Der Social-Media-Konzern Meta überrascht mit einem strategischen Schwenk: Instagram schaltet die Ende-zu-Ende-Verschlüsselung für Direktnachrichten ab, während WhatsApp neue Sicherheitsfunktionen und ein Abo-Modell einführt.
Die Entscheidung fällt in eine Zeit steigender Cyberkriminalität. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet für 2025 einen Anstieg auf elf Prozent betroffener Internetnutzer – im Vorjahr lag der Wort noch bei sieben Prozent. Besonders QR-Code-Betrug, sogenanntes Quishing, explodierte im ersten Quartal 2026 auf rund 18 Millionen Fälle weltweit.
Banking, PayPal und WhatsApp auf dem Smartphone sind bequem, machen Sie aber auch zum Ziel für Cyberkriminelle. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Gerät sofort gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Instagram: Ende der Ende-zu-Ende-Verschlüsselung
Anfang Mai deaktivierte Meta die Ende-zu-Ende-Verschlüsselung (E2EE) für Instagram-Direktnachrichten. Offizieller Grund: zu geringe Nutzung durch die Anwender. Künftig schützt lediglich das TLS-Protokoll die Nachrichten – Inhalte liegen damit auf Metas Servern im Klartext vor.
Branchenbeobachter sehen darin eine Reaktion auf den Druck von Regulierungsbehörden im Bereich Jugendschutz und Strafverfolgung. Die Schwesterplattform WhatsApp hält dagegen an der obligatorischen Verschlüsselung fest und schloss in den letzten Tagen mehrere kritische Sicherheitslücken.
Mitte Mai veröffentlichte Meta Patches für zwei Schwachstellen: CVE-2026-23866 betraf Instagram-Reels auf Android und iOS, CVE-2026-23863 ermöglichte auf Windows-Systemen die Tarnung von EXE-Dateien.
WhatsApp plant Passwort-Feature und Plus-Abo
WhatsApp bereitet ein zusätzliches Passwort-Feature vor. Es soll sechs bis zwanzig Zeichen umfassen, mindestens eine Zahl und einen Buchstaben enthalten. Die optionale Ergänzung zur Zwei-Faktor-Authentifizierung (2FA) soll unbefugte Zugriffe bei Anmeldungen auf neuen Geräten erschweren. Der vollständige Rollout wird für 2026 erwartet.
Parallel startete Mitte Mai „WhatsApp Plus“ – zunächst für iOS-Nutzer in Teilen Europas, Pakistan und Mexiko. Für 2,49 Euro monatlich erhalten Abonnenten 18 Akzentfarben, 14 App-Symbole und zehn Klingeltöne. Ein funktionaler Vorteil: bis zu 20 Chats dauerhaft anpinnen. Die Kernfunktionen bleiben kostenlos.
Eine weitere Änderung betrifft Status-Updates. Diese können künftig auch für Personen sichtbar sein, mit denen Nutzer kürzlich interagiert haben – selbst ohne gespeicherte Telefonnummer. Ein Tilde-Symbol (~) kennzeichnet diese temporären Kontakte. Nutzer können die Sichtbarkeit in den Kontoeinstellungen einschränken.
Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre privaten Nachrichten und Bankdaten abgesehen haben. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihr Gerät rund um die Uhr schützen. Kostenlosen Android-Sicherheitsreport anfordern
KI-Chats im Inkognito-Modus
Meta führt schrittweise Inkognito-Chats für die Interaktion mit „Meta AI“ auf WhatsApp ein. Die Technologie namens „Private Processing“ nutzt eine abgeschirmte Umgebung, ein Trusted Execution Environment. Meta selbst habe keinen Zugriff auf die dort verarbeiteten Informationen, so das Unternehmen. Die Nachrichten verschwinden standardmäßig nach Sitzungsende.
Technisch basiert das Verfahren auf dem Muse Spark Modell und ähnelt Apples „Private Cloud Compute“. Erweiterte Nebenchat-Funktionen mit Kontext-Hilfen sind geplant. Mark Zuckerberg kündigte den weltweiten Rollout Mitte Mai auf Threads an.
Google rüstet Android auf
Auch Google verschärft die Sicherheitsvorkehrungen. Die Funktion „Verified Financial Calls“ gleicht eingehende Anrufe gegen Banking-App-Daten ab und beendet Spoofing-Anrufe automatisch. Partner sind Revolut, Itaú Unibanco und Nubank. Branchenschätzungen zufolge belaufen sich die weltweiten Verluste durch Finanzbetrug auf jährlich 980 Millionen US-Dollar.
Die „Live Threat Detection“ überwacht Apps in Echtzeit auf verdächtiges Verhalten – etwa Missbrauch von Bedienungshilfen oder unerlaubte SMS-Weiterleitung. Ab Android 16 stehen „Intrusion Logging“-Funktionen bereit, die verschlüsselte forensische Protokolle für Spyware-Analysen erstellen.
Seit Mitte Mai ist die Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen iPhones und Android-Geräten in ersten Märkten aktiv. In Deutschland unterstützen Telekom, O2 und 1&1 den Standard, Vodafone bereitet die Integration vor.
TrickMo.C: Neue Banking-Malware im Umlauf
Sicherheitsforscher analysierten seit Jahresbeginn die Variante „TrickMo.C“ des Banking-Malware-Systems. Sie tarnt sich als Unterhaltungs-App und zielt auf Finanz- und Krypto-Wallets in Österreich, Frankreich und Italien. Eine technische Besonderheit: Die Kommunikation mit Kontrollservern läuft über das dezentrale TON-Netzwerk mit 256-Bit-Verschlüsselung (ADNL-IDs). Das erschwert die Blockierung der kriminellen Infrastruktur erheblich.
Die Malware kann Keylogging betreiben, Einmalpasswörter (OTP) abfangen und infizierte Geräte fernsteuern.
Signal reagierte ebenfalls auf die Bedrohungslage. Nach Warnungen vor staatlich gesteuerten Hackergruppen, die die Gerätekopplung ausnutzten, führte der Messenger neue In-App-Warnungen ein. Ein „Name not verified“-Label schützt vor gefälschten Profilen, die sich als technischer Support ausgeben.
Sicherheit wird zum Premium-Feature
Die Branche durchläuft einen tiefgreifenden Wandel. Metas Entscheidung bei Instagram zeigt: Verschlüsselung ist kein unumstößlicher Standard für alle Dienste. Gleichzeitig bleiben Investitionen in Sicherheit bei WhatsApp und Android ein zentrales Verkaufsargument.
Die Zunahme von Quishing-Angriffen und professioneller Banking-Malware zwingt Anbieter zu KI-basierten Echtzeitschutzsystemen. Die Grenze zwischen Betriebssystem- und App-Sicherheit verschwimmt zunehmend. Funktionen wie automatischer Schutz vor betrügerischen Bankanrufen oder forensische Protokollierung dürften bald zum Smartphone-Standard gehören.
Premium-Modelle wie WhatsApp Plus sind der Versuch, die Kosten für den Sicherheitsausbau durch neue Erlösströme zu decken – ohne die breite Nutzerbasis durch kostenpflichtige Basisfunktionen zu verschrecken.
