WhatsApp Profildaten konnten öffentlich eingesehen werden
Zusammenfassung
Eine aktuelle Studie zeigt, dass öffentlich sichtbare WhatsApp-Profildaten (z. B. Profilbild, Status, Gerätetyp, Info-Feld des Profils) zeitweise automatisiert abgefragt werden konnten. Die Nachrichtenverschlüsselung war dabei nicht betroffen. Es zeigte sich dabei, dass fast 30% der WhatsApp-Benutzer sensible Informationen in ihrem Profil eingetragen haben, z. B. die politische Einstellung, sexuelle oder religiöse Orientierung, Links zu sozialen Netzwerken oder E-Mail-Adressen.
Für Mitarbeitende und Studierende an der Universität Duisburg-Essen (UDE) – insbesondere in sensiblen Forschungs- oder internationalen Kontexten – ist es sinnvoll, die eigenen Privatsphäre-Einstellungen zu prüfen und möglichst wenige Informationen öffentlich sichtbar zu lassen.
Empfehlungen (dauert < 2 Minuten):
- Profilbild → „Nur Kontakte“ oder „Niemand“
- About-/Status-Text → neutral oder „Niemand“
- Telefonnummer & Online-Status → nur für Kontakte sichtbar
Für private Kommunikation können zusätzlich datensparsame Messenger wie Signal oder Threema genutzt werden.
Die Hinweise dienen der Sensibilisierung, nicht der Alarmierung.
1. Hintergrund
Dieser Hinweis dient dazu, Angehörige der UDE über jüngste Entwicklungen rund um Metadaten in WhatsApp zu informieren und praktische Empfehlungen für einen sicheren Umgang zu geben.
Eine aktuelle Studie der Universität Wien zur IT-Sicherheit zeigt, dass es über technische Schwachstellen möglich war, öffentlich sichtbare WhatsApp-Profildaten – wie Profilbilder, Statusinformationen oder Geräteinformationen – automatisiert abzufragen.
Inhalte der Kommunikation waren gemäß der Studie nicht betroffen.
Meta/WhatsApp hat inzwischen Gegenmaßnahmen angekündigt und begonnen, diese umzusetzen. Unabhängig davon sollten öffentliche Profilinformationen grundsätzlich als sichtbare Metadaten betrachtet werden.
Alle bisher sichtbaren Profildaten sollten als potenziell öffentlich betrachtet werden.
2. Relevanz für die UDE
Universitäten stehen generell im Fokus unterschiedlicher Akteure – von wirtschaftlichen Interessen über politische Einflussnahme bis hin zu polizeilicher oder staatlicher Informationsgewinnung.
Dies gilt besonders für Forschungsbereiche, die politisch sensibel sind oder an denen andere Staaten ein besonderes Interesse haben – z. B. Friedens- und Konfliktforschung, internationale Sicherheit, Menschenrechte oder sicherheitsrelevante Technologieprojekte.
Vor diesem Hintergrund ist es sinnvoll, den Umgang mit öffentlich sichtbaren Kommunikationsprofilen bewusst zu gestalten.
3. Was können Dritte sehen?
Bei WhatsApp sind potenziell sichtbar (abhängig von den eigenen Einstellungen):
- Profilbild
- „About“-Status bzw. persönlicher Text
- Telefonnummer
- Sichtbarkeit, ob ein Account existiert
- Geräteinformationen (z. B. Android/iOS)
WhatsApp bleibt sicher bei der Nachrichtenverschlüsselung. Die nun öffentlich gewordene Schwachstelle betrifft ausschließlich sichtbar gemachte Profildaten und hat keinen Einfluss auf Inhalte. Dennoch können diese öffentlichen Informationen im Einzelfall von externen Akteuren für Recherchen oder Personenprofile genutzt werden.
4. Was bedeutet das für Mitarbeitende und Studierende?
Ein bewusster Umgang mit Profilinformationen ist besonders wichtig, wenn Sie:
- in politisch sensiblen Forschungsfeldern tätig sind,
- internationale Partner in Ländern mit eingeschränkter Kommunikationsfreiheit haben,
- oder aus persönlichen Gründen Ihre digitale Sichtbarkeit reduzieren möchten.
Diese Empfehlungen dienen dem Selbstschutz, aber auch dem Schutz von Gesprächspartner*innen.
Ein bewusster Umgang mit Metadaten erhöht Ihre eigene digitale Sicherheit, ohne Ihre Arbeit oder Kommunikation einzuschränken.
Öffentlich sichtbare Profildaten – wie Profilbild, Status oder Gerätetyp – erlauben zwar keinen Zugriff auf Nachrichten, können jedoch genutzt werden, um Rückschlüsse auf berufliche oder persönliche Zusammenhänge zu ziehen. Dies kann in Einzelfällen zu unerwünschten Kontaktaufnahmen oder Social-Engineering-Versuchen führen. Ein bewusster Umgang mit diesen Informationen – z. B. durch eingeschränkte Sichtbarkeit – reduziert diese Risiken deutlich.
5. Empfohlene Maßnahmen (einfach und sofort umsetzbar)
A. Privatsphäre-Einstellungen überprüfen
Die folgenden Einstellungen lassen sich in weniger als zwei Minuten umsetzen und schützen nicht nur Sie selbst, sondern auch internationale Gesprächspartner*innen.
Wir empfehlen für alle Angehörigen der UDE:
- Profilbild: „Nur Kontakte“ oder „Niemand“ – am besten leer lassen
- Status/About: neutral oder „Niemand“
- Sichtbarkeit der Telefonnummer: auf das notwendige Minimum reduzieren
- „Zuletzt online“ und „Online-Status“ entsprechend einschränken
B. Nutzung prüfen
Uns ist bewusst, dass WhatsApp von vielen dennoch im Alltag genutzt wird, auch wenn es für universitäre Kommunikation nicht vorgesehen ist.
Daher empfehlen wir für private Kommunikation alternativ oder zusätzlich die Nutzung datensparsamer Messenger wie Signal, Threema.
C. Bewusstsein für Metadaten schaffen
Die meisten Kommunikationsrisiken entstehen nicht durch Inhalte, sondern durch sichtbare Randinformationen (Wer kommuniziert? Wann? Von welchem Gerät aus?). Ein sparsamer Umgang mit öffentlich sichtbaren Profilbestandteilen reduziert diese Risiken deutlich.
6. Einordnung
Die UDE ist – wie viele Forschungseinrichtungen – grundsätzlich ein potenzielles Ziel für Informationsinteressen, darunter auch durch staatliche Akteure aus dem Ausland.
Dies bedeutet jedoch nicht, dass einzelne Personen konkret gefährdet sind.
Es bedeutet lediglich, dass wir als Institution und Gemeinschaft aufmerksam, verantwortungsvoll und gut informiert mit digitalen Werkzeugen umgehen sollten.
Die oben genannten Hinweise dienen der Sensibilisierung, nicht der Alarmierung.
7. Unterstützung und Beratung
Bei Fragen zur IT-Sicherheit oder zu Kommunikationsrisiken, insbesondere im Kontext sensibler Forschungsthemen, steht Ihnen unser CISO & Datenschutzteam gern vertraulich zur Verfügung.