6. Mai 2026 Wie Privatsphäre-Einstellungen bei WhatsApp Nutzer/innen gefährden können

Gabriel Gegenhuber ist Researcher bei SBA Research und forscht seit mehreren Jahren zu Sicherheits- und Privatsphäre-Aspekten in der Mobilfunkkommunikation sowie bei Instant-Messaging-Diensten.

Im Zuge des FFG-KIRAS-Projekts TelCrit untersuchte er gemeinsam mit Forschungspartner/innen insbesondere WhatsApp, eine der weltweit meistgenutzten Kommunikationsplattformen, und analysierte, welche Informationen Nutzer/innen unbeabsichtigt über ihre Privatsphäre-Einstellungen preisgeben.

WhatsApp zählt weltweit rund 3,5 Milliarden Nutzer/innen und spielt auch in Österreich eine zentrale Rolle in der alltäglichen Kommunikation. Der Dienst wird von einem Großteil der Bevölkerung genutzt und ist in vielen Bereichen (von privater Kommunikation über Vereine bis hin zu beruflichen Abläufen) faktisch zum Standard geworden. Für viele Menschen ist WhatsApp damit nicht nur ein Kommunikationsmittel, sondern eine grundlegende digitale Infrastruktur.

Zentralisierung als strukturelles Risiko

Die weite Verbreitung von WhatsApp führt zu einer starken Zentralisierung der digitalen Kommunikation auf eine einzige (US-amerikanische) Plattform. Messenger-Dienste sind nur dann nützlich, wenn möglichst viele Kontakte über denselben Dienst erreichbar sind, und neigen daher strukturell zur Monopolbildung. Daraus ergibt sich ein faktischer Nutzungszwang: Selbst, wenn einzelne Nutzer/innen datenschutzfreundlichere Alternativen bevorzugen würden, spielen diese im Alltag oft kaum eine Rolle.

Aufgrund der enormen Verbreitung wirken sich Schwachstellen oder ungünstige Standardeinstellungen bei WhatsApp nicht auf einzelne Nutzergruppen, sondern auf einen sehr großen Teil der Bevölkerung aus – sowohl weltweit als auch in Österreich. Trotz Ende-zu-Ende-Verschlüsselung der Nachrichten bedeutet die Nutzung von WhatsApp nicht automatisch umfassenden Schutz der Privatsphäre. Neben dem eigentlichen Nachrichteninhalt spielen insbesondere Metadaten und Profileinstellungen eine zentrale Rolle – vor allem dann, wenn sie standardmäßig zu großzügig konfiguriert sind.

Telefonnummern als Ausgangspunkt für Angriffe

Im Rahmen einer kürzlichen Studie konnte gezeigt werden, dass WhatsApp anfällig für sogenannte Enumeration-Angriffe ist. Dabei war es möglich, Telefonnummern in großem Umfang automatisiert zu überprüfen und festzustellen, ob sie mit aktiven WhatsApp-Konten verknüpft sind. Auf diese Weise konnten Telefonnummern von Nutzer/innen systematisch erfasst werden.

Über die bloße Existenz eines Kontos hinaus ließen sich zudem weitere Metadaten abfragen, darunter das Profilbild, der Status-Text, Informationen zum verwendeten Betriebssystem, sowie Hinweise auf das Alter eines Accounts. Diese zusätzlichen Informationen ermöglichen eine deutlich genauere Einordnung und Profiling einzelner Nutzer/innen.

Solche Datensammlungen von möglicherweise böswilligen Akteuren stellen eine problematische Grundlage für weiterführende Angriffe dar. Telefonnummern gelten als besonders langlebige Identifikatoren und können über Jahre hinweg für Scam-Anrufe, Phishing-Nachrichten oder gezielte Betrugsversuche missbraucht werden.

Mehr Informationen erhöhen die Effektivität von Angriffen

Noch wirksamer werden Phishing- oder Scam-Angriffe, wenn Angreifer/innen nicht nur Telefonnummern besitzen, sondern zusätzliche Informationen über die betroffenen Personen. Öffentlich sichtbare Profilinformationen – etwa Profilfotos oder Status-Texte – erleichtern die Identifikation und Personalisierung von Angriffen erheblich.

Die Forschungsarbeiten zeigen, dass insbesondere Profilfotos ein relevantes Risiko darstellen: Sie enthalten häufig Gesichter oder private Kontexte und ermöglichen eine eindeutige Zuordnung einer Telefonnummer zu einer realen Person und ihre Merkmale (z.B. Geschlecht, Alter). Die Sichtbarkeit solcher Informationen sollte daher auf ein Minimum reduziert werden. Eine datenschutzfreundliche Standardeinstellung wäre, Profilfotos ausschließlich für eigene Kontakte freizugeben und weitergehende Sichtbarkeit nur bewusst zu erlauben.

Silent Pings: Unauffällige Überwachung einzelner Personen

Neben großangelegten Enumeration-Angriffen wurden im Rahmen der Forschung auch individuelle Angriffsformen identifiziert. Ein besonders problematisches Beispiel sind sogenannte Silent Pings über Zustellbestätigungen (Delivery Receipts).

Dabei können Angreifer/innen durch manipulierte stille Nachrichten mit WhatsApp-Konten unauffällig Zustellbestätigungen auslösen – ohne dass die betroffene Person eine Benachrichtigung am Smartphone erhält. Anhand der Zeitpunkte und Eigenschaften dieser Bestätigungen lassen sich Rückschlüsse auf das Online-Verhalten, die Geräteaktivität oder sogar den Aufenthaltsort einer Person ziehen. Solche Angriffe eignen sich insbesondere für gezielte Überwachung, etwa im Kontext von Stalking oder persönlicher Ausforschung.

Gegen Angriffe dieser Art besteht derzeit nur unzureichender Schutz auf Nutzer/innen-Seite. Da sie auf grundlegenden Protokoll- und Designentscheidungen beruhen, lassen sie sich nicht allein durch Privatsphäre-Einstellungen verhindern. Umso wichtiger ist es, das Bewusstsein in der Bevölkerung für derartige Schwachstellen zu stärken.

Fazit: Privacy by Default bei zentralen Kommunikationsdiensten

Die Ergebnisse aus dem Projekt TelCrit verdeutlichen, dass Privatsphäre-Risiken bei WhatsApp nicht nur durch einzelne Fehlkonfigurationen entstehen, sondern durch das Zusammenspiel von Zentralisierung, Designentscheidungen und Standardeinstellungen. Technischer Schutz wie Ende-zu-Ende-Verschlüsselung ist wichtig, reicht jedoch nicht aus, um Nutzer/innen umfassend zu schützen.

Gerade bei Kommunikationsdiensten mit einer derart großen Nutzerbasis – auch in Österreich – kommt dem Prinzip Privacy by Default eine besondere Bedeutung zu. Datenschutzfreundliche Voreinstellungen, reduzierte Sichtbarkeit von Profilinformationen und robuste Schutzmechanismen gegen missbräuchliche Abfragen sind entscheidend, um unbeabsichtigte Risiken für Millionen von Nutzer/innen zu minimieren. Nach einem Responsible-Disclosure-Verfahren im Zuge der Enumeration-Studie hat WhatsApp zwar technische Nachbesserungen vorgenommen, doch bleiben grundlegende Risiken bestehen, die aus der starken Zentralisierung des Dienstes resultieren. Für sicherheits- und datenschutzbewusste Nutzer/innen ist ein Wechsel zu privatsphärefreundlicheren Alternativen wie Signal oder Threema daher nach wie vor der wirksamste Weg, um die eigenen Kommunikationsdaten besser zu schützen.

Rückfragehinweis:

• Gabriel K. Gegenhuber
  Researcher - SBA Research
  E-Mail: ggegenhuber@sba-research.org