foto freepik

Milliarden Menschen nutzen WhatsApp täglich – oft mit dem Gefühl, in einem geschützten, privaten Raum zu kommunizieren. Doch was, wenn dieser Raum in Wahrheit erstaunlich transparent ist? Und was, wenn ausgerechnet die Mobiltelefonnummer, die WhatsApp als Fundament nutzt, zur größten Schwachstelle wird?

Ein beunruhigender Sicherheitsfund der Universität Wien erschütterte letztes Jahr das Vertrauen in WhatsApp. Die Forscher zeigten, dass sich mithilfe eines simplen technischen Tricks das komplette WhatsApp-Verzeichnis automatisiert auslesen lässt – insgesamt 3,5 Milliarden aktive Telefonnummern und dazu eine enorme Menge öffentlich sichtbarer Profildaten. Das war kein klassischer Server-Einbruch, doch die Konsequenzen sind nicht weniger gravierend. Das Grundproblem liegt im System selbst: WhatsApp basiert vollständig auf der Telefonnummer als Identifikator. Genau diese Konstruktion macht das Netzwerk anfällig für Massenabfragen und Missbrauch.

Der Vorfall legt zwei zentrale Gefahren offen. Die erste entsteht, wenn Kriminelle die Kontrolle über ein WhatsApp-Konto übernehmen. Die zweite beginnt bereits dann, wenn Angreifer lediglich die Telefonnummer eines Nutzers kennen – kombiniert mit den öffentlich freigegebenen Profildaten.

Gefahr 1: Wenn Kriminelle ein WhatsApp-Konto übernehmen

Viele Nutzer unterschätzen, wie weitreichend die Folgen sind, sobald ein Angreifer Zugriff auf ein WhatsApp-Konto erlangt – sei es über einen SIM-Swap, über Social-Engineering, den Verlust eines Smartphones oder über Fehler beim Wiederherstellungsprozess. Ein kompromittiertes Konto verschafft dem Täter sofortigen Zugang zu sämtlichen Gruppen, in denen der Nutzer Mitglied ist. Das umfasst Familienchats, Kinder- oder Elterngruppen, Schul-, Vereins- und Nachbarschaftsgruppen und nicht selten sensible berufliche Team- oder Projektchats. Auch Gruppen mit restriktivem Zugang sind davon betroffen.

Durch diesen automatischen Eintritt in alle Gruppen kann der Angreifer nicht nur mitlesen, sondern auch unter fremdem Namen schreiben, Links versenden, Dokumente verteilen oder gezielt einzelne Mitglieder manipulieren. Besonders gefährlich ist der Multiplikationseffekt: In vielen Gruppen befinden sich weitere Telefonnummern, die der Täter wiederum für Folgeangriffe nutzen kann.

Hinzu kommt, dass ein Angreifer über das Konto extrem glaubwürdig auftritt. Nachrichten wie »Ich brauche dringend Geld« oder »Kannst du mir einen Code weiterleiten?« wirken authentisch, weil sie unter der richtigen Nummer erscheinen und aus dem vertrauten Chatfenster kommen. Die Erfahrung zeigt: Viele fallen genau auf diese Art des Social Engineering herein. Ist das Smartphone zudem unzureichend geschützt, erhält der Täter Zugriff auf ältere Chatverläufe, Fotos, Dokumente und vertrauliche Absprachen – ein idealer Ausgangspunkt für Erpressung oder gezielte Desinformation.

Gefahr 2: Wenn Kriminelle nur die Telefonnummer besitzen

Doch die zweite Gefahr ist fast noch relevanter. Die Telefonnummer ist längst mehr als ein Kontaktmerkmal; sie ist ein Schlüssel zur digitalen Identität. Umso bedenklicher ist es, dass die Wiener Forscher nicht nur die Telefonnummern, sondern auch massenhaft Profildaten erfassen konnten. Ihre Analyse zeigt, dass 57 Prozent aller WhatsApp-Nutzer ein öffentlich sichtbares Profilbild hinterlegt hatten. Rund 29 Prozent verwendeten außerdem einen frei sichtbaren »About«-Text. In einer Stichprobe enthielten zwei Drittel der Profilbilder erkennbare Gesichter. Sämtliche dieser Daten ließen sich vollständig automatisiert abrufen.

Diese Kombination eröffnet neue Dimensionen für Angriffe. Die heute problemlos verfügbare Gesichtserkennung erlaubt es, aus Millionen Profilbildern eine Datenbank aufzubauen, die Gesichter Personen zuordnet – samt Telefonnummer. So lassen sich Menschen über andere Plattformen wiederfinden, Identitätsdiebstähle vorbereiten oder glaubwürdige Fake-Profile erstellen. Die öffentlich hinterlegten »About«-Texte liefern darüber hinaus persönliche Informationen, die von politischen oder religiösen Hinweisen über berufliche Details bis hin zu Links auf private Profile reichen. Angreifer erhalten damit alles, was sie für maßgeschneiderte Social-Engineering-Angriffe benötigen.

Besonders kritisch wird es, wenn die Telefonnummer selbst zum Angriffswerkzeug wird. SIM-Swapping etwa ermöglicht es Kriminellen, die Nummer eines Opfers auf eine fremde SIM-Karte zu übertragen, um alle SMS – einschließlich Sicherheitscodes – abzufangen. Viele Online-Dienste nutzen SMS bis heute für Passwort-Resets, wodurch Kontoübernahmen leicht möglich werden. Gefälschte Paket- oder Banknachrichten wirken ebenfalls glaubwürdiger, wenn sie an eine validierte Nummer geschickt werden. Und mithilfe von Nummern-Spoofing können Angreifer im Namen ihrer Opfer telefonieren und deren Vertrauen verspielen.

Das strukturelle Datenschutzproblem von WhatsApp

Der Vorfall zeigt zudem, dass die Schwachstelle nicht allein technischer Natur ist. WhatsApp arbeitet mit einem System, das auf Telefonnummern basiert und regelmäßig Kontaktlisten abgleicht. Profildaten sind in den Standardeinstellungen weit sichtbar, und zahlreiche Metadaten – etwa Profiländerungszeiten, Geräteinformationen oder Aktivitätsmuster – lassen sich technisch auswerten. Dass WhatsApp zum Meta-Konzern gehört, verstärkt die Bedenken zusätzlich, da dort ein geschäftliches Interesse an der Auswertung solcher Daten besteht. Selbst wenn Inhalte verschlüsselt sind, bleibt das Ökosystem ein attraktiver Datenpool.

Welche Alternativen es gibt

Wer Wert auf Datenschutz legt, muss sich nicht länger auf diese Strukturen verlassen. Es gibt längst Messenger, die ohne Telefonnummer auskommen und die oben beschriebenen Probleme grundsätzlich vermeiden. Dienste wie Session, Briar, Element/Matrix oder Threema arbeiten mit anonymen oder pseudonymen IDs statt mit Telefonnummern. Selbst Plattformen wie Discord oder Telegram können so genutzt werden, dass keine persönliche Nummer offengelegt wird. Diese Alternativen reduzieren den möglichen Schaden drastisch, da sie keine frei abrufbaren Nummern oder Profildaten anbieten.

Fazit

Die Wiener Studie macht deutlich, wie transparent WhatsApp-Nutzer im globalen Maßstab geworden sind. 3,5 Milliarden Telefonnummern, mehr als die Hälfte aller Profilbilder öffentlich, Millionen identifizierbare Gesichter – all das zeigt, dass WhatsApp ein gigantischer Datenpool geworden ist, auf den Kriminelle und Datenhändler leicht zugreifen können. Wer seine digitale Identität schützen will, sollte nicht nur seine Telefonnummer absichern, sondern grundsätzlich hinterfragen, ob WhatsApp der richtige Kommunikationsweg ist.

Hermann Sauer

Hermann Sauer ist Gründer und Geschäftsführer der Comidio GmbH, einem Unternehmen, das sich mit der TrutzBox auf den Schutz der digitalen Privatsphäre und Anonymität spezialisiert hat. Mit mehr als 20 Jahren Erfahrung in der IT-Sicherheitsbranche setzt sich Herr Sauer engagiert für den Schutz persönlicher Daten und die Wahrung der Online-Anonymität ein. Als Experte für Datenschutz und Cybersicherheit ist Herr Sauer auch als Autor und Referent aktiv und teilt regelmäßig sein Wissen über den sicheren Umgang mit persönlichen Daten im Internet. https://trutzbox.de/

560 Artikel zu „WhatsApp“

News | IT-Security | Tipps

Finanzieller Schaden durch Vatertagsgrüße – Vorsicht vor Fake-WhatsApp und Fake-SMS

28. Mai 2025

Am 29. Mai ist Vatertag – für viele Kinder einen willkommenen Anlass, ihrem Vater eine kleine Freude zu machen. Ob mit einem humorvollen Spruch, einem Bild aus der Kindheit oder einer persönlichen WhatsApp-Nachricht – die Botschaft zählt: »Ich denk an dich, Papa!« Wenn Väter an diesem Tag auf ihr Handy blicken, sind solche Nachrichten oft ein…