Meta hat mit der Einführung einer neuen Sicherheitsfunktion für WhatsApp begonnen, die speziell für Nutzer mit hohem Risiko entwickelt wurde. Die Funktion „Strenge Kontoeinstellungen“ soll Personen wie Journalisten, Aktivisten und Persönlichkeiten des öffentlichen Lebens vor gezielten Cyberangriffen, einschließlich hochentwickelter Spyware, schützen.
Diese optionale Einstellungsebene ergänzt die bestehende Ende-zu-Ende-Verschlüsselung des Dienstes um extrem restriktive Schutzmaßnahmen. Ziel ist es, die Angriffsfläche für komplexe digitale Bedrohungen, wie sie in der Vergangenheit beobachtet wurden, drastisch zu reduzieren.
Wichtige Fakten
- WhatsApp führt die „Strengen Kontoeinstellungen“ als neue, optionale Sicherheitsfunktion ein.
- Sie richtet sich an eine kleine Gruppe von Nutzern, die einem hohen Risiko für gezielte Cyberangriffe ausgesetzt sind.
- Die Aktivierung schränkt zahlreiche Funktionen ein, um die Sicherheit zu maximieren, darunter die Sichtbarkeit von Profilinformationen und den Empfang von Medien von Unbekannten.
- Die Einführung erfolgt als Reaktion auf frühere Angriffe mit Spyware wie Pegasus, die oft über Messaging-Dienste verbreitet wurde.
Ein Schutzschild für besonders gefährdete Nutzer
Die neue Funktion, die in den kommenden Wochen schrittweise für alle Nutzer verfügbar gemacht wird, ist nicht für die breite Masse gedacht. WhatsApp betont, dass die meisten Menschen diese zusätzliche Schutzebene nicht benötigen. Stattdessen ist sie für jene konzipiert, die aufgrund ihrer beruflichen Tätigkeit oder öffentlichen Rolle zur Zielscheibe staatlich geförderter oder hochentwickelter Hackergruppen werden könnten.
„Wir werden das Recht auf Privatsphäre für jeden immer verteidigen, angefangen bei der standardmäßigen Ende-zu-Ende-Verschlüsselung“, erklärte das Unternehmen. „Aber wir wissen auch, dass einige wenige unserer Nutzer – wie Journalisten oder Personen des öffentlichen Lebens – möglicherweise extreme Schutzmaßnahmen gegen seltene und hochkomplexe Cyberangriffe benötigen.“
Die Aktivierung der Funktion muss bewusst vom Nutzer auf seinem primären Gerät vorgenommen werden. Sie findet sich unter Einstellungen > Datenschutz > Erweitert. Einmal eingeschaltet, werden die strengsten verfügbaren Datenschutzeinstellungen automatisch angewendet.
Was ändert sich im Hochsicherheitsmodus?
Die „Strengen Kontoeinstellungen“ schränken gezielt Funktionen ein, die als potenzielle Einfallstore für Angreifer dienen könnten. Die Maßnahmen sind umfassend und sollen das Risiko von Zero-Click-Exploits minimieren, bei denen ein Gerät ohne Interaktion des Nutzers kompromittiert wird.
Automatische Sicherheitsmaßnahmen
Sobald die Funktion aktiviert ist, setzt WhatsApp eine Reihe von Änderungen um:
- Zweistufige Verifizierung: Diese wird automatisch aktiviert, um die Übernahme des Kontos zu erschweren.
- Blockade von Unbekannt: Anrufe von unbekannten Nummern werden stummgeschaltet. Medien und Anhänge von unbekannten Absendern werden blockiert.
- Eingeschränkte Sichtbarkeit: Informationen wie „Zuletzt online“, der Online-Status, das Profilfoto und die „Info“-Details werden verborgen.
- Deaktivierte Vorschauen: Link-Vorschauen werden ausgeschaltet, um das unbemerkte Laden von schädlichen Inhalten zu verhindern.
Aktivierung nur vom Hauptgerät
Ein wichtiges Detail ist, dass die „Strengen Kontoeinstellungen“ ausschließlich vom primären Smartphone des Nutzers ein- oder ausgeschaltet werden können. Dies soll verhindern, dass Angreifer, die möglicherweise bereits Zugriff auf ein verknüpftes Gerät haben, die Sicherheitseinstellungen manipulieren.
Reaktion auf eine wachsende Bedrohung
Die Einführung dieses Modus ist eine direkte Reaktion auf eine Reihe von Vorfällen in den letzten Jahren. Insbesondere die Spyware Pegasus der NSO Group wurde wiederholt eingesetzt, um die Telefone von Journalisten, Menschenrechtsverteidigern und politischen Gegnern zu infizieren. Oft geschah dies über Messaging-Apps wie WhatsApp.
Der Vergleich mit Apples Lockdown-Modus
Der Ansatz von WhatsApp ähnelt dem „Lockdown-Modus“ (Blockierungsmodus), den Apple bereits im Juli 2022 eingeführt hat. Auch diese Funktion für iOS, iPadOS und macOS reduziert die Angriffsfläche von Geräten drastisch, indem sie bestimmte Funktionalitäten einschränkt, um hochriskante Nutzer vor gezielter Spyware zu schützen.
Im August 2024 musste WhatsApp eine Zero-Day-Sicherheitslücke in seinen iOS- und macOS-Clients schließen, die aktiv für Zero-Click-Angriffe ausgenutzt wurde. Auch frühere Schwachstellen wurden genutzt, um Geräte mit Spyware zu infizieren. Die Bedrohung ist real und persistent, wie Gerichtsdokumente aus dem November 2024 zeigten, die nahelegten, dass die NSO Group auch nach einer Klage durch WhatsApp weiterhin Sicherheitslücken ausnutzte.
Technische Verbesserungen im Hintergrund
Neben der neuen, für den Nutzer sichtbaren Funktion arbeitet Meta auch an der grundlegenden Sicherheit seiner Plattform. Das Unternehmen gab bekannt, dass es WhatsApp schrittweise auf die Programmiersprache Rust umstellt. Rust ist bekannt für ihre Speichersicherheitsgarantien, die eine ganze Klasse von Sicherheitslücken verhindern können, die häufig von Angreifern ausgenutzt werden, insbesondere bei der Verarbeitung von Mediendateien wie Fotos und Videos.
„Diese Funktion ist für die sehr wenigen Nutzer gedacht, die Ziel solcher Angriffe sein könnten. Sie sollten sie daher nur einschalten, wenn Sie glauben, Ziel einer hochentwickelten Cyber-Kampagne zu sein. Die meisten Menschen sind nicht von solchen Angriffen betroffen.“
Mit den „Strengen Kontoeinstellungen“ bietet WhatsApp nun ein Werkzeug, das zwar nicht für den täglichen Gebrauch der meisten Nutzer gedacht ist, aber für eine kleine, verletzliche Gruppe einen entscheidenden Unterschied in ihrer digitalen Sicherheit machen kann.
