Analyse: Wiener Forscher decken massive WhatsApp Sicherheitslücke auf:3,5 Milliarden Nutzer betroffen.

 1. Was konkret bei dieser WhatsApp Sicherheitslücke passiert ist

Wissenschaftlerinnen und Wissenschaftler der Universität Wien und von SBA Research konnten demonstrieren:

• Die WhatsApp-API erlaubte es, automatisiert zu testen, welche Telefonnummern ein WhatsApp-Konto besitzen.
• Dabei fielen eine Reihe zusätzlicher Metadaten an: Profilbilder (sofern öffentlich), Info-Texte, Account-Zeitstempel, Geräteinformationen, öffentliche Schlüssel.
• Insgesamt konnten rund 3,5 Milliarden Accounts identifiziert und katalogisiert werden.
• Faktisch ließ sich damit das globale WhatsApp-Telefonbuch rekonstruieren.

Es handelt sich bei dieser Whatsapp Sicherheitslücke nicht um einen klassischen Hack, sondern um ein Design- und Kontrollproblem, das über einen längeren Zeitraum unentdeckt blieb.

2. Warum diese WhatsApp Sicherheitslücke ein DSGVO-Fall ist

2.1 Personenbezug und Datenverarbeitung

Telefonnummer, Profilbild und „About“-Text sind in Kombination eindeutig personenbezogene Daten im Sinne von Art. 4 DSGVO. Die Möglichkeit, automatisiert zu prüfen, welche Telefonnummern bei WhatsApp registriert sind, stellt eine systematische Verarbeitung personenbezogener Daten dar.

2.2 Verstoß gegen Art. 25 DSGVO (Datenschutz durch Technikgestaltung)

Ein System, das ohne ausreichende Limitierungen Milliarden Anfragen an die Contact-Discovery-Funktion zulässt, widerspricht den Grundsätzen von „Privacy by Design“ und „Privacy by Default“. Die Implementierung hätte so gestaltet sein müssen, dass massenhaftes Auslesen des globalen Nutzerverzeichnisses technisch verhindert wird. Die WhatsApp Sicherheitslücke zeigt, dass hier nicht nach diesen Prinzipien gehandelt wurde. 

2.3 Verletzung der Datensicherheit (Art. 32 DSGVO)

Die DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“, um personenbezogene Daten vor unbefugter oder exzessiver Verarbeitung zu schützen. Dazu gehören unter anderem:

• Rate-Limiting und Schutzmechanismen gegen automatisiertes Scraping,
• Erkennung ungewöhnlicher Zugriffsmuster,
• Minimierung der zurückgegebenen Metadaten.

Dass über einen längeren Zeitraum hinweg derartige Massenabfragen möglich waren, spricht gegen eine angemessene Sicherheitsarchitektur im Sinne von Art. 32 DSGVO.

2.4 Meldepflicht nach Art. 33 und 34 DSGVO

Bei einer „Verletzung des Schutzes personenbezogener Daten“ besteht grundsätzlich eine Meldepflicht gegenüber den Aufsichtsbehörden (Art. 33 DSGVO) sowie – bei hohem Risiko – eine Informationspflicht gegenüber den Betroffenen (Art. 34 DSGVO). Ob und in welchem Umfang Meta eine solche Meldung vorgenommen hat, ist öffentlich nicht transparent nachvollziehbar. Angesichts des Ausmaßes der möglichen Datenerfassung ist dies rechtlich und politisch bemerkenswert.

3. Warum das für die digitale Souveränität Europas relevant ist

Der Fall zeigt deutlich: Auch wenn Inhalte Ende-zu-Ende verschlüsselt sind, können Plattformen über die Verarbeitung von Metadaten enorme Mengen sensibler Informationen preisgeben. Gleichzeitig liegen die technische Gestaltung und der rechtliche Rahmen dieser Plattformen außerhalb europäischer Kontrolle.

Es lassen sich drei strukturelle Problemfelder erkennen:

3.1 Rechtliche Abhängigkeit: US-Recht schlägt EU-Recht

Meta und WhatsApp unterliegen unter anderem dem US CLOUD Act und FISA 702. Diese Rechtsregime eröffnen US-Behörden weitreichende Zugriffsrechte, auch auf Daten, die sich physisch in Europa befinden. Die DSGVO verlangt gleichzeitig ein hohes Schutzniveau und Kontrolle über Datenverarbeitungsprozesse. Daraus ergibt sich ein struktureller Rechtskonflikt, der europäische Unternehmen, Behörden und Institutionen in ein permanentes Compliance-Dilemma bringt.

3.2 Technologische Abhängigkeit: Nicht auditierbare Plattformen

Die WhatsApp-Lücke macht sichtbar, dass Europa zentrale Kommunikationsinfrastruktur in Form von Black-Box-Plattformen nutzt. Weder der Quellcode noch Sicherheitsmechanismen oder Metadatenverarbeitung sind unabhängig auditierbar. Sicherheitsfehler bleiben damit oft so lange unentdeckt, bis externe Forschende zufällig auf sie stoßen – und selbst dann bleibt Europa auf die Reaktion des Plattformbetreibers angewiesen.

3.3 Ökonomische Abhängigkeit: Konzentration von Daten und Marktmacht

Wenn eine einzelne globale Plattform Kommunikation für Milliarden Menschen und unzählige Unternehmen bündelt, entsteht eine enorme Konzentration von Marktmacht und Daten. Europa wird damit primär zum Datenlieferanten – nicht zum Gestalter der zugrunde liegenden Infrastruktur und Geschäftsmodelle.

4. Warum dieser Fall gefährlicher ist als ein „klassischer“ Datenklau?

Auf den ersten Blick mag beruhigend wirken, dass die Ende-zu-Ende-Verschlüsselung der Nachrichten nicht gebrochen wurde. Tatsächlich ist der Fall aber in mehrfacher Hinsicht besonders problematisch:

• Metadaten erlauben Rückschlüsse auf Nutzungsverhalten, Geräte, Kontohistorie und zusätzliche Geräte (z. B. Web- oder Desktop-Clients).
• Die Identifikation „stiller“ oder sensibler Nummern (Journalistinnen und Journalisten, Aktivistinnen und Aktivisten, Behörden, Unternehmen) wird erleichtert.
• Gezielte Angriffe, Social Engineering und Phishing können deutlich präziser vorbereitet werden.

Für Journalistinnen, Aktivistinnen, Führungskräfte, kritische Infrastruktur und staatliche Stellen ist ein derart umfassend rekonstruierbares Kommunikationsverzeichnis ein erhebliches Risiko.

5. Was der Fall uns lehrt – und was Europa jetzt tun müsste

5.1 Metadaten als sicherheitskritisch behandeln

Europa fokussiert sich in der politischen Debatte noch immer stark auf die Verschlüsselung von Inhalten. Der WhatsApp-Fall macht deutlich: Metadaten sind mindestens ebenso sicherheitsrelevant wie Inhalte. Sie müssen regulatorisch, technisch und organisatorisch entsprechend behandelt werden.

5.2 Auditierbare, europäische Kommunikationsinfrastruktur aufbauen

Digitale Souveränität erfordert Kommunikationssysteme, die:

• auf offenen Standards basieren,
• prüfbaren Quellcode bereitstellen,
• in Rechenzentren betrieben werden, die mit Europäischen Rechtsnormen kompatibel sind,
• durch unabhängige Stellen zertifizierbar und auditierbar sind.

5.3 Öffentliche Stellen sollten keine intransparenten Plattformen für kritische Kommunikation nutzen

Es ist widersprüchlich, wenn Behörden und öffentliche Einrichtungen weiterhin auf Plattformen setzen, deren Funktionsweise und Rechtsrahmen sie weder verstehen noch beeinflussen können, während gleichzeitig auf politischer Ebene über Datenschutzrisiken und Abhängigkeiten diskutiert wird.

5.4 Technologische Souveränität als Frage der nationalen und europäischen Sicherheit

Kommunikation ist Teil der kritischen Infrastruktur. Wer diese Infrastruktur nicht kontrolliert, ist in Krisen- und Konfliktsituationen verwundbar – politisch, wirtschaftlich und gesellschaftlich. Technologische Souveränität ist damit nicht nur ein IT-Thema, sondern eine zentrale Frage europäischer Sicherheits- und Standortpolitik.

5.5 4future.digital: Aufbau einer souveränen europäischen Messenger-Infrastruktur

Die Lücke bei WhatsApp unterstreicht, wie dringend Europa Alternativen zu globalen Plattformen braucht, deren technische und rechtliche Grundlagen außerhalb unseres Einflussbereichs liegen.

Unsere Schwesterorganisation 4future.digital arbeitet daher bereits am Aufbau einer eigenständigen, auditierbaren und vollständig europäischen Messenger-Infrastruktur. Ziel ist eine Lösung, die:

• unabhängig von US-Rechtsrahmen wie CLOUD Act und FISA 702 ist,
• technologisch souverän auf offenen Protokollen und überprüfbarer Software basiert,
• datenschutzkonform mit strikt europäischer Datenlokation arbeitet,
• interoperabel mit offenen Standards (z. B. Matrix/XMPP, E2EE-Protokollen) ist,
• mandantenfähig für Zivilgesellschaft, Wissenschaft, Unternehmen und öffentliche Stellen ausgelegt ist,
• in das 4future.one-Ökosystem (Identität, Cloud, E-Mail, Kalender, Video) integriert wird,
• auf einer redundanten, hochverfügbaren Infrastruktur (z. B. Proxmox-Cluster, Ceph-Storage, Zero-Trust-Architektur) betrieben wird.

Damit entsteht ein Messenger, der nicht nur sicher verschlüsselt ist, sondern bei dem Europa die Regeln bestimmt – von der rechtlichen Zuständigkeit bis zur technischen Umsetzung. Es geht ausdrücklich nicht um Symbolpolitik, sondern um eine praxistaugliche, skalierbare Alternative, die zeigt, wie europäische digitale Souveränität konkret aussehen kann. Wir demonstrieren: Es ist möglich. 

6. Einordnung durch das 4future Institute

Der WhatsApp-Vorfall bestätigt eine zentrale Grundannahme des 4future Institute:

Europa kann nicht souverän handeln, solange seine digitale Kommunikation, Identität und Infrastruktur im Kern von externen Plattformen abhängt, deren Funktionsweise und Rechtsrahmen außerhalb europäischer Kontrolle liegen.

Die Antwort darauf ist kein Rückzug ins Analoge, sondern der Aufbau einer eigenständigen, europäischen digitalen Infrastruktur, die:

• rechtlich verankert,
• technisch überprüfbar,
• ökonomisch tragfähig und
• gesellschaftlich legitimiert

ist.

Digitale Souveränität bedeutet nicht Abschottung, sondern die Fähigkeit zur selbstbestimmten Gestaltung der eigenen digitalen Zukunft – unabhängig, gesellschaftszentriert, wissenschaftlich fundiert und technologiekompetent.

Zum Thema Digitale Souveränität