Der weltweit führende Messaging-Dienst WhatsApp steht vor einem Scherbenhaufen aus Sicherheitslücken und juristischen Angriffen. Gleich zwei Enthüllungen innerhalb weniger Tage stellen die Privatsphäre von rund 3,3 Milliarden Nutzern infrage.
Forscher decken unverschlüsselte Datenbanken auf Apple-Geräten auf
Am 23. Mai 2026 veröffentlichten die Sicherheitsforscher von Mysk alarmierende Erkenntnisse: WhatsApp speichert zentrale Chat-Informationen auf iPhones und Macs ohne Verschlüsselung. Konkret sind die Datenbanken Axolotl.sqlite, ContactsV2.sqlite und LocalKeyValue.sqlite in einem sogenannten Apple App Group Container abgelegt – und dieser ist für andere Meta-Apps wie Facebook, Instagram oder Messenger ohne zusätzliche Berechtigungsabfrage zugänglich.
Das Problem: Während Nachrichten während der Übertragung verschlüsselt sind, bleiben sie auf dem Gerät selbst ungeschützt. Wird eine andere Meta-App kompromittiert oder die lokale Gerätesicherheit umgangen, könnten Angreifer auf diese Datenbanken zugreifen. Sicherheitsexperten raten betroffenen Nutzern daher, entweder andere Meta-Apps zu deinstallieren oder verschlüsselte Backups in den WhatsApp-Einstellungen zu aktivieren.
Da unverschlüsselte Datenbanken auf iPhones ein erhebliches Sicherheitsrisiko darstellen können, sollten Nutzer ihre Systemeinstellungen und Backups dringend prüfen. Dieser kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie iOS-Updates sicher installieren und Ihre Privatsphäre optimal schützen. iOS-Sicherheits-Ratgeber kostenlos herunterladen
Der Fall entfacht die Debatte um „Daten im Ruhezustand“ versus „Daten in der Übertragung“ neu. Verschlüsselung auf einer Ebene garantiert eben noch keine vollständige Privatsphäre.
Texas verklagt Meta: Systematische Täuschung von Milliarden?
Nur zwei Tage vor der technischen Enthüllung eskalierte die Lage juristisch. Am 21. Mai 2026 reichte der texanische Generalstaatsanwalt Ken Paxton Klage gegen Meta und WhatsApp ein. Der Vorwurf wiegt schwer: Die Unternehmen sollen rund 3,3 Milliarden Nutzer systematisch über die Wirksamkeit ihrer Ende-zu-Ende-Verschlüsselung getäuscht haben.
Die Klage behauptet, Meta unterhalte ein internes System, das Mitarbeitern den Zugriff auf Nutzer-Nachrichten ermögliche. Zudem sollen Nachrichten in unverschlüsseltem Format gespeichert worden sein – ein direkter Widerspruch zum zentralen Versprechen, dass nur Sender und Empfänger eine Unterhaltung lesen können.
Meta weist die Vorwürfe entschieden zurück und bezeichnet sie als „falsch und absurd“. Dennoch sorgt der Fall international für Aufsehen. Selbst Telegram-Gründer Pawel Durow meldete sich am 23. Mai zu Wort und bezeichnete die Verschlüsselungsversprechen von WhatsApp als „massiven Betrug“. Kryptografie-Experten räumen zwar ein, dass die Beweislage der texanischen Klage dünn erscheint, weisen aber auf reale Schwachstellen bei Cloud-Backups hin – die oft die Ende-zu-Ende-Verschlüsselung umgehen, wenn sie nicht korrekt konfiguriert sind.
Explosion der Mobil-Kriminalität: KI treibt Phishing-Welle an
Die WhatsApp-Enthüllungen fallen in eine Zeit dramatisch steigender mobiler Cyberkriminalität. Für 2026 beziffern Analysten den globalen Schaden durch Smartphone-Angriffe auf rund 442 Milliarden Euro. Besonders alarmierend: Rund 86 Prozent aller Phishing-Kampagnen werden inzwischen von Künstlicher Intelligenz gesteuert oder unterstützt. Täglich verschicken Kriminelle schätzungsweise 3,4 Milliarden schädliche Nachrichten.
Smishing – Phishing per SMS – hat sich zur dominanten Bedrohung entwickelt. Die Klickraten liegen neunmal höher als bei traditionellem E-Mail-Phishing. Allein im ersten Quartal 2026 stieg die Zahl der Banking-Trojaner-Fälle um 196 Prozent auf 1,24 Millionen. Der Android-Trojaner „Mamont“ ist inzwischen für 70 Prozent aller Angriffe auf dieser Plattform verantwortlich.
Angesichts der massiven Zunahme von Banking-Trojanern und KI-gesteuertem Smishing ist ein Basisschutz für das Smartphone heute unverzichtbar. Experten erklären in diesem kostenlosen Leitfaden 5 einfache Maßnahmen, mit denen Sie Ihr Gerät wirksam gegen Hacker absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt sichern
Ein weiterer Trend: „Quishing“ – der Einsatz bösartiger QR-Codes – hat um 150 Prozent zugelegt und betrifft aktuell 18 Millionen Fälle. Diese Zahlen verdeutlichen, wie schwer es für Nutzer geworden ist, legitime Kommunikation von ausgeklügelten, KI-gesteuerten Betrugsversuchen zu unterscheiden.
Neue Funktionen: WhatsApp setzt auf Anonymität
WhatsApp reagiert auf die wachsenden Sicherheitsbedenken mit einer Reihe neuer Funktionen, die die persönliche Identität von der Kommunikation entkoppeln sollen.
Am 8. April 2026 startete die schrittweise Einführung einer Nutzernamen-Funktion für Beta-Tester auf Android und iOS. Nutzer können einen individuellen Handle zwischen 3 und 30 Zeichen festlegen und mit anderen chatten, ohne ihre Telefonnummer preiszugeben. Um eine Flut unerwünschter Nachrichten zu verhindern, testet WhatsApp zudem einen optionalen vierstelligen Nutzernamen-Schlüssel. Ein globaler Rollout wird für den Frühsommer erwartet.
Am 13. Mai 2026 führte die Plattform einen privaten „Inkognito“-Chat-Modus für den Meta-KI-Chatbot ein. In diesem Modus werden Gespräche nicht von Meta überwacht, und der Verlauf wird automatisch gelöscht – derzeit verarbeitet die Funktion allerdings nur Text.
WhatsApp testet außerdem eine „Nach dem Lesen“-Funktion für verschwindende Nachrichten. Anders als bei herkömmlichen Timern, die mit dem Senden einer Nachricht starten, beginnt der Countdown erst, nachdem der Empfänger den Inhalt gelesen hat. Neue Zeitoptionen zwischen fünf Minuten und zwölf Stunden sollen den Nutzern mehr Kontrolle über die Lebensdauer ihrer privaten Daten geben.
Analyse: Die Kluft zwischen Versprechen und Realität
Die aktuellen Herausforderungen von WhatsApp offenbaren eine wachsende Diskrepanz zwischen marketinggetriebenen Datenschutzversprechen und der technischen Realität mobiler Ökosysteme. Die Ende-zu-Ende-Verschlüsselung bleibt zwar ein robuster Standard für die Übertragung – doch die jüngsten Erkenntnisse über lokale Axolotl-Datenbanken auf Apple-Geräten zeigen: Die „letzte Meile“ der Sicherheit, das Gerät selbst, ist oft das schwächste Glied.
Die texanische Klage, auch wenn sie von Kryptografie-Experten mangels technischer Beweise für eine „Hintertür“ skeptisch betrachtet wird, weist auf einen größeren Regulierungstrend hin. Behörden fokussieren sich zunehmend auf die Lücke zwischen dem, wie Unternehmen ihre Sicherheit beschreiben, und dem, wie sie Daten intern verwalten oder für die Cloud-Synchronisation nutzen.
Die Zunahme KI-gesteuerter Cyberkriminalität verschärft die Lage zusätzlich. Selbst wenn die Verschlüsselung selbst nicht geknackt wird, sind Nutzer zunehmend anfällig für Social Engineering und ausgeklügelte Schadsoftware wie den Mamont-Trojaner. Die Sicherheit einer Messaging-App hängt nicht mehr nur vom Protokoll ab, sondern von der Fähigkeit der Plattform, Identitäten zu verifizieren und schädliche Links abzufangen, bevor sie den Endnutzer erreichen.
Ausblick: Was kommt auf Nutzer zu?
Der Sommer 2026 verspricht richtungsweisend zu werden. Die World Developers Conference (WWDC) am 8. Juni 2026 wird voraussichtlich Klarheit darüber bringen, wie Apple die von Forschern aufgedeckten Sicherheitslücken im App Group Container schließen will.
Auf der rechtlichen Ebene werden die Verfahren in Texas und ein ähnlicher fall in Kalifornien darüber entscheiden, ob Meta seine Verschlüsselungsangaben oder seine technische Architektur ändern muss. Für Nutzer bedeutet der Umstieg auf die nutzernamenbasierte Kommunikation einen signifikanten Wandel – weg von der Telefonnummer als primärem Identifikator.
Mit den Beta-Versionen von iOS 27 und Android 17 werden später im Jahr Funktionen wie „Theft Detection Lock“ und erweiterte KI-Betrugserkennung zum Standard. Doch die aktuellen Daten zu Banking-Trojanern und KI-gesteuertem Smishing lassen erahnen: Der Wettlauf zwischen Plattformsicherheit und Cyberkriminellen wird immer intensiver. Die wirtschaftlichen Schäden durch mobile Angriffe werden voraussichtlich auf Rekordniveau bleiben.
