Eine Sammelklage in den USA wirft Meta vor, die Ende-zu-Ende-Verschlüsselung bei WhatsApp sei nicht so wasserdicht wie versprochen. Was ist dran – und was bedeutet das für die zwei Milliarden Nutzer weltweit?
Meta steht unter Beschuss. Eine internationale Klägergruppe aus Australien, Brasilien, Indien, Mexiko und Südafrika hat vor einem Gericht in San Francisco Klage eingereicht.
Der Vorwurf wiegt schwer: WhatsApp verspreche zwar Ende-zu-Ende-Verschlüsselung (E2E), speichere und analysiere aber trotzdem die Inhalte privater Chats. Meta nennt die Klage „absurd“ und „frei erfunden“. Doch die Diskussion zeigt: Beim Thema Verschlüsselung herrscht viel Verwirrung.
Deshalb schauen wir doch mal genauer hin.
Was Ende-zu-Ende-Verschlüsselung eigentlich bedeutet
Seit 2016 nutzt WhatsApp das renommierte Signal-Protokoll für seine Verschlüsselung. Das Versprechen klingt gut: Nur Absender und Empfänger können Nachrichten lesen – nicht einmal WhatsApp selbst hat Zugriff. Technisch funktioniert das so: Jede Nachricht wird auf deinem Gerät verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Dazwischen sieht niemand den Klartext.
Das Problem: Während das Signal-Protokoll selbst Open Source ist und von Experten geprüft werden kann, ist die WhatsApp-App geschlossene Software. Niemand außerhalb von Meta kann genau überprüfen, wie das überaus zuverlässige Protokoll dort eingebaut wurde.
Was die Kläger konkret vorwerfen
Wieso dann die Klage? Die Klage beruft sich auf anonyme „Whistleblower“, die belegen sollen, dass Meta-Mitarbeiter auf Chat-Inhalte zugreifen können. Details nennt die Klageschrift allerdings nicht, konkrete Belege werden auch nicht vorgelegt.
Das macht es ehrlicherweise schwer einzuschätzen, ob es hier um echte technische Beweise geht oder um Missverständnisse.
Denn: Selbst bei perfekter E2E-Verschlüsselung gibt es Bereiche, die WhatsApp sehr wohl sieht. Dazu gehören Metadaten – also wer wann mit wem kommuniziert, wie groß die Nachrichten sind und welche Medien verschickt werden. Auch Profilbilder, Statusmeldungen oder Gruppennamen sind nicht Ende-zu-Ende-verschlüsselt.
Könnte WhatsApp die Verschlüsselung heimlich abschalten?
Theoretisch: ja. Praktisch: sehr schwierig, ohne erwischt zu werden. WhatsApp könnte etwa zusätzliche Verschlüsselungsschlüssel einschleusen – quasi einen digitalen Zweitschlüssel für Meta. Normalerweise würde WhatsApp dann warnen, dass sich die „Sicherheitsnummer“ geändert hat. Ein manipulierter Client könnte diese Warnung aber unterdrücken.
Allerdings würde das wohl kaum lange unentdeckt bleiben. Sicherheitsforscher können solche Manipulationen durch verschiedene Methoden aufdecken:
- Netzwerk-Traffic-Analyse: Fließen verschlüsselte Nachrichten zusätzlich an Meta-Server?
- Reverse Engineering: Die kompilierte App lässt sich zerlegen und analysieren
- Memory-Analysen: Was passiert mit Nachrichten im Arbeitsspeicher?
Organisationen wie die Electronic Frontier Foundation oder das Citizen Lab führen regelmäßig solche Tests durch. Bisher haben sie keine Belege für eine systematische Unterwanderung der WhatsApp-Verschlüsselung gefunden.
Was bedeutet das für dich?
Die Klage wird zeigen müssen, ob sie handfeste Beweise vorlegt oder sich das Verfahren in Luft auflöst. Bis dahin gilt: Die E2E-Verschlüsselung bei WhatsApp funktioniert nach allem, was wir wissen, wie versprochen – zumindest für die Nachrichteninhalte.
Dennoch bleibt ein grundsätzliches Dilemma: Bei Closed-Source-Software müssen Nutzer dem Hersteller vertrauen. Wer maximale Transparenz möchte, findet sie bei vollständig quelloffenen Alternativen wie Signal. Dort kann jeder technisch Versierte nachprüfen, ob die Verschlüsselung korrekt implementiert ist.
Die Meta-Anwälte haben bereits angekündigt, Sanktionen gegen die Klägeranwälte zu fordern. Das Verfahren dürfte sich also hinziehen. Bis dahin bleibt die spannende Frage: Wird die Klage konkrete technische Beweise vorlegen können – oder war’s das dann mit dem Verfahren?
Tipp: In WhatsApp kannst du die Sicherheitsnummer deiner Kontakte überprüfen. Tippe auf einen Chat, dann oben auf den Namen und scrolle zu „Verschlüsselung“. Ändert sich diese Nummer unerwartet, solltest du hellhörig werden.
