BSI warnt vor WhatsApp-Angriffen: Zwei neue CVEs und staatliche Angriffswelle im Mai 2026

IT-Experte analysiert WhatsApp-Sicherheitswarnung auf Laptop in Hamburg

Bildnachweise

Jens Jens FischerInformationstechnologie
4 Min. Lesezeit 9. Mai 2026

Zwei neue CVEs, staatliche Angriffswelle, aktive Malware-Kampagne: WhatsApp unter Druck

Der Mai 2026 bringt für WhatsApp-Nutzer gleich drei schlechte Nachrichten auf einmal. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte am 4. Mai 2026 vor zwei frisch gepatchten Sicherheitslücken in der Windows- und Mobilversion des Messengers. Hinzu kommt eine koordinierte, mutmaßlich staatlich gesteuerte Angriffswelle seit April sowie eine von Microsoft aufgedeckte aktive Malware-Kampagne, die WhatsApp als Einfallstor nutzt.

Für Millionen Nutzer in Deutschland stellt sich jetzt die Frage: Bin ich sicher – und was muss ich tun?

Die zwei neuen Sicherheitslücken (BSI-Warnung vom 4. Mai 2026)

Meta hat zwei Schwachstellen gepatcht, die das BSI mit dem Schweregrad „mittel" eingestuft hat (CVSS 6,5).

CVE-2026-23863 – Datei-Spoofing (Windows): Angreifer können Dateinamen mit eingebetteten Nullzeichen manipulieren, sodass eine schädliche Datei im WhatsApp-UI als harmlose PDF oder Bilddatei erscheint – beim Öffnen aber als ausführbare Datei behandelt wird. Betroffen: WhatsApp für Windows, Versionen vor 2.3000.1032164386.258709.

CVE-2026-23866 – Beliebige URL-Weiterleitung (Android und iOS): Durch unvollständige Validierung von KI-generierten „Rich Response Messages" mit Instagram-Reels-Vorschauen kann eine präparierte Nachricht das Gerät dazu bringen, externe Ressourcen von einem Angreifer-Server zu laden – und dabei OS-eigene URL-Handler wie facetime:, tel: oder App-Store-Links auszulösen. Betroffen: WhatsApp iOS v2.25.8.0–v2.26.15.72 und Android v2.25.8.0–v2.26.7.10.

Beide Lücken wurden über Metas Bug-Bounty-Programm gemeldet; aktive Ausnutzung ist bislang nicht bestätigt. Die offizielle WhatsApp-Sicherheitsseite listet die Advisories unter whatsapp.com/security/advisories/2026.

Sofortmaßnahme: Alle WhatsApp-Versionen auf Windows, iOS und Android sofort aktualisieren.

Staatlich gesteuerte Angriffswelle seit April 2026

Bereits am 17. April 2026 hatten BSI und das Bundesamt für Verfassungsschutz (BfV) gemeinsam vor einer koordinierten Angriffskampagne gewarnt, die sich primär gegen Politiker, Militärangehörige, Diplomaten, Journalisten und Mitarbeiter sicherheitsrelevanter Branchen richtet.

Die Angriffsmethoden sind raffiniert:

  • Fake-Support-Nachrichten: Angreifer geben sich als „WhatsApp-Sicherheits-Chatbot" aus und drohen mit Kontolöschung, um Verifizierungs-SMS-Codes zu stehlen.
  • QR-Code-Hijacking: Opfer scannen manipulierte QR-Codes, die ein weiteres Gerät still mit dem Konto verknüpfen – unbemerkt bis zu 45 Tage lang.
  • KI-generierte Stimmklone: Aus nur drei Sekunden Sprachaufnahme werden täuschend echte Deepfake-Audiobotschaften erstellt.

Das Entscheidende: Die Verschlüsselung von WhatsApp selbst wird dabei nicht geknackt. Die Angreifer setzen auf Kontoübernahme und Social Engineering – und umgehen damit technische Sicherheit durch menschliche Fehler.

Aktive Malware-Kampagne über den Windows-Client (Microsoft-Warnung, März/April 2026)

Am 31. März 2026 warnte Microsoft Defender Experts vor einer globalen Malware-Kampagne, die WhatsApp für Windows als Zustellungsweg nutzt. Angreifer versenden Anhänge, die als Dokumente erscheinen, aber VBS-Skriptdateien sind. Wird eine solche Datei geöffnet, legt das Skript versteckte Ordner im Verzeichnis C:\ProgramData an, benennt Windows-Systemprogramme um (etwa curl.exe zu netapi.dll) und lädt weitere Payloads von legitimen Cloud-Diensten herunter – was automatische Erkennungssysteme täuscht.

Am Ende steht ein persistentes Backdoor-Programm mit Administrator-Rechten auf dem System des Opfers.

Wann sollten Betroffene einen IT-Experten hinzuziehen?

Für Privatnutzer reichen die Basismaßnahmen: App aktualisieren, Zwei-Faktor-Authentifizierung aktivieren, Verknüpfte Geräte in den Einstellungen prüfen. Doch es gibt Situationen, in denen professionelle Unterstützung durch einen IT-Sicherheitsexperten sinnvoll ist:

Unternehmensnutzung von WhatsApp: Viele KMUs und Selbstständige nutzen WhatsApp geschäftlich – zum Teil für die Kommunikation mit Kunden oder die Übermittlung sensibler Daten. Ein IT-Experte kann prüfen, ob WhatsApp Business-Nutzung mit der DSGVO vereinbar ist, und alternative Messenger evaluieren.

Verdacht auf Kontoübernahme: Wer unbekannte Geräte in seinen „Verknüpften Geräten" findet oder ungewöhnliche Aktivitäten bemerkt, sollte handeln. Ein IT-Sicherheitsexperte kann den Angriff forensisch einordnen und das Konto professionell absichern.

Nach dem Öffnen einer verdächtigen Datei: Wer auf Windows einen WhatsApp-Anhang geöffnet hat, der sich als Ausführungsdatei entpuppte, sollte das Gerät sofort isolieren und professionelle Hilfe in Anspruch nehmen. Microsoft empfiehlt, Script-Host-Ausführung für nicht vertrauenswürdige Pfade zu blockieren – das ist eine Unternehmensmaßnahme, die IT-Experten einrichten können.

Einrichtung von „Strict Account Settings": WhatsApp hat seit Januar 2026 ein neues Sicherheits-Feature für besonders gefährdete Nutzer eingeführt (Einstellungen > Datenschutz > Erweitert). Die Konfiguration lässt sich auch ohne IT-Fachkenntnisse vornehmen – ein Experte kann jedoch helfen, die Einstellungen in ein Gesamtsicherheitskonzept einzubetten.

Mehr zur Absicherung von IT-Systemen gegen Zero-Day-Angriffe finden Sie in unserem Artikel zur Zero-Day-Lücke vom April 2026.

Schritt-für-Schritt: WhatsApp sofort absichern

Unabhängig davon, ob man zum Kreis der Hochrisiko-Nutzer gehört oder nicht – diese fünf Maßnahmen sollten alle WhatsApp-Nutzer jetzt ergreifen:

  1. App aktualisieren: Im App-Store oder Google Play Store prüfen, ob eine neuere Version als 2.26.15.72 (iOS) bzw. 2.26.7.10 (Android) oder 2.3000.1032164386.258709 (Windows) verfügbar ist, und sofort installieren.

  2. Verknüpfte Geräte prüfen: Einstellungen > Verknüpfte Geräte öffnen. Unbekannte Einträge sofort abmelden. Laut BSI können QR-Code-Hijacking-Angriffe bis zu 45 Tage unentdeckt bleiben.

  3. Zwei-Schritt-Verifizierung aktivieren: Einstellungen > Konto > Zwei-Schritt-Verifizierung. Eine sechsstellige PIN wählen und sicher verwahren.

  4. Niemals PIN oder SMS-Code weitergeben: WhatsApp kontaktiert Nutzer nie über den Messenger selbst, um Sicherheitscodes abzufragen. Jede entsprechende Anfrage ist ein Betrugsversuch.

  5. Unbekannte Anhänge nicht öffnen: Insbesondere auf Windows gilt: Keine Dateien öffnen, die als Dokument erscheinen, aber eine ungewöhnliche Dateigröße oder -endung haben.

Was das BSI empfiehlt

Das BSI hat in seinem Sicherheitshinweis vom 14. Januar 2026 explizit vor der „Ghost Pairing"-Methode gewarnt und die oben beschriebenen Schutzmaßnahmen als Mindeststandard empfohlen. Die Behörde betont: Verschlüsselung allein schützt nicht vor Kontoübernahmen – entscheidend sind Update-Disziplin und Bewusstsein für Social-Engineering-Angriffe.

Für Unternehmen und öffentliche Einrichtungen empfiehlt das BSI zudem, interne Richtlinien für die geschäftliche Messenger-Nutzung zu entwickeln und Mitarbeiter regelmäßig über aktuelle Angriffsmuster zu schulen.

Fazit: Update sofort – Profis bei konkretem Verdacht

Die aktuellen WhatsApp-Sicherheitsvorkommnisse zeigen ein Muster: Nicht die Ende-zu-Ende-Verschlüsselung selbst ist das Problem, sondern die Wege drum herum. Regelmäßige Updates und bewusster Umgang mit Anhängen schützen vor den meisten Angriffen. Wer professionelle Unterstützung sucht – für die eigene Sicherheit oder für sein Unternehmen – findet erfahrene IT-Experten auf Expert Zoom.

Bildnachweise : Dieses Bild wurde mittels künstlicher Intelligenz generiert.

Unsere Experten

Vorteile

Schnelle und präzise Antworten auf alle Ihre Fragen und Hilfsanfragen in über 200 Kategorien.

Tausende von Nutzern haben eine Zufriedenheit von 4,9 von 5 für die Beratung und Empfehlungen unserer Assistenten erhalten.

Expert Zoom

Wie funktioniert es?Wer sind unsere Experten?ZeitschriftNachrichten

Kontaktieren Sie uns

E-Mail
Folgen Sie uns
DatenschutzbestimmungenNutzungsbedingungen