Insights, Produkte
RCS-Sicherheit: Ihre Fragen, beantwortet
„Ist RCS sicher?“ „Wie nützlich ist es?“ „Ist RCS eine gute Sache?“ „Ist es wirklich sicher?“
Wenn Sie in letzter Zeit auf Google oder Reddit nach der Sicherheit von Rich Communication Services (RCS) Messaging gesucht haben, sind Sie wahrscheinlich auf diese Fragen gestoßen. Mit Apple-Support für RCS eingeführt wird, und mit der im Vergleich zu SMS verbesserten Interaktivität verändert RCS die Art und Weise, wie wir kommunizieren. Und jetzt, da Google und Apple Ende-zu-Ende-verschlüsseltes RCS einführen zwischen Android- und iPhone-Nutzern in der Beta-Version, erreicht die Messaging-Sicherheit ein völlig neues Niveau.
Wir haben uns zu einem Q&A mit Miriam Liszewski, RCS Commercial Product Manager bei Sinch, zusammengesetzt, die über mehr als vier Jahre Erfahrung bei Google in der Gestaltung von Strategien für RCS for Business (früher „RBM“ genannt) verfügt. Wir haben Miriam alles über die Sicherheit von RCS-Messaging gefragt und sie gebeten, auf einige der häufigsten Fragen zu den Vorteilen und Einschränkungen einzugehen.
F: Geben Sie uns einen groben Überblick über die RCS-Sicherheitsmaßnahmen. Gelten diese auch für RCS for Business?
Miriam Liszewski: Grob gesagt bietet RCS ein umfassenderes Messaging-Erlebnis als SMS – und dazu gehören auch die robusteren Sicherheitsmaßnahmen. Dazu gehören Maßnahmen wie die Verschlüsselung bei der Übertragung (d. h. die Verschlüsselung von Daten, während sie zwischen dem Gerät eines Nutzers und den Diensten übertragen werden) und in einigen Fällen die Ende-zu-Ende-Verschlüsselung. Dadurch wird sichergestellt, dass Nachrichten sicher bleiben, während sie über Netzwerke übertragen werden.
RCS for Business teilt sich das gleiche Sicherheits-Framework wie RCS, aber die Business-Lösung enthält auch eine zusätzliche Schutzschicht, die sich auf die geschäftliche Verifizierung konzentriert und dazu beiträgt, Vertrauen zwischen Unternehmen und Verbrauchern aufzubauen.
Dieser Verifizierungsprozess hilft, Spam und Phishing-Angriffe zu verhindern, die bei der herkömmlichen SMS häufig vorkommen.
F: Ist RCS verschlüsselt? Verfügt RCS über eine Ende-zu-Ende-Verschlüsselung?
ML: RCS bot früher Support für Ende-zu-Ende-Verschlüsselung (E2EE) bei Person-zu-Person (P2P) Messaging nur zwischen Android-Geräten, aber die Funktion wird jetzt in der Beta-Version für das plattformübergreifende Messaging zwischen Android-Nutzern mit der neuesten Version von Google und iPhone-Nutzern unter iOS 26.5 (bei supported Netzbetreibern) eingeführt.
RCS-Chats, die durchgängig verschlüsselt sind, verfügen über einige visuelle Hinweise. Google Messages-Nutzer werden beispielsweise dasselbe Schlosssymbol sehen, das zuvor in Android-zu-Android-Chats verwendet wurde.
Dies ist jedoch keine Standardfunktion für alle Implementierungen von RCS, einschließlich für business messaging. Und das liegt daran, dass das RCS Universal Profile, was der heutige Branchenstandard für RCS ist, hatte in der Vergangenheit E2EE nicht als eine seiner Anforderungen.
Aber mit dem RCS Universal Profile 3.0, das im März 2025 veröffentlicht wurde, ist E2EE nun als Kernfunktion enthalten.
Ende-zu-Ende-Verschlüsselung wird nun auf sowohl iOS- als auch Android-Geräten supported, wodurch sichergestellt wird, dass Nachrichten privat und geschützt bleiben, unabhängig von der Messaging-Technologie, über die ein Nutzer kommuniziert.
F: Was wissen wir über die Ende-zu-Ende-Verschlüsselung von RCS zwischen Android und iPhones?
ML: Apples jüngste Ankündigung dass RCS-E2EE für iOS eingeführt wird, stellt einen großen Sicherheitsfortschritt dar. RCS-Chats zwischen iPhones und Android-Geräten verfügen nun über eine zusätzliche Schutzschicht, die die RCS-Sicherheit mehr in Einklang mit Over-the-Top (OTT) Apps bringt, wie WhatsApp oder iMessage.
Die E2EE-Funktion ist standardmäßig aktiviert, was bedeutet, dass Nachrichten während der Übertragung zwischen Geräten nicht gelesen werden können. Im Laufe der Zeit wird die Verschlüsselung automatisch für neue und bestehende Konversationen aktiviert.
F: Erzählen Sie uns von der „Verschlüsselung bei der Übertragung“. Können Sie die Verschlüsselung erklären, wenn es um die RCS-Nachrichten eines Unternehmens geht?
ML: Der Datenfluss und die Architektur für eine RCS for Business-Nachricht folgen einem mehrstufigen Pfad. Lassen Sie mich das aufschlüsseln:
- Eine verifizierte Marke erstellt und sendet eine RCS-Nachricht.
- Die Nachricht wird zwischen dem Agenten des Absenders und der RCS for Business-Plattform verschlüsselt, entweder direkt oder über einen Aggregator.
- Wenn die Nachricht die RCS for Business-Plattform von Google erreicht, wird die Nachricht auf Compliance mit den Nutzungsbedingungen gescannt (z. B. auf Malware und Spam).
- Alle Nachrichten werden bei der Übertragung zwischen der RCS for Business-Plattform und den Endnutzern verschlüsselt.
Google gibt an, dass auf den eigenen Servern gespeicherte Nachrichten im Ruhezustand verschlüsselt sind, damit sie über die Geräte des Endnutzers synchronisiert werden können (wenn dieser beispielsweise über mehrere verschiedene Telefone verfügt). Auf gespeicherte Nachrichten kann nur mit der Google-ID des Endnutzers zugegriffen werden, es sei denn, sie werden als Spam markiert oder dies ist gesetzlich vorgeschrieben. Weitere Details, einschließlich der Speicherdauer verschiedener Nachrichten auf verschiedenen Geräten, finden Sie unter Googles Ressource zur Datensicherheit.
Für weitere Informationen darüber, wie RCS funktioniert und wie genau Nachrichten gesendet und zugestellt werden, sehen Sie sich unsere Ressource an.
F: Wie nimmt ein Nutzer ein Opt-in vor, um RCS-Nachrichten von einem Unternehmen zu erhalten? Wie führen sie ein Opt-out durch?
ML: Ein Nutzer kann für den Empfang von RCS-Nachrichten auf die gleiche Weise ein Opt-in vornehmen wie für den Empfang anderer Geschäftsnachrichten, z. B. SMS. Sie können beispielsweise ihre Einwilligung erteilen, indem sie ein Einwilligungsfeld auf einem Formular ankreuzen, aber dies unterscheidet sich natürlich regional. Zum Beispiel gibt es in den USA strenge Regeln dafür, was als Opt-in und ausdrückliche Einwilligung gilt, aber in anderen Ländern gelten möglicherweise nicht die gleichen Anforderungen.
Das Gleiche gilt für das Opt-out vom Empfang von RCS-Nachrichten. Wenn ein Nutzer mit „STOPP“ antwortet oder darum bittet, dass sein Name von einer Liste gestrichen wird, muss ein Unternehmen den Kontakt beenden. Unternehmen müssen Support für diese Opt-out-Anfragen bieten, und Google verlangt von Unternehmen eine Bestätigung, dass die Opt-in-Einwilligung eingeholt wurde und dass Opt-out-Optionen verfügbar sind.
F: Wie hilft RCS gegen Spam?
ML: RCS verfügt über integrierte Mechanismen zur Spam-Bekämpfung, in erster Linie durch den Verifizierungsprozess für Unternehmen.
Nur verifizierte Unternehmen können branded RCS-Nachrichten senden, was dazu beiträgt, sicherzustellen, dass den Nutzern keine betrügerischen Nachrichten gesendet werden.
Dieser Verifizierungsprozess bedeutet, dass der Nutzer sicher sein kann, dass die branded RCS-Nachrichten die er erhält, von einem legitimen Unternehmen stammen. Da Unternehmen keine Nachrichten von einem branded Agenten senden können, es sei denn, sie wurden zuvor verifiziert, reduziert dies Spam und baut Vertrauen beim Nutzer auf.
Es ist erwähnenswert, dass Google der Spam-Erkennung in RCS Priorität eingeräumt hat, um es als vertrauenswürdigen Kanal zu erhalten. Während einer Podiumsdiskussion auf dem Mobile World Congress (MWC) im Jahr 2025, betonte Josh Pepper, Head of Product für RCS for Business bei Google, das Engagement von Google für die Sicherheit. Er betonte, dass Google Erkenntnisse von seinen Gmail-Spam-Schutzteams nutzt, um die RCS-Sicherheit zu verbessern und unerwünschte Nachrichten zu minimieren. Google nutzt Erkenntnisse von seinen Gmail-Spam-Schutzteams, um die RCS-Sicherheit zu verbessern und unerwünschte Nachrichten zu minimieren.
F: Wie ist der Prozess für ein Unternehmen, um verifiziert zu werden und RCS senden zu können? Wer ist am Entscheidungsprozess beteiligt?
ML: Es variiert je nach Region, aber dieser Prozess umfasst mehrere Parteien wie Netzbetreiber, Drittanbieter-Verifizierungsdienste und Google selbst.
Auf jeden Fall müssen Unternehmen bei der Einführung ihres RCS-Agenten beantragen, verifiziert zu werden. Sie müssen Identifikations- und Unternehmensinformationen einreichen. Anschließend wird ihr Antrag geprüft, um sicherzustellen, dass sie die Kriterien zum Senden von RCS-Nachrichten erfüllen. Die Verifizierung eines Unternehmens beinhaltet die Bestätigung, dass es sich um ein legitimes Unternehmen handelt und dass es sich an die Branchenvorschriften hält.
Die Bearbeitungszeit für die Verifizierungsanfrage eines Unternehmens kann variieren. Es dauert oft nur wenige Tage, kann aber in einigen Fällen auch länger dauern.
F: Wer vergibt den Status „verifiziert“ und ist er vertrauenswürdig?
ML: Auch hier wird es, je nach Region, zwischen Google, den Netzbetreibern und Drittanbietern für die Verifizierung in der Region ablaufen.
Sobald der Verifizierungsprozess genehmigt wurde, erhält das Unternehmen in seinem verifizierten Absender-Profil den Status „verifiziert“, der in den Nachrichten angezeigt wird, die die Nutzer erhalten.

F: Ist RCS DSGVO-konform?
ML: Wenn Sie sich ansehen, wie Google mit dieser Frage umgeht, können Sie feststellen, dass von allen Marken und Aggregatoren erwartet wird, dass sie die lokalen Gesetze einhalten, sich an Datensicherheitsvorschriften wie die DSGVO halten und eine Datenschutzerklärung vorlegen, die klärt, wie sie die Daten der Endnutzer verwenden und/oder weitergeben. Google gibt an, die DSGVO einzuhalten.
Die Verantwortung für die Sicherstellung der DSGVO-Konformität liegt beim Unternehmen, das die Nachrichten versendet. Daher empfehlen wir Ihnen, sich mit Ihrem eigenen Team zu beraten, um die individuellen Gegebenheiten Ihres Unternehmens zu klären, bevor Sie mit einem neuen Messaging-Programm beginnen.
Zusammenfassung: Was Sie über RCS-Sicherheit wissen sollten
Wenn es um Sicherheit geht, bietet RCS im Vergleich zur herkömmlichen SMS verbesserte Funktionen und Sicherheitsmaßnahmen, einschließlich der Verschlüsselung bei der Übertragung und mit verifizierten Unternehmensprofilen. Und da RCS-E2EE jetzt für iOS-Nutzer eingeführt wird, ebnet dies den Weg für sicherere und vertrauenswürdigere business messaging-Lösungen in der Zukunft.
Für Unternehmen ist die Einführung eines sicheren Messaging-Kanals wie RCS ein kluger erster Schritt, um Vertrauen bei Ihren Kunden aufzubauen. Aber Sicherheit hört hier nicht auf! Es ist von entscheidender Bedeutung, sich auf dem Laufenden zu halten, sich mit Ihrem Team zu beraten und sicherzustellen, dass Ihre Messaging-Praktiken den gesetzlichen Anforderungen in allen Regionen entsprechen, in denen Sie tätig sind.
Die Partnerschaft mit einem Anbieter wie Sinch kann diesen Weg vereinfachen und bietet fachkundige Beratung bei der Implementierung von RCS. Bereit, ein Konto zu erstellen? Wenden Sie sich noch heute an unser Team.
Oder, wenn Sie Hilfe bei der Argumentation für RCS in Ihrem Unternehmen benötigen, laden Sie unseren umfassenden Leitfaden zur Erstellung eines Business Case für RCS herunter.