Bei der Klage des texanischen Generalstaatsanwalts gegen Meta geht es nicht wirklich darum, ob der Verschlüsselungsalgorithmus von WhatsApp funktioniert. Es geht um alles, was damit zusammenhängt.

In der am 21. Mai 2026 eingereichten Klage wird behauptet, dass Meta WhatsApp-Nachrichten in unverschlüsselter Form gespeichert und ein internes System betrieben habe, das es Mitarbeitern und Auftragnehmern ermöglichte, auf Anfrage auf den Inhalt privater Nachrichten zuzugreifen. Der Kryptograf Matthew Green, Professor an der Johns Hopkins University, merkte an, dass die Vorwürfe „im Kontext von Cloud-Backups und geschäftlicher Nachrichtenübermittlung“ plausibel seien und dass WhatsApp in seinen eigenen Datenschutzhinweisen Datenkategorien anerkenne, die vollständig außerhalb seiner Verschlüsselungsgarantie lägen.

Diese Unterscheidung ist für Regierungsvertreter und Verantwortliche kritischer Infrastrukturen von Bedeutung, und sie gilt unabhängig davon, wie der Rechtsstreit ausgeht. Die Frage war nie, ob das Nachrichtenprotokoll kryptografisch sicher ist – das ist es. Die Frage ist vielmehr, ob das System, das es umgibt, so geregelt ist, dass es Ihre Mission schützt.

Für Privatanwender stellt diese Lücke ein Datenschutzproblem dar. Für Verteidigungsbehörden, Koordinatoren von Notfallmaßnahmen und Betreiber kritischer Infrastrukturen ist sie eine operative Schwachstelle.

Man bedenke, was bei einer typischen Messaging-Lösung für Endverbraucher außerhalb der Verschlüsselungsgrenze liegt. Cloud-Backups, die standardmäßig möglicherweise nicht durchgängig verschlüsselt sind. Messaging-Integrationen für Unternehmen mit ausdrücklichen Zugriffsausnahmen. Interne Plattformsysteme, die laut der Klage aus Texas auf Anfrage auf Nachrichteninhalte zugreifen können. Und Metadaten, die Aufschluss darüber geben, wer wann und wie oft mit wem kommuniziert hat – sichtbar unabhängig davon, ob der Nachrichteninhalt geschützt ist.

Jedes dieser Muster ist ein Signal, das Gegner ausnutzen können. Nicht, um eine einzelne Nachricht zu lesen, sondern um Befehlsstrukturen abzuleiten, den zeitlichen Ablauf von Operationen zu ermitteln und Entscheidungsträger vor einem kritischen Ereignis zu identifizieren. Ein regionaler Energieversorger, der auf verdächtige Aktivitäten in einem Umspannwerk reagiert. Eine Verteidigungsbehörde, die eine sensible Operation leitet. Eine Gesundheitsbehörde, die eine Krise bewältigt. In jedem dieser Fälle hat das Kommunikationsmuster selbst einen nachrichtendienstlichen Wert, unabhängig davon, ob einzelne Nachrichten lesbar sind.

Kommunikationsplattformen für Verbraucher wurden nicht für die staatliche Kontrolle entwickelt. Sie wurden entwickelt, um eine große Reichweite zu erzielen.

Was souveräne Kontrolle erfordert

Die Klage liefert eine nützliche Checkliste Regierungschefs, die ihr Kommunikationsumfeld bewerten möchten. Souveräne Kontrolle bedeutet, dass jede der folgenden Fragen mit „Ja“ beantwortet werden muss:

• Sind Sie der Eigentümer der Verschlüsselungsschlüssel – und nicht der Plattformanbieter?

• Sind Backups standardmäßig durchgehend verschlüsselt, ohne dass eine manuelle Konfiguration erforderlich ist?

• Sind Metadaten vor Einsicht von außen geschützt, einschließlich Kommunikationsmuster, Zeitablauf und Identität der Beteiligten?

• Legen Sie fest, wer auf Nachrichteninhalte zugreifen darf, ohne dass ein externes Anfragesystem diese Einstellung außer Kraft setzen kann?

• Legen Sie fest, welche Geräte, Benutzer und Integrationen auf vertrauliche Kanäle zugreifen dürfen?

• Kann die Plattform auf einer von Ihnen kontrollierten Infrastruktur in Ländern bereitgestellt werden, die Ihren Anforderungen an den Datenaufbewahrungsort entsprechen?

Verbraucher-Tools können diese Anforderungen nicht erfüllen, da sie für andere Zwecke entwickelt wurden. Das Problem entsteht, wenn Organisationen, die für die nationale Regierungsführung, die Verteidigungskoordination oder kritische Infrastrukturen zuständig sind, Tools, die lediglich auf Komfort ausgelegt sind, als missionskritische Infrastruktur behandeln.

Ein sich wandelnder Standard

Die Klage in Texas ist kein Einzelfall. Im März 2026 wurde eine parallele Sammelklage beim US-Bezirksgericht für den nördlichen Bezirk von Kalifornien eingereicht, in der im Wesentlichen dieselben Vorwürfe erhoben wurden – dass Meta-Mitarbeiter und Accenture-Auftragnehmer umfassenden Zugriff auf private Nachrichten hatten, von denen den Nutzern versichert worden war, dass nur sie diese lesen könnten. Zusammengenommen spiegeln diese Fälle einen umfassenderen Wandel in der Sichtweise von Regierungen und Aufsichtsbehörden auf Messaging-Plattformen für Verbraucher wider.

Bei dem Streit geht es nicht in erster Linie um die Qualität des Verschlüsselungsalgorithmus. Es geht vielmehr um die Rahmenbedingungen: ob Cloud-Backups geschützt sind, ob es Ausnahmen für die geschäftliche Kommunikation gibt und ob interne Mitarbeiterzugriffssysteme die Garantien des Protokolls umgehen können. Geschäftskritische Kommunikation erfordert Governance, Zertifizierung, souveränen Einsatz und administrative Kontrolle – Aspekte, für deren Bereitstellung keine Verbraucherplattform ausgelegt ist.

Der praktische erste Schritt

Führungskräfte sollten zunächst ehrlich einschätzen, inwieweit Kommunikationsplattformen für Verbraucher bereits in offizielle Arbeitsabläufe integriert sind. Dazu gehört die Prüfung der Offenlegung von Metadaten, des Verschlüsselungsstatus von Backups, der Identitäts- und Gerätesteuerung, des Datenstandorts, der Schlüsselverwaltung sowie der Frage, ob Drittanbieterplattformen über Integrationen, Backup-Systeme oder interne Abfragemekanismen weiterhin Zugriff auf Nachrichteninhalte haben.

Für Organisationen, bei denen Kommunikationssicherheit eine zwingende Anforderung ist, ist es nicht mehr vertretbar, davon auszugehen, dass die Verschlüsselungsgrenze ausreicht.

Sichern Sie das System. Nicht nur die Nachricht.