WhatsApp-Gruppen sind zur neuen Angriffsfläche für Cyberkriminelle geworden. Der Grund: sogenannte Zero-Click-Angriffe, die keine Nutzerinteraktion benötigen. Als Reaktion darauf hat Meta jetzt weltweit schärfere Sicherheitseinstellungen ausgerollt.
Zero-Click-Angriffe: Die lautlose Gefahr aus dem Gruppenchat
Sicherheitsforscher warnen vor einer neuen Angriffswelle über WhatsApp-Gruppen. Das Gefährliche: Nutzer müssen nicht einmal auf einen Link klicken. Es reicht, wenn Angreifer sie in eine präparierte Gruppe einladen.
Banking, E-Mails, Fotos — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt, wie Sie Ihr Android-Gerät wirksam vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Täter nutzen eine Schwachstelle in der Verarbeitung von Mediendateien. Viele Smartphones laden Anhänge automatisch herunter – oft schon bevor der Nutzer den Chat öffnet. Eine manipulierte Datei kann so Schadcode mit weitreichenden Berechtigungen ausführen.
Das Risiko ist in großen, öffentlichen Gruppen besonders hoch. Angreifer verstecken sich hinter anonymen Profilen und verwischen ihre Spuren in der Masse der Teilnehmer. Die Ende-zu-Ende-Verschlüsselung schützt zwar den Nachrichteninhalt, nicht aber die Integrität der Dateien auf dem Gerät.
Metas Antwort: Der „Lockdown-Modus“ für den Messenger
Meta reagiert mit den „Strikten Kontoeinstellungen“. Diese neue Sicherheitsarchitektur funktioniert wie ein Lockdown-Modus, der zunächst für besonders gefährdete Nutzer gedacht ist. Doch auch für den Durchschnittsnutzer bietet sie erheblichen Mehrwert.
Bei Aktivierung blockiert die Funktion Medien von unbekannten Absendern grundsätzlich. Anrufe von Nummern, die nicht im Adressbuch stehen, werden stummgeschaltet. Zudem können nur noch Kontakte aus der eigenen Liste den Nutzer zu Gruppen hinzufügen.
Die Einstellungen erzwingen auch die Zwei-Faktor-Authentifizierung und schalten Link-Vorschauen ab. Branchenkenner sehen darin eine Konsequenz aus einem Rechtsstreit, in dem Meta Anfang des Jahres vorgeworfen wurde, seine Privatsphäre-Versprechen nicht ausreichend abzusichern.
Nutzernamen ersetzen die Handynummer
Ein weiterer Baustein ist die Einführung von Nutzernamen. Bisher war die eigene Telefonnummer in Gruppenchats für alle sichtbar – ein großes Datenschutzrisiko. Fremde Teilnehmer konnten so Nummernlisten exportieren und für Spam oder Phishing missbrauchen.
Die neuen Nutzernamen entkoppeln die Identität erstmals von der SIM-Karte. Nutzer können jetzt entscheiden, ob ihre Telefonnummer für fremde Gruppenmitglieder verborgen bleibt. Stattdessen wird nur der gewählte Nutzername angezeigt.
Das erschwert Kriminellen die Arbeit erheblich. Die Trennung von Erreichbarkeit und Identität minimiert das Risiko von Voice-Phishing und ähnlichen Betrugsmethoden. Doch die Warnung bleibt: Ein Nutzername schützt nicht vor sozialer Manipulation innerhalb des Chats.
So schützen Sie sich: Drei einfache Schritte
Trotz neuer Schutzmaßnahmen bleibt das Nutzerverhalten die wichtigste Verteidigungslinie. IT-Sicherheitsberater empfehlen eine Kombination aus technischen Einstellungen und erhöhter Aufmerksamkeit.
Deaktivieren Sie zunächst den automatischen Mediendownload. In den Einstellungen unter „Speicher und Daten“ sollten Fotos, Videos und Dokumente nie automatisch heruntergeladen werden. Das unterbindet den primären Infektionsweg für Zero-Click-Malware.
Nutzen Sie außerdem Passkeys. Diese biometrische Authentifizierung hat sich zum Standard entwickelt und ersetzt unsichere SMS-Codes. Prüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen für Gruppen. Stellen Sie „Wer kann mich zu Gruppen hinzufügen“ idealerweise auf „Meine Kontakte“.
Da in Deutschland pro Quartal Millionen Online-Konten gehackt werden, empfehlen Experten den Umstieg auf sicherere Login-Methoden. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Diensten wie Amazon, Microsoft und WhatsApp sofort einrichten. Kostenlosen Passkey-Ratgeber herunterladen
Neue Risiken durch Interoperabilität
Die Sicherheitsdebatte wird durch den Digital Markets Act (DMA) der EU befeuert. Seit WhatsApp sein Ökosystem für Drittanbieter-Apps öffnen musste, stehen Entwickler vor einer neuen Herausforderung: Sie müssen die Ende-zu-Ende-Verschlüsselung über Plattformgrenzen hinweg aufrechterhalten.
Branchenanalysten befürchten, dass diese Interoperabilität neue Einfallstore schaffen könnte. Verschiedene Messenger nutzen unterschiedliche Sicherheitsstandards für Gruppenmetadaten. Der Austausch zwischen den Apps könnte die Schutzwälle von WhatsApp schwächen.
Die Verschlüsselung des Inhalts bleibt zwar stabil. Doch die Verwaltung von Teilnehmerlisten und Administrationsrechten in plattformübergreifenden Gruppen ist komplexer – und damit fehleranfälliger geworden.
KI-Moderation und verschlüsselte Identitäten
In den kommenden Monaten wird Künstliche Intelligenz eine größere Rolle spielen. Meta plant den Einsatz lokaler KI-Modelle auf dem Endgerät. Diese „On-Device-Moderation“ könnte Nutzer proaktiv vor Phishing-Links warnen – ohne die Verschlüsselung zu brechen.
Bis Ende des Jahres werden Nutzernamen voraussichtlich zum Standard für alle Neuanmeldungen. Die Telefonnummer rückt damit als primäres Identitätsmerkmal weiter in den Hintergrund. Die Bequemlichkeit der Kommunikation leidet kaum unter diesen Maßnahmen, doch das Sicherheitsniveau steigt signifikant.
Dennoch bleibt Cybersicherheit ein dynamischer Prozess. Jede neue Schutzmaßnahme provoziert neue Umgehungsversuche durch spezialisierte Angreifer. Nutzer sollten monatliche Sicherheitsupdates konsequent installieren und die „Strikten Kontoeinstellungen“ als wertvolles Werkzeug begreifen.
