Eine neue Klage(neues Fenster) rückt die Sicherheit von WhatsApp wieder ins Rampenlicht. Attaullah Baig, der ehemalige Sicherheitschef der App, behauptet, dass Meta kritische Schwachstellen ignoriert habe, die es Hunderten von Mitarbeitern ermöglichen, auf sensible Benutzerdaten zuzugreifen, und es versäumt habe, massenhafte Kontohacks zu stoppen. Meta bestreitet die Vorwürfe, aber für die 3 Milliarden Benutzer von WhatsApp(neues Fenster) ist die Frage dieselbe: Ist die Nutzung von WhatsApp wirklich sicher?

Ist WhatsApp für private Chats sicher?

Trotz der Behauptungen in der Klage bleibt die Ende-zu-Ende-Verschlüsselung (E2EE) von WhatsApp intakt. Nichts deutet darauf hin, dass das Verschlüsselungsprotokoll von WhatsApp geknackt wurde oder dass Meta die Inhalte deiner Unterhaltungen lesen kann. Das bedeutet, dass deine Texte, Fotos und Sprachanrufe weiterhin vor dem Zugriff von außen geschützt sind, einschließlich Meta selbst.

WhatsApp kann jedoch deine Metadaten lesen (mit wem du sprichst, wann usw.) und teilt diese Daten je nach deinem Wohnort mit Meta. Die Sicherheit hängt also davon ab, wie viele Informationen du privat halten möchtest.

Warum wird Meta wegen Bedenken zur WhatsApp-Privatsphäre verklagt?

Attaullah Baig, der das Sicherheitsteam von WhatsApp zwischen 2021 und 2025 leitete, sagt, die App sei bei weitem nicht so privat, wie Meta behauptet. In seiner Klage wirft er vor, dass rund 1.500 Mitarbeiter Zugriff auf sensible Benutzerinformationen haben, einschließlich Standort, Profilfotos, Gruppenmitgliedschaften und Kontaktlisten.

Wenn diese Behauptungen wahr sind, würden sie WhatsApp’s Position zur Ende-zu-Ende-Verschlüsselung(neues Fenster) klären: Deine Nachrichten sind privat, aber dein Standort, deine Profilfotos, Gruppenmitgliedschaften und Kontaktlisten sind Freiwild. Diese Art von uneingeschränktem Zugriff öffnet Tür und Tor für Bedrohungen von innen und Datenlecks, bei denen sensible Informationen gestohlen und im Dark Web verkauft werden könnten.

Der ehemalige Sicherheitschef argumentiert, dass dieses Ausmaß an Zugriff auch gegen eine verbindliche Anordnung der US-Regierung verstoßen könnte, die Meta (damals Facebook) zwang, eine Rekordstrafe von 5 Milliarden Dollar im Jahr 2020(neues Fenster) nach dem Cambridge-Analytica-Skandal zu zahlen.

Er behauptet auch, das Unternehmen habe mehr als 100.000 tägliche Kontoübernahmen ignoriert und seine vorgeschlagenen Lösungen abgelehnt. Laut der Klage feuerte Meta Baig, als er diese Bedenken gegenüber der Führungsriege, einschließlich Mark Zuckerberg, äußerte.

Meta hat Baigs Behauptungen bestritten und seine Entlassung auf schlechte Leistung zurückgeführt. Die Vorwürfe haben auch politische Aufmerksamkeit erregt, wobei Senatoren Zuckerberg(neues Fenster) wegen Antworten zu den Sicherheitspraktiken von WhatsApp unter Druck setzen.

Baigs Klage kommt nur wenige Tage, nachdem eine Gruppe von sechs aktuellen und ehemaligen Meta-Mitarbeitern(neues Fenster) behauptet hatte, das Unternehmen habe Beweise dafür vertuscht, dass Kinder auf seinen Virtual-Reality-Plattformen Grooming, Belästigung und Gewalt ausgesetzt seien. Meta bestritt auch diese Behauptungen.

Welche Sicherheits- und Privatsphärerisiken gibt es bei WhatsApp?

Da der Umgang von WhatsApp mit Benutzerdaten im Rampenlicht steht, sind hier die Sicherheits- und Privatsphärerisiken, denen du bei der Verwendung dieser App ausgesetzt sein könntest:

Malware und Spyware

Bösartige Apps oder Links können Spyware auf deinem Telefon installieren, die es Angreifern ermöglicht, Nachrichten oder Codes abzufangen. Ein Beispiel ist PixPirate(neues Fenster), eine Android-Malware, die zuerst in Brasilien entdeckt wurde, wo sie auf das dortige Sofortzahlungssystem Pix abzielte. Sie wurde inzwischen auch in Indien, Mexiko und Italien beobachtet. Ihr Ziel ist es, Bankdaten zu stehlen, Zwei-Faktor-Authentifizierung (2FA)-Codes abzufangen, unbefugte Pix-Überweisungen vom Konto eines Opfers zu veranlassen und Versuche zu blockieren, sie zu deinstallieren oder Google Play Protect zu deaktivieren.

Angreifer haben WhatsApp genutzt, um PixPirate zu verbreiten. Wenn die Malware WhatsApp auf dem Gerät nicht erkennt(neues Fenster), lädt sie es herunter, um weitere bösartige Links an Kontakte zu senden.

Zero-Click-Exploits

Im Jahr 2025 entdeckten Forscher einen Zero-Click-Angriff, der es Hackern ermöglichte, über WhatsApp in iPhones und Macs einzubrechen(neues Fenster), ohne dass Benutzer irgendetwas anklicken mussten. Der Exploit kombinierte zwei Schwachstellen: eine in der Art und Weise, wie macOS und iOS Bilder verarbeiteten, und eine weitere in der Geräteverknüpfungsfunktion von WhatsApp.

Cyberkriminelle konnten Spyware über WhatsApp-Nachrichten an Apple-Benutzer liefern und Daten von ihren Geräten stehlen, einschließlich Nachrichten. Meta sagte, dass weniger als 200 Benutzer betroffen waren, und sowohl Apple als auch WhatsApp haben die Schwachstellen inzwischen behoben.

Im selben Jahr betraf eine separate Zero-Click-Schwachstelle Samsung-Geräte (CVE-2025-21042(neues Fenster)). Angreifer konnten Galaxy-Telefone gefährden, indem sie eine bösartige Bilddatei sendeten, ohne dass eine Interaktion erforderlich war. Dieser Exploit wurde in gezielten Spyware-Kampagnen verwendet, bis Samsung das Problem in seinem Sicherheitsupdate vom April 2025 behob.

SIM-Swapping und Betrug mit Bestätigungscodes

Angreifer könnten deinen Mobilfunkanbieter austricksen, damit er deine Telefonnummer auf eine neue SIM-Karte überträgt, die sie kontrollieren. Dann können sie dich dazu bringen, den sechsstelligen Code zu teilen, den WhatsApp per SMS sendet, wenn ein neues Gerät eingerichtet wird. Wenn du ihn aushändigst, können böswillige Akteure dein Konto kapern, dich aussperren, deine Identität stehlen und dein Profil nutzen, um deine Kontakte zu betrügen. Die Polizei in Southwark, London, berichtete 2021 über einen Anstieg dieser Angriffe(neues Fenster) und warnte die Menschen, ihre WhatsApp-Codes niemals zu teilen.

Offengelegte Metadaten

Chats mögen Ende-zu-Ende-verschlüsselt sein, aber WhatsApp (und sein Mutterunternehmen Meta) sammelt dennoch Metadaten – wie zum Beispiel, mit wem du sprichst, wie oft, deine Gerätedetails und deinen Standort. Metadaten können nicht verwendet werden, um dich direkt zu identifizieren, aber sie können mit anderen Informationen abgeglichen werden, um dich wieder zu identifizieren(neues Fenster). Und da Meta seinen Sitz in den USA hat, kann es alles, was es über dich weiß, ohne Ankündigung mit der US-Regierung teilen.

Massenhafte Offenlegung von 3,5 Milliarden WhatsApp-Telefonnummern

Im Jahr 2025 entdeckte(neues Fenster) eine Gruppe unabhängiger österreichischer Forscher eine Privatsphärelücke in WhatsApp, die es ihnen ermöglichte, 3,5 Milliarden Telefonnummern abzurufen – zusammen mit Profilfotos, Gerätedetails, Zeitstempeln, „Info“-Texten und Geschäftsinfos –, indem sie eine leicht reproduzierbare Methode zur Telefonnummern-Aufzählung verwendeten. Dieselbe Schwachstelle wurde erstmals 2017 gemeldet, aber Meta hat sie nicht behoben. Wichtig ist, dass kein bestätigtes WhatsApp-Datenleck öffentlich gemeldet wurde, das diese spezifische Methode ausgenutzt hat.

Obwohl deine Telefonnummer und Metadaten dich nicht direkt identifizieren, können sie mit anderen Daten abgeglichen werden, um zu enthüllen, wer du bist. Vielleicht verwendest du dasselbe Profilfoto auf verschiedenen sozialen Plattformen oder du warst Teil früherer Datenlecks, bei denen deine E-Mails, Benutzernamen oder dein Standort offengelegt wurden – all das kann mit deinen WhatsApp-Metadaten verknüpft werden.

Die Forscher erhielten auch die öffentlichen Schlüssel, die für die Ende-zu-Ende-Verschlüsselung von WhatsApp verwendet werden, und fanden ernsthafte Probleme, einschließlich Verschlüsselungsschlüsseln, die hunderte Male über verschiedene Konten hinweg wiederverwendet wurden, und einmaligen Pre-Keys, die wiederholt auftauchten, obwohl sie so konzipiert sind, dass sie für jede Sitzung neu generiert werden.

Diese Sicherheitsprobleme deuten auf die Verwendung inoffizieller oder betrügerischer WhatsApp-Clients mit defekter Verschlüsselung hin. Wenn du diese modifizierten Apps verwendest, könnten deine Nachrichten anfällig für Abfangen, Entschlüsselung oder Konto-Imitation sein.

Meta sagte, es habe das Aufzählungsproblem behoben, spielte die Sensibilität der offengelegten Daten herunter und ging nicht auf die Public-Key-Probleme oder die Tatsache ein, dass es fast ein Jahrzehnt zuvor vor dieser großen Schwachstelle gewarnt worden war.

Gezielte Werbung auf allen Meta-Plattformen

WhatsApp sagt, es verwendet keine Nachrichteninhalte für Werbung(neues Fenster), aber es nutzt andere Daten – wie Kontoinfos (Ländercode, Alter), Geräteinfos (Sprache, Standort) und Aktivitäten in Status und Kanälen (was du ansiehst, wem du folgst oder was du anklickst). Da WhatsApp Teil von Meta ist, können diese Daten über Facebook und Instagram geteilt werden, obwohl dieser Datenaustausch in Europa dank der DSGVO eingeschränkt ist.

Seit WhatsApp seine Datenschutzerklärung 2021 geändert hat, teilt es auch Zahlungs- und Transaktionsdaten, die du möglicherweise mit Unternehmen hattest, mit Meta (damals Facebook). Wenn du WhatsApp mit dem Meta Kontencenter verbindest, werden deine Werbepräferenzen vereinheitlicht, was bedeutet, dass Aktionen in WhatsApp die Werbung beeinflussen können, die du anderswo siehst. Und mit neuen Funktionen, die von Meta AI unterstützt werden, wirft das Teilen von Daten über Plattformen hinweg noch mehr Bedenken auf.

Meta-KI-Training

Meta AI ist in WhatsApp, Facebook und Instagram eingebettet und schürt Sorgen darüber, wie Daten verarbeitet, für KI-Training verwendet und über diese Plattformen hinweg geteilt werden.

Auf WhatsApp sagt Meta, dass Meta AI nicht auf deine privaten, Ende-zu-Ende-verschlüsselten Chats zugreift. Die Prompts und das Feedback, das du mit Meta AI teilst, können jedoch gespeichert und zur Verbesserung seiner Modelle verwendet werden. WhatsApp bietet auch eine Gesprächszusammenfassungs-Funktion, die auf „privater Verarbeitung“(neues Fenster) beruht, von der Meta behauptet, dass sie verhindert, dass Zusammenfassungen vom Unternehmen oder jemand anderem gelesen werden.

Selbst mit diesen Zusicherungen bleiben Bedenken darüber bestehen, wie viel Kontrolle die Menschen wirklich über ihre Daten haben. Zum Beispiel haben Facebook-Benutzer berichtet, dass Meta AI Einstellungen aktiviert hat, die es erlaubten, unveröffentlichte Fotos aus ihrer Kamera-Rolle zu scannen, ohne ihre Zustimmung.

Wie du auf WhatsApp sicher bleibst

Hier ist, was du tun kannst, um deine Privatsphäre und Sicherheit bei der Nutzung von WhatsApp zu verbessern:

  • Verwende immer die offiziellen WhatsApp-Apps aus dem App Store oder von Google Play, um sicherzustellen, dass deine Ende-zu-Ende-Verschlüsselung korrekt funktioniert.
  • Schalte Sicherheitsbenachrichtigungen auf deinem Telefon ein, um Warnungen zu erhalten, wenn ein Kontakt WhatsApp neu installiert, das Telefon wechselt oder ein verknüpftes Gerät hinzufügt oder entfernt.
  • Erstelle einen Passkey, damit du dich mit deinem Gesicht, Fingerabdruck oder deiner Bildschirmsperre bei WhatsApp anmelden kannst. Dies verhindert, dass sich jemand anderes anmeldet, selbst wenn er deinen SMS-Code erhält.
  • Füge eine E-Mail-Adresse hinzu, um dein Konto zu verifizieren oder wiederherzustellen, falls du ausgesperrt wirst. Stelle sicher, dass deine E-Mail selbst mit einem starken Passwort und Zwei-Faktor-Authentifizierung gesichert ist.
  • Aktiviere Ende-zu-Ende-verschlüsselte Sicherungen, um deine Chats in iCloud oder Google Drive zu schützen, sodass nicht einmal Apple, Google oder Meta sie lesen können. WhatsApp lässt dich keinen Anbieter für Cloud-Speicher wählen. Andernfalls solltest du Chat-Sicherungen vollständig deaktivieren.
  • Teile deinen sechsstelligen Bestätigungscode niemals mit jemandem. WhatsApp und Meta werden niemals danach fragen.
  • Bitte deinen Mobilfunkanbieter, eine PIN oder Passphrase hinzuzufügen, bevor deine Nummer auf eine andere SIM-Karte übertragen werden kann. Dies macht SIM-Swapping viel schwieriger.
  • Lade WhatsApp nur aus dem Google Play oder App Store herunter und halte es – sowie dein mobiles und Desktop-Betriebssystem – auf die neueste Version aktualisiert.
  • Klicke niemals auf Links oder installiere Apps von unbekannten oder verdächtigen WhatsApp-Kontakten. Wenn du dir bei einem Kontakt unsicher bist, kontaktiere ihn über eine andere Methode, um seine Identität zu bestätigen.
  • Schränke deine (neues Fenster)WhatsApp-Privatsphäre-Einstellungen(neues Fenster) ein, indem du begrenzt, wer dich zu Gruppen hinzufügen und dein Profilbild, „Zuletzt online“ und Online-Status, Info-Bereich und Links in deinem Profil sehen kann.
  • Du kannst Meta AI auf WhatsApp nicht vollständig deaktivieren, aber du kannst Maßnahmen ergreifen, um zu verhindern, dass es zu viel aus deiner Aktivität lernt – und deine Nachrichten davor schützen, in KI-Trainingsdaten zu landen.

Wähle eine privatere Instant-Messaging-App

Obwohl du Maßnahmen ergreifen kannst, um deine Sicherheit zu verbessern und einzuschränken, was andere WhatsApp-Benutzer sehen können, ändert dies nichts an der Tatsache, dass Meta für seinen Umsatz immer noch auf das Sammeln von Benutzerinformationen, wie Metadaten, angewiesen ist. Wenn die jüngsten Behauptungen des Whistleblowers zutreffen, könnte dieser Zugriff noch umfassender sein, als das Unternehmen zugibt. Angesichts von Metas Geschichte von Privatsphäre-Verstößen ist eine gewisse Skepsis gerechtfertigt.

Wenn du dir Sorgen über dieses Maß an Kontrolle machst, ziehe eine privatere Alternative zu WhatsApp in Betracht, die weit weniger Daten sammelt und nicht an ein Big-Tech-Unternehmen gebunden ist, das von Aufsichtsbehörden für sein „Pay-or-Consent“-Werbemodell bestraft wurde.