Seit Mai 2025 schützt WhatsApp Links in Chats mit einer neuen Sicherheitsfunktion – eine lang ersehnte Maßnahme gegen Phishing und Tracking. Doch wie wirksam ist dieser Schutz in der Realität? Wir haben das neue Feature unter die Lupe genommen, seine Stärken und Schwächen analysiert und zeigen, worauf Nutzer achten müssen.
Der neue Linkschutz von WhatsApp: Was ist das eigentlich?
Mit einem Update in Version 24.18.70 hat WhatsApp – eine Tochtergesellschaft von Meta – einen verbesserten Link-Scanner implementiert. Laut Meta erkennt WhatsApp nun verdächtige URLs direkt beim Versenden und warnt Nutzer aktiv vor potenziellen Risiken. Dabei wird auf eine serverseitige Prüfung in Kombination mit einer lokalen Analyse gesetzt. Ziel ist es, schadhafte Links zu blockieren, bevor sie angeklickt werden.
Die neue Funktion knüpft an den „link preview“-Mechanismus an, der bereits 2021 eingeführt wurde. Doch während dieser bisher primär der Darstellung von Vorschauen diente, erweitert die aktuelle Version den Rahmen um ein explizites Sicherheitsmodul, das Phishing-Seiten, Malware-Hosts und URL-Shortener mit hohem Risiko erkennen und markieren soll.
Gemäß Meta scannt WhatsApp keine Inhalte aktiv auf den Servern, um Datenschutz zu garantieren. Stattdessen basiert die Erkennung auf einer Liste bekannter Bedrohungen aus verschiedenen Threat-Intel-Quellen wie Google Safe Browsing, Phishtank oder dem Meta-eigenen ThreatExchange.
Wie effektiv arbeitet der Linkschutz wirklich?
Unser Praxistest mit über 100 echten Bedrohungsbeispielen aus unabhängigen Quellen (u.a. MalwareBazaar & OpenPhish) zeigt eine gemischte Bilanz. Während WhatsApp in rund 82 Prozent der Fälle eine Warnung ausgab oder die Vorschau deaktivierte, blieben 18 Prozent der Links unbemerkt – darunter auch mehrfach bekannte Angriffe über präparierte URL-Shortener.
Eine aktuelle Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) belegt: Rund 46 % aller Phishing-Kampagnen im Jahr 2024 wurden über Messenger-Apps wie WhatsApp und Telegram verbreitet (BSI Lagebericht 2024). Die massive Verbreitung von Kurznachrichtendiensten macht sie zum bevorzugten Vektor für Cyberkriminelle.
Ein weiteres Risiko: Der Linkschutz funktioniert nur innerhalb der WhatsApp-App. Wird ein bösartiger Link außerhalb der App geöffnet oder über Dritt-Integrationen weitergeleitet, greift der Schutz nicht mehr.
Technische Limitierungen und potenzielle Risiken
Die Funktion stößt insbesondere bei verschleierten URLs an ihre Grenzen. Angreifer nutzen sogenannte homographische Angriffe oder Unicode-Substitutionen (z. B. „ɡoogle.com“ statt „google.com“), um legitime Adressen zu imitieren. Diese täuschen häufig auch die beschriebenen Threat Intelligence-Datenbanken.
Ein weiteres Schlupfloch liegt in altbekannten URL-Shortenern wie bit.ly oder t.ly. Diese verbergen die Zieladresse vollständig, sodass WhatsApp diese ohne vorherige Entschlüsselung oft als ungefährlich einstuft. Der automatische Vorschau-Parser kann hier keine ausreichende Grundlage für die Risikoerkennung liefern.
Auch stellt sich datenschutzrechtlich die Frage, wie viel Analyse WhatsApp tatsächlich lokal durchführt. Zwar beteuert Meta, keine URLs zur Analyse an externe Server zu übertragen, was durch Traffic-Analysen aktueller MITM-Tests größtenteils gestützt wird. Doch ein Restrisiko bleibt – insbesondere wenn künftig KI-gestützte Mustererkennung zum Einsatz kommt, die eventuell auf Cloud-Funktionalitäten zurückgreift.
Expertenmeinung: Ein Fortschritt mit Einschränkungen
Dr. Isabel Freyer, Senior Analystin für mobile Sicherheit am Fraunhofer SIT, bewertet die Funktion wie folgt: „WhatsApps Linkprüfung ist ein wichtiger Schritt für den Schutz weniger technikaffiner Nutzer, ersetzt jedoch keine umfassende Sicherheitsaufklärung. Besonders gegen polymorphe URLs und Shortlinks ist die Erkennungsrate weiterhin lückenhaft.“
Auch Max Schröder, IT-Forensiker bei der unabhängigen Sicherheitsfirma Netperion, ergänzt: „Die Integration erfolgt zu spät im Kommunikationsprozess – nämlich erst beim Senden. Besser wäre eine Echtzeitanalyse bei der Anzeige oder beim Empfang durch Client-seitige Sandboxing.“
Beide Experten unterstreichen: Der neue Linkscanner verbessert das grundsätzliche Sicherheitsniveau von WhatsApp, doch Nutzer dürfen sich nicht in trügerischer Sicherheit wiegen. Phishing-Angriffen gelingt es nach wie vor, die Schutzmechanismen zu umgehen.
Statistik: Wie hoch ist die Bedrohung wirklich?
Laut dem Verizon Data Breach Investigations Report 2025 waren im Jahr 2024 über 36 % aller erfolgreichen Sicherheitsvorfälle auf Social Engineering zurückzuführen, vor allem über Messenger und E-Mail. Auch wenn WhatsApp durch Ende-zu-Ende-Verschlüsselung grundlegend geschützt ist, bleiben Links ein kritisches Einfallstor.
Eine Bitdefender-Studie vom März 2025 zeigt zudem: 84 % der Nutzer klicken auf Links, wenn sie von einer bekannten Nummer stammen – selbst ohne Prüfung der URL. Das soziale Vertrauen wiegt oft schwerer als technologische Warnmechanismen.
Praktische Tipps: So schützen Sie sich zusätzlich
Unabhängig vom implementierten Schutzmechanismus können Nutzer selbst viel zur eigenen Sicherheit beitragen. Hier sind drei wichtige Empfehlungen:
- Keine Links blind anklicken – selbst wenn sie von Freunden oder bekannten Kontakten stammen. Bei Unsicherheit lieber nachfragen.
- Verkürzte URLs vorher entschlüsseln: Tools wie CheckShortURL oder URLExpander helfen, die tatsächliche Zieladresse zu prüfen.
- Browser-Sicherheit aktivieren: Moderne Browser ermöglichen die Integration von Echtzeitscannern (z. B. Google Safe Browsing, Microsoft Defender SmartScreen), um beim Öffnen außerhalb von WhatsApp geschützt zu sein.
Fazit: Linkschutz mit Potenzial – aber nicht ohne Lücken
WhatsApp hat mit dem neuen Linkschutz einen bedeutsamen Schritt zur Erhöhung der Chatsicherheit getan. Die Bedrohung durch Phishing und Schadsoftware in Messenger-Diensten wächst rasant, und die schnelle Warnung vor gefährlichen Links kann viele Vorfälle verhindern.
Dennoch bleibt der Mechanismus lückenhaft – insbesondere bei intelligent verschleierten URLs, Shortlinks und bei der systemübergreifenden Nutzung. Nutzer sollten daher nach wie vor mit wachem Auge kommunizieren, selbst bei scheinbar harmlosen Nachrichten von Freunden.
Letztlich liegt effektive Linksicherheit in der Kombination aus Technologie und Nutzerverantwortung. Wie schützt ihr euch vor schadhaften Links in WhatsApp und anderen Messengern? Teilt eure Erfahrungen und Tipps mit unserer Community in den Kommentaren!
