1. WhatsApp inkognito
Im ersten Beitrag der Artikelserie zu WhatsApp haben wir festgestellt, dass es nicht ausreicht, lediglich die Datenschutzeinstellungen innerhalb der App zu verändern, um die Datensammlung durch Meta/Facebook einzuschränken. Diese haben begrenzten oder keinen Einfluss auf die Datensammlung durch Meta/Facebook, sondern beeinflussen eher, welche Informationen man anderen Nutzern zur Verfügung stellt. Sinnvoller ist es, die Berechtigungen zu beschränken, um die Daten, die Meta/Facebook während der Nutzung von WhatsApp erheben oder verarbeiten kann, zu reduzieren.
In diesem Beitrag werden zwei Ansätze vorgestellt, die es ermöglichen, WhatsApp »passiv« zu nutzen, um wichtige (Vereins-)Informationen oder Ähnliches nicht zu verpassen. Passiv bedeutet in diesem Zusammenhang, dass WhatsApp nicht als Kommunikationsplattform verwendet wird, sondern vielmehr dazu dient, Informationen zu erhalten. Personen, die WhatsApp aktiv nutzen und regelmäßig mit ihren Kontakten kommunizieren, sollten die Ratschläge aus dem ersten Beitrag befolgen. Der vorliegende Beitrag adressiert all diejenigen, die WhatsApp widerwillig nutzen, jedoch nicht darauf verzichten können/wollen, aber gegenüber Meta/Facebook möglichst unbekannt bleiben möchten.
Hinweis
Im vorliegenden Artikel geht es darum, eine Anleitung für diejenigen bereitzustellen, die aus verschiedenen Gründen dazu »gezwungen« sind, WhatsApp zu nutzen – sei es bspw. aufgrund sozialen Drucks oder um keine Neuigkeiten im Verein zu verpassen. Meiner persönlichen Meinung nach gibt es jedoch deutlich überlegene Alternativen zu WhatsApp, weswegen ich den Einsatz dieser App nicht empfehle oder legitimieren möchte.- WhatsApp: Wie sich Datenschutz/Privatsphäre verbessern lässt – Teil1
- WhatsApp: Wie man seine Identität vor Meta/Facebook schützt – Teil2
2. Das Problem und die Lösung
Welche allgemeinen Probleme mit der Verwendung von WhatsApp einhergehen, wurde bereits im ersten Teil beleuchtet. Im Folgenden wird erläutert, warum die anonyme Nutzung von WhatsApp eine Herausforderung darstellt und wie sie dennoch erreicht werden kann.
2.1 Das Problem
Einige Nutzer verwenden WhatsApp nur, um wichtige (Vereins-)Informationen o. Ä. nicht zu verpassen. Sie nutzen WhatsApp ungern und möchten gegenüber Meta/Facebook eigentlich anonym bleiben. Mit einer bestehenden WhatsApp-Installation ist dies jedoch schwierig, da Meta/Facebook mit hoher Wahrscheinlichkeit die dahinter stehende Person/Nutzer kennt. Durch die Verknüpfung der in WhatsApp gesammelten Informationen mithilfe von Big-Data-Methoden ist eine Zuordnung zu einer konkreten Person möglich. Es reicht aus, dass jemand die Facebook-App parallel auf seinem Gerät installiert hat, damit Meta/Facebook eine Verbindung herstellen kann, ohne dass spezielle Identifikatoren (engl. Identifier) wie Geräte-IDs benötigt werden. Der Grund: Sowohl WhatsApp als auch die Facebook-App lesen die Google-Advertising-ID aus. Damit hat Meta/Facebook dann einen Identifikator, den sie genau einer Person zuordnen können:
Max Mustermann hat die Facebook-App installiert, die regelmäßig die Google-Advertising-ID aus seinem Gerät ausliest [1] und an Meta/Facebook weiterleitet [2]. Meta/Facebook verfügt nun über eine eindeutige Kennung (engl. Identifier), die genau Max Mustermann zugeordnet werden kann. Meta/Facebook weiß also, dass die Google-Advertising-ID d57fa49c-45a8-4a60-8b53-2aad7bde9a73 zu Max Mustermann gehört. Max Mustermann hat auch WhatsApp installiert, das ebenfalls regelmäßig die Google-Advertising-ID von seinem Gerät ausliest [4] und an Meta/Facebook übermittelt [5]. Nur anhand seiner Telefonnummer [6] kann Meta/Facebook zunächst keinen direkten Bezug zu einer bestimmten Person herstellen, da Max Mustermann diese Information nicht bei Facebook hinterlegt hat. Dennoch kann Meta/Facebook eine Zuordnung vornehmen, da es die folgenden Informationen über die Facebook-App erhalten hat:
d57fa49c-45a8-4a60-8b53-2aad7bde9a73 = Max Mustermann
Durch die Verknüpfung und Zusammenführung der Daten im Hintergrund weiß Meta/Facebook nun auch, dass Max Mustermann WhatsApp [8] nutzt, da die Google-Advertising-ID identisch ist. Damit kann Meta/Facebook alle während der Nutzung anfallenden Daten mit seiner Identität verknüpfen.
2.2 Die Lösung
Wenn wir WhatsApp also möglichst ohne Personenbezug nutzen möchten, ist es erforderlich, die Identifikationsmerkmale wie Geräte-IDs, Telefonnummer, IP-Adresse etc. so zu verändern oder zu verschleiern, dass eine Zuordnung zu einer bestimmten Person erschwert oder unmöglich wird. Dies ist mit einem gewissen Aufwand und auch Einschränkungen verbunden.
Nachfolgend werden zwei Varianten vorgestellt, die die Übermittlung von Identifikationsmerkmalen an Meta/Facebook zwar nicht verhindern, diese aber so verändern/verschleiern, dass die Herstellung eines Personenbezugs erschwert oder unmöglich wird. Beide Varianten erfordern neben der Neuinstallation von WhatsApp auch eine neue Telefonnummer, die ausschließlich für WhatsApp verwendet wird.
3. Neue Telefonnummer
Neben der IP-Adresse, Geräte-IDs, E-Mail-Adresse, Cookies etc. wird häufig auch die Telefonnummer als Identifikationsmerkmal bzw. Identifier verwendet. Durch einen oder die Kombination solcher Identifier kann ein Personenbezug hergestellt werden, wie das Beispiel mit der Google-Advertising-ID unter Punkt »2.1 Das Problem« verdeutlicht. Daher ist es entscheidend, eine neue Telefonnummer für WhatsApp zu verwenden, um eine bereits bestehende Verknüpfung eurer aktuellen Telefonnummer mit eurer Person zu vermeiden.
Es stehen verschiedene Optionen zur Verfügung, um an eine neue Telefonnummer zu gelangen. In der Regel ist es am einfachsten, eine zusätzliche Telefonnummer bei eurem bestehenden Anbieter anzumelden. Dabei ist es wichtig, sowohl auf die Kosten als auch auf die Laufzeit der SIM-Karte zu achten. Im Folgenden werde ich die Vorgehensweise kurz anhand von Congstar erläutern, das ich sowohl privat als auch beruflich nutze. Bei anderen Anbietern dürfte die Vorgehensweise ähnlich sein.
3.1 Registrierung beim bestehenden Anbieter
Zusätzlich zu meinem regulären Congstar-Vertrag habe ich mich für den Prepaid-Tarif »Prepaid wie ich will (2. Generation)« entschieden. Bei der Registrierung wird die Karte einmalig mit 15 € aufgeladen, und das Guthaben kann anschließend zu den Konditionen von Congstar genutzt werden. Es gibt jedoch eine wichtige Einschränkung:
Deine Prepaid-Karte hat keine feste Laufzeit und ist jederzeit kündbar. Wenn deine Prepaid-Karte länger als 15 Monate nicht aufgeladen wurde, erfolgt die Kündigung automatisch.
Nach 15 Monaten ohne Aufladung wird die SIM-Karte und damit die Telefonnummer gekündigt. Die Nutzung von WhatsApp kostet also 1 € pro Monat, wenn die SIM-Karte nach 15 Monaten erneut mit 15 € aufgeladen wird. Die Konditionen und Laufzeiten der SIM-Karten können je nach Anbieter variieren, daher ist es ratsam, sich im Vorfeld über das passende Angebot zu informieren. Neben der vorgestellten Variante gibt es natürlich noch weitere Möglichkeiten, um an eine SIM-Karte zu kommen. Einige davon bewegen sich in einer rechtlichen Grauzone.
3.2 Anonyme SIM-Karten
Hinweis
Matthias Eberl hat untersucht, wie man an anonyme SIM-Karten kommt und ob der Nutzen den Aufwand rechtfertigt.In Deutschland muss man sich bei der Registrierung einer SIM-Karte mit einem amtlichen Dokument ausweisen. Problematisch ist jedoch, dass die Regelungen so viele Schlupflöcher aufweisen, dass Personen, die eigentlich eine anonyme Karte wünschen, dies relativ einfach erreichen können. So ist es beispielsweise erlaubt, bereits registrierte SIM-Karten gebraucht zu verkaufen, ohne dass die Identität erneut überprüft werden muss. Solche Angebote gibt es im Internet, und auch in deutschen Handy-Shops werden gelegentlich bereits registrierte und funktionsfähige Karten auf Anfrage angeboten. Auch einige Länder wie Spanien und die Niederlande sind dafür bekannt, SIM-Karten häufig ohne Identitätsprüfung freizuschalten.
Dies ist jedoch nicht notwendig, um sich vor Werbetracking durch Unternehmen zu schützen: Die Werbeindustrie hat keinen Zugriff auf die Registrierungsdaten. Eine Wegwerf-SIM, die auf den eigenen Personalausweis registriert ist, reicht also völlig aus, um sich für App-Registrierungen oder Ähnliches freizuschalten. Es ist ideal, einige Registrierungen mit einer Karte durchzuführen und sich dann eine neue zu besorgen, da die Karten verfallen, wenn sie nicht alle paar Monate aufgeladen werden. Es ist jedoch ratsam, nicht zu viele Registrierungen mit der gleichen Nummer durchzuführen, da die Verhaltensdaten dieser Konten unter der gleichen Telefonnummer-ID zusammengeführt werden können, was vermieden werden sollte. Wenn die Karte abläuft, sollte man sich darüber im Klaren sein, dass das Konto bei Verlust des Passwortes nicht mehr wiederhergestellt werden kann. Im laufenden Betrieb werden in der Regel keine SMS mehr abgefragt.
3.3 Handlungsempfehlung
Für die langfristige »passive« Nutzung von WhatsApp empfiehlt es sich, eine herkömmliche SIM-Karte zu erwerben und dabei die Laufzeit sowie die Kosten im Auge zu behalten. Da Meta/Facebook keinen Zugriff auf die Registrierungsdaten hat, besteht keine Gefahr einer Verknüpfung mit eurer Person. Wird WhatsApp nur für wenige Wochen genutzt, können auch Wegwerf-SIM-Karten oder anonyme Karten in Betracht gezogen werden.
4. Variante 2: Neue Telefonnummer | Arbeitsprofil
Die zweite Variante richtet sich an diejenigen, die ausschließlich WhatsApp nutzen und keine weiteren Dienste von Meta/Facebook in Anspruch nehmen. Werden jedoch auch andere Dienste genutzt, erfordert dies drastischere Maßnahmen, um die Anonymität gegenüber Meta/Facebook zu wahren. In diesem Fall empfiehlt es sich, direkt zur dritten Variante überzugehen. Dies gilt auch dann, wenn das Android-Arbeitsprofil bereits für andere Zwecke verwendet wird.
Der vorliegende Ansatz zielt auf die »passive« Nutzung von WhatsApp ab, um wichtige (Verbands-)Informationen o.ä. nicht zu verpassen. Solche allgemeinen Informationen werden in der Regel über Gruppenchats, Communitys oder Kanäle verbreitet. Das bedeutet: Wir beschränken uns hauptsächlich auf den Empfang von Informationen, obwohl die Kommunikation ebenfalls möglich ist. Es werden jedoch keine Kontakte (mit Telefonnummern) angelegt und Einzelchats vermieden, um zu verhindern, dass Meta/Facebook über den Social Graph Rückschlüsse auf Kontakte/Personen ziehen kann.
4.1 Arbeitsprofil einrichten
Falls vorhanden, sollte zunächst das bestehende WhatsApp-Konto gelöscht werden. Erst danach wird ein Arbeitsprofil eingerichtet:
Auf einem Android-Gerät kann ein Arbeitsprofil eingerichtet werden, um geschäftliche Apps und Daten von privaten Apps und Daten zu trennen. Mit einem Arbeitsprofil können Sie dasselbe Gerät sicher für geschäftliche und private Zwecke verwenden. Ihre Organisation verwaltet geschäftliche Apps und Daten, während Ihre privaten Apps und Daten sowie Ihre persönliche Nutzung privat bleiben.
Das Arbeitsprofil wird zweckentfremdet, denn wir trennen nicht private von geschäftlichen Daten, sondern unser Ziel ist die Trennung von Daten, einschließlich Kontakten und Identifikationsmerkmalen, wie bspw. der Google-Advertising-ID zwischen Haupt- und Arbeitsprofil.
Im Arbeitsprofil wird der Aurora Store installiert – entweder direkt über die APK-Datei (bspw. AuroraStore_4.3.5.apk) oder über den F-Droid Store. Bevor WhatsApp installiert bzw. gestartet wird, empfiehlt es sich, eine neue IP-Adresse zu verwenden. Dies kann durch erneutes Verbinden (Re-Connect des Routers) oder durch einen Wechsel vom WLAN ins Mobilfunknetz erfolgen. Damit möchten wir vermeiden, dass Meta/Facebook über die IP-Adresse möglicherweise wieder eine Verbindung/Verknüpfung zu dem zuvor gelöschten Account herstellt. Wenn WhatsApp zuvor nicht auf dem Gerät/im Haushalt installiert war, besteht diese Gefahr nicht.
4.2 Registrierung WhatsApp
Registriert WhatsApp mit der neuen SIM-Karte. Tauscht dazu die SIM-Karte in eurem Gerät aus oder verwendet ein anderes Telefon, um den Verifizierungscode per SMS zu erhalten. Startet danach WhatsApp. Bei der Erstellung des neuen Kontos gebt ihr eure neue Telefonnummer an. Sobald ihr auf Weiter tippt, wird WhatsApp um die Berechtigung für SMS/Telefon bitten. Diese Berechtigungsanfrage solltet ihr mit Nicht jetzt ablehnen, da sie übergriffig und unnötig ist. WhatsApp kann die Nummer anschließend nicht automatisch verifizieren, da kein Zugriff auf die SMS besteht, sondern ihr erhaltet die SMS und müsst dann den sechsstelligen Code selbst eingeben:
Die Registrierung ist nun abgeschlossen und die SIM-Karte kann gewechselt oder entfernt werden. Vor der Nutzung von WhatsApp sind noch weitere Schritte zu beachten, die unter Punkt 6 »Einrichtung von WhatsApp« für beide Varianten zusammengefasst sind.
5. Variante 3: Neue Telefonnummer | Burner-Phone | IP-Verschleierung
Sofern im häuslichen Umfeld neben WhatsApp auch andere Dienste von Meta/Facebook genutzt werden, wird die Verwendung eines Burner-Phones unumgänglich, um gegenüber Meta/Facebook anonym zu bleiben. Nutzt ein Familienmitglied bspw. Instagram, ist die Wahrscheinlichkeit hoch, dass Meta/Facebook den Kontoinhaber kennt bzw. eine Verbindung zu einer Person herstellen kann. Loggt sich das Familienmitglied dann über den häuslichen Internetanschluss bei Instagram ein, wird zwangsläufig/systembedingt eine IP-Adresse an Meta/Facebook übermittelt. Diese IP-Adresse dient, ähnlich wie die Google-Advertising-ID, als Identifikator und ermöglicht es, Verknüpfungen zu Personen über Apps und Geräte hinweg herzustellen. Bei gleichzeitiger Nutzung von WhatsApp über denselben Internetanschluss kann Meta/Facebook die IP-Adresse als Identifikator verwenden, wodurch (für einen gewissen Zeitraum) eine Zuordnung zu einer Person/einem Personenkreis möglich ist. Variante 3 richtet sich an diejenigen, die neben WhatsApp auch andere Dienste von Meta/Facebook nutzen – ob persönlich oder ein Familienmitglied spielt dabei keine Rolle.
Der vorliegende Ansatz zielt auf die »passive« Nutzung von WhatsApp ab, um wichtige (Verbands-)Informationen o.ä. nicht zu verpassen. Solche allgemeinen Informationen werden in der Regel über Gruppenchats, Communitys oder Kanäle verbreitet. Das bedeutet: Wir beschränken uns hauptsächlich auf den Empfang von Informationen, obwohl die Kommunikation ebenfalls möglich ist. Es werden jedoch keine Kontakte (mit Telefonnummern) angelegt und Einzelchats vermieden, um zu verhindern, dass Meta/Facebook über den Social Graph Rückschlüsse auf Kontakte/Personen ziehen kann.
5.1 Burner-Phone
Ein Burner-Phone ist im Wesentlichen ein Mobiltelefon, das nur über die grundlegendsten Funktionen verfügt. Es hat keine Apps und kann nicht im Internet surfen. Im Gegensatz zum herkömmlichen Smartphone ist ein Burner-Phone nicht mit einer Vielzahl von Konten verbunden, die dazu verwendet werden könnten, das Verhalten für Marketingzwecke aufzuzeichnen. In der Regel werden Burner-Phones mit anonymen Wegwerf-SIM-Karten verwendet, mit denen nur ein oder zwei Anrufe getätigt werden.
Für unsere Zwecke weichen wir die Definition eines Burner-Phones etwas auf. Auf unserem Burner-Phone ist WhatsApp installiert und wird nach Gebrauch auch nicht entsorgt. Der Hauptgrund für die Verwendung eines separaten Geräts ist die vollständige Trennung von potenziellen Identifizierungsdaten/Identifikatoren, die Meta/Facebook in der Vergangenheit/Gegenwart/Zukunft über uns und unsere Geräte (ge)sammelt und mit unserer Person verknüpft (hat).
Welche Geräte sind als Burner-Phone geeignet? Grundsätzlich kann jedes Android-Smartphone verwendet werden, auf dem WhatsApp und Orbot lauffähig sind und das ausschließlich für WhatsApp genutzt wird. Falls das Gerät bereits in Gebrauch war oder ausgemustert wurde, sollte es vor der Installation von WhatsApp auf die Werkseinstellungen zurückgesetzt werden. Bezüglich der Aktualität des Systems ist eine Aussage schwierig. Im Idealfall sollten alle Sicherheitsupdates zeitnah installiert werden, was aber bei einem (preiswerten) Burner-Phone eher unrealistisch ist. Beschränkt sich die Nutzung des Geräts auf das häusliche Umfeld oder WLAN, sind die potentiellen Angriffsvektoren eher begrenzt. Zusammenfassend lässt sich sagen: Aktuelle Sicherheitsupdates sind für das geplante Szenario wünschenswert, aber keine zwingende Anforderung, wie es bspw. bei Geräten für das Online-Banking der Fall ist.
5.2 IP-Verschleierung mit Orbot
Nach der Inbetriebnahme des Burner-Phones bzw. dem Einlegen der SIM-Karte wird zunächst Orbot installiert. Orbot ermöglicht es, den gesamten Datenverkehr oder nur ausgewählte Apps über das Tor-Netzwerk zu leiten und so die IP-Adresse zu verschleiern. Im Prinzip funktioniert dies ähnlich wie ein VPN, allerdings ist bei Orbot bzw. dem Tor-Netzwerk kein Vertrauen in einen VPN-Anbieter notwendig. Vertrauen ist vielmehr ein integraler Bestandteil des Konzepts bzw. der Architektur von Orbot/des Tor-Netzwerks. Durch die Verwendung von Orbot können wir letztendlich unsere IP-Adresse verbergen, die als Identifier gegenüber Meta/Facebook dienen könnte – gerade dann, wenn weitere Dienste von Meta/Facebook im Haushalt eingesetzt werden.
Die Installation von Orbot kann entweder über den Google Play Store oder den Aurora Store erfolgen. Da der Aurora Store später auch für die Installation von WhatsApp verwendet wird, empfehle ich die Installation über den Aurora Store – entweder direkt über die APK-Datei (bspw. AuroraStore_4.3.5.apk) oder über den F-Droid Store.
Nach der Installation wird Orbot gestartet und so konfiguriert, dass nur der Datenverkehr von WhatsApp über das Tor-Netzwerk geleitet wird. Dazu tippt man auf Tor-Aktivierte Apps [1], wählt WhatsApp aus der App-Liste [2] aus und aktiviert die Verbindung mit einem Klick auf START [3]. Von nun an wird der gesamte Datenverkehr von und zu WhatsApp ausschließlich über das Tor-Netzwerk geleitet. Ist Orbot nicht aktiv oder besteht keine Verbindung zum Tor-Netzwerk, kann WhatsApp keine Verbindung zu den Servern von Meta/Facebook herstellen – dies entspricht der beabsichtigten Funktionsweise, da der Datenverkehr ausschließlich über das Tor-Netzwerk geleitet werden soll:
Menschen helfen, die Internet-Zensur zu umgehen
Snowflake ist in Orbot integriert. Neben dem Empfangen/Versenden von WhatsApp-Nachrichten kann das Burner-Phone auch dazu genutzt werden, Menschen dabei zu helfen, staatliche Zensurmaßnahmen zu umgehen.5.3 Registrierung WhatsApp
Zunächst erfolgt die Installation von WhatsApp über den bereits vorhandenen Aurora Store. Wie bereits erläutert, ist eine Verbindung zu WhatsApp bzw. den Servern von Meta/Facebook nur möglich, wenn Orbot aktiv ist. Zur Überprüfung könnt ihr Orbot vorübergehend stoppen und anschließend versuchen, WhatsApp zu starten. Bei der Registrierung erscheint dann folgender Hinweis:
Erst nachdem Orbot wieder gestartet ist, kann der Registrierungsvorgang erfolgen. Bei der Erstellung des neuen Kontos gebt ihr eure neue Telefonnummer an. Sobald ihr auf Weiter tippt, wird WhatsApp um die Berechtigung für SMS/Telefon bitten. Diese Berechtigungsanfrage solltet ihr mit Nicht jetzt ablehnen, da sie übergriffig und unnötig ist. WhatsApp kann die Nummer anschließend nicht automatisch verifizieren, da kein Zugriff auf die SMS besteht, sondern ihr erhaltet die SMS und müsst dann den sechsstelligen Code selbst eingeben:
Die Registrierung ist nun abgeschlossen. Vor der Nutzung von WhatsApp sind noch weitere Schritte zu beachten, die nachfolgend unter Punkt 6 »Einrichtung von WhatsApp« für beide Varianten zusammengefasst sind.
6. Einrichtung WhatsApp
Unabhängig von der gewählten Variante erfolgt nun die Einrichtung von WhatsApp, die in beiden Fällen identisch ist. Zur Erinnerung: WhatsApp dient lediglich als Informationsquelle für Gruppenchats und Communitys. Eine Interaktion innerhalb dieser Gruppen ist erlaubt, es sollten jedoch keine Kontakte in das Adressbuch aufgenommen und auch keine Einzelchats gestartet werden – ansonsten besteht die Gefahr, dass Meta/Facebook über den Social Graph Rückschlüsse auf eure Person ziehen kann.
6.1 Datenschutz-Check & Berechtigungen
Wie im ersten Beitrag erläutert, sollte ihr den Datenschutz-Check durchführen und die Berechtigungen von WhatsApp auf ein Minimum reduzieren. Über Einstellungen -> Apps -> Alle Apps ansehen -> WhatsApp -> Berechtigungen könnt ihr die Berechtigungen unter Android anpassen. Eine Minimalkonfiguration für das vorliegende Setup wäre bspw. wie folgt:
- Benachrichtigungen
- Netzwerk (wird nicht bei jedem System angezeigt)
Das vorstehende Setup ermöglicht die Teilnahme an Gruppenchats, Communitys und Kanälen. Allerdings sind dabei gewisse Einschränkungen zu beachten:
- Es werden keine Namen zu den Kontakten eingeblendet, sondern lediglich die Telefonnummer
- Es können keine Audio-Mitschnitte, Videos oder Bilder erstellt bzw. versendet werden
- Auch das Versenden von Dateien ist nicht möglich
- Der Standort kann nicht mit anderen Teilnehmern geteilt werden
- Es sind weder Sprach- noch Videoanrufe möglich
- […]
Mein Vorschlag lautet nun, das Minimal-Setup zu wählen und im Anschluss individuell zu entscheiden, wie wichtig euch eine Funktion ist und ob ihr die entsprechende Berechtigung gewährt. WhatsApp wird euch in diesem Fall entsprechende Hinweise anzeigen – anbei einige Beispiel-Screenshots der Android-Version:
Es ist wichtig zu beachten, dass die Vergabe von zusätzlichen Berechtigungen Meta/Facebook den Zugriff auf bestimmte (Meta-)Informationen ermöglicht. Es wird daher empfohlen, keine weiteren Berechtigungen zu vergeben und sich auf das Senden und Lesen von Nachrichten zu beschränken.
6.2 Gruppen/Communitys beitreten
Um Gruppenchats und Communitys beizutreten, benötigt ihr in der Regel einen Einladungslink oder eine Einladung vom Admin/Verwalter, während Kanäle öffentlich sind und von jedem abonniert werden können. Wenn ihr also bspw. dem Vereinsgruppenchat/Community beitreten möchtet, muss euch jemand einladen bzw. einen Einladungslink zukommen lassen. Über welchen Kanal (E-Mail, anderer Messenger etc.) ihr den Link erhaltet, spielt keine Rolle. Bittet also den Admin des Gruppenchats/Community um einen Einladungslink.
Sobald ihr diesen habt, öffnet einen Browser im Arbeitsprofil und gebt die URL bzw. den Einladungslink ein:
https://chat.whatsapp.com/F1SQHYw347xN47NuX
WhatsApp wird auf die Eingabe reagieren und den entsprechenden Gruppenchat/Community öffnen.
Nun seid ihr Teil einer Gruppe/Community/Kanals – jedoch mit dem Unterschied, dass Meta/Facebook euch nicht kennt bzw. keine Zuordnung zu einer Person herstellen kann. Damit das so bleibt, solltet ihr WhatsApp ausschließlich für Gruppenkommunikation nutzen und weder Kontakte im Adressbuch anlegen, noch Einzelchats initiieren, die über den Social Graph Rückschlüsse auf Kontakte/Personen zulassen könnten.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
6.3 Hilfe: Jemand fügt mich zu seinen Kontakten hinzu
Selbst wenn man sehr vorsichtig/umsichtig ist, besteht die Möglichkeit, dass die neue Telefonnummer von jemandem in den Kontakten gespeichert wird. Die Befürchtung ist, dass Meta/Facebook durch diese Speicherung wieder einen Personenbezug herstellen kann, da die eigene Nummer zusammen mit dem hinterlegten Namen, der Adresse und allen anderen Attributen aus dem Telefonbuch übermittelt wird. Dies ist jedoch nicht korrekt und ein weitverbreiteter Irrtum. Tatsächlich übermittelt WhatsApp »nur« die Telefonnummern aus dem Adressbuch und keine weiteren Attribute. Daher ist es für Meta/Facebook nicht möglich, auf diesem Weg einfach einen Personenbezug herzustellen.
7. Sonderfunktion GrapheneOS [Variante 2]
Wer das Custom-ROM GrapheneOS nutzt, kann je nach Anforderung zwei nützliche Sonderfunktionen für das Arbeitsprofil aktivieren/deaktivieren:
Die erste Einstellung, »Allow running in background«, kann im Hauptprofil unter System -> Mehrere Nutzer -> Arbeitsprofil vorgenommen werden. Wenn diese Funktion aktiviert ist, dürfen WhatsApp und andere Apps im Hintergrund ausgeführt werden, was den Empfang von WhatsApp-Nachrichten ermöglicht, auch wenn das Arbeitsprofil nicht geöffnet ist. Ist diese Funktion deaktiviert, werden alle Apps im Arbeitsprofil komplett beendet/gestoppt. Erst nach einem Wechsel ins Arbeitsprofil wird WhatsApp erneut aktiv und kann Nachrichten empfangen.
Die zweite Einstellung, »Send notifications to current user« ist im Arbeitsprofil unter System -> Mehrere Nutzer erreichbar. Wenn diese Funktion aktiviert ist, werden Benachrichtigungen an das Hauptprofil weitergeleitet. Dies ist nützlich, wenn man WhatsApp im Arbeitsprofil installiert hat, aber trotzdem über neue Nachrichten informiert werden möchte.
8. Fazit
Vorliegend werden zwei Ansätze zur »passiven« Nutzung von WhatsApp vorgestellt, die insbesondere für diejenigen interessant sind, die ihre Anonymität gegenüber Meta/Facebook wahren wollen. Entscheidend ist dabei die Veränderung bzw. Verschleierung von Identifikationsmerkmalen und Metadaten, um Meta/Facebook die Herstellung eines Personenbezugs zu erschweren oder unmöglich zu machen. Dies erfordert einen gewissen Aufwand und ist mit entsprechenden Einschränkungen verbunden.
Ich möchte jedoch ausdrücklich hervorheben, dass diese technischen Lösungen nicht als der bevorzugte Weg angesehen werden sollten. Vielmehr sollte der erste Schritt darin bestehen, das Gespräch mit den jeweiligen Verantwortlichen zu suchen, um auf mögliche Probleme bei der Nutzung von WhatsApp hinzuweisen und Alternativen aufzuzeigen. Erst wenn die Verantwortlichen, sei es der Vereinsvorstand, die Eltern oder die Institution, nicht auf diese Bedenken eingehen, können die hier vorgestellten Ansätze als mögliche Lösungen in Betracht gezogen werden.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
WhatsApp: Wie sich Datenschutz/Privatsphäre verbessern lässt – Teil1
WhatsApp: Datenschutzkonforme Nutzung möglich?
Datenschutzfreundliche und sichere WhatsApp-Alternativen
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.