WhatsApp: Verschlüsselte Backups als letzte Verteidigungslinie

Angriffe wie „Lotusbail“ und „GhostPairing“ umgehen die Geräteverschlüsselung. Sicherheitsexperten sehen nur einen zuverlässigen Schutz: End-to-End verschlüsselte Cloud-Backups.

In einer Woche, die von eskalierenden Mobilfunk-Sicherheitsbedrohungen geprägt ist, hat die Absicherung digitaler Archive höchste Priorität. Nach der Entdeckung der Malware „Lotusbail“ am 23. Dezember und einer Welle von „GhostPairing“-Angriffen Mitte des Monats drängen Experten WhatsApp-Nutzer zur Vorsicht. Zwar veröffentlichte Google am Heiligabend ein wichtiges Update für das Android-Backup-System, doch warnen Sicherheitsforscher: Der einzig wahre Schutz für den langfristigen Erhalt der Chat-Historie bleibe WhatsApps End-to-End verschlüsselte (E2EE) Sicherung.

Cyberkriminelle entwickeln ihre Taktiken ständig weiter, um die Verschlüsselung auf dem Gerät durch Supply-Chain-Angriffe und Social Engineering zu umgehen. Die Branche erlebt eine kritische Wende: Es reicht nicht mehr aus, die Nachricht während der Übertragung zu schützen; das archivierte Backup in der Cloud muss ebenso unangreifbar sein.

Am 23. Dezember enthüllten Forscher von Koi Security einen ausgeklügelten Supply-Chain-Angriff, der bereits Tausende Entwickler und deren Nutzer kompromittiert hat. Die Malware mit dem Namen „Lotusbail“ verbarg sich in einem schädlichen npm-Paket, das als legitime WhatsApp-Web-API-Bibliothek getarnt war.

Laut dem Bericht von Koi Security wurde das Paket – ein Fork der populären @whiskeysockets/baileys-Bibliothek – über 56.000 Mal heruntergeladen, bevor es entdeckt wurde. Im Gegensatz zu typischer Malware, die Funktionen stört, funktionierte Lotusbail genau wie beworben. Entwickler konnten WhatsApp-Funktionen integrieren, während im Hintergrund ein bösartiger Prozess ablief.

Viele WhatsApp-Nutzer unterschätzen, wie einfach Social-Engineering-Angriffe wie „GhostPairing“ Konten übernehmen können. Wer nicht riskieren will, dass fremde Geräte Chats synchronisieren oder Medien herunterladen, sollte eine datenschutzorientierte Alternative in Betracht ziehen. Das kostenlose „Telegram Startpaket“ erklärt Schritt für Schritt, wie Sie Telegram installieren, Ihre Nummer verbergen, geheime Chats nutzen und die wichtigsten Privatsphäre-Einstellungen setzen – damit Ihre Gespräche nicht zur Angriffsfläche werden. Gratis-Telegram-Guide jetzt herunterladen

„Wenn Sie diese Bibliothek zur Authentifizierung nutzen, verknüpfen Sie nicht nur Ihre Anwendung – Sie verknüpfen auch das Gerät des Angreifers“, erklärt Tuval Admoni, der leitende Forscher bei Koi Security. „Sie haben dann dauerhaften, vollständigen Zugriff auf Ihr WhatsApp-Konto, ohne dass Sie es merken.“

Die Malware kapert die WebSocket-Verbindung, die für das Verknüpfen von Geräten bei WhatsApp genutzt wird. Sobald sich ein Entwickler oder Nutzer über die kompromittierte Bibliothek anmeldet, fängt Lotusbail die Sitzungsschlüssel und Authentifizierungs-Tokens ab. Es erstellt eine „Geister“-Sitzung und fügt das Gerät des Angreifers dem Konto des Opfers als vertrauenswürdigen Client hinzu. So können Angreifer den Nachrichtenverlauf synchronisieren, Medien herunterladen und Chats in Echtzeit mitlesen – und umgehen dabei die standardmäßigen Verschlüsselungsprotokolle der App, die von autorisierten Geräten ausgehen.

„GhostPairing“: Die lautlose Sitzungs-Übernahme

Während Lotusbail die technische Lieferkette angreift, hat eine breitere Gefahr namens „GhostPairing“ in diesem Monat an Effektivität gewonnen. Sie zielt über Social Engineering auf normale Nutzer ab. Die von Forschern bei Gen Digital (der Muttergesellschaft von Norton und Avast) Mitte Dezember analysierte Methode nutzt den Komfort von WhatsApps Multi-Geräte-Funktion aus.

Der Angriff beginnt mit einer Nachricht von einem kompromittierten Kontakt, die oft ein Foto oder einen Link verspricht. Klickt das Opfer, erscheint eine gefälschte Verifizierungsseite, die nach der Telefonnummer oder dem Scannen eines QR-Codes fragt. Im Hintergrund löst diese Aktion eine legitime „Gerät verknüpfen“-Anfrage im Browser des Angreifers aus. Schließt der Nutzer den Vorgang ab – in dem Glauben, seine Identität für ein Foto zu bestätigen – autorisiert er unbewusst den Browser des Angreifers als verknüpftes Gerät.

In einer Warnung vom 24. Dezember warnte Indiens Computer Emergency Response Team (CERT-In), dass „bösartige Akteure WhatsApps Geräteverknüpfungs-Funktion ausnutzen, um Konten zu übernehmen… ohne Authentifizierungsanforderung“. Die Behörde betonte, dass Angreifer nach erfolgreicher Verknüpfung „vollständige Kontrolle“ über das Konto erlangen – ohne Passwort oder SIM-Swap.

Diese Methode ist besonders gefährlich, weil sie nicht auf das Knacken von Verschlüsselungsalgorithmen setzt. Stattdessen nutzt sie das „Web of Trust“-Modell aus und macht eine legitime Funktion zur Hintertür.

Googles Heiligabend-Update: Kontrolle versus Verschlüsselung

Vor diesem Hintergrund der Sitzungs-Übernahmen veröffentlichte Google am 24. Dezember 2025 ein größeres Update für die Android-Backup-Infrastruktur. Die neue Funktion „Individuelle App-Kontrolle“ erlaubt es Nutzern, Backups für einzelne Anwendungen ein- und auszuschalten und bietet so feinere Kontrolle über die in der Cloud gespeicherten Daten.

Dieses Update geht zwar auf langjährige Nutzerwünsche nach besserer Speicherverwaltung ein, löst aber nach Ansicht von Sicherheitsanalysten nicht das grundlegende Datenschutzproblem. Ein Standard-Cloud-Backup – ob auf Google Drive oder iCloud – ist zwar während der Übertragung und im Ruhezustand verschlüsselt, doch der Cloud-Anbieter hält typischerweise den Entschlüsselungsschlüssel. Das bedeutet: Bei einer behördlichen Anordnung oder einem Sicherheitsvorfall beim Cloud-Anbieter selbst könnten diese Chat-Archive zugänglich werden.

„Googles Update ist ein Gewinn für die Speicherverwaltung, sollte aber nicht mit einem Sicherheits-Allheilmittel verwechselt werden“, merkt ein Cybersicherheitsanalyst in einem Bericht vom 24. Dezember an. „Schließt man eine App vom Backup aus, verliert man die Daten beim Gerätedefekt. Schließt man sie ohne Ende-zu-Ende-Verschlüsselung ein, vertraut man dem Cloud-Anbieter seine Lebensgeschichte an.“

Genau an dieser Stelle wird WhatsApps E2EE-Backup-Funktion zur kritischen letzten Verteidigungslinie.

Um diesen Schutz zu aktivieren, müssen Nutzer zu Einstellungen > Chats > Chat-Backup > Ende-zu-Ende verschlüsseltes Backup navigieren. Sicherheitsexperten empfehlen die Option mit dem 64-stelligen Schlüssel und dessen offline Aufbewahrung (z.B. in einem physischen Safe oder einem Passwort-Manager, der nicht mit dem Hauptgerät verknüpft ist). So stellt man sicher, dass eine digitale Kompromittierung nicht die Schlüssel zum Königreich liefert.

Ausblick: Das Wettrüsten geht weiter

Mit dem Start in das Jahr 2026 wird der Konflikt zwischen Komfort und Sicherheit sich voraussichtlich verschärfen. Der Erfolg von Lotusbail zeigt, dass Angreifer „stromaufwärts“ gehen, um die Werkzeuge von Entwicklern zu kompromittieren. GhostPairing beweist, dass Social Engineering ein wirksamer Weg bleibt, um ausgeklügelte Verschlüsselung zu umgehen.

Es ist zu erwarten, dass Meta in den kommenden Monaten reagieren wird, möglicherweise mit strengeren Authentifizierungsprotokollen für das Verknüpfen neuer Geräte – wie zwingende biometrische Neu-Authentifizierung oder die Integration von Hardware-Sicherheitsschlüsseln. Bis dahin bleibt die Kombination aus Wachsamkeit gegenüber unbekannten Links (um GhostPairing zu vereiteln) und der proaktiven Aktivierung von E2EE-Backups der Goldstandard für die persönliche digitale Sicherheit.

Nutzer sollten jetzt umgehend ihre Liste der „Verknüpften Geräte“ in den WhatsApp-Einstellungen auf unbekannte Sitzungen überprüfen und E2EE-Backups aktivieren. Nur so bleibt die digitale Erinnerung auch wirklich privat.

Übrigens: Wenn Sie Ihre Chats dauerhaft privat halten wollen, hilft nicht nur Verschlüsselung – auch die richtige App und die passenden Einstellungen entscheiden. Das Telegram-Startpaket zeigt in einer klaren, praxisorientierten Anleitung, wie Sie sicher von WhatsApp zu Telegram wechseln, welche Einstellungen maximale Privatsphäre bieten (z. B. geheime Chats und Nummer verbergen) und wie Sie Kontakte und Medien unkompliziert migrieren. Ideal für alle, die nach den aktuellen Sicherheitsvorfällen sofort handeln möchten. Telegram-Umstiegs-Report gratis anfordern