Signal gegen WhatsApp im Jahr 2026: Beide nutzen die gleiche Verschlüsselung — die Unterschiede liegen im Rest
Die häufigste Fehlannahme über Signal und WhatsApp ist, dass WhatsApp "nicht wirklich verschlüsselt" sei. Das stimmt nicht. WhatsApp verwendet seit 2016 das Signal-Protokoll – denselben Open-Source-Standard für Ende-zu-Ende-Verschlüsselung, der von den Signal-Gründern entwickelt wurde. Jede Nachricht, jeder Anruf und jede Datei, die über WhatsApp gesendet wird, ist während der Übertragung mit denselben kryptografischen Primitiven verschlüsselt wie bei Signal.
Der Unterschied zwischen den beiden Apps besteht nicht darin, ob Ihre Nachrichten während der Übertragung verschlüsselt sind. Sondern darin, welche Daten rund um diese Nachrichten erhoben werden, wer darauf Zugriff hat und wie die Beziehung des Unternehmens zu Werbetreibenden und Strafverfolgungsbehörden aussieht. Diese Unterschiede sind signifikant und es lohnt sich, sie genau zu verstehen.
Was beide Apps gleich machen
Die Ende-zu-Ende-Verschlüsselung von Nachrichteninhalten, Sprachanrufen, Videoanrufen und Dateiübertragungen ist bei Signal und WhatsApp funktional gleichwertig. Beide nutzen den Double-Ratchet-Algorithmus des Signal-Protokolls, der Forward Secrecy (jede Nachricht wird mit einem eindeutigen Schlüssel verschlüsselt; die Kompromittierung eines Schlüssels gefährdet keine vergangenen Nachrichten) und Break-in Recovery (die Verschlüsselung heilt sich nach einer Sitzungsunterbrechung selbst) bietet.
Keines der beiden Unternehmen kann – in der Standardkonfiguration – den Inhalt Ihrer Nachrichten lesen. Strafverfolgungsbehörden, die von Signal oder WhatsApp den Inhalt von Nachrichten anfordern, erhalten dasselbe Ergebnis: Das Unternehmen kann nicht nachkommen, weil es den Klartext nicht besitzt.
Die Metadaten-Frage
Hier trennen sich die Wege deutlich. Metadaten – wer wann, wie oft und von wo mit wem kommuniziert – werden vom Signal-Protokoll nicht verschlüsselt. Sie sind ein Nebenprodukt der Weiterleitung von Nachrichten über eine Server-Infrastruktur.
Signal wurde von Grund auf so entwickelt, dass die Metadatenerfassung als Designziel minimiert wird. Die Server-Architektur von Signal verwendet Sealed Sender (der Server weiß nicht, wer wem eine Nachricht gesendet hat, sondern nur, dass eine Nachricht an einen bestimmten Empfänger zugestellt wurde), Private Contact Discovery (Signal erfährt, ob Ihre Kontakte bei Signal sind, ohne Ihre Kontaktliste zu sehen) und Private Groups (der Signal-Server kennt weder die Mitgliedschaft noch den Inhalt von Gruppenchats). Wenn US-Bundesstrafverfolgungsbehörden die Aufzeichnungen von Signal angefordert haben, konnte das Unternehmen nur Folgendes bereitstellen: das Datum der Kontoerstellung und das Datum der letzten Verbindung. Das ist die Gesamtheit dessen, was Signal speichert.
WhatsApp sammelt wesentlich mehr Metadaten. Die Datenschutzerklärung von WhatsApp gibt die Erhebung von: Kontaktlisten, Profilbildern, Statusinformationen, Gruppenmitgliedschaften, Gerätekennungen, IP-Adressen, ungefährem Standort, Nutzungshäufigkeit, Batteriestatus und mehr an. Diese Daten werden mit den Unternehmen der Meta-Familie (Facebook, Instagram) zu Werbezwecken geteilt. Sie unterliegen auch den Datenaufbewahrungsrichtlinien von Meta und den Rahmenbedingungen für den Zugriff von Strafverfolgungsbehörden.
Eine 2021 beim US-Bundesgericht eingereichte und 2023 veröffentlichte Klageschrift ergab, dass juristische Anfragen des FBI an WhatsApp Folgendes ergeben können: Quell- und Zielrufnummern für ein bestimmtes Konto, Datum und Uhrzeit jeder Nachricht sowie die Telefonnummer des Kontos, das die Nachricht gesendet oder empfangen hat. Der Nachrichteninhalt bleibt weiterhin unzugänglich – aber das soziale Netzwerk, die Zeitmuster und die Kommunikationshäufigkeit sind es nicht.
Backups: der entscheidende Unterschied, den die meisten Nutzer übersehen
Die Verschlüsselungsgarantie gilt für Nachrichten während der Übertragung. Was mit Nachrichten im Ruhezustand passiert – insbesondere in Cloud-Backups – war historisch gesehen ein großer praktischer Unterschied zwischen den beiden Apps.
Das Standard-Backup-Verhalten von WhatsApp speichert verschlüsselte Backups in Google Drive (Android) oder iCloud (iOS). Bis 2021 waren diese Backups nicht Ende-zu-Ende verschlüsselt: Google und Apple konnten theoretisch darauf zugreifen, und Strafverfolgungsbehörden konnten sie über die Cloud-Anbieter anfordern. WhatsApp hat 2021 optionale Ende-zu-Ende-verschlüsselte Backups eingeführt, aber diese Funktion erfordert, dass Nutzer sie aktivieren und einen Verschlüsselungsschlüssel verwalten. Ab 2026 sind Ende-zu-Ende-verschlüsselte Backups bei neuen WhatsApp-Installationen der Standard – eine deutliche Verbesserung – aber Nutzer, die seit Jahren auf der Plattform sind, könnten veraltete Backup-Konfigurationen haben, die nicht vollständig verschlüsselt sind.
Signal sichert Nachrichten nicht in Cloud-Diensten Dritter. Lokale Geräte-Backups unter iOS werden aus dem System-Backup ausgeschlossen, wenn sie über die Signal-Einstellungen erstellt werden. Nutzer, die den Chatverlauf auf ein neues Gerät übertragen möchten, müssen dies direkt über die Gerät-zu-Gerät-Übertragungsfunktion von Signal tun, bei der die Daten während des gesamten Vorgangs unter der Kontrolle des Nutzers bleiben.
Geschäftsmodell und seine Auswirkungen
Signal ist eine gemeinnützige 501(c)(3)-Organisation, die sich durch Spenden und Zuschüsse finanziert. Seine Technologie ist vollständig Open Source, von der Sicherheitsgemeinschaft geprüft, und sein Geschäftsmodell hat keine Werbekomponente. Es gibt keinen kommerziellen Anreiz, über das betrieblich Notwendige hinaus Daten zu sammeln.
WhatsApp ist eine Tochtergesellschaft von Meta, das praktisch seine gesamten Einnahmen aus gezielter Werbung erzielt. WhatsApp selbst schaltet derzeit keine Anzeigen in Chats, dient aber als Datenquelle für die Werbeprofile von Meta. Meta hat explizit Pläne zur Ausweitung der Monetarisierung von WhatsApp for Business und im Laufe der Zeit zur Einblendung von Werbung innerhalb des Business-Tools-Ökosystems angekündigt.
Der Unterschied im Geschäftsmodell ist wichtig, weil er prägt, wozu jedes Unternehmen im Laufe der Zeit mit Nutzerdaten motiviert ist. Signals Anreizstruktur ist auf den Schutz der Privatsphäre der Nutzer ausgerichtet. Die von Meta ist darauf ausgerichtet, den Informationswert seiner Nutzerbasis für Werbe- und Plattformzwecke zu maximieren.
Interoperabilität und der EU Digital Markets Act
Der EU Digital Markets Act, der Meta 2023 als Gatekeeper einstufte, verpflichtete WhatsApp dazu, seine Messaging-Infrastruktur bis März 2024 für Interoperabilitätsanfragen von Drittanbietern zu öffnen. Signal gehört zu den Apps, die im Rahmen dieses Mechanismus Interoperabilität mit WhatsApp beantragen können.
Die technische Herausforderung ist erheblich: Jede Interoperabilität, die die Grenze zwischen Signal und WhatsApp überschreitet, führt dazu, dass Metadaten zwischen den Infrastrukturen der beiden Systeme ausgetauscht werden, was einige der Metadatenminimierungseigenschaften von Signal beeinträchtigt. Signal hat sich gegenüber den Interoperabilitätsbedingungen zurückhaltend gezeigt, insbesondere wegen der Gefahr der Metadatenpreisgabe bei der plattformübergreifenden Nachrichtenweiterleitung. Stand Mitte 2026 ist eine begrenzte Interoperabilität funktionsfähig, aber Signal hat die plattformübergreifende Kommunikation nicht aggressiv beworben, auch aus diesem Grund.
Die praktische Wahl
Für Nutzer, deren Hauptanliegen die Vertraulichkeit von Nachrichteninhalten ist, bieten beide Apps in der Standardkonfiguration einen ausreichenden Schutz. Falls Ihr Bedrohungsmodell ein krimineller Akteur ist, der Nachrichten während der Übertragung abfängt, oder ein Unternehmensmitarbeiter, der Ihre Unterhaltungen liest, ist jede der beiden Apps in Ordnung.
Wenn es Ihnen um Metadaten geht – Ihr soziales Netzwerk, Ihre Kommunikationsmuster, die Verwendung Ihrer Kontaktliste zur Erstellung eines Werbeprofils oder die Weitergabe an Strafverfolgungsbehörden – ist Signal die deutlich stärkere Wahl. Wenn es Ihnen speziell um die Sicherheit von Backups geht, stellen Sie sicher, dass die Ende-zu-Ende-verschlüsselten Backups von WhatsApp aktiviert sind und Sie Ihren Verschlüsselungsschlüssel sicher gesichert haben.
Die Realität des Netzwerkeffekts ist, dass WhatsApp etwa 3 Milliarden monatlich aktive Nutzer hat und Signal etwa 80 Millionen. Für die meisten Menschen werden die Datenschutzeigenschaften von Signal durch das praktische Problem aufgewogen, dass die meisten Menschen, mit denen sie Nachrichten austauschen möchten, nicht darauf sind. Diese Netzwerklücke hat sich in den Jahren, seit Signals Datenschutzvorteile breit diskutiert wurden, nicht wesentlich geschlossen, was darauf hindeutet, dass für die Mehrheit der Nutzer der Metadatenunterschied entweder nicht relevant oder die Mühe eines Wechsels nicht wert ist.