Blog

08.06.2026 · Cyber Security · ca. 5 Min. Lesezeit

WhatsApp-Zustellbestätigungen sind ein Datenschutz-Problem

Warum Zustellbestätigungen in Messengern für mich ein gutes Beispiel dafür sind, dass Privatsphäre an Metadaten, Protokolldesign und Produktgrenzen hängt.

Mich interessiert an stillen Zustellbestätigungen nicht nur die konkrete Schwachstelle. Sie zeigen, warum verschlüsselte Inhalte nicht reichen: Auch automatische Statussignale können zu Sensoren für Aktivität, Geräte und Tagesmuster werden.

#Cyber Security#Privacy#Messenger#Metadata#Mobile Security
Ein gläsernes WhatsApp Logo auf grünem Hintergrund

Meine These

Zustellbestätigungen wirken wie ein Komfortdetail. Für mich sind sie ein Sicherheits- und Datenschutzsignal. Jedes automatische Protokollsignal, das ein Gerät in hoher Frequenz beantwortet, kann vom Feature zum Sensor werden.

Das ist der Punkt, der mich an der Forschung zu stillen Zustellbestätigungen beschäftigt. Nicht, weil dadurch Ende-zu-Ende-Verschlüsselung wertlos wäre. Inhalte bleiben geschützt. Sondern weil Verschlüsselung allein nicht verhindert, dass ein System über Timing, Zustände und Erreichbarkeit Informationen preisgibt.

Metadaten sind nicht harmlos, nur weil sie keinen Chatinhalt enthalten.

Warum ich Zustellbestätigungen ernst nehme

Messenger sind Vertrauensinfrastruktur. Menschen verwenden sie für Beziehungen, Arbeit, Politik, Gesundheit, Aktivismus, Familie und Konflikte. Wenn ein Messenger sagt, eine Nachricht sei zugestellt, wirkt das technisch banal. Aber diese Rückmeldung sagt: Ein bestimmtes Gerät oder Konto hat in einem bestimmten Moment auf eine bestimmte Art reagiert.

Ein einzelnes Signal ist kaum interessant. Viele Signale über Zeit sind ein Muster. Und Muster sind in Security fast immer wertvoll.

Wenn ein Angreifer wiederholt stille Reaktionen oder speziell präparierte Nachrichten senden kann, entstehen Timing-Daten. Daraus lassen sich Zustände ableiten: Ist ein Gerät erreichbar? Ist die App aktiv? Gibt es verknüpfte Desktop-Clients? Reagiert das Gerät eher wie im WLAN oder wie im Mobilfunknetz? Ändert sich das Verhalten morgens, abends, am Arbeitsplatz oder unterwegs?

Keine dieser Ableitungen muss perfekt sein. Überwachung muss selten perfekt sein, um schädlich zu werden. Oft reicht eine ausreichend gute Wahrscheinlichkeit.

Der blinde Fleck der Verschlüsselungsdebatte

In der öffentlichen Diskussion wird Messenger-Sicherheit oft auf eine Frage reduziert: Sind die Inhalte Ende-zu-Ende-verschlüsselt?

Diese Frage ist wichtig, aber unvollständig. Kommunikation besteht nicht nur aus Text, Bild oder Audio. Sie besteht auch aus Zeitpunkt, Häufigkeit, Geräten, Beziehungen, Netzwerkpfaden und Zuständen. Wer nur Inhalte schützt, aber das Verhalten des Systems gut beobachtbar lässt, schützt Menschen nur teilweise.

Als Security-Researcher finde ich solche Fälle deshalb lehrreich. Sie zeigen, dass Kryptografie und Produktdesign zusammen betrachtet werden müssen. Eine saubere Verschlüsselung kann neben einem Protokollverhalten stehen, das trotzdem Rückschlüsse auf Menschen zulässt.

Das eigentliche Risiko

Das Risiko liegt nicht darin, dass jede Person jederzeit präzise verfolgt wird. So sollte man diese Forschung nicht lesen. Der realistischere Punkt ist schlichter und unangenehmer: Alltägliche Identifikatoren wie Telefonnummern, automatische Antworten und fehlende oder zu schwache Rate Limits können reichen, um Aktivitätsmuster zu messen.

Für die meisten Menschen klingt das abstrakt. Für bestimmte Gruppen ist es konkret: Journalistinnen, Aktivisten, Stalking-Betroffene, politisch exponierte Personen, Whistleblower oder Menschen in Abhängigkeitsverhältnissen. Dort kann schon die Information, wann jemand aktiv, unterwegs, zuhause oder an einem Arbeitsgerät erreichbar ist, gefährlich sein.

Metadaten werden besonders kritisch, wenn sie mit anderen Informationen kombiniert werden: öffentlich bekannte Telefonnummern, Social-Media-Aktivität, Arbeitszeiten, Standortwissen, bekannte Beziehungen oder frühere Kontaktversuche. Dann entsteht aus technischen Rückmeldungen ein Verhaltensprofil.

Die Produktverantwortung

Nutzende können nur begrenzt reagieren. Sie können Telefonnummern weniger öffentlich machen, Privatsphäre-Einstellungen prüfen, Desktop-Clients reduzieren und bei Bedrohungslagen Metadaten ins eigene Bedrohungsmodell aufnehmen. Das ist sinnvoll, aber es reicht nicht.

Die entscheidenden Hebel liegen im Produkt und im Protokoll:

  • Fremde Konten sollten nicht beliebig viele stille Signale auslösen können.
  • Zustell- und Statussignale brauchen strenge Rate Limits.
  • Timing-Kanäle sollten gedämpft, verzögert oder verrauscht werden, wo es vertretbar ist.
  • Kontaktbeziehungen sollten stärker bestimmen, welche Signale preisgegeben werden.
  • Missbrauchsmuster müssen als Produktproblem behandelt werden, nicht nur als Spam-Problem.

Privatsphäre darf nicht davon abhängen, dass jede einzelne Person die Nebenkanäle eines Messengers versteht.

Was ich nicht daraus ableite

Ich würde daraus nicht ableiten, dass sichere Messenger sinnlos sind. WhatsApp und Signal bieten für viele Menschen deutlich besseren Schutz als unsichere Alternativen. Der Punkt ist nicht, Messenger pauschal abzuwerten.

Der Punkt ist präziser: Gute Messenger müssen nicht nur Inhalte schützen, sondern auch die Spuren, die beim Transport entstehen. Ein Feature kann nützlich sein und trotzdem missbrauchbare Signale erzeugen. Genau diese Ambivalenz muss Sicherheitsdesign aushalten.

Auch Panik hilft nicht. Zwischen demonstrierter Angriffsmöglichkeit und flächendeckender Ausnutzung liegen Aufwand, Skalierung, Interesse und Risiko für Angreifende. Aber sobald ein Angriff ohne Malware, ohne sichtbare Benachrichtigung und mit einer Telefonnummer als Ausgangspunkt denkbar ist, gehört er in die Produkt-Risikoanalyse.

Worauf ich achten würde

Für einzelne Nutzende:

  • Telefonnummern nicht unnötig öffentlich mit Identitäten verknüpfen.
  • Sichtbarkeit über Telefonnummern und unbekannte Kontakte einschränken.
  • Desktop-Clients nur verwenden, wo sie wirklich gebraucht werden.
  • Bei Stalking- oder Bedrohungslagen Metadaten als Teil des Risikos behandeln.

Für Anbieter:

  • Zustell- und Statussignale als missbrauchbare Sensoren modellieren.
  • Rate Limits, Kontaktregeln und Anti-Abuse-Mechanismen streng testen.
  • Timing-Daten nicht unnötig präzise und wiederholbar machen.
  • Schutz nicht nur für technisch versierte Nutzende bauen.

Abschliessende Gedanken

Der Fall ist für mich ein gutes Beispiel dafür, warum Cyber Security und Datenschutz nicht getrennt gedacht werden dürfen. Ein System kann Inhalte stark verschlüsseln und trotzdem Verhaltensdaten preisgeben. Ein normales Feature kann, oft genug abgefragt, zu einem Messinstrument werden.

Metadaten sind kein Abfallprodukt von Kommunikation. Sie sind Teil der Kommunikation. Wer sichere Messenger baut, muss deshalb nicht nur Nachrichten schützen, sondern auch die Signale, die beim Senden, Zustellen und Anzeigen entstehen.

Privatsphäre scheitert selten nur an grossen Hintertüren. Sie scheitert oft an kleinen, normalen Rückmeldungen, die niemand als Sensor geplant hat.

Quellen