Was eine ProPublica-Recherche über WhatsApp verrät – und was nicht
Was ist (scheinbar)
Am Dienstag hat ProPublica eine Recherche veröffentlicht, bei der wir auf den ersten Blick dachten: Hui, das wird das Thema der Woche. Mindestens. „How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users“ überschreibt die Recherche-Organisation den Text. Es folgen fünf Kapitel und fast 40.000 Zeichen, die Zweifel daran wecken sollen, ob WhatsApp wirklich so privat und sicher ist, wie es das Unternehmen selbst immer behauptet.
Was ist (tatsächlich)
Wir schätzen die Autoren, insbesondere Craig Silverman hat für BuzzFeed immer wieder richtig gute Recherchen abgeliefert. Die ProPublica-Geschichte gehört nicht dazu. Der Text enthält einige interessante Fakten, ist aber überverkauft und stellenweise irreführend.
Darin stehen etwa solche Sätze:
- „Deploying an army of content reviewers is just one of the ways that Facebook Inc. has compromised the privacy of WhatsApp users.“
- „This article is the first to reveal the details and extent of the company’s ability to scrutinize messages and user data — and to examine what the company does with that information.“
- „Asked how many staffers WhatsApp employed to investigate abuse complaints from an app with more than two billion users, Cathcart didn’t mention content moderators or their access to encrypted content.“
Ständig wird suggeriert, dass WhatsApp Nutzerïnnen täusche, wenn es beteuert, alle Nachrichten seien durch Ende-zu-Ende-Verschlüsselung (E2EE) geschützt und damit auch für das Unternehmen selbst nicht lesbar. Diese Unterstellung ist falsch und journalistisch fragwürdig.
Eva Galperin, Cybersecurity-Direktorin der EFF, drückt es so aus: „(…) when it comes to encryption, it’s a misleading mess.“ Alex Stamos, einst Facebook-Sicherheitschef, heute Stanford-Professor, wird noch deutlicher (beide Twitter): „This ProPublica article on WhatsApp is terrible. (…) It incorrectly conflates responsible reporting mechanisms with proactive moderation, and creates the wrong incentive structure for E2EE products.“
Das ist umso bedauerlicher, weil der Text diese Dramatisierung gar nicht nötig hätte. Die drei Reporter haben nämlich einige wirklich spannende Details herausgefunden. Statt zu erklären, was der Artikel alles durcheinanderbringt, konzentrieren wir uns lieber darauf, welche Erkenntnisse wir beim Lesen gewonnen haben.
Wie WhatsApp Inhalte moderiert
- Mehr als 1000 Menschen analysieren für WhatsApp Nachrichten, die Nutzerïnnen melden. Das ist nur die Zahl der Beschäftigten beim Dienstleister Accenture. Möglicherweise gibt es noch weitere Drittfirmen, die diese Arbeit im Auftrag von Facebook erledigen.
- Bereits im Sommer wurden Einzelheiten über die Bezahlung (The Verge) und die belastende Arbeit bekannt. Die neue Information ist die Zahl der Beschäftigten.
- Facebook und Instagram nennen diese Personen Content-Moderatorïnnen (CM). WhatsApp lehnt den Begriff ab, weil die Beschäftigten keine einzelnen Nachrichten löschen können, sondern nur drei Optionen haben: Nichts tun, Accounts auf eine Beobachtungsliste setzen oder komplett sperren.
- Wir halten das für Haarspalterei. CM scheint uns eine treffende Bezeichnung für die Arbeit zu sein, die bei WhatsApp anfällt. Inhaltlich unterscheidet sie sich nicht großartig von den Aufgaben bei anderen Plattformen: Man muss in kurzer Zeit entscheiden, wie man mit teils verstörenden Inhalten umgeht und welche Konsequenzen man daraus zieht. Die psychischen Folgen und posttraumatischen Belastungsstörungen sind hinreichend dokumentiert.
- Für weitere Details zu diesem Thema verweisen wir auf die Briefings #645 und #638.
Wie Inhalte bei WhatsApp landen
- Nutzerïnnen können andere Konten blockieren oder melden (oder beides). Wenn sie sich für die zweite Option entscheiden, leiten sie die letzten fünf Nachrichten des Chats mit dem Account an den Support weiter.
- Das ist kein Geheimnis. Im Hilfebereich schreibt WhatsApp: „Wenn du jemanden meldest, geschieht Folgendes: WhatsApp erhält die neuesten Nachrichten, die du von dem gemeldeten Benutzer oder der gemeldeten Gruppe empfangen hast, sowie Informationen zu deinen neuesten Interaktionen mit diesem Benutzer oder dieser Gruppe.“
- Neu ist nur die Anzahl der Nachrichten. WhatsApp sagt, dass man diese Zahl bewusst nicht nennt, weil das dazu einlade, das System zu missbrauchen.
- Die gemeldeten Nachrichten werden von einer Software in unterschiedliche Kategorien einsortiert, etwa „Spam Report“, „Civic Bad Actor“, „Terrorism Global Credible Threat“ oder CEI, was für child exploitative imagery steht. Anschließend bearbeiten die CM die Inhalte.
- Bei alledem bleibt die E2EE intakt. WhatsApp kann nur auf Inhalte zugreifen, die Nutzerïnnen von sich aus melden und damit weiterleiten, so wie sie Nachrichten auch an Freundïnnen und Bekannte weiterschicken können.
- Man kann WhatsApp vorwerfen, dass es diesen Mechanismus nicht richtig erklärt und ein Großteil der Nutzerïnnen vermutlich nicht weiß, wie die Meldefunktion abläuft. Das ändert aber nichts daran, dass Nachrichteninhalte bei WhatsApp sicher und privat sind.
Was Metadaten verraten
- Einer der spannenderen Aspekte der Recherche geht angesichts des ganzen Geraunes leider ein wenig unter: WhatsApp sammelt massenhaft Metadaten, die in Summe fast genauso viel verraten wie die Inhalte der Nachrichten.
- Wer kommuniziert wann und von wo aus mit wem? Wie oft wird die App geöffnet, welches Handy kommt zum Einsatz, wie stabil ist das Handynetz? Nahezu alle Information, die nicht die Nachrichten selbst betreffen, können gespeichert und analysiert werden.
- WhatsApp teilt diese Daten zum Teil mit Facebook, um Profile zu vervollständigen, Anzeigen besser zuschneiden zu können und mehr Geld zu verdienen. Bei der Übernahme hatte Mark Zuckerberg noch versprochen, die beiden Plattformen niemals miteinander zu verknüpfen. Für diese Täuschung musste Facebook 2017 in der EU 110 Millionen Euro Strafe zahlen (Tagesschau).
- Grundsätzlich ist das längst bekannt und oft erzählt, doch der ProPublica-Bericht geht weiter. Es wird deutlich, dass diese Daten nicht nur bei Facebook, sondern regelmäßig auch bei Sicherheitsbehörden landen.
- Auf Grundlage dieser Daten wurde unter anderem die Whistleblowerin Natalie Edwards identifiziert, die im US-Finanzministerium arbeitete und Informationen an WhatsApp weitergab.
- Wir haben in diesem Briefing oft genug Signal und Threema als sichere und datensparsame Alternativen empfohlen (#693, #695, #705). Deshalb überlassen wir das diesmal Ingo Dachwitz (Netzpolitik):
Auch wenn die Ende-zu-Ende-Verschlüsselung des Messengers funktioniert, ist WhatsApp kein guter Ort für private Kommunikation. Journalist:innen, die auf diesem Messenger vertrauliche Gespräche mit ihren Quellen führen, handeln unverantwortlich. Wer wirklich sicher und datensparsam kommunizieren will, sollte Alternativen wie Threema oder Signal nutzen, die kaum Metadaten speichern.
Be smart
Unabhängig vom fragwürdigen Framing wirft der Text eine wichtige Frage auf: Sollte WhatsApp eine Möglichkeit anbieten, andere Nutzerïnnen und Gruppen zu melden und Nachrichten direkt an den Support weiterzuleiten?
- Was dagegen spricht: Die Funktion lässt sich missbrauchen und könnte für Whistleblowerinnen, Oppositionelle und Journalisten gefährlich sein. Allerdings sollten solche Personen ohnehin keine sensiblen Inhalte an Menschen schicken, denen sie nicht vertrauen. Schließlich können diese auch Screenshots machen oder die Nachrichten auf andere Arten weiterleiten.
- Was dafür spricht: WhatsApp ist ein Massenmedium mit Milliarden Nutzerïnnen. Über den Messenger werden Menschen bedroht und belästigt, Verbrechen geplant und CSAM (child sexual abuse material) ausgetauscht. Allein 2020 übermittelte WhatsApp 400.000 Fälle an die Kinderschutzorganisation NCMEC. Ohne die Meldefunktion wäre das nicht möglich.
- Deshalb glauben wir: Es ist sinnvoll, dass WhatsApp eine Möglichkeit anbietet, verdächtige Accounts zu melden. Unserer Meinung nach ist das ein sinnvoller Kompromiss, der E2EE gewährleistet und trotzdem in begrenztem Umfang Strafverfolgung ermöglicht.
Wie schwierig es ist, einen solchen Kompromiss zu finden, zeigt die Kontroverse, die Apple Anfang August auslöste. Kryptografen, Aktivistinnen und Bürgerrechtsorganisationen warnten eindringlich vor den Plänen, iPhones zu durchleuchten, um CSAM aufzuspüren und Täter zu ermitteln. Im Grundsatz geht es um das gleiche Dilemma: Wie viel Privatsphäre darf man opfern, um Verbrechen zu verhindern?
In Briefing #739 (das wir noch in WordPress einpflegen müssen, deshalb kein Link) schrieben wir:
Wir glauben, dass es nicht darum geht, lauter zu schreien, um die Gegenseite zu übertönen. Es wäre schön, wenn die beiden Anliegen, der Schutz von Kindern und die Privatsphäre von Milliarden Menschen, nicht gegeneinander ausgespielt würden. Dafür sind beide zu wichtig.
Der heftige Widerstand scheint auch Apple beeindruckt zu haben: Am vergangenen Freitag verkündete der Konzern, die Umsetzung um mehrere Monate zu verschieben. Auf Grundlage des Feedbacks von Kundïnnen, Forschern und Interessengruppen werde man sich mehr Zeit nehmen, um Input zu sammeln und Verbesserungen vorzunehmen.
„Feedback“ und „Input“ sind sehr freundliche Formulierungen für die Reaktionen, die Apple auslöste, doch in dem Fall ist der Inhalt wichtiger als die Ausdrucksweise. Mit Sicherheit wird am Ende keine Lösung stehen, die alle zufriedenstellt. Das ist bei einem derart komplexen und emotionalen Thema nicht möglich. Aber vielleicht gibt es einen Kompromiss, mit den Daten- und Kinderschützerïnnen zähneknirschend leben können. Womöglich könnte – und wir hätten wirklich nicht gedacht, dass wir das einmal schreiben würden – WhatsApp zeigen, dass es zwischen Schwarz und Weiß auch noch Grau gibt.
Warum Facebook jetzt smarte Sonnenbrillen verkaufen will
- Facebook beschreibt seine „Ray-Ban Stories“ so: „Smart glasses that give you a new way to capture photos and video, share your adventures and listen to music or take phone calls — so you can stay present with friends, family and the world around you.“
- Vice drückt es etwas weniger charmant aus: „Sunglasses Have Terms of Service Agreements Now, Thanks to Facebook„. Und Katie Notopoulos schreibt gar (BuzzFeed): „A Facebook VP informed me that taping over the LED light was a violation of the terms of service of the glasses.“
- Kurzum: Es gibt einige Gründe, Facebooks Idee, zusammen mit Ray Ban eine smarte Sonnenbrille zu entwickeln und für 299 Dollar zu verkaufen, für einigermaßen bescheuert zu halten.
- Ausgerechnet Facebook, könnte man sagen. Als ob es nicht reichte, dass Google vor acht Jahren mit seiner Brille krachend scheiterte und den Begriff „Glassholes“ prägte – reiche Tech-Bros aus dem Silicon Valley, die sich nicht um die Privatsphäre ihrer Umgebung kümmern und unbemerkt Videos aufnehmen.
- Doch es wäre zu einfach, die Facebook-Brille bereits jetzt als Google Glass 2.0 abzutun. Man kann damit nicht live streamen, sondern nur sprachgesteuert Fotos und Videos aufnehmen, die dann per Bluetooth aufs Smartphone übertragen werden. Dort landen sie in der App Facebook View und können auf anderen Plattformen geteilt werden (auch bei Facebooks direkter Konkurrenz).
- Ein kleines Licht soll der Umgebung signalisieren, dass gerade aufgenommen wird. Ob das aber reicht, um unbemerktes Filmen zu verhindern, ist fraglich.
- Notopoulos fasst es so zusammen: „The privacy features for the glasses wearer are decent; privacy features for the rest of the world? Not so much. The implications for our souls? Hopelessly unclear.“
- Andrew Bosworth, Leiter der Facebook Reality Labs, legt Wert darauf, dass Facebook nicht einfach nur Googles Idee aufgewärmt habe und hoffe, dass die Welt 2021 eher dafür bereit sei als 2013. „This product has not been tried before because we’ve never had a design like this before“, sagt er (NYT). Facebook und Ray-Ban hätten sich eher auf Mode fokussiert als auf die Technik in der Brille.
- Für Mark Zuckerberg dürften die Facebook Glasses ohnehin nur der Einstieg in eine AR/VR-Zukunft sein, von der er schon lange träumt. In Briefing #736 schrieben wir von seiner Version für das Metaverse, in dem analoge und digitale Welt miteinander verschmelzen.
- Im Gespräch mit Fast Company nennt er die Ray-Ban Stories „one milestone on the path to what we envision is the long-term augmented reality glasses“.
- Wir werden uns damit im Laufe der kommenden Wochen noch mal intensiver auseinandersetzen. Fürs Erste wirst du in Deutschland ohnehin keinen Menschen mit Facebook-Brille auf der Nase begegnen: Die Ray-Ban Stories können derzeit nur in den USA, Australien, Kanada, Irland, Italien und Großbritannien bestellt werden.
Social Media und Politik
- Studie zu politischer Propaganda: Eine Studie der Mozilla Foundation macht auf die wachsende Industrie für bezahlte politische Propaganda in den sozialen Medien aufmerksam. Konkret geht es in ihrem Report um eine Desinformationskampagne in Kenia. Dort konnten irreführende Inhalte auf Twitter trenden, womöglich sogar maßgeblich aufgrund von geboosteten Posts. Die Autorïnnen zeigen zum einen, dass es Länder gibt, in denen Menschen bereits für wenige Dollar am Tag (Rest of World) gebucht werden können, um bewusst irreführende Inhalte zu posten. Andererseits wird deutlich, dass Unternehmen wie Twitter bislang nicht ausreichend dafür aufgestellt, solche Kampagnen zu identifizieren und zu stoppen. Ja mehr noch: Derzeit verdienen sie laut Bericht sogar noch daran.
Follow the money
- Werbung in sozialen Medien: Der Bundesgerichtshof hat entschieden, dass Influencerïnnen auf Produkte verweisen dürfen, ohne es als Werbung zu kennzeichnen. (BGH-Pressemitteilung) Allerdings gilt das nur, wenn sie keine Gegenleistung für ihre Postings erhalten. Wie es sich darstellt, wenn eine Influencerïnnen aus freien Stücken (und ohne direkte Gegenleistung) etwas anpreist, dann dafür Wochen später ein freundliches Dankeschön erhält (solche Pakete sollen ja durchaus schon einmal verschickt worden sein), ist somit nicht geklärt. Die Entscheidung aus Karlsruhe bedeutet also nur bedingt mehr Rechtssicherheit für Influencerïnnen. Richtige Klarheit dürfte erst das neue Gesetz bringen, das im Mai 2022 in Kraft tritt.
- YouTube freut sich über 50 Millionen zahlende Abonnentïnnen: Es gibt mittlerweile über 50 Millionen Menschen, die für YouTube Music oder YouTube Premium zahlen (YouTube). Damit liegt YouTube zwar noch immer hinter Spotify (165 Millionen, The Verge) und Apple Music (78 Millionen, Financial Times $). Gleichwohl zeigt die Zahl, dass YouTube längst nicht mehr einzig und allein vom Werbegeschäft abhängig ist: das Geschäft mit Subscriptions boomt.
- ByteDance hätte gern 5 Milliarden Dollar: TikToks Mutterkonzern ByteDance bemüht sich laut The Information derzeit darum, 5 Milliarden Dollar aufzutreiben. Das ist aus zwei Gründen interessant: Zum einen verdient ByteDance gutes Geld und hätte es daher womöglich gar nicht nötig, sich so viel Geld zu pumpen. Allerdings setzt ByteDance nach wie vor am meisten mit seinen Angeboten in China um – allen voran mit Toutiao und TikToks Schwester Douyin. Dieses Geld wiederum darf ByteDance aufgrund von strikten Bestimmungen, denen Unternehmen in China unterworfen sind, nicht ohne Weiteres in Dollar umwandeln. Womit wir bei Punkt 2 wären: ByteDance möchte das Geld nutzen, um einerseits Schulden zu tilgen, und um andererseits den rasanten Aufstieg von TikTok noch weiter zu beschleunigen. Halleluja! Was haben die vor?
- Vergesst Native Ads! Shoppable Content ist der neue Sh!t Ganz ehrlich: Yahoos In-The-Know-Accounts hatten wir bislang nicht im Blick. Auch wussten wir nicht, dass Yahoo damit auf Social super erfolgreich ist: 66 Millionen Follower und mehr als 1 Milliarde Views pro Monat bei Facebook, Instagram, Snapchat, TikTok und Twitter zusammen sprechen für sich. Was wir aber vor allem nicht wussten: Die Formate von In The Know zielen vor allem darauf ab, Inhalte zu produzieren, die Nutzerïnnen kaufen können. Shoppable Content nennt sich das. BuzzFeed nimmt hier dem Vernehmen nach eine Vorreiter-Rolle ein (Adweek). Uns erinnert das stark an die Debatte um Native Ads: Um Anzeigen, die nach redaktionellem Inhalt aussehen, aber eben bezahlte Partnerschaften sind, gab es vor fünf, sechs Jahren große Aufregung. Bei Shoppable Content sind wir jetzt einen Schritt weiter: Bei Formaten wie In The Know gibt es einfach fast gar keinen Inhalt mehr, der nicht zum Konsum anregen soll. Wie heißt es bei Adweek zum Launch des dritten Kanals von In The Know so schön:
Shoppable content, where the line between editorial and commerce thins nearly into nonexistence.
Studien / Reports
- TikTok überholt YouTube bei durchschnittlicher Verweildauer pro Nutzer: In Großbritannien und den USA verbringen Menschen laut einem Bericht von App Annie mittlerweile mehr Zeit auf TikTok als auf YouTube. Zwar hält YouTube weiterhin die Spitzenposition, wenn es um die insgesamt verbrachte Zeit geht (weil es mehr Nutzerïnnen zählt: 2 Milliarden monatlich aktive Userïnnen vs. schätzungsweise 700 Millionen). Mit Blick auf die Dauer pro Nutzer liegt TikTok aber vorn. Die Zahlen untermauern somit das, was viele von euch kennen dürften: Wer TikTok öffnet, kann schnell kleben bleiben. Wie würde DJ Khaled sagen: Another one! And another one! And another one!
Schon einmal im Briefing davon gehört
- Die D’Amelios sind jetzt Reality-TV-Stars: Auf Hulu gibt es nun eine Reality-TV-Show über die Familie D’Amelio. Wer das gleich noch einmal ist? Well, Charli D’Amelio, 17 Jahre, ist TikToks größter Star mit 124 Millionen Followern, ihre Schwester Dixie, 20 Jahre, ist nicht viel weniger berühmt (56 Millionen Follower bei TikTok). Nach unzähligen Werbeverträgen, Plattenverkäufen und Fernsehauftritten folgen sie nun den Kardashians dieser Welt und bekommen zusammen mit ihren Eltern Marc und Heidi ihre eigene Reality-Sendung. Hier der Trailer (YouTube), hier einige Besprechungen: Guardian, BuzzFeed und Washington Post. Das Beispiel zeigt, dass Content Creator längst nicht mehr nur auf Social-Media-Plattformen Stars sein können, sondern als Mainstream-Celebrities anerkannt werden. Unsere Wette: Die D’Amelios werden die ersten echten Social-Media-Milliarde. IRL.
Neue Features bei den Plattformen
Twitter übertrifft sich derzeit wirklich selbst hinsichtlich der Lancierung neuer Features. Was genau hat das Unternehmen eigentlich die letzten zehn Jahre gemacht? Egal. Hier alle neue Entwicklungen im Überblick:
- Communities: Bislang bekamen Twitter-Nutzerïnnen Inhalte ausschließlich deshalb präsentiert, weil sie anderen folgten. Das, was Menschen, denen ich folge, posten, landet bei mir im Feed. Simple. Sämtliche Kommunikation erfolgte auf der Grundlage der sozialen Vernetzung. Von diesem Grundprinzip weicht Twitter nun ab und wagt etwas anderes: Nutzerïnnen können jetzt auch zu bestimmten Themen zusammenfinden (The Verge). In sogenannten Communities (@JoinCommunities) ist es dann irrelevant, ob ich allen folge, die sich äußern. Als Nutzer muss ich lediglich der Community meiner Wahl beitreten und schon erhalte ich sämtliche Posts aller anderen Teilnehmerïnnen – ähnlich wie bei Reddit oder Facebook Gruppen. Twitter erhofft sich davon höheres Engagement und vor allem: mehr monatliche Nutzerïnnen. Bislang ist die Hürde, sich bei Twitter zurechzufinden, ziemlich hoch. Das soll sich mit der Einführung von Communities ändern. Bis du auch einer Commmunity beitreten, bzw. eine anbieten kannst, dürfte allerdings noch etwas Zeit vergehen. Der Rollout hat gerade erst begonnen. In der Zwischenzeit werden wir sicherlich noch viele Artikel lesen, in denen sich kluge Köpfe um die Herausforderungen der Content Moderation in solchen Communities Gedanken machen… Zurecht.
- Neue Optik: Twitter ist jetzt full-width – so wie wir es von Instagram kennen, werden die Fotos (und Texte) jetzt endlich in voller Breite angezeigt und nicht so komisch beschnitten.
- Follower von den eigenen Inhalten aussperren: Twitter testet eine sanftere Art, Follower zu entfernen (TwitterSupport). Anstatt Follower zu blocken und sie dann wieder unzublocken (Gott verzeihe uns unsere Sprache!), können Nutzerïnnen jetzt Follower entfernen, damit sie die eigenen Tweets nicht mehr sehen können, sie aber weiterhin als Follower gelistet werden.
- Alte Tweets verstecken / sich aus Konversationen rausnehmen: Twitter arbeitet zudem an Features, die dabei helfen sollen, einzuschränken, wer sehen kann, welche Tweets einem gefallen. Und an einer Option, um Personen zu erlauben, sich selbst aus einer Unterhaltung auf Twitter zu entfernen (beides The Verge).
One more thing
Das Metaverse, erklärt: „Virtual reality with unskippable ads“ (@dellsystem)
Header-Foto von Jed Villejo