Nach Panne in US-Regierung Wie sicher ist der Messenger Signal?
Ein Journalist landet in einem Signal-Chat und liest dort brisante Details zu einem US-Militärangriff mit. Der Fall rückt den Messengerdienst Signal in den Fokus. Wie sicher ist Signal wirklich? Die wichtigsten Antworten.
Wer steckt hinter Signal?
Signal wurde 2012 vom Unternehmer Moxie Marlinspike ins Leben gerufen. Im Februar 2018 gründet er gemeinsam mit dem WhatsApp-Mitgründer Brian Acton die gemeinnützige Signal Foundation, die Entwicklung und Betrieb des Messengers überwacht. Acton hatte WhatsApp 2017 im Streit um den Umgang mit Nutzerdaten für zielgerichtete Werbung verlassen.
"Wir sind an keines der großen Technologieunternehmen gebunden, und wir können auch niemals von einem aufgekauft werden", schreibt Signal auf seiner Webseite. Die Entwicklung werde unterstützt durch Zuwendungen und Spenden. Acton hatte der Stiftung eine Anschub-Finanzierung von 50 Millionen Dollar zur Verfügung gestellt.
Warum hat Signal so einen guten Ruf?
Signal gilt allgemein als besonders sicher. Der Messenger-Dienst verfügt über eine wirksame sogenannte Ende-zu-Ende-Verschlüsselung, die selbst von modernen Quantencomputern nicht geknackt werden kann. Alle Nachrichten, Anrufe und Gruppenchats sind standardmäßig mit dem Signal-Protokoll verschlüsselt. Dadurch können weder der Betreiber noch Dritte auf die Inhalte zugreifen.
Auch WhatsApp verwendet das Signal-Protokoll für seine Ende-zu-Ende-Verschlüsselung. Dieses Protokoll gilt als Industriestandard und wird auch von anderen Diensten wie dem Facebook Messenger, Google Messages und Google Allo genutzt. Signal speichert jedoch im Gegensatz zu den anderen Diensten keine Metadaten oder Kontaktinformationen auf Servern.
Welche Server nutzt Signal für den Messenger?
Die Kommunikation mit Hilfe der App läuft über Server, die von Signal betrieben werden. Dort werden lediglich die Telefonnummer der Nutzer, das Datum der Konto-Eröffnung sowie Angaben zum bislang letzten Aufruf des Programms gespeichert. Das Adressbuch der Anwender, Chats und andere Daten werden ausschließlich auf den Endgeräten gespeichert. Nutzer haben die Möglichkeit, diese Informationen nach einer gewissen Zeit automatisch löschen zu lassen.
Signal verwendet den Angaben zufolge keinerlei staatliche Verschlüsselungsmethoden und für die Kommunikation keine staatlichen Server.
Gibt es weitere Unterschiede bei der Sicherheit?
Ja, Signal bietet keine Cloud-Backups; alle Daten bleiben lokal auf dem Gerät. Bei WhatsApp kann man dagegen Chatverläufe in der Cloud speichern. Diese Backups können zwar verschlüsselt werden, allerdings ist die Ende-zu-Ende-Verschlüsselung nicht standardmäßig aktiviert und muss manuell eingerichtet werden.
Unterschiede gibt es auch in der Art und Weise, wie Fachleute den Programmcode der Programme überprüfen können. Signal ist vollständig Open Source, das heißt der gesamte Quellcode der App sowie des Protokolls ist öffentlich verfügbar und kann von jedem eingesehen und verbessert werden. Dies erhöht die Transparenz und stärkt das Vertrauen in die Sicherheitsmechanismen. Der Meta-Konzern hütet dagegen den Quellcode von WhatsApp als Betriebsgeheimnis.
Gibt es an anderer Stelle eine Schwachstelle bei Signal?
Datenschützer stören sich daran, dass Signal die Angabe einer Telefonnummer zur Registrierung erfordert, weil dies die Anonymität einschränke. Dadurch könne man herausfinden, wem ein Signal-Account gehöre. Bei anderen Messengern wie Wire und Element kann man statt einer Telefonnummer eine E-Mail-Adresse hinterlegen, die sich leicht anonym anlegen lässt. Beim Schweizer Messenger Threema muss man gar nichts verknüpfen.
Wer nutzt Signal?
Im Laufe der Jahre hat sich Signal von einem Exoten zu einer weit verbreiteten Plattform entwickelt. Sie ist nicht nur bei Datenschutz- und Politik-Aktivisten beliebt, sondern kommt auch in Regierungen und anderen Organisationen zum Einsatz. Dissidenten kommunizieren mit der App untereinander, und Journalisten kontaktieren damit ihre Quellen.
Weltweit wurde die Anzahl der aktiven Nutzer im Januar 2021 auf 40 Millionen geschätzt. Allerdings konnte Signal im Laufe des Jahres 2021 über 100 Millionen zusätzliche Downloads verzeichnen. Neueste Schätzungen gehen inzwischen von Hunderten Millionen Nutzern aus.
Dürfen Regierungsmitglieder in den USA Signal überhaupt benutzen?
Beschäftigte des US-Senats dürfen die App seit 2017 offiziell nutzen. Gesetzliche Bestimmungen, die US-Regierungsmitgliedern eine Nutzung ausdrücklich untersagen würden, gibt es nicht. Für Diskussionen über einen möglichen Kriegseinsatz und andere heikle Themen gelten jedoch strenge Sicherheitsvorschriften. So dürfen solche Unterhaltungen nur in besonders abgeschirmten Räumen ("Sensitive Compartmented Information Facility") oder digital über speziell gesicherte IT-Geräte oder Smartphones geführt werden.
Und wie sieht es in Deutschland und Europa aus?
Nach Angaben der Bundesregierung können auf den dienstlichen Mobilgeräten ausschließlich Messenger-Dienste genutzt werden, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) freigegeben werden.
Viele Ministerien nutzen etwa den Messenger-Dienst Wire zur internen Kommunikation, darunter das Bundesinnenministerium, Bundesbildungsministerium sowie das Bundeswirtschaftsministerium und das Bundesgesundheitsministerium.
Innerhalb der Europäischen Kommission ist Signal seit Februar 2020 die empfohlene Anwendung für Instant-Messaging .
Mit Informationen der Nachrichtenagenturen dpa und Reuters