USA untersucht Vorwürfe, dass WhatsApp-Chats nicht privat sind

 (bloomberg.com)
2 Punkte von GN⁺ 2026-02-02 | 1 Kommentare | Auf WhatsApp teilen
  • Sonderermittler des US-Handelsministeriums untersuchen Vorwürfe ehemaliger Meta-Vertragsmitarbeiter, die einen möglichen Zugriff auf WhatsApp-Nachrichten geltend machen
  • Ehemalige Vertragskräfte erklärten, sie selbst und einige Meta-Mitarbeiter hätten „uneingeschränkten Zugriff (unfettered access)“ gehabt
  • Diese Behauptung steht im Widerspruch zu Metas offizieller Darstellung, dass WhatsApp verschlüsselt und privat sei
  • Derselbe Inhalt war auch Teil einer Whistleblower-Beschwerde, die 2024 bei der US-Börsenaufsicht SEC eingereicht wurde
  • Die aktuelle Untersuchung und die Whistleblower-Beschwerde betreffen bislang nicht öffentlich bekannte Vorgänge und haben erhebliche Auswirkungen auf die Verlässlichkeit der Messenger-Privatsphäre

Überblick über die Untersuchung der US-Regierung

  • US-Strafverfolgungsbehörden untersuchen Vorwürfe ehemaliger Vertragsmitarbeiter von Meta Platforms Inc. zu einem möglichen Zugriff auf WhatsApp-Nachrichten
    • Laut Ermittlerberichten und Interviews, die Bloomberg News vorliegen, gibt es den Verdacht, dass Meta-Mitarbeiter auf WhatsApp-Unterhaltungen zugreifen konnten
  • Als ermittelnde Stelle werden Sonderermittler des US-Handelsministeriums (Special Agents with the US Department of Commerce) genannt
  • Der Untersuchungsgegenstand steht in direktem Zusammenhang mit der Glaubwürdigkeit von Metas Angaben zu Ende-zu-Ende-Verschlüsselung und dem Schutz privater Unterhaltungen

Vorwürfe der ehemaligen Vertragsmitarbeiter

  • Die ehemaligen Vertragsmitarbeiter erklärten, sie selbst und einige Meta-Mitarbeiter hätten „uneingeschränkten Zugriff“ auf WhatsApp-Nachrichten haben können (unfettered access)
    • Diese Aussagen stützen sich auf Unterlagen der Strafverfolgungsbehörden, mit dem Fall vertraute Personen sowie die Aussagen der Vertragsmitarbeiter selbst
  • Einer der Vertragsmitarbeiter äußerte sich unter der Bedingung der Anonymität, da er Vergeltungsmaßnahmen befürchte

Whistleblower-Beschwerde und beteiligte Behörden

  • Dieselben Vorwürfe finden sich auch in einer Whistleblower-Beschwerde, die 2024 bei der US-Börsenaufsicht SEC eingereicht wurde
  • Sowohl diese Beschwerde als auch die Untersuchung des Handelsministeriums betreffen Sachverhalte, die zuvor nicht öffentlich bekannt waren, und wurden erstmals von Bloomberg berichtet

Widerspruch zu Metas offizieller Position

  • Meta hat wiederholt erklärt, WhatsApp sei privat und verschlüsselt
  • Die aktuelle Untersuchung und die Zeugenaussagen werfen jedoch die Möglichkeit auf, dass Metas offizielle Darstellung nicht zutrifft

Bedeutung des Falls

  • Der Fall wirft Fragen zur Verlässlichkeit der Verschlüsselung von Messenger-Diensten und zum Niveau des Schutzes der Privatsphäre von Nutzern auf
  • Dass eine US-Regierungsbehörde direkt Ermittlungen aufgenommen hat, rückt die Frage der Sicherheitstransparenz globaler Messenger-Plattformen erneut in den Fokus

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-02
Hacker-News-Meinungen

  • Die Ende-zu-Ende-Verschlüsselung (E2EE) von WhatsApp wurde unabhängig untersucht.
    Dabei wurde nicht der gesamte Source Code geprüft, sondern nur der Kern der Verschlüsselung.
    Das Hauptproblem war, dass die WhatsApp-Server festlegen, welche Nutzer in einer Chatgruppe enthalten sind.
    Dan Goodin behandelt das in einem Ars-Technica-Artikel.

    • Ich halte es für problematisch, dass nicht der gesamte Source Code geprüft wurde.
      Facebook hat schon einmal mobile Sicherheitsmaßnahmen umgangen, indem es Daten über localhost übertragen hat.
      Die App kann Daten in viele Richtungen senden und über Push-Benachrichtigungen auch Nachrichten lesen.
      Zugehöriger Artikel: Cybersecurity News
    • Die WhatsApp-APK lädt selbst in Umgebungen, in denen sie außerhalb von Google Play installiert wurde, Google-Tag-Manager-Skripte nach.
      Das geschieht wiederholt bei jedem Chat und lässt sich auch mit einer MitM-Firewall bestätigen.
      Ich frage mich, warum solche Audits immer nur den Verschlüsselungsteil behandeln.
      Wenn der Client Klartextnachrichten an andere Server oder Übersetzungsdienste sendet, ist Transportverschlüsselung bedeutungslos.
    • Der Server kann einer Gruppe zwar beliebige Mitglieder hinzufügen, aber der Client zeigt die Anwesenheit neuer Mitglieder an und frühere Nachrichten werden nicht geteilt.
      Wenn der Client zugleich kompromittiert ist, könnte diese Anzeige allerdings ebenfalls verborgen werden.
      Laut einem aktuellen Livemint-Artikel entwickelt WhatsApp eine Funktion, die neuen Mitgliedern frühere Nachrichten zeigt, was die Sicherheit schwächen könnte.
      Wegen des schnellen Tempos bei Richtlinienänderungen sei niemand automatisch ausgenommen.
    • Die WhatsApp-Server entscheiden auch, welcher öffentliche Schlüssel welcher Telefonnummer zugeordnet wird.
      Ohne persönliche Verifikation ist das schwer vertrauenswürdig.
    • Danke dafür, die Technik auf Basis der tatsächlichen Implementierung zu bewerten.

  • Ich glaube nicht, dass geschlossene E2EE-Clients vollständig sicher sein können.
    Das Erkennen von Backdoors ist realistisch nur bei Open Source möglich, und reproducible builds sind wichtig.
    Auch eine subtile Remote-Code-Execution-Schwachstelle, die nur serverseitig ausnutzbar ist, kann eine Backdoor sein.

    • Es wird behauptet, Backdoors ließen sich nur auf Binärebene erkennen.
      Das Compiler-Verhalten vollständig zu verstehen und versteckte Backdoors im Source Code zu finden, sei unmöglich.
    • Unter Verweis auf Stallmans Philosophie wird gesagt, dass Closed-Source-Software aus Sicherheitssicht durch automatische Obfuskation sogar Vorteile haben könnte.
      Open Source habe viele Vorteile, aber man müsse keine unbegründete Sicherheitsüberlegenheit behaupten.

  • Als ehemaliger WhatsApp-Ingenieur bin ich sicher, dass das Team enorme Anstrengungen in die E2EE-Implementierung gesteckt hat.
    Es war nicht möglich, verschlüsselte Nachrichten zu lesen.
    Auch geschäftlich liefert die WhatsApp Business API bereits ausreichend Umsatz.

    • Facebook interessiert sich mehr für Einfluss auf das Nutzerverhalten und den Verkauf von Aufmerksamkeit als für bloße Umsätze.
    • Es gab einen Zeitpunkt, an dem Signal und WhatsApp im Google Play Store dieselbe Adresse nutzten; ich frage mich, ob es Zusammenarbeit bei der Integration des Signal-Protokolls gab.
    • Es wird gefragt, warum Andreas Schjelderup beim Teilen kleinerer Inhalte aufgeflogen ist.
    • Ich frage mich, ob der Server die Verbindung zwischen zwei Clients per Man-in-the-Middle-Angriff (MitM) manipulieren kann
      und ob die Clients die Schlüssel der Gegenseite direkt vergleichen oder den Paketinhalt verifizieren können.
    • Schon wenn nur ein einziger Ingenieur andere Anweisungen erhält, könnten alle Bemühungen um Privatsphäre bedeutungslos werden.

  • Matthew Green bewertet in einem aktuellen Bluesky-Post
    die Klage, wonach WhatsApp Zugriff auf Klartext habe, als schwach begründete Clickbait-Behauptung.

  • Aussagen von Meta, ehemaligen WhatsApp-Mitarbeitern und Untersuchungsergebnisse widersprechen den Behauptungen des Whistleblowers nicht.
    Um wirklich Vertrauen zu schaffen, wäre in offiziellen SEC-Unterlagen eine Erklärung nötig, dass „Meta zu keinem Zeitpunkt auf WhatsApp-Nachrichten in irgendeiner Form zugegriffen hat und dies auch künftig unmöglich ist.“

  • Es werden einige hypothetische Szenarien vorgeschlagen.

    1. Verschlüsselte Nachrichten sammeln und mit Quantencomputing zu entschlüsseln versuchen
    2. Über Metadatenanalyse auf den eigentlichen Inhalt schließen
      Zum Beispiel: Wenn ich eine bestimmte Seite besuche, einem Freund den Link schicke und dieser Freund danach dieselbe Seite besucht, kann man den Nachrichteninhalt erschließen.
    • Über (1) wurde als unrealistisch gelacht.
      FAANG-Unternehmen sind technisch oft schlampiger als gedacht.
      Intern enden Projekte mit Titeln wie „Decryption at Scale“ häufig als Dokumentationsarbeit für Leistungsnachweise.
    • Schon mit ausreichend Metadaten wie in (2) lassen sich Lebensmuster und Aufenthaltsorte einer Person erkennen.
      Eine Entschlüsselung des eigentlichen Inhalts ist dafür nicht nötig.
    • Entschlüsselung per Quantencomputing ist wissenschaftlich nahezu unmöglich.
      Das wäre fast so, als zu behaupten, man habe 2016 bereits den technischen Stand von 2026 besessen.
    • Die US-Regierung versucht Nachrichten womöglich nicht sofort zu lesen, sondern für spätere Auswertung zu speichern.
      Siehe dazu: Utah Data Center
    • Das eigentliche Problem ist, dass Backups keine vollständige E2EE haben.
      Nicht der Nutzer, sondern der Server besitzt den Schlüssel.

  • Ich frage mich, wie solche Untersuchungen in der Praxis ablaufen.
    Werden nur Fragen gestellt, oder wird die App zusammen mit IT-Experten technisch analysiert?
    Wird verlangt, den Source Code zu verifizieren, der mit dem auf den Geräten der Nutzer laufenden Code übereinstimmt?

    • Der erste Schritt ist, dass bei staatlichen Untersuchungen die Angst, beim Lügen erwischt zu werden, abschreckend wirkt.
      Ganz ausschließen lässt sich das aber nicht.
    • Jeder kann Client-Binärdateien auditieren.
    • Wahrscheinlich haben mehrere Regierungen bereits Analysen per Reverse Engineering durchgeführt.

  • Ich denke, der Kern aller Verschlüsselung ist Schlüsselverwaltung.
    Wenn man die Schlüssel nicht selbst kontrolliert, kontrolliert sie letztlich jemand anderes.
    Dass WhatsApp Nachrichten automatisch zwischen Geräten synchronisiert, ist ein Kompromiss zwischen Komfort und Sicherheit.
    Die meisten Nutzer verifizieren die Fingerprints ihres Gegenübers nicht direkt.

  • Die größten datenschutzverletzenden Unternehmen der Welt haben jeden Anreiz, die Privatsphäre ihrer Nutzer zu schwächen.
    Ihr Geschäftsmodell basiert selbst auf Datensammlung und Verhaltensmanipulation.
    Deshalb ist es selbst ohne Beweise eine rationale Entscheidung, ihnen nicht zu vertrauen.