Die Ende-zu-Ende-Verschlüsselung bei WhatsApp

Tagtäglich, rund um die Uhr und auf der ganzen Welt wird auf WhatsApp kommuniziert. Über banale Ereignisse aber auch über politische Ansichten und intime Geheimnisse. Nun stellt sich die Frage, ob diese Inhalte auf WhatsApp überhaupt vertraulich sind. Dafür haben wir die Ende-zu-Ende-Verschlüsselung bei WhatsApp unter die Lupe genommen und berichten über einige Risiken, die trotz der Verschlüsselung bestehen können.

Wie funktioniert die sichere Ende-zu-Ende-Verschlüsselung bei WhatsApp?

Die Ende-zu-Ende-Verschlüsselung basiert auf einem Schlüssel-Schloss-Prinzip. Dabei versendet der Absender eine Nachricht mit einem digitalen Schloss, das nur der einzigartige Schlüssel des Empfängers öffnen kann. Dritten, wie dem Anbieter des Messengers selbst, bleibt der Zugriff verwehrt, da der Nachrichteninhalt über alle Übertragungsstationen hinweg geschützt ist. Dieses hohe Sicherheitsniveau setzt voraus, dass beide Kommunikationspartner die aktuellste Version der App nutzen.

Ist die Verschlüsselung aktiv, erscheint im Chat-Fenster der Hinweis:

„Nachrichten in diesem Chat sowie Anrufe sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt. Tippe für mehr Infos.“

Ein Tippen darauf leitet für eine ausführliche technische Erklärung auf die Webseite von WhatsApp weiter.

Wie lässt sich die Verschlüsselung auf WhatsApp verifizieren?

Die Ende-zu-Ende-Verschlüsselung ist seit 2016 standardmäßig für alle Chats und Anrufe aktiv und kann weder manuell aktiviert noch deaktiviert werden. Eine separate Einrichtung ist daher nicht notwendig – vorausgesetzt, beide Chatpartner nutzen eine aktuelle Version der App.

Was Nutzer jedoch tun können, ist die Verschlüsselung zu verifizieren, um sicherzustellen, dass kein Dritter die Kommunikation abfängt:

Öffnen Sie den gewünschten Chat und tippen Sie auf den Kontaktnamen. Unter dem Menüpunkt „Verschlüsselung“ wird die Sicherheitsinformation angezeigt. Es erscheint eine 60-stellige Sicherheitsnummer samt QR-Code. Durch einen Abgleich dieser Nummer mit dem Chatpartner – idealerweise persönlich oder über einen anderen sicheren Kanal – lässt sich bestätigen, dass die Verbindung nicht kompromittiert ist. Ändert sich der Sicherheitscode (z. B. bei einem Gerätewechsel des Chatpartners), weist WhatsApp im Chat darauf hin. Eine erneute Verifizierung ist dann empfehlenswert.

Kann die Polizei die WhatsApp-Verschlüsselung trotz Datenschutz umgehen?

Die Strafverfolgungsbehörden beklagen, die Verschlüsselung erschwere die Strafverfolgung erheblich, da sie nicht über die notwendigen Schlüssel zum Mitlesen von Nachrichten verfügen. Dennoch gibt es legitime Wege, die WhatsApp-Verschlüsselung zu umgehen, etwa durch die Quellen-Telekommunikationsüberwachung mittels Staatstrojaner.

Einem internen Papier des BKA zufolge, das von netzpolitik.org veröffentlicht wurde, kann die Polizei Nachrichtenverläufe auch ohne Staatstrojaner in Echtzeit mitlesen. Hierfür wird die Multi-Geräte-Funktion von WhatsApp genutzt. Die Methode erfordert einen einmaligen, unbemerkten physischen Zugriff auf das entsperrte Smartphone der Zielperson. Dabei wird über einen QR-Code-Scan ein weiteres Gerät mit dem WhatsApp-Account verknüpft – ähnlich wie bei der regulären Nutzung von WhatsApp Web. Anschließend werden eingehende und ausgehende Nachrichten auf dem verknüpften Gerät der Behörde in Echtzeit synchronisiert und sind dort unverschlüsselt einsehbar. Die Maßnahme erfordert eine richterliche Genehmigung nach § 100a StPO.

Auch in den USA kann das FBI je nach rechtlicher Grundlage Kommunikationsdaten in Echtzeit erhalten und Chats teilweise auswerten. Darüber hinaus zeigen Spyware-Angriffe, wie weitreichend die Möglichkeiten zur Umgehung der Verschlüsselung sind: 2019 konnte die Überwachungssoftware Pegasus der NSO Group über eine Sicherheitslücke in der Anruffunktion heimlich auf Geräten installiert werden. Anfang 2025 gelang es dem Spyware-Hersteller Paragon Solutions, über manipulierte PDF-Dateien seine Graphite-Software per Zero-Click-Angriff auf rund 100 Geräte zu schleusen – betroffen waren unter anderem Journalisten in Italien. Im August 2025 wurde zudem eine kritische Zero-Day-Schwachstelle in der Multi-Device-Synchronisierung (CVE-2025-55177) bekannt, über die etwa 200 Apple-Nutzer ohne jede Interaktion kompromittiert wurden. WhatsApp schloss die Lücke per Notfall-Update, die US-Behörde CISA stufte sie als kritisch ein. Diese Fälle verdeutlichen: Die Verschlüsselung selbst bleibt intakt, doch Angreifer umgehen sie, indem sie direkt auf Geräteebene zugreifen.

Besteht eine Sicherheitslücke bei der Verschlüsselung von Gruppenchats?

Während die Ende-zu-Ende-Verschlüsselung in Einzelchats hohe Vertraulichkeit bietet, nimmt diese in Gruppenchats naturgemäß ab, da jedes Mitglied Nachrichten lesen und weitergeben kann. Forscher der Universität Bochum zeigten einen theoretischen Angriff, bei dem ein Angreifer Zugriff auf den Kontrollserver eines Gruppenchats erlangt, um unbemerkt Mitglied zu werden.

Obwohl dies technisch sehr anspruchsvoll ist, könnten US-Behörden Meta, den Eigentümer von WhatsApp, rechtlich dazu verpflichten, Zugriff auf die Server zu gewähren. Dies verdeutlicht, dass bei der Verschlüsselung von Gruppenchats Unsicherheiten bestehen und Werbeversprechen zur Sicherheit kritisch hinterfragt werden sollten.

Welche Risiken bestehen beim Versenden von Bildern trotz Verschlüsselung?

Auch Bilder und Videos sind bei WhatsApp durch die Ende-zu-Ende-Verschlüsselung geschützt. Ein Restrisiko entsteht jedoch, wenn Medien automatisch in der Gerätegalerie gespeichert werden. Erhält eine dubiose Drittanbieter-App Zugriff auf diesen Ordner oder eine unbefugte Person Zugang zum Gerät, können die Bilder und Videos eingesehen werden.

Jeder Nutzer kann zusätzlich zur Verschlüsselung folgende Maßnahmen ergreifen:

• Automatisches Speichern deaktivieren: Unter Einstellungen > Chats > In Fotos speichern (iOS) bzw. Sichtbarkeit von Medien (Android).
• Zusätzliche Bildschirmsperre einrichten: Unter Einstellungen > Datenschutz > App-Sperre (iOS) bzw. Fingerabdruck-Sperre (Android).
• Erweiterten Chat-Datenschutz aktivieren: Seit 2025 kann in einzelnen Chats unter dem Kontaktnamen die Option „Erweiterter Chat-Datenschutz“ eingeschaltet werden. Diese verhindert den Export des Chatverlaufs und unterbindet das automatische Herunterladen von Medien durch andere Teilnehmer.

Wie sicher sind Chat-Backups durch die neue Verschlüsselung?

Bisher stellten in der Cloud gespeicherte Chat-Backups eine Schwachstelle dar, da sie nicht Ende-zu-Ende-verschlüsselt waren und der Schutz den Cloud-Anbietern oblag. Mit einer neueren Funktion wurde diese Sicherheitslücke geschlossen. Die Verschlüsselung der Backups sorgt nun für einen verbesserten Schutz, der durch ein nur dem Nutzer bekanntes Passwort gewährleistet wird.

Diese Funktion verhindert den Zugriff durch Unbefugte in der Cloud (iCloud, Google Drive) und stellt sicher, dass nur der Nutzer selbst seine Daten wiederherstellen kann. Die Aktivierung erfolgt unter Einstellungen > Chats > Chat-Backup > Ende-zu-Ende-verschlüsseltes Backup. Hier stehen drei Optionen zur Wahl:

• Ein selbst gewähltes Passwort.
• Ein automatisch generierter, 64-stelliger Verschlüsselungsschlüssel.
• Ein Passkey: Dabei wird das Backup per Fingerabdruck oder Gesichtserkennung gesichert – eine bequemere Alternative, die das gleiche Sicherheitsniveau bietet.

WhatsApp weist darauf hin, dass ein Backup bei Verlust des Passworts oder Schlüssels nicht wiederhergestellt werden kann, da der Anbieter selbst keinen Zugriff darauf hat. Auch zum Deaktivieren der Funktion wird das Passwort benötigt. Wichtig: Standardmäßig sind Cloud-Backups nicht verschlüsselt – die Funktion muss aktiv eingeschaltet werden.

Ist die Ende-zu-Ende-Verschlüsselung das einzige Merkmal für den Datenschutz?

Die Definition eines „sicheren Messengers“ ist subjektiv und hängt von den individuellen Bedürfnissen ab. Die Verschlüsselung schützt zwar den Nachrichteninhalt, doch bei der Kommunikation fallen weitere Daten an, die für den Datenschutz relevant sind. Dazu gehören Metadaten, die erhebliche Informationen über den Nutzer preisgeben, etwa wer wann online ist, wer mit wem kommuniziert oder welche IP-Adressen genutzt werden. Maßnahmen zum Schutz vor der Erhebung dieser Metadaten sind bei WhatsApp nur eingeschränkt vorgesehen – immerhin lassen sich seit 2024 IP-Adressen bei Anrufen über die Server von WhatsApp verschleiern (Einstellungen > Datenschutz > Erweitert).

Zugleich hat sich die Metadaten-Problematik verschärft: Mit dem Privacy-Policy-Update 2025 teilt WhatsApp mehr Nutzungsdaten mit dem Mutterkonzern Meta – darunter Geräteinformationen, Tipp-Muster und Spam-Signale. Seit Juli 2025 werden im „Updates“-Tab zudem Werbeanzeigen ausgespielt. Besonders relevant ist die Integration von Meta AI: Interaktionen mit dem KI-Assistenten innerhalb von WhatsApp sind nicht Ende-zu-Ende-verschlüsselt und können zur Verbesserung der KI-Modelle sowie für personalisierte Werbung verwendet werden. Die Verschlüsselung schützt also das Gespräch zwischen Menschen – nicht aber die Kommunikation mit der KI.

Ein weiterer Aspekt ist der Identifier. Bei WhatsApp dient die Telefonnummer zur Registrierung und zum Abgleich des Adressbuchs. Problematisch ist hierbei, dass auch die Nummern von Nicht-Nutzern auf den Servern von WhatsApp landen, obwohl diese Personen den Nutzungsbedingungen nie zugestimmt haben. Eine Alternative wie Benutzernamen bietet WhatsApp bis heute nicht an.

Zudem fehlt es an Transparenz, da der Quellcode von WhatsApp nicht offenliegt (Closed Source). Dies verhindert eine unabhängige Überprüfung der Funktionsweise und Datenverarbeitung durch externe Experten, was ein weiteres Defizit im umfassenden Datenschutz darstellt.

WhatsApps Ende-zu-Ende-Verschlüsselung ist sicher, aber der Datenschutz hat Grenzen

Die Ende-zu-Ende-Verschlüsselung von WhatsApp bietet eine hohe Sicherheit, die ihre Funktion jedoch am besten in Einzelchats entfaltet. In Gruppenchats gibt es theoretische Schwachstellen, und die Umgehung durch Behörden sowie Spyware-Hersteller ist unter bestimmten Umständen möglich – wie die Fälle Pegasus, Graphite und CVE-2025-55177 zeigen. Die Einführung der verschlüsselten Backups ist ein positiver Schritt, erfordert vom Nutzer aber Eigenverantwortung: Die Funktion muss aktiv eingeschaltet und das Passwort sicher verwahrt werden.

Letztlich ist die Verschlüsselung nur ein Baustein eines sicheren Messengers. Aspekte wie der wachsende Umgang mit Metadaten, die Meta-AI-Integration ohne Verschlüsselung, die Verwendung der Telefonnummer als Identifier und die fehlende Quelloffenheit zeigen, dass der Datenschutz bei WhatsApp Grenzen hat. Eine informierte Entscheidung für oder gegen einen Dienst kann nur treffen, wer sich dieser Risiken und Schwachstellen bewusst ist.