Von Veröffentlicht am

WhatsApp, Signal & der Sicherheits-Mythos

Die große Illusion

Stell dir vor, du kaufst einen Safe, der mit der modernsten Schließtechnik der Welt beworben wird. Der Hersteller verspricht dir: „Niemand außer dir kann hineinschauen.“ Also legst du deine wertvollsten Dokumente hinein – und schläfst beruhigt. Doch irgendwann erfährst du: Der Safe steht zwar verschlossen in deinem Wohnzimmer, aber der Hersteller führt Buch darüber, wann du ihn öffnest, wie oft – und sogar von welchem Raum aus. Und manchmal kann ein geschickter Angreifer den Mechanismus so manipulieren, dass die Verriegelung schwächer ist – ohne dass du es merkst.

Genau so funktioniert WhatsApp.
Mehr als zwei Milliarden Menschen nutzen den Messenger jeden Monat. Er ist für viele das Rückgrat ihrer digitalen Kommunikation – privat wie beruflich. Seit 2016 wirbt Meta (damals noch Facebook) mit vollständiger Ende-zu-Ende-Verschlüsselung (E2EE). Für die meisten bedeutet das: „Hier kann niemand mitlesen, nicht einmal Meta selbst.“

Doch wie so oft in der IT-Sicherheit liegt der Teufel im Detail. Auf der DEFCON 2025 in Las Vegas zeigten zwei österreichische Sicherheitsforscher, wie leicht sich die Sicherheit von WhatsApp unter bestimmten Bedingungen aushebeln lässt – und warum selbst modernste Verschlüsselung nicht schützt, wenn die Protokoll- und Serverarchitektur angreifbar ist.
Das besonders Brisante: Während der Angriffe entstehen Metadaten, die oft mehr über dich verraten als der Inhalt einer einzelnen Nachricht – und genau darüber schweigt Meta.

Die unterschätzte Macht der Metadaten

Meta betont in seiner Werbung: „Deine Nachrichten sind sicher, niemand kann sie lesen.“ Das ist für den Inhalt weitgehend richtig – doch es sagt nichts darüber, wer wann mit wem kommuniziert, wo sich jemand aufhält oder welches Gerät er nutzt.

Diese sogenannten Metadaten sind nicht verschlüsselt und lassen sich aus vielen Quellen gewinnen – auch durch die Angriffe, die die Forscher präsentiert haben.

Warum Metadaten so gefährlich sind:

  • Sie verraten Beziehungsgeflechte: Wer steht in engem Kontakt mit wem?
  • Sie ermöglichen Bewegungsprofile: Wer hält sich wann wo auf?
  • Sie zeigen Verhaltensmuster: Ist jemand morgens, mittags oder nachts aktiv?
  • Sie offenbaren Technikdetails: Welches Handy-Modell, welches OS, welche Verbindung?

Edward Snowden brachte es einst auf den Punkt:

„Mit Metadaten kann man dein gesamtes Leben rekonstruieren – und zwar ohne den Inhalt einer einzigen Nachricht zu lesen.“

Dass WhatsApp genau diese Daten erhebt bzw. deren Ableitung zulässt, wird in der Öffentlichkeit kaum thematisiert – und Meta erwähnt es in der Werbung schlicht nicht.

Neu hinzu kommt (Side-Channel über Zustellbestätigungen):
Neben den Metadaten, die durch das Schlüsselnachladeverhalten entstehen, gibt es eine weitere, besonders perfide Quelle: Zustellbestätigungen. Diese unscheinbaren Signale, die bestätigen, dass eine Nachricht zugestellt wurde, sind nicht dasselbe wie Lesebestätigungen (die man abschalten kann) – und lassen sich nicht deaktivieren. Sie sind für den Dienst technisch notwendig, können aber missbraucht werden.

Aus Zustellbestätigungen und deren Laufzeit (Round-Trip Time, RTT) lassen sich Rückschlüsse ziehen auf:

  • ob ein Gerät online/offline ist
  • ob die App im Vordergrund ist (Nutzungszustand)
  • ob der Bildschirm an/aus ist
  • den Verbindungstyp (LAN/WLAN/Mobilfunk)
  • Geräteklasse und Betriebssystemversion

Besonders kritisch: Die Implementierung unterscheidet sich je nach Gerätetyp. Bei WhatsApp für macOS werden Bestätigungen sogar in umgekehrter Reihenfolge gesendet – ein klarer Fingerabdruck.
Angreifer können mit eigenen Testserien Referenzdatenbanken bauen und spätere Messungen dagegen abgleichen. So lässt sich erkennen, welche Geräte unter einem Konto registriert sind und wann diese typischerweise online sind – nützlich für digitales Stalking, die Auswahl passender Malware-Exploits oder sogar für physische Angriffe, wenn Geräte sicher entsperrt sind.

DEFCON-Analyse: Aktivitätsstatus aus RTT ableiten

Die folgende Abbildung von der DEFCON 2025 zeigt, wie einfach sich aus den Antwortzeiten der Zustellbestätigungen der Aktivitätsstatus eines Geräts ermitteln lässt.

  • Links: iPhone – deutlich erkennbar ist der Unterschied zwischen Bildschirm an (niedrige RTT) und Bildschirm aus (hohe RTT)
  • Rechts: WhatsApp Web im Firefox – orange markiert sind die Zeiten, in denen der Browser-Tab aktiv ist
Tracking Device Activity Status – DEFCON 2025

Forward Secrecy – das Sicherheitsversprechen

Seit 2016 basiert WhatsApp auf dem Signal-Protokoll. Herzstück ist der Double-Ratchet-Algorithmus in Kombination mit Forward Secrecy (FS).
Das Prinzip: Für jede Nachricht wird ein neuer Einmalschlüssel erzeugt und danach verworfen. Selbst wenn ein Schlüssel später kompromittiert wird, bleiben frühere und künftige Nachrichten geschützt.

In der Theorie bedeutet das: Selbst bei einem Datenleck sind vergangene und zukünftige Inhalte sicher. In der Praxis gibt es jedoch angreifbare Übergänge – genau dort setzen die Forscher an.

So wird Forward Secrecy in WhatsApp ausgehebelt

Im Signal-Protokoll werden sogenannte Prekeys (Vorschlüssel) auf dem Server bereitgehalten. Wenn ein Nutzer offline ist, kann der Kommunikationspartner einen Prekey abrufen, um trotzdem eine neue, verschlüsselte Sitzung zu starten.

Der gezeigte Angriff nutzt dieses Verhalten aus:

  1. Der Angreifer kennt die Telefonnummer des Opfers
  2. Mit einem alternativen Client fordert er wiederholt FS-Schlüssel vom WhatsApp-Server an
  3. WhatsApp hat kein Rate-Limiting für diese Anfragen
  4. Lädt das Zielgerät nicht schnell genug neue Schlüssel hoch (besonders iPhones sind hier träge), ist der Vorrat in Sekunden erschöpft
  5. Konsequenz: Erste Nachricht und erste Antwort einer Unterhaltung ohne FS – statt drei nur noch zwei Schlüsselbarrieren

Heikel daran ist:

  • Der Nutzer erhält keine Warnung
  • Der Angriff ist simpel und schnell
  • Schon diese kurzzeitige Schwächung kann für zielgerichtete Angriffe reichen

Fingerabdrücke im Schlüsselverhalten

Noch spannender – und gefährlicher – ist der Nebeneffekt des Angriffs: Geräte-Fingerprinting.
Jedes Smartphone reagiert unterschiedlich schnell, wenn es neue Schlüssel nachladen muss. Diese Geschwindigkeit hängt ab von:

  • Gerätetyp (iPhone, Samsung, Google Pixel …)
  • Betriebssystemversion
  • Netzwerkverbindung (WLAN, LTE …)
  • Aktivitätszustand (Display an/aus)

Ein Angreifer kann so nicht nur feststellen, dass jemand online ist, sondern auch ziemlich genau erkennen, welches Gerät er nutzt und wann er es nutzt.

Characteristic Prekey Refill Behavior

Die auf der DEFCON gezeigte Grafik verdeutlicht diesen Effekt:

  • iPhones (links) zeigen viele rote Balken („keys depleted“) – besonders im Standby oder bei WLAN
  • Android-Geräte (rechts) haben mehr blaue Balken („keys available“) – laden also schneller nach
  • Das Muster ist so charakteristisch, dass es wie ein digitaler Fingerabdruck genutzt werden kann
  • Konsequenz: Selbst ohne eine Nachricht zu entschlüsseln, kann ein Angreifer erkennen, ob ein Nutzer gerade im Büro, zu Hause oder unterwegs ist – und welches Gerät er nutzt
(Bild: Universität Wien/SBA Research)

Der große Hammer: Denial of Service

Die Forscher gingen noch einen Schritt weiter. Werden die Anfragen auf > 2.000 pro Sekunde hochgeschraubt, passiert Folgendes:

  • Der Schlüsselserver für dieses Konto bricht zusammen.
  • Keine neuen Nachrichten/Anrufe können aufgebaut werden – auch legitime nicht
  • Auch Freunde und Kollegen des Opfers sind betroffen – alle Verbindungen scheitern
  • Der Client des Opfers versucht ununterbrochen nachzuladen → der Akku leert sich rasch

Das ist kein Sicherheitsmechanismus, sondern eine Vollblockade durch Überlast.

Ein verwandter Angriff nutzt nicht den Schlüsselvorrat, sondern die Zustellbestätigungen in Kombination mit stillen Nachrichten. Forscher haben gezeigt, dass man speziell präparierte Nachrichten versenden kann, die am Gerät des Opfers nicht angezeigt werden, aber trotzdem Zustellbestätigungen auslösen.

  • Bei Signal wird dies durch ein Intervall von zwei Sekunden pro Nachricht gebremst
  • Bei WhatsApp hingegen konnten die Forscher kein Rate Limiting feststellen – stille Pings können also in hoher Frequenz gesendet werden

So lässt sich über lange Zeiträume hinweg engmaschig beobachten, ob ein Zielgerät aktiv ist – nahezu in Echtzeit, und ohne dass der Nutzer es bemerkt.

Demonstration des DoS-Angriffs

Das Video zeigt eindrucksvoll, wie WhatsApp unter diesem Angriff praktisch „offline“ geht.
Nicht nur der Angreifer selbst wird blockiert – jede Verbindung schlägt fehl. Für den Nutzer gibt es keine Warnung, nur die plötzliche Funkstille.

Datenmüll als Waffe (Client-seitige Validierung)

Ein weiterer Fund: absichtlich falsch formatierte Nachrichten.
Da der Server wegen E2EE die Struktur nicht prüfen kann, erkennt erst der Client die Ungültigkeit – nach dem Empfang.

Folgen:

  • Akkubelastung durch unnötige Verarbeitung
  • Datenverbrauch (Kostenfalle)

Messwerte der Forscher:

  • Signal: bis zu 360 MB/Stunde sinnloser Traffic
  • WhatsApp: bis zu 13 GB/Stunde (!) – wegen größerer zulässiger „Reaktions“-Nachrichten und fehlender Limitierung

Mit mehreren Absendern lässt sich das weiter skalieren.

Signal – theoretisch im gleichen Risiko

Signal nutzt dasselbe Grundprotokoll. Die Forscher haben Signal nicht praktisch auf alle Punkte untersucht, halten ähnliche Effekte aber theoretisch für möglich – abhängig von Implementierungsdetails wie der Anzahl vorab hochgeladener Prekeys und dem Rate-Limiting.

Threema – ein anderes Sicherheitsverständnis

Threema zeigt, dass man Sicherheit ganzheitlich denken kann:

  • Keine Telefonnummer nötig → erschwert zielgerichtete Angriffe
  • Minimale Metadaten → selbst der Server weiß möglichst wenig darüber, wer mit wem kommuniziert
  • Architektur ohne zentrale Prekey-Vorräte → der hier gezeigte Prekey-Erschöpfungsangriff ist nach jetzigem Kenntnisstand nicht in gleicher Form reproduzierbar
  • Regelmäßige Audits (u. a. von unabhängigen Prüfern)

Kurz: Threema schützt nicht nur Inhalte, sondern reduziert auch die Angriffsfläche über Metadaten.

Meta – ein Reaktionsproblem

Meta wurde am 28. März 2025 über die PFS-Problematik informiert und schloss das Ticket zwei Tage später als angebliches Duplikat. Auch zu den Zustellbestätigungs-/RTT-Sidechannels und dem Datenmüll-Angriff blieb die Reaktion lange aus. Später führte WhatsApp eine Option ein, Nachrichten unbekannter Absender ab einem „bestimmten Volumen“ zu blockieren – das hilft jedoch nicht gegen bekannte Kontakte und ist daher kein wirksamer Schutz.

Auch die Signal-Stiftung wurde bereits im September 2024 über den Datenmüll-Angriff informiert. Eine offizielle Stellungnahme blieb aus; die Forscher gehen davon aus, dass ähnliche Effekte auch bei Signal möglich wären, falls dort kein striktes Rate-Limiting oder größere Prekey-Vorräte implementiert sind.

Fazit: Warum WhatsApp keine sichere Wahl ist

  • E2EE schützt Inhalte – nicht Metadaten.
  • FS kann temporär herabgestuft werden – ohne Hinweis
  • Sidechannels über Zustellbestätigungen/RTT erlauben Aktivitäts- und Geräte-Tracking in Echtzeit
  • DoS und Datenmüll-Angriffe sind praktisch durchführbar und belasten Akku/Datenvolumen
  • Meta reagiert auf gemeldete Schwachstellen unzureichend

Wer wirklich sicher kommunizieren will, sollte WhatsApp meiden. Signal ist in Teilen besser, aber nicht garantiert sicher.
Threema bietet aktuell die robusteste Kombination aus starker Kryptografie, Metadaten-Minimierung und verantwortungsvoller Produktpolitik.

Gregor

Gregor

IT-Sicherheitsspezialist und Analyst – trendbewusst, lösungs- und zukunftsorientiert. Mit Leidenschaft für smarte Sicherheitsstrategien, die Technik und Schutz optimal verbinden.