Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
WhatsApp Sicherheit und Datenschutz - Leitfaden für sichere Messenger-Nutzung
Security Awareness

WhatsApp Sicherheit und Datenschutz: Was Sie wirklich wissen müssen

WhatsApp Verschlüsselung, Backdoor-Mythen, WhatsApp Web-Risiken, Sicherheitslücken und Datenschutz-Einstellungen: Der vollständige Leitfaden für sichere WhatsApp-Nutzung.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
12 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Inhaltsverzeichnis (10 Abschnitte)

WhatsApp ist der meistgenutzte Messenger in Deutschland. Kaum ein Kommunikationskanal ist so tief in den Alltag von Privatpersonen und Unternehmen integriert. Genau deshalb lohnt es sich, die Sicherheitsarchitektur des Dienstes genau zu verstehen — und die realen Risiken von den medialen Mythen zu trennen.

Dieser Artikel fasst alle wesentlichen Sicherheits- und Datenschutzaspekte zusammen: von der Ende-zu-Ende-Verschlüsselung über die angebliche Backdoor bis hin zu konkreten Schutzmaßnahmen für WhatsApp Web und Gruppeneinladungslinks.

Die Verschlüsselung bei WhatsApp: Was sie leistet — und was nicht

Asymmetrische Verschlüsselung als Fundament

WhatsApp nutzt Ende-zu-Ende-Verschlüsselung auf Basis eines asymmetrischen Kryptografiesystems. Das bedeutet: Es existieren zwei Schlüssel — ein privater Schlüssel, der ausschließlich auf dem Gerät des Nutzers gespeichert ist, und ein öffentlicher Schlüssel, der auf den Servern von WhatsApp liegt. Nachrichten werden so verschlüsselt, dass nur der jeweilige Empfänger sie entschlüsseln kann — WhatsApp selbst kann die Inhalte nicht mitlesen.

Diese Architektur ist grundsätzlich solide und entspricht dem Stand der Technik. Die konsequente Verschlüsselung auch von Textnachrichten ist ein echter Fortschritt gegenüber früheren Messaging-Systemen.

Das Schlüsselaustausch-Problem

Ein technisch interessantes Problem entsteht, wenn ein Empfänger offline ist und gleichzeitig seinen WhatsApp-Account neu installiert. In diesem Fall generiert das System neue Schlüssel. Wenn nun eine Nachricht eingetroffen ist, während der Empfänger offline war, muss diese Nachricht bei der erneuten Zustellung mit den neuen Schlüsseln verschlüsselt werden.

Bei einem Man-in-the-Middle-Angriff in diesem Zeitfenster würde ein Angreifer theoretisch die neu zugestellte Nachricht im Klartext auf dem Gerät des Empfängers vorfinden — aber nur diese eine Nachricht. Vergangene Gesprächsverläufe bleiben sicher, weil sie mit dem alten Schlüssel verschlüsselt wurden, der dem Angreifer nicht vorliegt.

Die WhatsApp “Backdoor”: Mythos und Realität

Wie der Guardian-Bericht die Diskussion prägte

Im Januar 2017 berichtete der Guardian, WhatsApp besitze eine “Backdoor”, die es ermögliche, vergangene Gesprächsprotokolle mitzulesen. Der Bericht löste erhebliche Aufmerksamkeit aus — und erhebliche Verwirrung. Zahlreiche Sicherheitsforscher widersprachen der Darstellung umgehend.

Kein Backdoor — eine Design-Entscheidung

Was der Guardian als “Backdoor” bezeichnete, ist technisch gesehen eine Designentscheidung bei der Schlüsselverwaltung: Wenn ein Empfänger offline ist und seine Schlüssel wechseln, stellt WhatsApp Nachrichten mit dem neuen Schlüssel erneut zu, ohne den Absender explizit zu warnen. Dies ist ein Kompromiss zwischen Benutzerfreundlichkeit und absolutem Sicherheitsmaximum.

Sicherheitsforscher, das Signal-Team (das denselben Protokollansatz nutzt) und Heise haben die Backdoor-These widerlegt. WhatsApp würde beim Ausnutzen dieser Schwachstelle Gefahr laufen, sich selbst zu entlarven — denn Nutzer können sich benachrichtigen lassen, wenn sich der Schlüssel eines Chatpartners ändert.

So erkennen Sie einen Schlüsselwechsel

WhatsApp bietet eine Einstellung, die Nutzer informiert, wenn sich die kryptografischen Schlüssel eines Kontakts ändern. Diese Funktion lässt sich in den Sicherheitseinstellungen aktivieren. Ein Schlüsselwechsel kann legitime Ursachen haben (Gerätewechsel, Neuinstallation) — er ist aber auch ein mögliches Indiz für einen Angriff.

Empfehlung: Aktivieren Sie die Sicherheitsbenachrichtigungen in WhatsApp. Bei einem unerwarteten Schlüsselwechsel bei einem sensiblen Kontakt lohnt eine Verifikation über einen anderen Kanal.

Die WhatsApp-und-Telegram-Sicherheitslücke: Ein Angriff per Bild

Die Schwachstelle

Im März 2017 deckte das Sicherheitsunternehmen Check Point eine Schwachstelle in den Web-Versionen von WhatsApp und Telegram auf. Die Lücke ermöglichte es Angreifern, durch das Versenden eines präparierten Bildes die vollständige Kontrolle über das Konto des Opfers zu übernehmen — inklusive Zugriff auf Profilbild, persönliche Fotos, Chatverläufe und Kontakte.

Wie der Angriff funktionierte

Das Kernproblem: Die Messenger prüften nicht ausreichend, ob eine empfangene Datei tatsächlich nur das war, was sie zu sein vorgab. Ein scheinbar harmloses Bild konnte Schadcode enthalten. Die Verschlüsselung der Inhalte machte es den Plattformbetreibern schwerer, solche Inhalte automatisiert zu erkennen — denn für die Server sehen verschlüsselte Daten aus wie “Kauderwelsch”.

Der Angriff funktionierte ausschließlich über die Web-App. Die notwendige Session wurde dabei entwendet. Ein weiteres Detail: Wenn Opfer den Browser gleichzeitig wie der Angreifer nutzten, fiel der Angriff auf — eine Session kann nur einmal gleichzeitig genutzt werden.

Konsequenz und aktuelle Lage

Beide Sicherheitslücken wurden nach der Meldung durch Check Point geschlossen. Der Vorfall illustriert jedoch ein grundsätzliches Muster: Mit jeder neuen Funktion entsteht neuer Code — und damit potenziell neue Angriffsfläche. Das vollständige Nutzen aller Funktionen eines Messengers ist aus Sicherheitsperspektive nicht immer ratsam.

WhatsApp Web: Chancen und konkrete Risiken

Wie WhatsApp Web funktioniert

WhatsApp Web ermöglicht es, den Messenger vom Computer aus zu nutzen, ohne Software zu installieren. Die Einrichtung erfolgt in drei Schritten:

  1. Die Adresse https://web.whatsapp.com direkt in die Adressleiste des Browsers eingeben
  2. Den QR-Code mit der Smartphone-App scannen (Android: Chats > Menü > WhatsApp Web; iOS: Einstellungen > WhatsApp Web)
  3. Nach erfolgreichem Scan stehen die Chats auf dem Computer zur Verfügung

Es handelt sich um einen verlängerten Arm des Smartphone-Accounts — kein zweiter Account, sondern dieselbe Identität auf einem weiteren Gerät.

Das größte Sicherheitsrisiko: Der QR-Code-Scan

Die kritischste Stelle im gesamten WhatsApp-Web-Prozess ist der Moment, in dem der QR-Code gescannt wird. Es existieren Phishing-Seiten, die die offizielle Seite web.whatsapp.com täuschend echt nachahmen — teils unter Verwendung kyrillischer Zeichen in der URL, die optisch kaum von lateinischen Buchstaben zu unterscheiden sind.

Wer einen solchen gefälschten QR-Code scannt, übergibt seine Session-Daten an Dritte. Die Chats sind in diesem Fall kompromittiert.

Konkreter Schutz:

  • Die Adresse https://web.whatsapp.com immer manuell in die Browserleiste eintippen
  • Niemals einem externen Link folgen, der angeblich zu WhatsApp Web führt
  • Die URL vor dem Scan auf korrekte Schreibweise prüfen

Fremde Geräte: Die vergessene Abmeldung

Ein weiteres Risiko entsteht auf fremden Computern: Wer sich vergisst abzumelden, hinterlässt den Zugang zu seinen Chats auf einem Gerät, das möglicherweise von anderen Personen genutzt wird.

Maßnahmen:

  • Auf fremden Geräten nach jeder Sitzung manuell abmelden und Browser-Cookies löschen
  • Falls eine Abmeldung vergessen wurde: Die Session lässt sich nachträglich vom Smartphone aus beenden (Einstellungen > Verknüpfte Geräte > Gerät entfernen)

WhatsApp-Störung durch unlesbare Nachrichten

Die “Scary Messages”-Schwachstelle

Eine weitere Schwachstelle betraf die Stabilität der mobilen WhatsApp-App: Sogenannte “Scary Messages” — Nachrichten, die ausschließlich aus Zeichen bestehen, die WhatsApp nicht verarbeiten kann — lösten einen sofortigen App-Absturz aus. Nach dem Absturz blieb Betroffenen in vielen Fällen nur die Neuinstallation der App.

Der Bug stammt ursprünglich aus Brasilien, wo er laut WAbetainfo weit verbreitet war. Er konnte auch über präparierte VCF-Kontaktdateien (virtuelle Kontakte) ausgelöst werden, die über den Messenger geöffnet wurden.

Warum Gruppen das bevorzugte Angriffsziel waren

Solche Nachrichten wurden bevorzugt in WhatsApp-Gruppen verteilt, da der Aufwand pro angegriffenem Opfer deutlich sinkt: Eine einzige Nachricht trifft alle Gruppenmitglieder gleichzeitig.

Schutzmaßnahmen

Einstellung “Wer kann mich zu Gruppen hinzufügen”: Unter Einstellungen > Account > Datenschutz > Gruppen lässt sich festlegen, dass nur Kontakte aus der eigenen Adressliste die Möglichkeit haben, den Nutzer zu einer Gruppe hinzuzufügen. Fremde können dann nicht mehr ohne Umweg Kontakt aufnehmen.

WhatsApp Web als temporärer Schutz: Da der Bug ausschließlich in den mobilen Versionen von WhatsApp bestand, konnten Nutzer in dem Zeitraum, in dem der Bug bekannt war, die Desktop-Version nutzen. Beim Öffnen der Nachricht über den Browser passierte nichts.

WhatsApp ermöglicht es Gruppenadministratoren, Einladungslinks zu erstellen. Wer einen solchen Link besitzt, kann der Gruppe beitreten — ohne dass ein Mitglied ihn explizit einladen muss. Die Links bestehen aus der Basis-URL chat.whatsapp.com/invite/ gefolgt von rund 22 zufälligen Zeichen.

Das klingt nach ausreichend Entropie — ist es bei einer zufälligen Eingabe auch. Das Problem entsteht, wenn diese Links bewusst oder unbewusst öffentlich geteilt werden.

Das Suchmaschinenindexierungs-Problem

Google hat auf öffentlichen Druck hin alle chat.whatsapp.com-Links aus seinem Suchindex entfernt. Zum Zeitpunkt der Berichterstattung waren jedoch über die Suchmaschine Bing von Microsoft mittels einfachem site:-Operator mehr als 200.000 WhatsApp-Gruppenchats auffindbar — darunter Familien-, Sport- und Vereinsgruppen.

Betroffene Gruppenadministratoren hatten keine Möglichkeit, die Indexierung eigenständig zu verhindern. Die Deindexierung liegt allein bei den Betreibern der Messenger-Plattform und der Suchmaschinen.

Konsequenzen für Unternehmen

Wer interne Kommunikation über WhatsApp-Gruppen mit teilbaren Einladungslinks organisiert, riskiert, dass diese Links in Suchmaschinen oder über Dritte öffentlich zugänglich werden. Für vertrauliche Unternehmensgespräche ist WhatsApp mit öffentlichen Gruppenlinks daher ungeeignet.

Empfehlungen:

  • Für interne Unternehmenskommunikation auf Messenger-Lösungen mit verwalteten Zugängen setzen (z. B. Microsoft Teams, Signal mit eigener Infrastruktur oder Threema Work)
  • Bestehende WhatsApp-Gruppen auf aktive Einladungslinks prüfen und diese bei Bedarf zurücksetzen
  • Einladungslinks niemals in öffentlich zugänglichen Bereichen teilen (Websites, offene Social-Media-Posts)

Sicherheitseinstellungen, die jeder aktivieren sollte

Aus den beschriebenen Schwachstellen und Risiken lassen sich konkrete Einstellungsempfehlungen ableiten:

1. Schlüsselwechsel-Benachrichtigungen aktivieren Einstellungen > Account > Sicherheit > Sicherheitsbenachrichtigungen anzeigen

2. Gruppen-Datenschutz einschränken Einstellungen > Account > Datenschutz > Gruppen: Auf “Meine Kontakte” oder “Meine Kontakte außer…” setzen

3. Verknüpfte Geräte regelmäßig prüfen Einstellungen > Verknüpfte Geräte: Unbekannte oder nicht mehr genutzte Sessions beenden

4. Zwei-Schritt-Verifizierung aktivieren Einstellungen > Account > Zwei-Schritt-Verifizierung: Eine PIN als zweite Schutzebene für den Account

5. WhatsApp Web ausschließlich über die offizielle URL nutzen Immer manuell https://web.whatsapp.com eingeben — niemals einem externen Link folgen

WhatsApp im beruflichen Kontext: Was gilt?

WhatsApp ist nach deutschem und europäischem Datenschutzrecht (DSGVO) für die berufliche Kommunikation mit Kundendaten, sensiblen Informationen oder personenbezogenen Daten problematisch. Meta, der Eigentümer von WhatsApp, verarbeitet Metadaten — also wer mit wem kommuniziert, wann und wie häufig — auch wenn die Nachrichteninhalte verschlüsselt sind.

Für Unternehmen, die die Nutzung von WhatsApp zulassen oder organisieren, empfiehlt sich:

  • Eine klare Richtlinie, welche Informationen über WhatsApp geteilt werden dürfen
  • Die Prüfung einer datenschutzkonformen Alternative für sensible Kommunikation
  • Security-Awareness-Schulungen, die auch den sicheren Umgang mit Messengern thematisieren

Alternativen mit stärkeren Datenschutzgarantien

Wer über den Tellerrand von WhatsApp hinausschauen möchte: Signal und Threema bieten ähnliche Funktionen mit deutlich weniger Metadaten-Sammlung. Signal ist Open Source und wird von Sicherheitsforschern weltweit geprüft. Threema ermöglicht eine anonyme Nutzung ohne Telefonnummernbindung.

Der Wechsel zu einem anderen Messenger hat in Deutschland eine hohe Hürde — WhatsApp ist schlicht dort, wo die Mehrheit ist. Für Unternehmenskommunikation und vertrauliche Gespräche lohnt sich die zusätzliche Einrichtung eines sichereren Kanals dennoch.

Fazit: WhatsApp ist kein Sicherheitsmonster — aber kein Hochsicherheitssystem

WhatsApp bietet eine solide Grundverschlüsselung für alltägliche Kommunikation. Die Backdoor-Diskussion war größtenteils mediale Übertreibung. Die realen Risiken liegen woanders: in Phishing über gefälschte WhatsApp-Web-Seiten, in öffentlich indexierten Gruppeneinladungslinks, in vergessenen angemeldeten Sitzungen auf fremden Geräten und in der Metadatensammlung durch den Betreiber.

Mit den richtigen Einstellungen und einem bewussten Umgang lässt sich WhatsApp deutlich sicherer nutzen — für private Zwecke. Für vertrauliche Unternehmensdaten sollten andere Kanäle bevorzugt werden.

Wenn Sie in Ihrem Unternehmen eine Security-Awareness-Schulung durchführen möchten, die auch den sicheren Umgang mit Messengern und mobilen Kommunikationstools umfasst, erfahren Sie mehr unter /leistungen/security-awareness/. Wie gut Ihre Mitarbeiterinnen und Mitarbeiter auf Social-Engineering-Angriffe vorbereitet sind — auch über WhatsApp — können Sie mit einer Phishing-Simulation testen.

Weiterführend: Lesen Sie auch unseren Artikel WhatsApp-Betrug erkennen und verhindern, der sich mit gefälschten Chatverläufen, Messenger-Phishing und Social-Engineering-Angriffen über WhatsApp befasst.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung