Zum Inhalt springen Zur Navigation springen
iMessage und WhatsApp: Sicherheit, Verschlüsselung, rechtliche Entwicklungen

iMessage und WhatsApp: Sicherheit, Verschlüsselung, rechtliche Entwicklungen

Artikel von Dr. Datenschutz·21. Oktober 2025

Die sichere Kommunikation über Messenger-Dienste wie iMessage und WhatsApp ist essenziell für den Schutz der Privatsphäre. Dieser Beitrag analysiert die Sicherheitsarchitektur beider Dienste und beleuchtet aktuelle rechtliche Entwicklungen, die Einfluss auf die Vertraulichkeit digitaler Kommunikation nehmen.

Warum ist sichere Kommunikation mit iMessage und WhatsApp so wichtig?

Das Fernmeldegeheimnis, verankert in Art. 10 des Grundgesetzes, schützt die Vertraulichkeit individueller Kommunikation auf elektronischem Wege. E-Mails, Nachrichten in Messaging-Apps und Chats über das Internet dürfen ohne Erlaubnis des Absenders oder Empfängers nicht von Dritten gelesen oder mitgehört werden. Der Staat ist verpflichtet, die Privatheit dieser Nachrichten zu gewährleisten. Eingriffe sind nur unter strengen gesetzlichen Voraussetzungen, etwa nach der Strafprozessordnung, zulässig.

Die Enthüllungen von Edward Snowden im Jahr 2013 zeigten, wie umfassend Geheimdienste wie die National Security Agency (NSA) sowie die britische Government Communications Headquarters (GCHQ) seit Jahren die weltweite Telekommunikation überwachen. Neben Metadaten aus Telefongesprächen und E-Mails wurden auch Kontaktdaten aus Millionen von Adressbüchern ausgewertet. Auch nationale Behörden wie das Bundeskriminalamt (BKA) verfügen inzwischen über technische Möglichkeiten, verschlüsselte Kommunikation in Echtzeit mitzulesen. Seit 2021 setzt das BKA zudem die Spionagesoftware Pegasus ein, um Smartphones umfassend auszuspionieren.

Wie unterscheiden sich die Sicherheitsarchitekturen von iMessage und WhatsApp?

Beide Dienste setzen auf Ende-zu-Ende-Verschlüsselung (E2E), unterscheiden sich jedoch in der technischen Umsetzung und im Umgang mit Backups und Metadaten.

iMessage

iMessage verschlüsselt Nachrichten E2E, sodass nur Sender und Empfänger Zugriff auf den Inhalt haben. Allerdings ist der Quellcode nicht offen zugänglich, was eine unabhängige Überprüfung erschwert. Ein kritischer Punkt ist das iCloud-Backup: Wird dieses aktiviert, wird auch der private Schlüssel in die Cloud übertragen, wodurch Apple theoretisch Zugriff auf die Nachrichten erhält. Bei den Metadaten sammelt Apple vergleichsweise wenige Informationen (z.B. Telefonnummer, Geräte-ID, E-Mail-Adresse, Suchhistorie).

WhatsApp

WhatsApp nutzt das Signal-Protokoll für E2E-Verschlüsselung, das als sehr sicher gilt und Open Source ist. Allerdings werden Backups in der Cloud (Google Drive, iCloud) nicht standardmäßig E2E-verschlüsselt, was ein potenzielles Risiko darstellt. WhatsApp erhebt umfangreiche Metadaten, darunter auch Facebook-Konten, Profilfotos, Akkustand und Kommunikationsverhalten. Die Telefonnummer dient als zentraler Identifier und wird zusammen mit den Kontakten auf die Server hochgeladen, auch wenn diese Kontakte WhatsApp nicht nutzen.

Welche aktuellen rechtlichen Entwicklungen treffen Messenger-Dienste?

Die rechtlichen Rahmenbedingungen für Messenger-Dienste verändern sich dynamisch. Zwei Entwicklungen sind besonders relevant:

Chatkontrolle (EU)

Die EU diskutiert seit 2022 die Einführung einer sogenannten Chatkontrolle, die Anbieter verpflichten könnte, Inhalte automatisiert auf strafbare Inhalte zu scannen – auch in verschlüsselten Chats. Dies würde das Prinzip der E2E-Verschlüsselung untergraben und stellt einen massiven Eingriff in die Privatsphäre dar.

Digital Markets Act (DMA)

Der DMA verpflichtet große Plattformen („Gatekeeper“) wie Apple und Meta, ihre Messenger-Dienste interoperabel zu machen. Das bedeutet, dass Nutzer von iMessage und WhatsApp künftig miteinander kommunizieren können müssen. Dies stellt hohe Anforderungen an die Sicherheit und Verschlüsselung, da unterschiedliche Protokolle kompatibel gemacht werden müssen.

Wie können Nutzer die Sicherheit bei iMessage und WhatsApp erhöhen?

Es gibt Möglichkeiten, auf dem eigenen Gerät aktiv an der Sicherheit der Dienste mitzuwirken:

Bewusster Umgang mit Backups

Nutzer sollten auf Cloud-Backups verzichten oder sicherstellen, dass diese ebenfalls verschlüsselt sind. WhatsApp bietet seit 2021 die Möglichkeit, Backups mit einem eigenen Passwort zu verschlüsseln.

Aktuelle Einstellungen nutzen

Beide Dienste bieten regelmäßig neue Sicherheitsfunktionen. Bei WhatsApp kann die Zwei-Faktor-Authentifizierung direkt in der App aktiviert werden. Bei iMessage hingegen ist die Zwei-Faktor-Authentifizierung nicht separat einstellbar, sondern Teil der allgemeinen Zwei-Faktor-Authentifizierung für den gesamten Apple-Account. Diese sollte unbedingt aktiviert werden, um den Zugriff auf alle Apple-Dienste – einschließlich iMessage – zusätzlich abzusichern.

Alternativen prüfen

Für besonders sensible Kommunikation können Open-Source-Messenger wie Signal oder Threema eine datenschutzfreundlichere Alternative darstellen.

Welche Auswirkungen haben diese Entwicklungen auf die Zukunft von iMessage und WhatsApp?

Die fortschreitende Regulierung und die wachsenden Anforderungen an Interoperabilität und Überwachung stellen Messenger-Dienste vor große Herausforderungen. Während die technische Sicherheit stetig verbessert wird, drohen rechtliche Vorgaben die Wirksamkeit von Verschlüsselung zu schwächen. Nutzer müssen sich daher regelmäßig über neue Entwicklungen informieren und ihre Kommunikationsgewohnheiten anpassen.

Die Debatte um sichere Kommunikation bleibt ein zentrales Thema im Spannungsfeld zwischen Datenschutz, Nutzerfreundlichkeit und staatlicher Kontrolle.

Mehr zum Thema Datenschutz
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Hallo und danke für den guten Beitrag!
    Ich habe eine Frage zur Datensparsamkeit von iMessage: Apple sammelt ja ansonsten genug Daten von den Nutzer:innen und versucht, sich über das Verbot von externem App Tracking hier auch noch ein Monopol über die gewinnbringende Nutzung der Kundendaten zu sichern. Ist es dann nicht eigentlich egal, ob über iMessage dann sparsamer Daten gesammelt werden, als z.B. bei WhatsApp? Mir scheint es, als hätte hier eher die Wahl, wem man seine Daten gibt, als, ob man sie dem Messaging-Anbieter gibt.

    • Die von Ihnen angesprochenen Datensammlung findet insbesondere auf erster Ebene, dem Betriebssystem iOS, statt. Sie passiert also unabhängig davon, welche App für die Kommunikation verwendet wird. Beim größten Konkurrenten Android verhält es sich bei dem Thema nicht viel anders, nur fließen dort die entsprechenden Daten dann an Google.

      Die im Beitrag angesprochenen Datensparsamkeit bezieht sich auf die zweite Ebene, die der Apps. Konkret geht es um die Informationen, die im Zusammenhang mit dem Nachrichtenversand bei iMessage oder WhatsApp neben der verschlüsselten Nachricht anfallen. Diese Informationen landen nicht nur beim App-Anbieter, sondern können auch wie im Beitrag beschrieben von Strafverfolgungsbehörden, Geheimdiensten oder Cyberkriminellen angefordert, bzw. abgefangen werden und ermöglichen diesen unter Umständen Rückschlüsse auf die verschlüsselte Kommunikation.

      Übrigens haben wir auch über Apples App Tracking Transparency Framework hier berichtet und über Apples diesjährige „Datenschutzoffensive“ an dieser Stelle.

  • Sollte Apple den „Client Side Scan“ einführen, brauchen wir uns über Datensparsamkeit seitens Apple nicht mehr unterhalten. Das ist jetzt schon eine reine Heuchelei…

  • Der Artikel erwähnt die Backups als potenzielles Risiko. Bei iOS ist es jedoch möglich, den sog. „erweiterten Datenschutz“ zu aktivieren (Voraussetzung ist eine eingerichtete 2-Faktor-Authentifizierung). Mit aktiviertem „erweitertem“ Datenschutz ist alles in der iCloud (außer natürlich Mail und Kalender, die prinzipbedingt weiter nur transportverschlüsselt sind) E2E-verschlüsselt. Also das Backup, aber auch Fotos, die Inhalte des iCloud Drive usw.

  • Wenn Sie als sicherheitserhöhende Maßnahmen die Suche nach Messenger erwähnen, dann sollten Sie am besten auch gleich auf Ihren Fachbeitrag dazu vom 04. Februar 2025 verweisen (Link kann ich hier nicht einfügen).

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.