Das Hinzufügen eines Journalisten zu einem Signal-Chat ist für die USA zur peinlichen Sicherheitspanne geworden. Der Messenger selbst ist dabei allerdings nicht das Problem.
Es ist ein echtes Sicherheitsdesaster: Weil er zu einem Signal-Chat des US-Verteidigungsministers Pete Hegseth und des Vizepräsidenten J.D. Vance hinzugefügt wurde, bekam Jeffrey Goldberg Zugang zu geheimsten Militär-Informationen. Dabei ist er nicht Teil der Regierung – sondern Chefredakteur des Magazins "The Atlantic". Der Fall zeigt, warum der Messenger nicht sicher genug für Geheimdaten ist. Aber aus einem anderen Grund, als Sie vermutlich glauben.
Die Sicherheit des Messengers selbst steht nämlich nicht im Zentrum der Kritik. "Die Verschlüsselung ist so sicher, wie man sich das vorstellen kann", gibt sich Dr. Paul Rösler im Gespräch mit dem stern überzeugt. Der bei der Universität Erlangen-Nürnberg forschende Verschlüsselungsexperte beobachtet den Markt seit Jahren. "Von den zur Verfügung stehenden Messengern ist Signal die App, die am meisten darauf achtet, dass sie sicher ist. Die Sicherheit ist das eigentliche Ziel der App, nicht nur Marketing", erklärt er. Dafür würden die Betreiber, die Signal Foundation, auch mit Forschern zusammenarbeiten. Auch Rösler und seine Kollegen haben die Foundation bereits beraten.
Wie sicher ist Signal?
Röslers von vielen anderen Experten geteilte Einschätzung basiert vor allem auf zwei Faktoren: Signals Verschlüsselungsprotokoll gilt als eines der sichersten auf dem Markt. Und weil die Foundation den Programmcode des Protokolls und auch der App selbst offenlegt, kann das von jedem überprüft werden. Zumindest von jedem, der tief genug in der Materie steckt.
"Der Signal-Programmcode ist einer der meistgeprüften bei Messengern", so Rösler. Ob aus Sicherheitsgründen oder aus Neugier, wie genau die App funktioniert: Unmengen von Programmierern haben sich den Code der App bis ins kleinste Detail angeschaut. Dadurch werden nicht nur Fehler schnell entdeckt, auch Hintertüren im Programm können ausgeschlossen werden: Sie würden sehr schnell gefunden. Eine solche Sicherheit gibt es bei geschlossenen Programmen wie bei Whatsapp oder Telegram nicht.
Sicher – aber nicht für jeden Zweck
Dass sich der Messenger trotzdem nicht für die Nutzung in Behörden, Firmen oder für Geheimoperationen eignet, hat einen anderen Grund: "Signal ist nicht dazu da, Staatsgeheimnisse in unübersichtlichen Strukturen zu verteilen. Dafür gibt es sicherere Methoden, auch in Bezug darauf, wer in den Chats ist", erläutert Rösler. "Es gibt keine Möglichkeit, die Nutzer bestimmten Organisationen zuzuweisen und so zu verifizieren."
Genau das wurde der US-Administration zum Verhängnis: Statt nur verifizierte Nutzer in den Chat einzuladen, landete der über die Telefonnummer hinzugefügte Goldberg ebenfalls darin – ohne, dass das jemandem auffiel. "Firmen-Software wie etwa Microsoft Teams hat etwa eine Verifizierungsfunktion, um solche Pannen zu verhindern", erklärt der Experte. "Signal dagegen soll für Konsumenten zugänglich sein und bietet als einzige Kennung die Telefonnummer oder den seit Kurzem verfügbaren Nutzernamen." Auch damit hätte die Panne allerdings auffallen können – schließlich könnte man die Chatteilnehmer auch über die Telefonnummer identifizieren. Es scheint nur nicht dazu gekommen zu sein.
Welchen Messenger sollten Sie nutzen?
Auf die Frage, welchen Messenger er empfehlen würde, nennt Rösler eine klare Präferenz: "Grundsätzlich würde ich Signal empfehlen, aber gleichzeitig würde ich niemandem von Whatsapp abraten", erklärt er. Whatsapp setzt bei der Verschlüsselung ebenfalls auf das Signal-Protokoll. Der Betreiber, Facebook-Mutterkonzern Meta, hat allerdings Zugriff auf die sogenannten Metadaten, also die Informationen, mit wem wir wann und wie lange chatten oder telefonieren. Wie man daraus sogar intimste Daten wie eine Abtreibung herauslesen kann, ohne den Inhalt der Gespräche selbst zu kennen, erfahren Sie in diesem Interview.
"Whatsapp ist die schlechteste der guten Alternativen", betont Rösler deshalb in Bezug auf die Sammlung von Metadaten. Apples Dienst iMessage sei in Bezug auf die Sicherheit ähnlich gut, auch der iPhone-Konzern hat allerdings Zugriff auf die Metadaten. Anders als bei Meta ist die Auswertung der Daten bei Apple allerdings nicht Teil des Geschäftsmodells. Von Telegram rät Rösler ab: Die App verschlüsselt Chats nicht automatisch, die optionale Verschlüsselung und auch die App selbst können nicht von Unabhängigen geprüft werden.
Eine der für die Nutzer-Sicherheit praktischsten Signal-Funktionen könnte für die US-Regierung übrigens noch Ärger bedeuten. Glaubt man Goldbergs Bericht, war für den Geheimchat die automatische Löschfunktion eingeschaltet, die Nachrichten nach einem bestimmten Zeitraum verschwinden lässt. Das würde gegen US-Recht verstoßen: Offizielle Kommunikation zwischen Beamten muss dokumentiert und archiviert werden. Löschen sich die verschlüsselt übertragenen Nachrichten automatisch, wäre das mit der endgültigen Vernichtung von Akten vergleichbar. Die mögliche Strafe: bis zu drei Jahre Gefängnis.
Quelle: "The Atlantic"
