Mit einem neuen Sicherheitsfeature möchte WhatsApp die Kontrolle über Benutzerkonten weiter absichern. Meta reagiert damit auf wachsende Bedrohungen durch Social Engineering, Account-Übernahmen und Schwachstellen in der Zwei-Faktor-Authentifizierung. Doch wie genau funktioniert das neue System – und was bedeutet es für Nutzerinnen und Nutzer sowie die Messenger-Landschaft insgesamt?
Meta stärkt Account-Sicherheit: Das steckt hinter der neuen Funktion
Im Herbst 2025 hat WhatsApp still und leise ein neues Sicherheitsupdate für alle Nutzer weltweit ausgerollt. Herzstück dieses Updates ist die Einführung der sogenannten „Device Verification Lock“-Funktion, ein auf Gerätesicherheit basierender Authentifizierungsmechanismus, der sich enger in die systemseitige Geräteidentifizierung einbettet. Meta plant somit, unautorisierte Kontoübernahmen noch schwieriger zu machen – insbesondere bei SIM-Tausch-Angriffen oder Phishing-basierten Social-Engineering-Attacken.
Der neue Funktionenkomplex basiert technisch auf einer erweiterten Public-Key-Verifikation und Client-Side-Stempelung. Dabei wird das registrierte Gerät mit einem eindeutigen kryptografischen Schlüssel verknüpft. Fordert ein neuer Client Zugriff auf das WhatsApp-Konto an, muss dieser entweder lokal per bestehendem Gerät freigegeben oder durch einen mehrstufigen Verifizierungsprozess authentifiziert werden. Die Maßnahme erinnert an ähnliche Schutzmechanismen, die Apple mit seiner iCloud-Keychain oder Google mit dem Titan Security Protocol etabliert hat.
Warum ist dieser Schritt notwendig? Ein Blick auf die Gefahrenlage
Die Bedrohungslage für Messaging-Apps hat sich in den letzten Jahren deutlich verschärft. Laut dem Verizon Data Breach Investigations Report 2024 basieren über 74 Prozent aller Social-Engineering-Angriffe auf der Täuschung durch legitime Account-Anfragen – oft unter Missbrauch gestohlener Zugangsdaten oder Mobilnummern. Besonders WhatsApp war in der Vergangenheit mehrmals Ziel solcher Kampagnen, bei denen Angreifer an die Verifizierungscodes gelangten oder die Nutzer durch gefälschte Anfragen zur Freigabe eines neuen Geräts verleiteten.
Ein weiterer kritischer Punkt ist die zunehmende Professionalisierung von SIM-Swapping-Angriffen: Die Sicherheitsfirma Kaspersky identifizierte allein im Jahr 2024 weltweit über 27.000 systematisch koordinierte Fälle von SIM-Swaps mit direktem Bezug zu WhatsApp-Konten. Viele dieser Angriffe ließen sich aufgrund fehlender Gerätebindung leicht ausnutzen. Genau hier setzt Meta an.
So funktioniert die neue Geräteverifikation konkret
Bislang basierte die Sicherheit eines WhatsApp-Kontos primär auf der Kombination aus SMS-Verifizierung und optionaler Zwei-Faktor-PIN. Im neuen Modell wird zusätzlich das registrierte Gerät zu einer Art digitalen Gatekeeper:
- Die Anmeldung auf einem neuen Smartphone erfordert ab sofort zwingend die Freigabe vom primären Gerät – etwa durch biometrische Authentifizierung oder Bildschirm-Entsperren.
- Kann diese Freigabe nicht erfolgen (z. B. weil das alte Gerät verloren wurde), greift ein mehrstufiges Eskalationsverfahren mit Identitätsverifikation, Rückverfolgung der Installationshistorie und Verifikation über sekundäre Kommunikationskanäle (E-Mail, verschlüsselter Rückruf etc.).
- Als technologische Grundlage dient ein persistentes Device Token, das in Kombination mit einem signierten Zertifikat und Geräte-Telemetrie das Authentifizierungsniveau stark erhöht.
Im Gegensatz zu herkömmlichen 2FA-Systemen, die meist per Einmal-Code über SMS oder App laufen, erfolgt hier der Authentifizierungsakt anhand des physischen Hauptgeräts. Das senkt die Wahrscheinlichkeit einer erfolgreichen Account-Übernahme signifikant – vor allem, da Manipulationen am Device Token nur mit Zugriff auf das signierende Gerät erfolgen könnten.
Bisherige Sicherheitsfeatures – ein Kurzüberblick
Vor der Einführung des neuen Features bot WhatsApp Nutzern folgende Schutzmechanismen:
- SMS-basierte Verifizierung: notwendig bei jeder neuen Anmeldung auf einem Gerät.
- Optionale PIN für die Zwei-Faktor-Authentifizierung.
- Ende-zu-Ende-Verschlüsselung für Nachrichteninhalte.
- Biometrische Sperre (z. B. Face ID, Fingerabdruck) für den App-Zugang.
Während diese Verfahren den Datenschutz und die Nachrichtensicherheit auf hohem Niveau gewährleisten, blieben Account-Übernahmen durch Tricksereien relativ einfach möglich – vor allem bei Nutzern ohne aktivierte 2FA. Das neue Feature ergänzt die Sicherheitsarchitektur durch ein weiteres, zielgerichtetes Verteidigungssystem.
Datenschutz im Fokus – Welche Daten verarbeitet WhatsApp jetzt?
Laut Meta werden durch die neue Geräteverifikation keine zusätzlichen personenbezogenen Daten verarbeitet. Die eindeutige Gerätekennung basiert primär auf lokal generierten Schlüsseln, Geräte-Telemetrie (wie Betriebssystem-Version und App-Build) sowie einer sicheren Local Storage-ID. Diese Daten werden nicht mit der Cloud-Infrastruktur synchronisiert, sondern verbleiben verschlüsselt auf dem Gerät selbst.
Nutzer müssen der Funktion aktiv zustimmen – etwa bei der nächsten App-Aktualisierung oder in den Einstellungen unter „Account“ → „Verifizierung“. Die Transparenzrichtlinien von Meta wurden hierfür angepasst. Als rechtliche Grundlage dient Artikel 6 DSGVO (Einwilligung auf Basis berechtigter Interessen).
Implikationen für die Messenger-Branche – WhatsApp zieht nach
Mit der neuen Sicherheitsfunktion folgt WhatsApp einem Trend, der sich bereits im Kryptomessenger-Segment etabliert hat. Signal bietet seit 2021 ein sogenanntes „Registration Lock“-System, bei dem das Konto nur mit PIN und biometrischer Freigabe auf ein neues Gerät übertragen werden kann. Auch Threema setzt auf eine Kombination aus Gerätebindung und Passwortsicherung.
Dass nun auch ein Marktführer wie WhatsApp diesen Weg einschlägt, könnte andere Anbieter wie Telegram oder Line unter Zugzwang setzen. Insbesondere Telegram steht immer wieder in der Kritik, weil Standard-Chats dort nicht durchgehend Ende-zu-Ende-verschlüsselt sind und ähnliche Schutzmechanismen fehlen.
IT-Sicherheitsexperten wie die deutsche Forscherin Dr. Katrin Waldner (FU Berlin) begrüßen den Vorstoß: „Meta beugt sich dem Druck, nach zahlreichen Sicherheitslücken neue Maßstäbe zu setzen. Die gerätebasierte Verifikation wäre vor zehn Jahren visionär gewesen – heute ist sie überfällig.“
Empfohlene Einstellungen – So aktivierst du den besseren Schutz
Die neue Geräteabsicherung ist derzeit optional, wird aber laut WhatsApp „in absehbarer Zeit verpflichtend für neue Installationen“. Bis dahin empfiehlt sich folgende Konfiguration:
- Öffne WhatsApp, gehe auf „Einstellungen“ → „Account“ → „Verifizierung“ und aktiviere die Geräteverifikation.
- Stelle sicher, dass eine aktuelle Version der App installiert ist (mindestens Version 2.25.182 für Android, 2.25.60 für iOS).
- Hinterlege zusätzlich eine gültige E-Mail-Adresse zur Wiederherstellung, falls der Gerätezugang verloren geht.
Diese Schritte erhöhen das Schutzniveau erheblich – insbesondere in Kombination mit der bereits vorhandenen Zwei-Faktor-Bestätigung.
Fazit: Ein überfälliger Sicherheitsstandard für Milliarden Nutzer
Die Einführung der gerätebasierten Verifikation bei WhatsApp markiert einen wichtigen Fortschritt im sicherheitstechnischen Wettrüsten der Messenger-Anbieter. Während Angriffsstrategien immer raffinierter werden, schaffen technische Schutzbarrieren wie diese wieder ein Sicherheitsgleichgewicht – zum Vorteil aller Nutzerinnen und Nutzer.
Angesichts von täglich über 100 Milliarden übermittelten Nachrichten via WhatsApp (Meta, 2025) ist jeder Schritt hin zu mehr Authentizität, Klarheit und Schutz ein Dienst an der digitalen Gesellschaft. Wer jetzt seine Einstellungen anpasst, beugt Risiken proaktiv vor – und schützt nicht nur sich, sondern indirekt sein gesamtes soziales Kommunikationsnetzwerk.
Welche Erfahrungen hast du mit Sicherheitsfunktionen bei Messenger-Diensten gemacht? Diskutiere mit uns und der Community – jetzt im Kommentarbereich!
