![\"WhatsApp\"\/](\"https:\/\/www.europesays.com\/at\/wp-content\/uploads\/2026\/05\/WhatsApp_460x323.png\")
<\/p>\nGabriel Gegenhuber ist Researcher bei SBA Research und forscht seit mehreren Jahren zu Sicherheits- und Privatsph\u00e4re-Aspekten in der Mobilfunkkommunikation sowie bei Instant-Messaging-Diensten.<\/p>\n
<\/p>\n
Foto: AdobeStock<\/p>\n
Im Zuge des FFG-KIRAS-Projekts TelCrit untersuchte er gemeinsam mit Forschungspartner\/innen insbesondere WhatsApp, eine der weltweit meistgenutzten Kommunikationsplattformen, und analysierte, welche Informationen Nutzer\/innen unbeabsichtigt \u00fcber ihre Privatsph\u00e4re-Einstellungen preisgeben.<\/p>\n
WhatsApp z\u00e4hlt weltweit rund 3,5 Milliarden Nutzer\/innen und spielt auch in \u00d6sterreich eine zentrale Rolle in der allt\u00e4glichen Kommunikation. Der Dienst wird von einem Gro\u00dfteil der Bev\u00f6lkerung genutzt und ist in vielen Bereichen (von privater Kommunikation \u00fcber Vereine bis hin zu beruflichen Abl\u00e4ufen) faktisch zum Standard geworden. F\u00fcr viele Menschen ist WhatsApp damit nicht nur ein Kommunikationsmittel, sondern eine grundlegende digitale Infrastruktur.<\/p>\n
Zentralisierung als strukturelles Risiko<\/p>\n
Die weite Verbreitung von WhatsApp f\u00fchrt zu einer starken Zentralisierung der digitalen Kommunikation auf eine einzige (US-amerikanische) Plattform. Messenger-Dienste sind nur dann n\u00fctzlich, wenn m\u00f6glichst viele Kontakte \u00fcber denselben Dienst erreichbar sind, und neigen daher strukturell zur Monopolbildung. Daraus ergibt sich ein faktischer Nutzungszwang: Selbst, wenn einzelne Nutzer\/innen datenschutzfreundlichere Alternativen bevorzugen w\u00fcrden, spielen diese im Alltag oft kaum eine Rolle.<\/p>\n
Aufgrund der enormen Verbreitung wirken sich Schwachstellen oder ung\u00fcnstige Standardeinstellungen bei WhatsApp nicht auf einzelne Nutzergruppen, sondern auf einen sehr gro\u00dfen Teil der Bev\u00f6lkerung aus \u2013 sowohl weltweit als auch in \u00d6sterreich. Trotz Ende-zu-Ende-Verschl\u00fcsselung der Nachrichten bedeutet die Nutzung von WhatsApp nicht automatisch umfassenden Schutz der Privatsph\u00e4re. Neben dem eigentlichen Nachrichteninhalt spielen insbesondere Metadaten und Profileinstellungen eine zentrale Rolle \u2013 vor allem dann, wenn sie standardm\u00e4\u00dfig zu gro\u00dfz\u00fcgig konfiguriert sind.<\/p>\n
Telefonnummern als Ausgangspunkt f\u00fcr Angriffe<\/p>\n
Im Rahmen einer k\u00fcrzlichen Studie konnte gezeigt werden, dass WhatsApp anf\u00e4llig f\u00fcr sogenannte Enumeration-Angriffe ist. Dabei war es m\u00f6glich, Telefonnummern in gro\u00dfem Umfang automatisiert zu \u00fcberpr\u00fcfen und festzustellen, ob sie mit aktiven WhatsApp-Konten verkn\u00fcpft sind. Auf diese Weise konnten Telefonnummern von Nutzer\/innen systematisch erfasst werden.<\/p>\n
\u00dcber die blo\u00dfe Existenz eines Kontos hinaus lie\u00dfen sich zudem weitere Metadaten abfragen, darunter das Profilbild, der Status-Text, Informationen zum verwendeten Betriebssystem, sowie Hinweise auf das Alter eines Accounts. Diese zus\u00e4tzlichen Informationen erm\u00f6glichen eine deutlich genauere Einordnung und Profiling einzelner Nutzer\/innen.<\/p>\n
Solche Datensammlungen von m\u00f6glicherweise b\u00f6swilligen Akteuren stellen eine problematische Grundlage f\u00fcr weiterf\u00fchrende Angriffe dar. Telefonnummern gelten als besonders langlebige Identifikatoren und k\u00f6nnen \u00fcber Jahre hinweg f\u00fcr Scam-Anrufe, Phishing-Nachrichten oder gezielte Betrugsversuche missbraucht werden.<\/p>\n
Mehr Informationen erh\u00f6hen die Effektivit\u00e4t von Angriffen<\/p>\n
Noch wirksamer werden Phishing- oder Scam-Angriffe, wenn Angreifer\/innen nicht nur Telefonnummern besitzen, sondern zus\u00e4tzliche Informationen \u00fcber die betroffenen Personen. \u00d6ffentlich sichtbare Profilinformationen \u2013 etwa Profilfotos oder Status-Texte \u2013 erleichtern die Identifikation und Personalisierung von Angriffen erheblich.<\/p>\n
Die Forschungsarbeiten zeigen, dass insbesondere Profilfotos ein relevantes Risiko darstellen: Sie enthalten h\u00e4ufig Gesichter oder private Kontexte und erm\u00f6glichen eine eindeutige Zuordnung einer Telefonnummer zu einer realen Person und ihre Merkmale (z.B. Geschlecht, Alter). Die Sichtbarkeit solcher Informationen sollte daher auf ein Minimum reduziert werden. Eine datenschutzfreundliche Standardeinstellung w\u00e4re, Profilfotos ausschlie\u00dflich f\u00fcr eigene Kontakte freizugeben und weitergehende Sichtbarkeit nur bewusst zu erlauben.<\/p>\n
![\"\"\/](\"https:\/\/www.europesays.com\/at\/wp-content\/uploads\/2026\/05\/WA-Privacy-SBA.png\")
<\/p>\n
![\"WA-Profile-SBA\"\/](\"https:\/\/www.europesays.com\/at\/wp-content\/uploads\/2026\/05\/WA-Profile-SBA.png\")
<\/p>\n
Silent Pings: Unauff\u00e4llige \u00dcberwachung einzelner Personen<\/p>\n
Neben gro\u00dfangelegten Enumeration-Angriffen wurden im Rahmen der Forschung auch individuelle Angriffsformen identifiziert. Ein besonders problematisches Beispiel sind sogenannte Silent Pings \u00fcber Zustellbest\u00e4tigungen (Delivery Receipts).<\/p>\n
Dabei k\u00f6nnen Angreifer\/innen durch manipulierte stille Nachrichten mit WhatsApp-Konten unauff\u00e4llig Zustellbest\u00e4tigungen ausl\u00f6sen \u2013 ohne dass die betroffene Person eine Benachrichtigung am Smartphone erh\u00e4lt. Anhand der Zeitpunkte und Eigenschaften dieser Best\u00e4tigungen lassen sich R\u00fcckschl\u00fcsse auf das Online-Verhalten, die Ger\u00e4teaktivit\u00e4t oder sogar den Aufenthaltsort einer Person ziehen. Solche Angriffe eignen sich insbesondere f\u00fcr gezielte \u00dcberwachung, etwa im Kontext von Stalking oder pers\u00f6nlicher Ausforschung.<\/p>\n
Gegen Angriffe dieser Art besteht derzeit nur unzureichender Schutz auf Nutzer\/innen-Seite. Da sie auf grundlegenden Protokoll- und Designentscheidungen beruhen, lassen sie sich nicht allein durch Privatsph\u00e4re-Einstellungen verhindern. Umso wichtiger ist es, das Bewusstsein in der Bev\u00f6lkerung f\u00fcr derartige Schwachstellen zu st\u00e4rken.<\/p>\n
Fazit: Privacy by Default bei zentralen Kommunikationsdiensten<\/p>\n
Die Ergebnisse aus dem Projekt TelCrit verdeutlichen, dass Privatsph\u00e4re-Risiken bei WhatsApp nicht nur durch einzelne Fehlkonfigurationen entstehen, sondern durch das Zusammenspiel von Zentralisierung, Designentscheidungen und Standardeinstellungen. Technischer Schutz wie Ende-zu-Ende-Verschl\u00fcsselung ist wichtig, reicht jedoch nicht aus, um Nutzer\/innen umfassend zu sch\u00fctzen.<\/p>\n
Gerade bei Kommunikationsdiensten mit einer derart gro\u00dfen Nutzerbasis \u2013 auch in \u00d6sterreich \u2013 kommt dem Prinzip Privacy by Default eine besondere Bedeutung zu. Datenschutzfreundliche Voreinstellungen, reduzierte Sichtbarkeit von Profilinformationen und robuste Schutzmechanismen gegen missbr\u00e4uchliche Abfragen sind entscheidend, um unbeabsichtigte Risiken f\u00fcr Millionen von Nutzer\/innen zu minimieren. Nach einem Responsible-Disclosure-Verfahren im Zuge der Enumeration-Studie hat WhatsApp zwar technische Nachbesserungen vorgenommen, doch bleiben grundlegende Risiken bestehen, die aus der starken Zentralisierung des Dienstes resultieren. F\u00fcr sicherheits- und datenschutzbewusste Nutzer\/innen ist ein Wechsel zu privatsph\u00e4refreundlicheren Alternativen wie Signal oder Threema daher nach wie vor der wirksamste Weg, um die eigenen Kommunikationsdaten besser zu sch\u00fctzen.<\/p>\n
R\u00fcckfragehinweis:<\/p>\n
\n Letzte Aktualisierung: 6. Mai 2026<\/p>\n
\n F\u00fcr den Inhalt verantwortlich:
\nSBA Research\n <\/p>\n","protected":false},"excerpt":{"rendered":"Gabriel Gegenhuber ist Researcher bei SBA Research und forscht seit mehreren Jahren zu Sicherheits- und Privatsph\u00e4re-Aspekten in der…\n","protected":false},"author":2,"featured_media":143973,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[46,42,44,97,96,101,98,100,99],"class_list":{"0":"post-143972","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-at","9":"tag-austria","10":"tag-oesterreich","11":"tag-science","12":"tag-science-technology","13":"tag-technik","14":"tag-technology","15":"tag-wissenschaft","16":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@at\/116529573958417491","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/143972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/comments?post=143972"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/143972\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media\/143973"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media?parent=143972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/categories?post=143972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/tags?post=143972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}