-Media-Echo ist groß, andere Medien – bspw. die Futurezone – titeln „Facebook liest bei WhatsApp-Nachrichten mit„. Soetwas ist für einen Messengerdienst, der mit Ende-zu-Ende-Verschlüsselung wirbt und der ohnehin im Umfeld des Mutterkonzerns (zumindest in meinen Augen) ein Glaubwürdigkeitsproblem hat, mehr als unangenehm. Was also steht da eigentlich drinnen, in diesem nun viel zitierten Artikel auf ProPublica? Hier die relevante Passage:
WhatsApp messages are so secure […] that nobody else — not even the company — can read a word. […] WhatsApp emphasizes this point so consistently that a flag with a similar assurance automatically appears on-screen before users send messages: “No one outside of this chat, not even WhatsApp, can read or listen to them.”
Those assurances are not true. WhatsApp has more than 1,000 contract workers filling floors of office buildings in Austin, Texas, Dublin and Singapore, where they examine millions of pieces of users’ content. […] These hourly workers use special Facebook software to sift through streams of private messages, images and videos that have been reported by WhatsApp users as improper and then screened by the company’s artificial intelligence systems.
How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users
Ist man bei Facebook tatsächlich schon so abgehoben, die eigenen User dermaßen hinters Licht zu führen und sicherheitsrelevante Informationen lediglich als Werbemasche anzuführen? Alles in mir möchte „Ja!“ schreiben, aber – meine Güte, dass ich mich jemals in einer Position befinden würde, Facebook zu verteidigen, das schmeckt mir jetzt gar nicht, aber was soll’s: – dem ist mitnichten so. Etwas weiter im Text wird der Vorgang, der die Entschlüsselung und Moderation darstellt (WhatsApp beharrt darauf, dass es sich bei dem Vorgang nicht um Moderation handelt), nocheinmal geschildert:
Because WhatsApp’s content is encrypted, artificial intelligence systems can’t automatically scan all chats, images and videos, as they do on Facebook and Instagram. Instead, WhatsApp reviewers gain access to private content when users hit the “report” button on the app, identifying a message as allegedly violating the platform’s terms of service. This forwards five messages — the allegedly offending one along with the four previous ones in the exchange, including any images or videos — to WhatsApp in unscrambled form, according to former WhatsApp engineers and moderators. Automated systems then feed these tickets into “reactive” queues for contract workers to assess.
Und hier, selbst in meinem Beitrag, wird zum zweiten Mal erwähnt, was tatsächlich passiert: Ja, Facebook bzw. WhatsApp kann Nachrichten lesen, aber – und dieses Aber ist der entscheidende Punkt – nur, wenn Userinnen und User Nachrichten melden. Nur dann erhalten die „Moderatoren“ (die nunmehr keine sind, weil Moderation proaktiv erfolgt, in dem Fall aber nur auf Zuruf) Zugriff auf die letzten 5 Nachrichten, um beurteilen zu können, ob es sich bei der betreffenden Nachricht um einen Verstoß gegen die Nutzungsbedingungen handelt. Die Aussage, WhatsApp würde mitlesen oder es gäbe keine Verschlüsselung ist in meinen Augen demnach als nichtig zu betrachten. Auch Signal- oder Telegram-Nachrichten sind „nicht verschlüsselt“, wenn jemand einen Screenshot davon erstellt. Und in etwa so verhält es sich auch bei der Report-Funktion von WhatsApp.
Was bedeutet das aber für den Datenschutz und die Verschlüsselung des Messenger-Dienstes an sich? Nun ja, eigentlich einen Gewinn für die Privatsphäre, denn es gibt einen Kanal, der es möglich macht, Verschlüsselung willentlich aufzuheben, um sich (im Rahmen der Nutzungsbedingungen) zu schützen. Sofern WhatsApp die Ende-zu-Ende-Verschlüsselung beibehält und sie nur im Falle einer von einer Userin oder einem User aktiv durchgeführten Meldung für genau 5 Nachrichten aufhebt, die dann an die „Moderationsteams“ geschickt werden, dann ist das eine Stärkung der Sicherheit und keine Schwächung. Gäbe es nämlich diese Meldefunktion nicht, würde sich WhatsApp früher oder später mit Forderungen anderer, deutlich potenterer Akteure wie zB Behören konfrontiert sehen, die Zugriff auf die Nachrichten fordern würden.
Natürlich ist die Sache ein Trade-Off, aber einer an den man sich, wenn es um Verschlüsselung geht, gewöhnen wird müssen. Casey Newton hat das in einem Kommentar zum ProPublica-Artikel auch angeführt:
What WhatsApp has done instead of all this to attempt finding a middle ground – enabling individual users who are experiencing abuse to report that to the platform, while offering limited cooperation with law enforcement when it is legally required to do so.
By taking this approach, WhatsApp has sought to ensure the long-term survival of end-to-end encryption for average consumers by offering a set of policies that most lawmakers may be able to live with. The vast majority of users get truly private communications; users experiencing abuse get help from the platform that is enabling it; and law enforcement gets limited tools to fight crime.
Insofern verstehe ich die Kritik des ProPublica Artikels nicht. Es hätte eigentlich Lob sein müssen.