WhatsApp Datenleck: 3,5 Milliarden Accounts betroffen – alles, was ihr jetzt wissen müsst
- 19.11.2025 um 22:58 Uhr
DealDoktor (Marsel)
WhatsApp ist für Milliarden Menschen der wichtigste Messenger überhaupt – umso brisanter ist die Nachricht, dass bis vor kurzem 3,5 Milliarden WhatsApp-Accounts weltweit komplett ungeschützt abgefragt werden konnten.
Keine Passwörter, kein Hack, kein Geheimwissen: Die Daten standen offen, weil WhatsApp grundlegende Sicherheitsmechanismen nicht ausreichend umgesetzt hatte.
Was genau passiert ist, welche Risiken daraus entstehen und wie ihr euch schützen könnt, erklären wir euch hier.
🔍 Was genau ist passiert?
Forscher der Universität Wien und SBA Research haben einen eklatanten Fehler im sogenannten Contact-Discovery-System von WhatsApp entdeckt. Dieses System prüft, ob eine Telefonnummer zu einem WhatsApp-Konto gehört – praktisch, aber gefährlich.
Das Problem: WhatsApp hatte weder ein effektives Rate Limiting eingebaut (also eine Begrenzung, wie viele Nummern pro Stunde abgefragt werden dürfen), noch ein funktionierendes Monitoring-System.
Dadurch konnten die Forscher über Monate hinweg:
- mehr als 100 Millionen Telefonnummern pro Stunde abfragen
- insgesamt 3.546.479.731 WhatsApp-Accounts weltweit erfassen
- 57% aller Profilbilder herunterladen
- öffentliche Schlüssel abgreifen
- Infofelder auslesen (politische Einstellungen, E-Mails, Religionszugehörigkeit …)
- Gerätetypen erkennen (Android oder iOS)
- die Zahl verknüpfter Geräte analysieren
All diese Informationen waren ohne Hacking frei abrufbar.
Damit zählt der Vorfall zu den größten Datenabflüssen aller Zeiten.
🧠 Warum ist das so gefährlich?
Viele denken: „Na gut, meine Nummer ist doch sowieso öffentlich.“ Doch hier geht es nicht nur um Telefonnummern – sondern um Metadaten. Und Metadaten sind oft viel gefährlicher als Chat-Inhalte.
Was man aus den Daten ableiten konnte:
- Gesichtsidentifikation: In 2/3 der Profilfotos war ein Gesicht eindeutig erkennbar.
- Datenbanken verknüpfbar: Gesichtsbild → Telefonnummer → weitere Online-Profile.
- Erkennung von Nutzern in Ländern, in denen WhatsApp verboten ist: China (2,3 Mio Nutzer), Iran (60 Mio), Myanmar (1,6 Mio).
- E-Mail-Adressen von Regierungsmitarbeitern weltweit.
- Hinweise auf Betrugsnetzwerke: Millionen von öffentlichen Schlüsseln tauchten auf mehreren Geräten gleichzeitig auf – ungewöhnlich und typisch für Scammer-Fabriken.
- Gefährliche Infofelder: Viele Nutzer teilten dort politische, sexuelle oder religiöse Details.
Damit ergeben sich gleich mehrere konkrete Risiken.
⚠️ Die größten Risiken für WhatsApp-Nutzer
- Doxing: Verknüpfung von Gesicht, Telefonnummer und persönlichen Infos.
- Spam & Betrug: Millionen Nummern landen in Scam-Datenbanken.
- Profiling: Kombination verschiedener Datenquellen ermöglicht detaillierte Persönlichkeits- und Bewegungsprofile.
- Gefahr in autoritären Ländern: Identifizierbarkeit kann lebensgefährlich sein.
- Missbrauch alter Nummern: Beim Nummernwechsel werden Profilschlüssel nicht immer erneuert.
🔧 Welche Daten waren NICHT betroffen?
Wichtig: Die Ende-zu-Ende-Verschlüsselung der Nachrichten blieb intakt. Niemand konnte eure Chats lesen.
ABER: Eure Metadaten sprechen oft lauter als der Inhalt.
🛡️ Praktische Sicherheitstipps für alle WhatsApp-Nutzer
1. Profilbild und Infofeld überdenken
Überlegt: Muss euer Gesicht öffentlich sichtbar sein? Müssen dort persönliche Infos stehen? Viele Nutzer stellen beides unnötig weit offen ein.
2. Beim Nummernwechsel: Konto löschen!
Wenn ihr eure Rufnummer aus Sicherheitsgründen ändert, dann:
- altes WhatsApp-Konto komplett löschen
- neues Konto neu anlegen
- im Idealfall auch neues Gerät nutzen
3. Vorsicht bei neuen Kontakten
Nach diesem Vorfall ist mit mehr Spam, mehr Scams und mehr gefälschten Accounts zu rechnen.
4. Datenschutz-Einstellungen prüfen
- Sichtbarkeit von Profilbild auf „Meine Kontakte“ setzen
- „Zuletzt online“ und „Info“ einschränken
- bei unsicherem Umfeld „Lesebestätigungen deaktivieren“
🔁 Wie reagierte Meta?
Meta wurde ab September 2024 mehrfach gewarnt – und ignorierte die Forscher monatelang. Erst kurz vor Veröffentlichung des Forschungspapiers handelte das Unternehmen.
Inzwischen wurden folgende Sicherheitsverbesserungen vorgenommen:
- Rate Limiting stark verschärft
- Machine Learning zur Erkennung ungewöhnlicher Abfragen
- keine Zeitstempel mehr für Profilbilder
- bessere Schlüsselvergabe bei neuen Accounts
- Lebenszeit-Limit für maximale Anfragen pro Account
📱 WhatsApp vs. Signal: Wer geht besser mit euren Daten um?
| Funktion | Signal | |
|---|---|---|
| Ende-zu-Ende-Verschlüsselung | Ja | Ja |
| Verschlüsselte Profilbilder | ❌ Nein | ✅ Ja |
| Verschlüsselte Infofelder | ❌ Nein | ✅ Ja |
| Metadaten-Sparsamkeit | ❌ schwach | ✅ sehr stark |
| Open-Source | Teilweise | 100% Open-Source |
✅ Checkliste: So schützt ihr eure WhatsApp-Daten
- 🔒 Profilbild einschränken: Sichtbarkeit auf „Meine Kontakte“ setzen.
- ℹ️ Infofeld prüfen: Keine sensiblen Angaben wie Politik, Religion oder private E-Mail.
- 🕵️ Sichtbarkeit von „zuletzt online“ & „Info“ einschränken: Weniger Angriffsfläche.
- 📞 Nummernwechsel geplant? Altes Konto löschen, nicht nur die Nummer ändern.
- 👤 Unbekannte Kontakte misstrauisch behandeln: Mehr Spam & Scams sind zu erwarten.
- 📵 Keine Profilbilder von Kindern: Durch Gesichtserkennung besonders heikel.
- 📱 Zweitnummer nutzen: Für Shopping, Dating, Online-Dienste.
- 🔐 Alternative Messenger prüfen: Signal oder Threema als privatere Optionen.
🇩🇪 Was bedeutet das für Deutschland?
Deutschland ist eines der Länder mit der höchsten WhatsApp-Durchdringung weltweit – viele Haushalte, Unternehmen und öffentliche Stellen nutzen den Messenger täglich.
Entsprechend groß ist die Zahl der Betroffenen.
Besonders problematisch ist dabei:
- E-Mail-Adressen aus Behördenumfeld: Forscher fanden Adressen mit „bund.de“ und Domains von US-Ämtern wie „state.gov“. Dadurch könnten Mitarbeiter staatlicher Stellen identifizierbar werden.
- Profilfotos aus Deutschland leicht verknüpfbar: Ein Profilbild + Telefonnummer reichen für Identifizierung über andere Datenbanken oder Social Media.
- Erhöhtes Scam-Risiko: Deutschland ist eines der Hauptziele für Telefon- und WhatsApp-Betrug. Die offen abrufbaren Daten sind dafür ein ideales Fundament.
- Gefährdung vulnerabler Gruppen: Personen in Schutzprogrammen, Opfer häuslicher Gewalt oder politisch aktive Menschen wurden theoretisch identifizierbar.
- Unternehmen und Behörden: Wenn Beschäftigte WhatsApp beruflich nutzen, können Profilbilder & Nummern Rückschlüsse auf Strukturen und Kommunikationswege zulassen.
Für Deutschland bedeutet das: Der Vorfall sollte als Weckruf dienen, sich stärker mit digitalen Risiken zu beschäftigen, alternative Messenger anzubieten und klare Datenschutzregeln in Unternehmen & Behörden durchzusetzen.
🧾 Fazit
Das WhatsApp-Datenleck zeigt: Selbst große Plattformen sind nicht unverwundbar. Inhalte sind zwar geschützt, aber Metadaten bleiben ein massives Sicherheitsrisiko – vor allem, wenn Messenger sie offen zugänglich halten. WhatsApp hat inzwischen nachgebessert, doch viele Probleme bleiben systembedingt bestehen.
Wer maximale Privatsphäre möchte, kommt an Signal kaum vorbei. Wer bei WhatsApp bleibt, sollte die Datenschutz-Einstellungen anpassen und bewusster mit Profilbild und Infofeld umgehen.
Wer sich das Thema auch mal in Video-Form anschauen möchte – heise.de hat dieses Thema sehr gut aufgearbeitet:
📝 FAQ – Häufig gestellte Fragen
- 📱 War mein persönlicher WhatsApp-Chatverlauf betroffen?
- Nein. Die Inhalte eurer Chats waren durch die Ende-zu-Ende-Verschlüsselung geschützt und zu keinem Zeitpunkt einsehbar.
- 🔍 Welche Daten waren öffentlich abrufbar?
- Telefonnummern, Profilbilder, Infofelder, öffentliche Schlüssel, Betriebssystem, Anzahl verknüpfter Geräte und Zeitstempel von Profiländerungen.
- 🧠 Warum sind Metadaten überhaupt gefährlich?
- Metadaten erlauben Rückschlüsse auf Identität, Verhalten, Kontakte, Aufenthaltsorte und persönliche Eigenschaften – selbst ohne Chat-Inhalte.
- 🌍 Waren Nutzer in Ländern mit WhatsApp-Verbot besonders gefährdet?
- Ja. Forscher fanden Millionen aktive Nutzer in China, Iran und Myanmar. Die Offenlegung kann dort ernsthafte Konsequenzen haben.
- 🔄 Reicht ein Nummernwechsel, um sicherer zu sein?
- Nein. Der Profilschlüssel wird nicht immer neu gesetzt. Ihr solltet das WhatsApp-Konto vor dem Nummernwechsel komplett löschen.
- 🚫 Kann man verhindern, dass Profilbilder öffentlich sichtbar sind?
- Ja. In den Datenschutz-Einstellungen könnt ihr einstellen, dass nur Kontakte euer Bild sehen dürfen.
- 🤖 Hat Meta die Lücke inzwischen geschlossen?
- Ja. WhatsApp hat Rate Limiting, Machine-Learning-Erkennung und Schlüsselvergabe verbessert. Die Problematik von Metadaten bleibt aber grundlegend bestehen.
- 🔐 Wäre Signal sicherer gewesen?
- Ja. Signal verschlüsselt Profilbilder, Infofelder und Metadaten deutlich strenger als WhatsApp – dort wären solche Datensammlungen nicht möglich gewesen.
Du musst eingeloggt sein um einen Kommentar zu schreiben.
Wichtiger Artikel! Vielen Dank fürs aufmerksam machen. Zum Glück bei mir kein Profilbild von mir drin, noch nie gehabt, keine Infos öffentlich abrufbar etc.
Ich halte es so gut es geht mit Datensparsamkeit im Internet, aber das zeigt halt wieder das es den Anbietern in erster Linie um Geld geht.
Datenbroker haben sich die Whatsapp Daten bestimmt eh schon lange gesichert.
Und verknüpft mit anderen Profilen von Accounts wo dasselbe Profilbild oä drin ist…
Gruselig wenn man die Schattenwelt dort mal gesehen hat was alles mit unseren „öffentlich einsehbaren“ Daten möglich ist.
Sehr interessant…Vielen Dank nochmal🙂
war leider nur eine frage der zeit bis sowas passiert
klasse, geile sache
Hat WA die Kunden informiert?!