Sind Whatsapp-Nachrichten dauerhaft gelöscht?
Hey Leute... folgendes Problem ergibt sich gerade für mich:
Whatsapp bietet im Chat eine Option zum Löschen einzelner Nachrichten oder ganzer Chats an. Im Internet habe ich an einigen Stellen gelesen, dass wohl bei älteren Versionen von Whatsapp die Chats wohl nicht dauerhaft gelöscht werden, da die Nachrichten teilweise noch in einer Datenbank und einem Backup vorhanden sind. Bei neueren Versionen von Whatsapp habe ich noch nicht davon gelesen. Seitdem die gleichzeitige Löschung auf den Geräten des Senders und des Empfängers implementiert wurde scheinen die Nachrichten dauerhaft gelöscht. Allerdings bin ich mir in diesem Punkt unsicher. Es ist lediglich so, dass kein Hinweis darauf besteht, dass sie noch dauerhaft auf dem Gerät gespeichert werden. Dass es wirklich so ist wurde bisher noch nicht behauptet.
In meinem Fall habe ich das Gerät einmal gereinigt - also Chats in Whatsapp und Backup gelöscht (auch in Google Drive). Jedoch bin ich mir unsicher, ob bei dieser älteren Version vielleicht noch Datenbanken von den Chats auf dem Gerät verblieben sind, die dann von der neueren Version wieder bis ins aktuelle Backup weiterverwendet wurden.
Das Gerät wurde mir "gestohlen". Und momentan gehts mir echt Schlecht. Ich hab nichts schlimmes getan. Aber trotzdem sind "Leichen" auf dem Handy. Mein Leben ging in letzter Zeit echt aufwärts. Ich habe mich nur noch auf mein Studium konzentriert und glücklicherweise mit richtig lieben Leuten was gemacht. Alles ist ok gewesen.
Würde mich wirklich freuen, wenn jemand von euch einen Rat für mich hätte.
2 Antworten
Folgendes haben meine Recherchen bisher ergeben:
Whatsapp speichert die lokale Datenbank der Nachrichten ("msgstore.db" - SQLite) mit einem Cipher-Key verschlüsselt.
Der Cipher-Key liegt unverschlüsselt auf dem Gerät - es sei denn, die in neueren Android-Versionen mögliche Geräteverschlüsselung ist aktiv (bei physischem Zugriff auf das Gerät bringt diese aber nichts - versierte Techniker / Forensiker können trotzdem eine physikalische Extraktion des Flash-Speichers durchführen und den Schlüssel, der dem Code / Fingerabdruck zum Entsperren entspricht, herausfinden und damit die extrahierten Daten entschlüsseln - so kommt man auch an den Cipher-Key von Whatsapp).
Daher:
1.) Gelöschte Nachrichten werden nicht aus der Datenbank gelöscht, sondern nur zum Löschen markiert. Diese Nachrichten werden von forensischen Werkzeugen (z.B. Cellebrite UFED Physical Analyzer, Hauseigene Tools von BKA/LKA) in der Regel wiederhergestellt.
2.) Die SQLite Datenbank von Whatsapp löscht erst zum Löschen markierte Nachrichten, wenn der Speicher voll ist bzw. genügend neue Einträge erstellt werden (~ 10.000 Einträge - keine offizielle Quelle).
3.) Im Internet wird darüber berichtet, dass bei diesem Löschvorgang der Datenbank lediglich der Verweis auf diese Datenblöcke gelöscht wird aber rekonstruierbar ist. (Es ist an dieser Stelle und zum momentanen Zeitpunkt fraglich, ob gewöhnliche Tools in der Forensik diesen Vorgang unterstützen - vermutlich wird dies aber in den nächsten Jahren unterstützt. Für die Forensik ist dies dann wohl keine Frage der Machbarkeit, sondern mehr eine Frage der Kosten / des Aufwands.)
4.) Ein Löschen der Backups / Datenbanken auf dem Gerät führt auch nicht zu einem wirklichen Löschen - auch hier wird nur zum Löschen markiert. Eine Rekonstruierbarkeit ist denkbar - von den Herstellern der Forensischen Werkzeuge (z.B. Cellebrite) gibt es hierzu keine Angabe, inwieweit dies unterstützt wird.
5.) Die verschlüsselte Datenbank von Whatsapp kann mit dem Cipher-Key auf dem Gerät entschlüsselt und ausgelesen werden.
6.) Eine Geräte-Verschlüsselung kann in der Regel Umgangen werden.
7.) Eine Neuinstallation von Whatsapp führt zur Generierung eines neuen Cipher-Keys. Im Internet findet sich kein Verweis darauf, ob der Cipher-Key wiederhergestellt werden kann.
8.) Bilder und Sprachnachrichten, sowie Dokumente liegen unverschlüsselt auf dem Gerät (Ausnahme: Geräte-Verschlüsselung - aber unsicher s.o.)
9.) Auch zum Löschen markierte Blöcke auf dem Datenträger werden mit hoher Wahrscheinlichkeit nicht überschrieben, da moderne Flash-Speicher so konzipiert sind, dass nicht immer wieder derselbe Speicherbereich beschrieben wird, damit eine hohe Lebensdauer des Speichers erreicht wird. (Als Tip nach dem Löschen wird auch an verschiedenen Stellen genannt, so viele Daten auf dem Gerät zu speichern, bis der Speicher voll ist. Somit sollten alle "freien" Bereiche mindestens einmal beschrieben worden sein.)
Fazit:
Löschen von einzelnen Chats / Nachrichten ist nicht ausreichend. Die Neuinstallation von Whatsapp führt zwar dazu, dass ein neuer Schlüssel generiert wird und somit der alte Schlüssel nicht mehr vorhanden ist. Hierzu gibt es allerdings keine Bestätigung. Ein potenzieller Angriff über die Rekonstruktion des alten Schlüssels ist daher denkbar.
Eine hohe Sicherheit wird angenommen, wenn das Gerät bei aktiver Verschlüsselung zurückgesetzt wird. Hierdurch werden die noch rekonstruierbaren Daten unbrauchbar gemacht. Wird nach dem Zurücksetzen aber wieder derselbe Entsperrcode, wie vor dem Zurücksetzen gewählt, ist es denkbar, dass Wiederhergestellte Daten wieder entschlüsselt werden können.
>> Die sicherste Variante ist die physische Zerstörung des Speichers bzw. das Smartphone überhaupt nicht für sensible Daten zu verwenden!
PS:
Natürlich beschäftigt sich der normale Bürger nicht mit etwas, was solch eine hohe Sicherheit benötigt - jedoch zeigt die Geschichte, dass der Staat und die Gesellschaft immer vom aktuellen Zeitgeist geprägt sind - Recht und Unrecht ändern sich mit der Zeit. Ob zum Guten oder zum Schlechten, hängt davon ab, wen man wann fragt. Der Urgedanke der Demokratie liegt doch darin, dass alle die gleichen Rechte haben. Demokratie ist aber nicht nur das, was sich auf dem Stimmzettel abspielt, sondern jede Austragung eines Konfliktes zwischen den Menschen. Demokratie ist daher eine Gleichberechtigung der Mittel, mit der dieser Konflikt ausgetragen wird. In den Zeiten der Digitalisierung ist die sicherheitstechnische Mündigkeit aller Bürger daher das Fundament der zukünftigen Demokratie.
(bitte korrigiert mich, falls Informationen zu ungenau, falsch oder veraltet sind)
Hier eine der Quellen - "Sicheres Löschen auf mobilen Endgeräten unter Android" (ein guter Einstieg, um sich mit der Problematik vertraut zu machen)
Hinweis: Nachrichten, die Du lokal bei Dir löschst, werden nicht unbedingt auch beim Empfänger gelöscht! Je nach App-Version passiert das nur innerhalb der ersten 7 Minuten nach dem Absenden, bzw. in neueren Versionen bis zu etwa 70 Minuten. Danach wird die Nachricht nur noch lokal bei Dir gelöscht und bleibt beim Empfänger weiterhin sichtbar.
Klar kann es sein, dass Nachrichten in lokalen Backups vorhanden sind, die eigentlich gelöscht sind. Wird man aber nicht herausfinden, da die Datenbanken mit den Chatverläufen mittlerweile verschlüsselt sind. Selbst wenn, ist es also wurscht. Kann eh keiner lesen.
Was wolltest Du denn beim Anwalt? Und was hat der mit WhatsApp Backups zu tun?
Gutes Argument mit der Verschlüsselung. Ist halt fraglich, ob entsprechende Personen mit Zugriff aufs Gerät die Verschlüsselung knacken können...
War gerade beim Anwalt. Der meinte, dass es vom Gerät abhängen würde. Er kann nicht genau sagen, ob was passieren wird oder nicht. Ich schreibe mal, sobald ich etwas genaueres weiß.