Messaging-Krise: WhatsApp verklagt, Telegram undicht, SMS stirbt

Während die USA WhatsApp verklagen und Telegram eine schwerwiegende Schwachstelle offenlegt, bereitet sich Deutschland auf das Ende der SMS-Ära vor. Der Schaden durch Cyberkriminalität wird in diesem Jahr auf 442 Milliarden Euro weltweit geschätzt – und die Lücken in den vermeintlich sicheren Messengern werden immer sichtbarer.

Texas verklagt Meta: „WhatsApp täuscht über Verschlüsselung"

Am 21. Mai 2026 zog der texanische Attorney General Ken Paxton vor Gericht – und machte Meta schwere Vorwürfe. Der Vorwurf: WhatsApp habe seine Nutzer über die tatsächliche Reichweite der Ende-zu-Ende-Verschlüsselung (E2EE) getäuscht. Die Klage behauptet, der Schutz sei nicht so absolut, wie das Unternehmen verspreche. Meta wies die Anschuldigungen umgehend zurück und bezeichnete seine Kryptographie-Standards weiterhin als Branchenmaßstab.

Angesichts der aktuellen Vorwürfe gegen große Messenger-Dienste suchen viele Nutzer nach einer wirklich privaten Alternative für ihre tägliche Kommunikation. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie in nur fünf Minuten zu Telegram wechseln und dort Ihre Privatsphäre effektiv schützen. Telegram Startpaket: Jetzt sicher und anonym chatten

Doch die technischen Details der Klage wiegen schwer. Zwar gilt das von WhatsApp genutzte Signal-Protokoll kryptographisch als sicher. Die Klage stützt sich jedoch auf Analysen, die zeigen: Die Umsetzung und die umgebende Infrastruktur haben Schwachstellen. So sammelt WhatsApp weiterhin umfangreiche Metadaten – darunter IP-Adressen, Geräteinformationen und Nutzungsmuster.

Besonders brisant: Cloud-Backups auf Plattformen wie Google Drive und iCloud bleiben standardmäßig unverschlüsselt. Ein Bloomberg-Bericht, der im juristischen Diskurs zitiert wird, verweist zudem auf ein abgestuftes Berechtigungssystem, das bestimmten Mitarbeitern Zugriffsrechte gewähren soll – ein Widerspruch zum beworbenen „Zero-Access"-Modell. Bereits in den Vorjahren hatten Forscher die kryptographische Integrität einzelner Nachrichten bestätigt, aber Schwachstellen bei der Verwaltung von Gruppenmitgliedschaften identifiziert.

Telegram: Die 64-Bit-Spur, die nie verschwindet

Parallel zu den juristischen Problemen bei Meta gerät nun auch Telegram unter Druck. Der Sicherheitsforscher Dr. Nadim Kobeissi veröffentlichte im Mai 2026 einen Report, der eine Schwachstelle im hauseigenen MTProto-Protokoll offenlegt. Das Problem: Das Protokoll gibt eine persistente 64-Bit-Kennung preis – die auth_key_id.

Diese Kennung bleibt selbst dann stabil, wenn der Nutzer die App neu startet, die IP-Adresse wechselt oder ein VPN verwendet. Da Telegram MTProto-Datenverkehr häufig über unverschlüsseltes TCP sendet – selbst auf Port 443, der eigentlich für verschlüsselten Verkehr reserviert ist – können Netzbetreiber, Internetanbieter und staatliche Akteure Bewegungsprofile mit hoher Präzision erstellen.

Die Forschung betont: Selbst die beworbenen „Secret Chats" schützen nicht vor diesem spezifischen Metadaten-Leck. Experten fordern nun die Einführung einer obligatorischen Transport Layer Security (TLS) für alle MTProto-Verbindungen.

Apples und Googles RCS-Offensive: Ende der SMS-Ära

Während die alten Plattformen unter Beschuss stehen, zeichnet sich ein grundlegender Wandel ab. Apple und Google haben im Mai 2026 ihre Beta-Tests für plattformübergreifende Ende-zu-Ende-Verschlüsselung via Rich Communication Services (RCS) ausgeweitet. Die Initiative, die iOS 26.5 und die neueste Version von Google Messages voraussetzt, bringt Sicherheitsfunktionen wie Tipp-Anzeigen, Lesebestätigungen und verschlüsselte Medienübertragung auch in Gespräche zwischen iPhone- und Android-Nutzern.

Ein sichtbares Schloss-Symbol zeigt nun an, wann eine plattformübergreifende Unterhaltung vollständig verschlüsselt ist. Dieser Schritt fällt mit der geplanten Abschaltung älterer Technologien zusammen. Die großen deutschen Telekommunikationsanbieter – darunter Telekom, o2 und 1&1 – haben angekündigt, den support für Multimedia Messaging Service (MMS) zum 30. Juni 2026 einzustellen. Vodafone war bereits 2023 aus dem MMS-Markt ausgestiegen.

Der Branchenumstieg auf RCS und Passkeys wird durch eine massive Zunahme mobiler Angriffe beschleunigt. Im ersten Quartal 2026 stiegen die Fälle von Banking-Trojanern um 196 Prozent auf 1,24 Millionen Fälle. Sicherheitsforscher beobachten zudem einen Anstieg von Quishing – dem Einsatz gefälschter QR-Codes für Phishing – um 150 Prozent, was weltweit etwa 18 Millionen Fällen entspricht. Täglich werden schätzungsweise 3,4 Milliarden betrügerische Nachrichten versendet.

Microsoft beerdigt SMS-MFA: Passkeys als neuer Standard

Die inhärenten Schwachstellen des SMS-Protokolls haben nun auch Microsoft zum Handeln gezwungen. Am 21. Mai 2026 gab der Konzern bekannt, die SMS-basierte Multi-Faktor-Authentifizierung (MFA) für persönliche Konten offiziell einzustellen. Der Entscheidung vorausgegangen waren eine Reihe spektakulärer SIM-Swapping-Angriffe und die Verbreitung von SMS-Blaster-Technologie.

Ein aktueller Vorfall in Wien verdeutlichte das Ausmaß der Bedrohung: Die Behörden identifizierten dort einen SMS-Blaster, der 100.000 betrügerische Nachrichten pro Stunde an nahegelegene Mobilgeräte senden konnte. Microsoft setzt nun auf Passkeys – kryptographische Schlüssel, die an physische Geräte gebunden und durch Biometrie oder PINs geschützt sind. Passwort-Manager wie Edge, Google, Apple, 1Password, Bitwarden und Dashlane unterstützen bereits die geräteübergreifende Synchronisation dieser neuen Anmeldedaten.

Die Abkehr von SMS ist auch eine Reaktion auf die wachsende Effektivität KI-gestützter Betrugsmaschen. Branchendaten aus dem Mai 2026 deuten darauf hin, dass 86 Prozent aller Phishing-Kampagnen inzwischen von künstlicher Intelligenz angetrieben werden. Microsoft verwies zudem auf eine kritische Schwachstelle (CVE-2026-41615) mit einem CVSS-Schweregrad von 9,6 in seiner Authenticator-App, die Anfang des Jahres entdeckt wurde und den Druck in Richtung hardwaregebundener Sicherheitsmaßnahmen weiter erhöht hat.

Da allein in Deutschland pro Quartal Millionen Online-Konten gehackt werden, ist der Wechsel auf sicherere Anmeldemethoden wie Passkeys heute wichtiger denn je. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, WhatsApp und Co. einrichten und so Hacker-Angriffe effektiv verhindern. Sicher, bequem und passwortlos: Gratis Passkey-Ratgeber sichern

Analyse: Die Professionalisierung der Cyberkriminalität

Die aktuellen Turbulenzen im Messaging- und Authentifizierungssektor spiegeln eine breitere Entwicklung wider: die zunehmende Professionalisierung der Cyberkriminalität. Marktbeobachter stellen fest, dass zwar 62 Prozent der Datenschutzverletzungen immer noch auf menschliches Versagen zurückgehen, die technischen Einfallstore jedoch immer ausgefeilter werden. Im Zeitraum 2024/2025 waren Firewalls und VPNs für 40 Prozent der erfolgreichen Angriffe im Finanzsektor die primären Einstiegspunkte.

Die finanziellen Auswirkungen sind enorm. Neben den Milliardenverlusten durch allgemeinen Betrug haben sich „Deepfake-CEO"-Betrugsmaschen zu einem lukrativen Geschäftsfeld entwickelt. Der durchschnittliche Schaden pro erfolgreichem Vorfall liegt bei rund 600.000 US-Dollar. Diese Entwicklung hat Organisationen wie CISA zu aggressiveren Meldeverfahren veranlasst. Am 22. Mai 2026 startete die Behörde ein neues Meldeportal für ihren Katalog bekannter ausgenutzter Schwachstellen (KEV), um den Patch-Zyklus für Regierungsbehörden und private Partner zu beschleunigen.

In Deutschland nimmt die regulatorische Antwort durch das Digitale-Identitäts-Gesetz (DIdG) Gestalt an, das das Bundeskabinett am 20. Mai 2026 verabschiedete. Dieses Gesetz ebnet den Weg für die EUDI-Wallet, deren Start für den 2. Januar 2027 geplant ist. Die Wallet soll eine sichere, staatlich sanktionierte Methode für die digitale Identifikation, Vertragsunterzeichnung und Altersverifikation bieten – und damit möglicherweise die Abhängigkeit von privaten Messaging-Apps für sensible Datenaustausche verringern.

Ausblick: NIS2, Android 17 und die KI-Sicherheitsoffensive

Der Blick auf den Rest des Jahres 2026 zeigt: Der Fokus wird auf der Durchsetzung der NIS2-Richtlinie und dem weiteren Übergang zur passwortlosen Authentifizierung liegen. Zwar hatten nur 11.000 von 29.500 berechtigten Unternehmen in Deutschland die erste Registrierungsfrist für NIS2 bis März 2026 eingehalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun jedoch eine aktive Durchsetzungsphase eingeleitet. Unternehmen, die die Anforderungen nicht erfüllen, drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent ihres weltweiten Jahresumsatzes.

Im Mobilfunksektor werden mit der Veröffentlichung von Android 17 und Apples erwarteter Ankündigung von iOS 27 auf der Worldwide Developers Conference (WWDC) am 8. Juni 2026 weitere KI-gestützte Sicherheitsfunktionen erwartet. Google hat bereits mit dem Rollout von „Android Halo" begonnen – einem KI-basierten System, das betrügerische Anrufe, die Bankinstitute imitieren, erkennen und automatisch beenden soll.

Während Messenger-Apps zunehmend mit Finanzdienstleistungen verschmelzen, bleiben die rechtlichen und technischen Auseinandersetzungen um Verschlüsselung und Metadaten die zentrale Frontlinie im Kampf um die Sicherheit der globalen digitalen Wirtschaft.

de | wissenschaft | 69405155 |