„23andme hat dabei versagt, grundlegende Maßnahmen zum Schutz personenbezogener Daten zu setzen“, zeiht John Edwards, Chef der britischen Datenschutzbehörde, das US-Unternehmen für Genanalysen, „Ihre Sicherheitssysteme waren inadäquat, die Warnsignale waren da und die Firma hat langsam reagiert.“ Das Ergebnis ist bekannt: Fast sieben Millionen Datensätze von Kunden 23andmes gelangten 2023 in falsche Hände und im Darknet zum Verkauf. Edwards Behörde verhängt nun eine Strafe von umgerechnet gut 2,7 Millionen Euro über die Genfirma.

Die der Strafe zugrundeliegende Untersuchung war gemeinsame Arbeit der britischen und der kanadischen Bundesdatenschutzbehörde. Letztere darf, sehr zum anhaltenden Ärger ihres Chefs Philippe Dufresne, keine Strafen verhängen, sondern muss sich auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein.

Die Methode des Angreifers war banal: Credential Stuffing. Dabei werden Logins und Passwörter, die bei Einbrüchen in andere Dienste offengelegt worden sind, ausprobiert. Hat der User die gleiche Kombination eingesetzt, und gibt es keine Multifaktor-Authentifizierung, kann sich der Angreifer einloggen. Das ist bei 23andme im Jahr 2023 bei über 18.000 Konten gelungen. Viele 23andme-Kunden haben in ihren Konten die Option aktiviert, ihre Daten mit Verwandten zu teilen. Daher konnte der Angreifer über gut 18.000 Konten die Daten von fast sieben Millionen Menschen abgreifen.

Fünf Monate nichts mitbekommen

Fünf Monate lang, ab Ende April 2023, konnte der Täter ungestört ein Passwort nach dem anderen ausprobieren. Denn, so die kanadische und die britische Behörde, 23andme hatte ineffektive Erkennungssysteme sowie unzulängliches Logging und Monitoring. Zudem sei die Untersuchung von Anomalien inadäquat gewesen, sonst hätte 23andme die Vorgänge Monate früher als erst im Oktober 2023 erkannt.

Hinzu kommt unzureichende Vorbeugung. Die beiden Behörden kritisieren, dass 23andme keine verpflichtende Multifaktor-Authentifizierung (MFA) hatte, dass es nicht überprüft hat, ob Kunden anderswo kompromittierte Passwörter wiederverwenden, dass es keine zusätzliche Überprüfung bei der Anforderung der Gen-Rohdaten gab, und dass die Passwortregeln zu lasch waren: 23andme schrieb mindestens achtstellige Passwörter mit „minimalen Komplexitätsregeln“ vor; eine Richtlinie der britischen Datenschutzbehörde ICO (Information Commissioner’s Office) empfiehlt mindestens zehnstellige Passwörter ohne Zwang der Verwendung von Sonderzeichen und ohne Längenbeschränkung.

Selbst als 23andme die unberechtigten Zugriffe erkannt hatte, reagierte es nicht so, wie sich die Datenschutzbehörden das vorstellen. Es dauerte vier Tage, bis die Firma alle Passwörter zurücksetzte und laufende Sitzungen schloss. Bis zur Einführung verpflichtender MFA und zusätzlicher Absicherung der Rohdaten verging gar ein Monat. Zu allem Überdruss waren die rechtlich vorgeschriebenen Mitteilungen der Firma an die britische und die kanadische Datenschutzbehörde auch noch unvollständig.

Nach Insolvenz kommt Wojcicki wieder ans Ruder

Einige Monate nach dem Vorfall stellte 23andme Insolvenzantrag. Daher ist nicht gesichert, dass die britische Strafe in der festgesetzten Höhe bezahlt wird. Das Unternehmen könnte auch noch Rechtsmittel ergreifen.

23andme wurde 2006 gegründet, ist 2021 an die Börse gegangen, hat aber nie Gewinn geschrieben. Nach einigem Hin und Her im Insolvenzverfahren dürfte Mitgründern Anne Wojcicki über ihre Forschungsfirma TTAM die Konkursmasse 23andmes aus dem Konkursverfahren erwerben. TTAM hat dafür 305 Millionen US-Dollar geboten, mehr als die Pharmafirma Regeneron. Wojcicki war bis 2015 mit Google-Mitgründer Sergey Brin verheiratet und ist die jüngste Schwester der im August an Lungenkrebs verstorbenen Susan Wojcicki, der ersten Marketingleiterin Googles und langjährigen Chefin Youtubes.

(ds)

Die politische Lage in den USA spitzt sich zu. Vergangene Woche hat der autoritär auftretende Präsident Donald Trump Militärtruppen nach Kalifornien entsandt, um Proteste gegen die Einwanderungsbehörde ICE zu ersticken. Erschreckende Bilder wie die Abführung des demokratischen Senators von Kalifornien, Alex Padilla, gingen um die Welt.

Am Wochenende nahm Trump an seinem Geburtstag eine Militärparade in der Hauptstadt Washington ab – höchst ungewöhnlich für die USA, selbst wenn die Armee am gleichen Tag ihren 250. Geburtstag hatte. Zugleich regt sich immer mehr Widerstand in der Bevölkerung, nicht nur in Los Angeles. Landesweit kam es am Samstag zu massiven Protesten unter dem Motto „No King“ – „Kein König“ in mehr als 2.000 Städten.

Sind die USA noch vor der autoritären Komplettübernahme durch Trump und seine Bewegung zu retten? Wir haben den Verfassungsrechtler Anthony Michael Kreis gefragt, was gerade passiert und worauf es jetzt ankommt. Kreis ist Professor an der Georgia State University und begleitet die Umwälzungen kritisch unter anderem auf Bluesky.

Das Interview wurde auf Englisch geführt und lässt sich hier im Original nachlesen.

„Strategisches Chaos“ der Trump-Regierung

netzpolitik.org: Hierzulande beobachten viele Menschen ungläubig, was mit einem der wichtigsten Verbündeten Deutschlands und einem Land geschieht, das sie immer als stabile Demokratie wahrgenommen haben. Wie würden Sie die Ereignisse der vergangenen Monate in Ihrem Land beschreiben?

Anthony Kreis: Das Beste, was ich dazu sagen kann, ist „strategisches Chaos“. Die Trump-Regierung arbeitet mit Hochdruck daran, Institutionen zu zerstören und die Handlungsfähigkeit des Staates zu schwächen, oft unter Missachtung des Rechts. Und sie vertritt Positionen, die die Verfassung zutiefst verletzen. Leider gab es so viele Angriffe auf die Verfassung und die amerikanische Demokratie, dass es schwer ist, den Überblick zu behalten.

netzpolitik.org: Wie wir in den zurückliegenden Wochen gesehen haben, hat Donald Trump Nationalgarde und Marines in Kalifornien eingesetzt, um Proteste niederzuschlagen. Gibt es dafür einen Präzedenzfall, und was sagt das Gesetz über den Einsatz von Streitkräften im Inland?

Anthony Kreis: Der Einsatz von Bundestruppen oder der Nationalgarde ist äußerst selten – insbesondere, weil die lokalen Behörden nicht um Unterstützung gebeten haben. Nach amerikanischem Recht ist es unzulässig, Bundestruppen zur Durchsetzung ziviler Gesetze einzusetzen. Sie können Bundesgebäude und Beamte schützen, aber in der Regel ist dies eine Maßnahme der letzten Instanz. Die Tatsache, dass der Präsident so leichtfertig Truppen auf amerikanischen Straßen einsetzt, lässt mich vermuten, dass es hier um eine Machtdemonstration geht – und nicht um die Durchsetzung des Gesetzes und die Aufrechterhaltung der Ordnung. Angesichts der relativ isolierten Natur des Problems inmitten überwiegend friedlicher Demonstrierender hätte das alles auch von nichtmilitärischem Personal geleistet werden können.

Demokratie am Tiefpunkt

netzpolitik.org: Wenn das Ziel darin bestand, die Zivilgesellschaft von Protest abzuschrecken, scheint es gescheitert zu sein: Am vergangenen Wochenende gab es im ganzen Land massive „No King”-Proteste, selbst angesichts der politisch motivierten Ermordung einer demokratischen Abgeordneten in Minnesota. Wie gesund ist die US-Zivilgesellschaft derzeit, und wie mächtig können Proteste sein, um Veränderungen zu bewirken?

Anthony Kreis: Die amerikanische Demokratie befindet sich derzeit an einem Tiefpunkt. Die Drohungen mit politischer Gewalt, die Missachtung der Rechtsstaatlichkeit und die Versuche, demokratische Institutionen auszuhöhlen, zeigen, wie ernst die Lage ist. Proteste können natürlich dazu beitragen, die Öffentlichkeit zu mobilisieren und die Menschen zu ermutigen, sich am politischen Prozess zu beteiligen. Letztendlich müssen die Menschen jedoch protestieren – und wählen gehen. Es wird ein langfristiges, ernsthaftes Engagement von Millionen von Amerikanern erfordern, um dieses jüngste Kapitel des demokratischen Rückschritts in den USA zu beenden.

netzpolitik.org: Wahlen funktionieren nur, wenn sie Konsequenzen haben. Aber es scheint, dass der Kongress keinen nennenswerten Druck auf Trump ausübt. Ist das ein Problem, das durch das US-Verfassungssystem verursacht wird? Oder ist ein politisches Problem?

Anthony Kreis: Wir sprechen oft davon, dass die drei Gewalten sich gegenseitig kontrollieren und ausgleichen. Historisch gesehen geht es jedoch eher um die Trennung der Parteien als um die Trennung der Gewalten. Solange die Republikaner den Kongress und den Verfassungsgerichtshof kontrollieren, wird es weniger institutionellen Widerstand seitens der Legislative und der Judikative geben. Damit dies geschieht, müsste sich die Lage grundlegend ändern und Trump an Popularität unter den Republikanern verlieren. Ansonsten hängt für die Demokraten viel von den Wahlen im Jahr 2026 ab. Das ist dann ihre einzige echte Chance, den Abwärtstrend zu stoppen.

USA in der Verfassungskrise

netzpolitik.org: Haben die Demokraten bereits alle Hebel in Bewegung gesetzt oder haben sie noch Optionen?

Anthony Kreis: Sie haben kaum andere Möglichkeiten, als die Öffentlichkeit zu sensibilisieren und die öffentliche Meinung zu beeinflussen. Bislang haben sie das nicht besonders gut gemacht.

netzpolitik.org: Bis zu den Wahlen 2026 wird also der Supreme Court in den meisten dieser Fragen das letzte Wort haben. Bislang waren seine Entscheidungen für die Trump-Regierung eher durchwachsen. Aber Trump versucht weiterhin, offensichtlich illegale Anordnungen durchzusetzen, sei es der Einsatz des Militärs im Inland oder die Abschaffung des verfassungsmäßig garantierten Geburtsortsprinzips. Wir haben bereits gesehen, dass Trump Entscheidungen des Verfassungsgerichtshofs ignoriert hat. Befinden sich die USA bereits in einer Verfassungskrise?

Anthony Kreis: Jeder wird „Verfassungskrise” anders definieren. Für mich ist es ein Moment, in dem die Rechtsstaatlichkeit bedroht ist und die Machthaber versuchen, Regeln und Institutionen außerhalb eines legitimen Prozesses zu ändern – mit anderen Worten: willkürliche und instabile Regierungsführung („Governance“). Das ist seit Januar der Zustand in Amerika. Ich würde sagen, wir befinden uns in einer Verfassungskrise.

WhatsApp hat das Internet zu einem besseren Ort gemacht. Für viele Menschen war es lange Zeit selbstverständlich, dass man andere auf WhatsApp erreichen kann. Ohne absurde Zeichenbegrenzung wie bei der SMS. Ohne den hölzernen Charakter einer E-Mail. Und mit Ende-zu-Ende-Verschlüsselung, sodass niemand die Nachrichten auf dem Weg abfangen und mitlesen kann. Danke, WhatsApp!

Aber mit WhatsApp geht es bergab. Der Messenger, der inzwischen zu Meta gehört, soll Geld abwerfen. Meta ist der Konzern, der auch Facebook und Instagram betreibt. An dessen Spitze steht Multi-Milliardär Mark Zuckerberg, der sich darum bemüht, Donald Trump zu gefallen. Und als würde Meta nicht schon genug Geld verdienen, soll jetzt auch noch WhatsApp Werbung bekommen.

Werbung bei WhatsApp: Jahrelang war das tabu. Im Jahr 2012, vor der Übernahme durch Mark Zuckerberg, da schrieben die WhatsApp-Chefs noch :

Werbung ist nicht nur die Störung der Ästhetik, die Beleidigung deiner Intelligenz und die Unterbrechung deines Gedankengangs. Bei jedem Unternehmen, das Anzeigen verkauft, verbringt ein erheblicher Teil des Engineering-Teams seinen Tag damit, die Datenanalyse zu optimieren […]. Sobald Werbung im Spiel ist, bist du als Nutzer*in das Produkt.

2012 ist lange her. Die Gründer von WhatsApp sind schon länger nicht mehr an Bord. Inzwischen ist WhatsApp für viele Menschen nicht mehr wegzudenken. Wie sonst soll man die Familie erreichen, die Leute im Verein, die Bekanntschaft aus der Bar? WhatsApp gehört für viele zur Grundversorgung. Und gerade deshalb sollte WhatsApp keine Werbung haben.

WhatsApp hat uns „absolut“ verarscht

Wie absurd wäre Werbung an anderen Stellen, die zur Grundversorgung gehören? Stellt dir vor, dein Telefonanbieter würde Werbung einführen. Du könntest niemanden mehr anrufen, ohne dir zuerst einen Werbeclip anhören zu müssen. Oder die Post würde Werbung einführen: Du dürftest Briefe nur noch in Umschlägen verschicken, die zugekleistert sind mit knallbunten Anzeigen. Das würde sich einfach falsch anfühlen.

Nach der Übernahme durch Facebook hatte WhatsApp noch mit Nachdruck versprochen, im Messenger solle es auch in Zukunft keine Werbung geben:

Und du kannst dich absolut darauf verlassen, dass deine Kommunikation nicht durch Werbung gestört wird.

Das Wort „absolut“ griff auch Mark Zuckerberg auf, als er im Jahr 2014 sagte:

Wir werden unsere Pläne rund um WhatsApp absolut nicht ändern. […] WhatsApp wird völlig eigenständig arbeiten.

Tja, jetzt kommt die Werbung doch. Inklusive möglicher Personalisierung über andere Meta-Dienste hinweg, also Instagram und Facebook. WhatsApp hat damit seine über Jahre gepflegten Ideale verraten. Worauf sollten wir uns nochmal „absolut“ verlassen? Sieht aus, als hätten uns WhatsApp und Mark Zuckerberg absolut verarscht.

WhatsApp-Chef weicht Fragen aus

Die neue Werbung soll im Tab „Aktuelles“ zwischen Status-Updates zu sehen sein. Das heißt, die Gespräche mit den eigenen Kontakten bleiben vorerst werbefrei. Aber wer weiß, wie lange noch? Der SPIEGEL wollte von WhatsApp-Chef Will Cathcart wissen, ob WhatsApp bald auch noch die Chats und den Startbildschirm zur Werbefläche macht. „Können Sie uns versprechen, dass Sie dies in den nächsten zwei Jahren nicht tun werden?“, lautetet die Frage.

Das ist eine simple Frage. Man kann sie mit „Ja“ oder „Nein“ beantworten.  Aber Will Cathcart hat nicht mit „Ja“ oder „Nein“ geantwortet.

Er hat gesagt: „Unser Fokus geht nicht in diese Richtung“.

Bei so einer ausweichenden Antwort gehen meine Alarmglocken an. Offensichtlich will sich WhatsApp alle Optionen offenhalten. Und WhatsApp macht sich nicht einmal die Mühe, das offen zu sagen. Stattdessen übt sich der WhatsApp-Chef in Wortakrobatik. Wer so aalglatt antwortet wie Will Cathcart, der will Menschen verarschen. Hätte er doch nur gesagt: „Vielleicht, keine Ahnung.“ Das wäre ehrlicher gewesen.

WhatsApp hat ein Privatsphäre-Problem

Es gibt noch mehr gute Gründe, WhatsApp zu verlassen. Trotz Ende-zu-Ende-Verschlüsselung schützt der Messenger unsere Privatsphäre nicht gut. Um zu funktionieren, will WhatsApp Zugriff auf das gesamte Telefonbuch haben. Inklusive der Kontakte, die kein WhatsApp haben. WhatsApp erklärt zwar, dass diese Nummern nicht im Klartext gespeichert würden; Fachleute wie der IT-Sicherheitsforscher Mike Kuketz beruhigt das aber nicht.

Mehr noch: WhatsApp erfasst, wer wann mit wem Kontakt hatte. Der Zuckerberg-Konzern kann zwar nicht lesen, worum es inhaltlich geht, dank Ende-zu-Ende-Verschlüsselung. Aber WhatsApp hat das wertvolle Wissen, wer mit wem vernetzt ist – und wie eng. Das sind die sogenannten Metadaten. Obendrauf kommen Eckdaten wie Profilbild und Status, die nicht Ende-zu-Ende-verschlüsselt sind.

Solche Daten sind mächtig. Der Whistleblower Edward Snowden hat in seiner Biografie geschrieben:

Die unbequeme Wahrheit ist aber gerade, dass der Inhalt unserer Kommunikation nur selten so viel über uns verrät wie ihre anderen Elemente. Es sind die ungeschriebenen, unausgesprochenen Informationen, die den weiteren Kontext und unsere Verhaltensmuster offenbaren.

Wie gefährlich ist das, wenn ein Konzern dieses Wissen über drei Milliarden Nutzer*innen hortet? Ein Konzern, der seinen Sitz in den USA hat, also einem zunehmend autokratischen Staat, dessen aktueller Präsident wohl am liebsten ein Diktator wäre?

Natürlich gibt WhatsApp auf Anfrage auch Daten an Polizei und Strafverfolgungsbehörden weiter. Unternehmen können solche Anfragen schwer ignorieren. Aber sie können entscheiden, welche Daten sie überhaupt erfassen. Was man nicht hat, kann man auch nicht weitergeben. Das nennt man Privacy by Design. WhatsApp macht hier keinen guten Job.

So klappt der Umstieg ganz einfach

Es gibt weniger problematische – und werbefreie – Messenger, die genauso praktisch und angenehm sind wie WhatsApp. Die Auswahl ist groß. Es gibt Leute, die sich da tief reinknien und im Detail diskutieren, welcher Messenger der beste ist. Aber darum soll es hier nicht gehen. Von WhatsApp wegzukommen ist ein erster, großer Schritt in die richtige Richtung.

Wer nicht lange suchen will, kann beispielsweise zum kostenlosen Signal oder zum kostenpflichtigen Threema greifen. Beide haben keine Werbung und sammeln deutlich weniger Daten als WhatsApp. Der Umstieg ist einfach. Alles ist sehr ähnlich wie WhatsApp. Schon nach kurzer Zeit hat man sich an das Design gewöhnt.

Vielleicht willst du WhatsApp zumindest vorläufig behalten, weil du einige Kontakte eben nur dort erreichst. Verständlich! Der Messenger-Wechsel wäre viel einfacher, wenn alle direkt mitmachen würden. Aber: Irgendjemand muss den Anfang machen. Und wenn du diesen Artikel schon bis hierhin gelesen hast, dann bist du bestens dafür qualifiziert, den Anfang zu machen.

Es muss ja kein harter Wechsel von heute auf morgen sein. Der erste Schritt ist kurz und schmerzlos: Einfach einen neuen Messenger herunterladen. Jetzt gleich! Fertig ist das erste Erfolgserlebnis.

Das kannst du deinen Kontakten schreiben

Und dann kannst du den Umzug Schritt für Schritt vollziehen. Du kannst mit den Kontakten oder Gruppen beginnen, von denen du weißt: Die machen bestimmt mit. Vielleicht hilft dir dieser Artikel dabei zu erklären, warum dir der Wechsel wichtig ist.

Würde ich heute von WhatsApp wechseln, dann würde ich vielleicht diese Nachricht an meine Kontakte schicken:

Hey ihr Lieben,
auf WhatsApp fühle ich mich nicht mehr richtig wohl. Ich möchte Meta nicht länger meine Daten anvertrauen, und jetzt soll dort auch noch Werbung kommen. Hier könnt ihr mehr darüber lesen: https://netzpolitik.org/2025/bitte-keine-werbung-lass-uns-jetzt-gemeinsam-whatsapp-verlassen
Können wir bitte gemeinsam den Messenger wechseln? Es ist wirklich nicht schwer, und wir bleiben dort genauso gut in Kontakt. Ich würde mich sehr freuen, wenn wir das zusammen ausprobieren. ❤️
[Link zum alternativen Messenger]

So lief es bei mir

Meinen Umzug von WhatsApp habe ich vor ein paar Jahren gemacht. Die Wahl fiel auf Signal. Ich war überrascht, wie viele meiner Kontakte schon dort waren. Andere haben sich extra wegen mir Signal heruntergeladen. Danke nochmal dafür!

Inzwischen erreicht mich fast keine Nachricht mehr über WhatsApp. In meinem WhatsApp-Status steht, dass mir Menschen bitte auf Signal schreiben sollen. Es gibt nur wenige Kontakte, die ich bisher nicht zum Wechseln motivieren konnte. Seit einer Weile warte ich nur noch darauf, die App bald löschen zu können. Nur so kann man auch die letzten Nachzügler*innen dazu bewegen, endlich den Absprung zu schaffen.

Das dürfte leichter fallen, wenn es mit WhatsApp weiter bergab geht. Auch der Messenger ICQ war mal unverzichtbar und spielt heute keine Rolle mehr. Wenn einmal eine kritische Masse zusammenkommt, dann kann sich alles ändern. Und diese kritische Masse, das können einfach wir sein. Nur Mut!