Indien zwingt WhatsApp und Telegram zur SIM-Bindung

Die indische Regierung dreht den Messaging-Diensten die Daumenschrauben: Ohne eingelegte SIM-Karte geht künftig gar nichts mehr. Was zunächst nach bürokratischer Gängelung klingt, soll tatsächlich ein massives Betrugs-Problem lösen – dürfte aber Millionen Nutzer zur Verzweiflung bringen.

Das Telekommunikationsministerium in Neu-Delhi hat am Wochenende neue Cybersicherheitsvorschriften erlassen, die WhatsApp, Telegram und Signal fundamental verändern werden. Die sogenannte “SIM-Bindung” macht Schluss mit einer jahrelangen Praxis: Bislang reichte eine einmalige Verifizierung per SMS-Code, danach funktionierte die App auch ohne SIM-Karte über WLAN. Diese Ära endet jetzt.

Ständige Kontrolle statt einmaliger Prüfung

Die neuen Telecommunication Cybersecurity Amendment Rules 2025 klassifizieren Messaging-Dienste als Telecommunication Identifier User Entities (TIUEs) – und damit als vollwertige Telekommunikationsanbieter mit allen regulatorischen Pflichten. Was bedeutet das konkret? Die Apps müssen künftig kontinuierlich prüfen, ob die registrierte SIM-Karte noch im Gerät steckt.

Viele Android-Nutzer übersehen entscheidende Einstellungen, die Messaging-Apps wie WhatsApp und Telegram anfällig machen – genau die Lücke, die Betrüger mit Wegwerf‑SIMs ausnutzen. Unser gratis Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android, zeigt Schritt für Schritt, welche Berechtigungen Sie prüfen sollten und wie Sie Konten vor Fremdzugriff schützen. Ideal für alle, die WhatsApp oder Telegram täglich nutzen. Jetzt kostenloses Android-Sicherheitspaket sichern

Wird die Karte entfernt oder als inaktiv erkannt, muss die Anwendung sofort den Dienst einstellen. Keine Kompromisse, keine Gnadenfrist. Das Ministerium formuliert es glasklar: „Diese Funktion stellt eine Bedrohung für die Cybersicherheit dar, da sie aus dem Ausland für Betrug missbraucht wird.”

Die Unternehmen haben 90 Tage Zeit für die technische Umsetzung. Ende Februar 2026 läuft die Frist ab – dann muss die Infrastruktur stehen.

Sechs-Stunden-Limit für Desktop-Nutzer

Wer glaubt, am Schreibtisch sei man sicher, irrt gewaltig. WhatsApp Web und Telegram Desktop trifft eine mindestens ebenso drastische Änderung: Alle sechs Stunden erfolgt ein automatischer Logout. Dann heißt es: Handy zücken, QR-Code scannen, neu anmelden.

Für Millionen indische Büroangestellte bedeutet das eine erhebliche Störung des Arbeitsablaufs. Doch genau diese Zwangs-Unterbrechungen sollen Betrüger ausbremsen. Ein häufiges Szenario: Kriminelle verschaffen sich unbemerkten Fernzugriff auf fremde Messaging-Konten am Computer und können dann tagelang Bankdaten abfangen oder im Namen des Opfers Geld von Kontakten fordern.

„Durch die sechsstündige Session-Beendigung wird das Zeitfenster für solche Angriffe drastisch verkürzt”, erklärt ein Sprecher des Ministeriums. Unbequem? Zweifellos. Aber wirksam gegen organisierte Kriminalität.

Das Geschäft mit den Wegwerf-SIM-Karten

Der eigentliche Grund für die Radikalkur liegt in einer florierenden Schattenwirtschaft. Betrugssyndikate – oft mit Sitz in Myanmar, Kambodscha oder den Vereinigten Arabischen Emiraten – kaufen massenhaft indische Prepaid-SIM-Karten, registrieren damit WhatsApp-Konten und entsorgen die Karten anschließend.

Das Konto bleibt aktiv, funktioniert über WLAN und zeigt eine vertrauenswürdige indische Vorwahl (+91). Für Opfer wirkt der Kontakt völlig legitim. Die Täter sind für Ermittler praktisch unauffindbar, da die Verbindung zum indischen Mobilfunknetz längst gekappt ist.

„Diese Lücke war der Hauptermöglicher für grenzüberschreitenden Betrug”, sagt Rajesh Kumar, Cybersicherheitsanalyst aus Bengaluru. „Ein Betrüger im Ausland konnte mit einer indischen Nummer Landsleute täuschen, die dem heimischen Ländercode vertrauen. SIM-Bindung macht diesem spezifischen Vorgehen den Garaus.”

Die Cellular Operators Association of India (COAI), die Großanbieter wie Jio, Airtel und Vodafone Idea vertritt, begrüßt den Vorstoß ausdrücklich. Man fordert seit Jahren, dass Messaging-Dienste dieselben Sicherheitslasten tragen sollten wie traditionelle Telekommunikationsunternehmen.

Silicon Valley trifft auf indisches Recht

Für Meta, Telegram und Signal beginnt jetzt ein technisches Großprojekt. WhatsApp allein hat über 500 Millionen Nutzer in Indien – der mit Abstand größte Markt weltweit. Nicht-Compliance ist keine Option.

Gleichzeitig müssen die Konzerne eine grundlegende Architekturentscheidung treffen: Soll WhatsApp in Indien komplett anders funktionieren als im Rest der Welt? Eine solche “Balkanisierung” der App verursacht erhebliche Entwicklungs- und Wartungskosten.

Die Multi-Device-Falle: Moderne Messaging-Apps erlauben seit Jahren, auf mehreren Geräten gleichzeitig angemeldet zu bleiben – auch wenn das Hauptgerät offline ist. Diese Funktion kollidiert frontal mit der SIM-Bindung. Geht dem Haupthandy der Akku aus, könnten theoretisch alle verknüpften Geräte sofort die Verbindung verlieren.

Datenschutz-Dilemma: Um den SIM-Status kontinuierlich zu überprüfen, benötigen Apps tiefgreifenden Zugriff auf Geräteinformationen. Genau solche Berechtigungen schränken Android und iOS zunehmend ein – zum Schutz der Privatsphäre. Die indische Regelung zwingt Nutzer faktisch, diese Schutzmechanismen zu deaktivieren.

Akzeptanz durch Leidensdruck?

Die nächsten Monate werden zeigen, ob die Tech-Giganten versuchen, die Vorschriften juristisch anzufechten oder technische Aufweichungen auszuhandeln. Der Ton des Ministeriums lässt allerdings wenig Verhandlungsspielraum erkennen. Die Klassifizierung als TIUE unterliegt dem Telecommunications Act 2023, der der Regierung weitreichende Durchsetzungsbefugnisse verleiht.

Für den durchschnittlichen indischen Nutzer endet die Ära des “Einmal einrichten, dann vergessen”. Die ständige Neuanmeldung am Desktop und das Erfordernis, die SIM-Karte permanent im Gerät zu lassen, bedeuten einen spürbaren Komfortverlust.

„Wir bewegen uns von einer Ära offener, reibungsloser Konnektivität zu verifiziertem, gefesseltem Zugang”, fasst Analyst Kumar zusammen. „Wird es unbequem? Ja. Aber wenn es die tägliche Flut an Betrugsanrufen und gestohlenen Identitäten stoppt, werden die meisten Inder diesen Kompromiss vermutlich akzeptieren.”

Die Vorschriften treten Anfang 2026 vollständig in Kraft – sofern keine rechtlichen Einsprüche oder Fristverlängerungen erfolgen. Bis dahin dürfte in den indischen Entwicklungszentren von Meta und Co. Hochbetrieb herrschen.

PS: Wenn Sie WhatsApp oder Telegram benutzen, kann schon eine falsche Geräteeinstellung reichen, um Identitätsbetrug möglich zu machen. Der kostenlose PDF-Ratgeber zeigt die 5 praxisnahen Maßnahmen — von passenden App‑Berechtigungen bis zu sicheren Backup‑Einstellungen — mit klaren Schritt‑für‑Schritt-Anleitungen. Holen Sie sich den Leitfaden und reduzieren Sie das Risiko bei jedem Login. Gratis-Ratgeber: 5 Schutzmaßnahmen für Android herunterladen