Eine aktuelle Angriffsmethode auf WhatsApp wirft ernsthafte Fragen zur Sicherheit unserer digitalen Identität auf. Denn für den Identitätsdiebstahl über den weltweit beliebtesten Messenger-Dienst genügt manchmal bereits die Handynummer. Wie funktioniert die neue Masche, wer ist gefährdet und wie kann man sich schützen? Wir analysieren die Hintergründe und sprechen mit Experten.
Einfallstor Telefonnummer: Angriff mit minimalen Mitteln
WhatsApp zählt mit über zwei Milliarden aktiven Nutzern weltweit zu den wichtigsten Kommunikationsplattformen. Doch genau diese Popularität macht den Dienst auch zu einem attraktiven Ziel für Cyberkriminelle. Eine neue Angriffsmethode, die auf simple Weise über die Angabe der Handynummer funktioniert, alarmiert derzeit Sicherheitsexperten.
Konkret versuchen Angreifer, sich Zugang zu WhatsApp-Konten zu verschaffen, indem sie die Telefonnummer potenzieller Opfer in der App auf einem fremden Gerät registrieren. WhatsApp sendet daraufhin einen sechsstelligen SMS-Authentifizierungs-Code an die angebliche Nummer. Kann der Angreifer irgendwie an diesen Code gelangen – sei es durch Social Engineering, SIM-Swapping, oder schlicht durch erratene oder öffentlich gepostete Nachrichten – erhält er Zugang zum Konto.
Besonders perfide: Es gibt Berichte, dass Angreifer gleichzeitig durch Spoofing-Anrufe oder gefälschte Kundensupport-Kontakte den Opfernutzer zur Weitergabe des WhatsApp-Codes verleiten. In anderen Fällen registrieren die Angreifer die Nummer nachts mehrfach, sodass beim echten Nutzer keine Warnmeldung erscheint – oder sie können mit Hilfe von geleakten Daten gezielt Opfer mit schwacher Accountsicherheit angreifen.
Einige Sicherheitsforscher wie Kevin Beaumont und Natalia Ivanova vom Threat Intelligence Team von Kaspersky sprechen von einer cleveren Kombination altbekannter Phishing-Taktiken mit der Schwäche von SMS-Authentifizierung. „Die Tatsache, dass die Telefonnummer gleichzeitig Identifikator und Schlüssel ist, stellt ein zentrales Problem dar“, betont Ivanova.
Warum dieses Angriffsszenario so gefährlich ist
Die Einfachheit der Methode ist beunruhigend: Telefonnummern sind leicht herauszufinden – beispielsweise über soziale Netzwerke, Adressdatenbanken, oder durch frühere Datenlecks. Laut einer Analyse von CyberNews aus dem Jahr 2023 kursierten in einschlägigen Foren bereits über 500 Millionen WhatsApp-Nummern aus über 84 Ländern. Viele dieser Daten stammen noch aus früheren Scraping-Vorfällen oder Bucheinträgen ohne ausreichendes Datenschutzniveau.
Wirtschaftlich ist die Angriffsmasche ebenfalls lukrativ. Entweder werden kompromittierte Accounts zum Versand von Spam, Fake-News oder Ransomware genutzt – oder für Betrugsversuche im Namen der angegriffenen Person, etwa durch Geldforderungen an Kontakte. Besonders betroffen sind laut dem BKA dabei ältere Menschen: 2024 wurden allein in Deutschland über 9.000 Betrugsfälle mit Messenger-Diensten gemeldet, mit einem Gesamtschaden von über 27 Millionen Euro (Quelle: BKA-Kriminalstatistik 2024).
Für Unternehmen, die WhatsApp als Kundensupport oder Notfallkanal einsetzen, droht zudem Reputationsschaden. Wenn Angreifer Zugriff auf Business-Accounts erhalten, können sie Chats manipulieren, Kundendaten abziehen oder Malware verbreiten.
WhatsApp unter Druck – und erste Reaktionen
Meta, der Mutterkonzern von WhatsApp, geriet wegen dieser Sicherheitslücke zuletzt zunehmend unter Druck. Zwar betont das Unternehmen regelmäßig in Presseerklärungen, man investiere massiv in Accountschutz und Missbrauchsprävention. Auch verweist Meta auf Zwei-Faktor-Authentifizierung per PIN – doch die ist bei Weitem nicht von allen Nutzern aktiviert.
Ein Sprecher von Meta schrieb uns auf Anfrage: „Wir arbeiten dauerhaft an Verbesserungen unserer Sicherheitsmechanismen und raten allen Nutzern dringend, ihre Zwei-Faktor-Authentifizierung zu aktivieren. Darüber hinaus testen wir neue Accountschutz-Funktionen, etwa biometrische Freigaben oder Device-Verifikationen.“
Ob diese Maßnahmen ausreichen, bleibt jedoch fraglich. Sicherheitsexperten wie Linus Neumann vom Chaos Computer Club fordern grundlegende Designänderungen: „Ein Dienst, bei dem Telefonnummer gleichzeitig Benutzername und Schwachstelle ist, kann auf Dauer keinen umfassenden Schutz garantieren. WhatsApp müsste mittelfristig Modelle ähnlich wie Signal oder Threema anvisieren, bei denen die Telefonnummer optional ist.“
Wie kann man sich als Nutzer effektiv schützen?
Angesichts der wachsenden Bedrohungslage ist es umso wichtiger, proaktiv zu handeln. Nutzer und Unternehmen sollten ihre WhatsApp-Konten nicht sich selbst überlassen – denn technische Absicherungen greifen nur, wenn sie auch vollständig implementiert sind.
- Zwei-Faktor-PIN aktivieren: Über die Konto-Einstellungen in WhatsApp lässt sich eine sechsstellige PIN einrichten, die bei jeder Neuregistrierung abgefragt wird und so den Zugriff erschwert.
- SIM-Schutz beim Mobilfunkanbieter aktivieren: Viele Provider bieten mittlerweile Schutzoptionen wie Portierungssperren oder Kundenkennwörter an, um SIM-Swapping zu verhindern.
- Vorsicht bei Weitergabe des Verifizierungscodes: Niemals den WhatsApp-Sicherheitscode an Dritte weitergeben – auch nicht bei angeblichen Support-Anfragen oder als angeblich falsch gelandete SMS.
Auch ein Blick in die Datenschutzeinstellungen lohnt sich: Über die Funktion „Sichtbarkeit der Telefonnummer“ kann man einschränken, wer überhaupt die eigene Nummer sehen darf. Zudem sollte man misstrauisch sein, wenn WhatsApp plötzlich unerwartet abgemeldet wird – in einem solchen Fall könnte bereits ein Angriff laufen.
Langfristige Lösung: Dezentralisierung & neue Identitätskonzepte?
Die aktuelle Problematik zeigt deutlicher denn je: Die zentrale Rolle der Telefonnummer als digitale Identität ist ein wachsendes Risiko. Experten wie der Sicherheitsforscher Dr. Fabian Schneider vom Fraunhofer AISEC fordern eine Neuausrichtung digitaler Authentifizierungssysteme: „Langfristig müssen wir weg davon kommen, Telefonnummern und E-Mail-Adressen als alleinige Identifikatoren zu verwenden. Verifizierte Identitäts-Token, Zero-Knowledge-id-Verfahren oder hardwarebasierte Device-Bindungen könnten Alternativen sein.“
WhatsApp selbst experimentiert derzeit mit „Passkeys“ – also sogenannten kennwortlosen, gerätegebundenen Logins – wie sie Apple, Google und die FIDO-Allianz fördern. Für Android wird diese Funktion bereits vereinzelt getestet (Stand Ende 2025). Auch Apple dürfte mit der Ende 2025 erwarteten Integration von passwortlosen Messenger-Verifikationen in iOS 19 neue Standards setzen.
Laut der Cloudflare-Sicherheitsstatistik von 2024 sind 91 % aller erfolgreichen Account-Komprimittierungen auf schwache Passwörter, unsichere Authentifizierung oder Social Engineering zurückzuführen. Das zeigt: Solche „weichen Angriffsflächen“ werden zunehmend zum Einfallstor – auch dann, wenn der Dienst vermeintlich Ende-zu-Ende-verschlüsselt ist.
Zahlen, die aufhorchen lassen
Ein aktueller Bericht von Statista zeigt: Alleine im Jahr 2024 nutzten weltweit durchschnittlich 2,62 Milliarden Menschen pro Monat WhatsApp – mit steigender Tendenz. In Deutschland setzen laut Bitkom 89 % der Internetnutzer über 16 Jahren den Dienst regelmäßig ein. Dies verdeutlicht die enorme Reichweite und damit auch das Zielpotenzial für Angriffe auf der Plattform.
Die britische Aufsichtsbehörde NCSC warnte in einem Advisory im September 2025 vor einer Zunahme von Social-Engineering-Angriffen auf Messenger-Dienste. Demnach könnten bis 2026 über 30 % aller durch Messenger verursachten Sicherheitsvorfälle auf fehlerhafte Account-Registrierungen zurückgehen, primär durch SIM-Swapping oder ausgenutzte Verifizierungsverfahren.
Fazit: Aufmerksamkeit steigt – aber ist das genug?
Die WhatsApp-Sicherheitslücke zeigt einmal mehr, wie schnell eine vermeintlich harmlose Telefonnummer zur digitalen Schwachstelle werden kann. Solange Nutzer keinen konsequenten Schutzmechanismus aktivieren und Plattformbetreiber wie Meta nur reaktiv auf Bedrohungen reagieren, bleibt das Risiko hoch.
Doch es gibt Hoffnung: Sicherheitsbewusstsein wächst, immer mehr Services setzen auf unknackbare Authentifizierungsketten, und neue Technologien wie Passkeys stehen bereit. Entscheidend bleibt jedoch: Der Schutz beginnt beim Anwender. Wer vorsorgt, bleibt Herr über seine digitale Identität.
Diskutieren Sie mit: Haben Sie selbst schon Erfahrungen mit Angriffen auf WhatsApp oder anderen Messengern gemacht? Welche Sicherheitsmaßnahmen nutzen Sie persönlich? Teilen Sie Ihre Einschätzung mit der Community.
