WhatsApp-Sicherheit: Chat-Daten auf iPhones unverschlüsselt gespeichert

Die Chat-Verläufe liegen auf iPhones, iPads und Macs in einer unverschlüsselten lokalen Datenbank – trotz der beworbenen Ende-zu-Ende-Verschlüsselung.

Viele iPhone-Nutzer verlassen sich blind auf Sicherheitsversprechen, doch nach einem System-Update können versteckte Risiken entstehen. Apple-Experte Detlef Meyer zeigt Ihnen in diesem kostenlosen Ratgeber, wie Sie Ihre Daten mit wenigen Klicks wirklich absichern. Einfache Schritt-für-Schritt-Methode für sichere Updates jetzt gratis sichern

Die Lücke im Sicherheitsversprechen

Die Analyse der Forscher von Mysk zeigt: WhatsApp speichert Chat-Daten in einer unverschlüsselten SQLite-Datenbank namens „Axolotl.sqlite“. Sobald eine Nachricht auf dem Gerät ankommt oder verfasst wird, liegt sie im Klartext vor.

Die Ende-zu-Ende-Verschlüsselung (E2EE) schützt also nur den Transportweg, nicht die dauerhafte Speicherung auf dem Gerät selbst. Fachleute nennen das „Encryption at Rest“ – und genau die fehlt.

Besonders brisant: Die Datenbank liegt innerhalb eines gemeinsamen App-Containers des Meta-Konzerns. Theoretisch könnten andere Meta-Apps darauf zugreifen, wenn sie die nötigen Berechtigungen haben. Auf macOS ist das Risiko besonders hoch, da die Dateistrukturen dort leichter zugänglich sind als auf iOS oder iPadOS.

Meta vor Gericht

Die Entdeckung stützt rechtliche Schritte gegen Meta. Der Generalstaatsanwalt von Texas, Ken Paxton, hat Klage eingereicht. Seine Vorwurf: Meta bezeichne die WhatsApp-Verschlüsselung als irreführend.

Die Klageschrift führt an, dass Meta technisch in der Lage sei, auf Nachrichten zuzugreifen – entgegen öffentlicher Zusagen. Kryptografie-Experten betonen zwar, dass es keine Beweise für eine bewusste Umgehung der Übertragungsverschlüsselung gibt. Doch die unverschlüsselte lokale Speicherung wirft neue Fragen zur Transparenz auf.

Parallel dazu wurde eine gezielte Angriffskampagne bekannt. Die Forensik-Firma Forenser identifizierte Zero-Click-Angriffe auf iPhones mit älteren Betriebssystemen. Betroffen waren Geräte vom iPhone 8 bis zum iPhone 14 mit iOS 16.

Die Angreifer nutzten Schwachstellen in der Bildverarbeitung und eine spezifische WhatsApp-Lücke aus. Sie konnten Konten übernehmen, ohne dass die Nutzer interagieren mussten. Die gekaperten Konten wurden dann für betrügerische Nachrichten und Geldforderungen missbraucht.

Die Bedrohungslage verschärft sich

Die WhatsApp-Lücke ist kein Einzelfall. Marktanalysten erwarten für 2026 weltweite Schäden durch mobile Cyberkriminalität von rund 442 Milliarden Euro.

Ein wesentlicher Treiber: Künstliche Intelligenz. Schätzungen zufolge sind bereits 86 Prozent aller Phishing-Kampagnen KI-gesteuert. Täglich werden etwa 3,4 Milliarden schädliche Nachrichten versendet.

Besonders besorgniserregend ist die Zunahme bei Banking-Trojanern. Die Fallzahlen stiegen im ersten Quartal 2026 um fast 200 Prozent auf 1,24 Millionen. Auf Android ist der Mamont-Trojaner für den Großteil der Angriffe verantwortlich.

Auch Quishing – Phishing über manipulierte QR-Codes – verzeichnete ein Wachstum von 150 Prozent. Und Cyberkriminelle missbrauchen zunehmend legitime Werkzeuge: Der Sicherheitsdienstleister Check Point berichtet über den Einsatz der Gaming-Engine Godot zur Verbreitung der Malware „GodLoader“, die auf Windows, Android, macOS und iOS abzielt.

Angesichts steigender Angriffe auf Messaging-Dienste und sensible Daten ist technisches Grundwissen der beste Schutz. Dieses Gratis-Lexikon erklärt die 53 wichtigsten Apple-Begriffe von AirDrop bis iOS in einfachen Worten, damit Sie bei Sicherheitsfragen endlich mitreden können. Kostenloses iPhone-Lexikon jetzt anfordern

Apple zieht nach

Anfang Mai veröffentlichte Apple iOS 26.5 mit über 50 geschlossenen Sicherheitslücken. Das Update führt eine verbesserte Verschlüsselung für die Kommunikation zwischen iPhone und Android ein – basierend auf dem MLS-Protokoll und dem GSMA Universal Profile 3.0.

Diese Neuerung soll plattformübergreifende Nachrichten besser schützen, sofern die Mobilfunkbetreiber den Standard unterstützen. In Nordamerika und weiten Teilen Europas ist das bereits der Fall, in Afrika fehlen entsprechende Implementierungen noch vollständig.

Zusätzlich wurde der Diebstahlschutz für iPhones verschärft. Die Funktion „Stolen Device Protection“ erzwingt nun bei kritischen Aktionen an unbekannten Orten eine biometrische Authentifizierung sowie eine einstündige Sicherheitsverzögerung.

Was Nutzer jetzt tun sollten

Experten raten dringend, das Betriebssystem auf dem neuesten Stand zu halten – besonders gegen die bekannten Zero-Click-Exploits. Für WhatsApp-Nutzer auf dem Mac gilt: Die physische Sicherheit des Geräts und die Zugriffsberechtigungen anderer Apps kritisch prüfen. Solange Meta die lokale Verschlüsselung nicht nachbessert, bleibt hier ein Risiko.

Ausblick

Die Sicherheitsbranche blickt gespannt auf die für Anfang Juni erwartete WWDC. Apple wird dort die nächste Betriebssystem-Generation vorstellen. Im Fokus stehen neben funktionalen Neuerungen vor allem Post-Quanten-Kryptografie und vertrauliche Rechenmethoden.

Ab Mitte 2027 stellen internationale Cloud-Standards strengere Anforderungen an Container-Management und Datenschutz. Für Unternehmen bleibt die Erfüllung dieser Standards – besonders im Kontext der DSGVO – eine der größten Herausforderungen der kommenden Jahre.

de | wissenschaft | 69421439 |