Signal: Verschlüsselt – aber nicht sicher genug für Regierungen

Signal ist nicht der beliebteste Messengerdienst. Seit Jahren aber schätzen Menschen die App als besonders sicher für den Austausch heikler Daten. Dass US-Verteidigungsminister Pete Hegseth, Vizepräsident JD Vance und weitere Schlüsselfiguren der US-Regierung sich per Signal über einen Angriff auf die jemenitische Huthi-Miliz ausgetauscht haben, hat dennoch Verwunderung ausgelöst. Denn die App ist nach Expertenansicht nicht sicher genug für den Austausch vertraulicher Regierungsinformationen.

Wie funktioniert Signal?

Der Messengerdienst Signal wurde in seiner jetzigen Form im Jahr 2014 veröffentlicht und ist in den App-Stores der großen mobilen Betriebssysteme iOS und Android frei verfügbar.

In Signal versendete Nachrichten werden per Ende-zu-Ende-Verschlüsselung gesichert: Das heißt, die Nachricht wird beim Versenden verschlüsselt und kann ausschließlich vom Empfänger der Nachricht gelesen werden. Weder Netzanbieter noch die Firma Signal noch Hacker haben Zugriff auf den Inhalt der Nachricht.

Auch andere populäre Messengerdienste wie WhatsApp und das auf Apple-Geräten verfügbare iMessage bieten Ende-zu-Ende-Verschlüsselung an. Anders als Apple und die WhatsApp-Mutterfirma Meta schützt Signal aber auch sämtliche sogenannte Metadaten der Chats: also etwa die Nummern von Absender und Empfänger, die Uhrzeit, zu der Nachrichten versendet werden und die IP-Adresse der Geräte.

Wegen dieses hohen Sicherheitsstandards nutzen insbesondere Journalisten Signal für den Austausch mit ihren Quellen, Aktivisten oder Menschen, die im Sicherheitsbereich tätig sind – aber auch Mitglieder der organisierten Kriminalität.

Wem gehört Signal?

Der Messengerdienst gehört heute der Signal Foundation, einer gemeinnützigen Stiftung. Entwickelt worden war die App vom 2010 gegründeten Unternehmen Whisper Systems, das 2011 vom Betreiber des damaligen Kurznachrichtendiensts Twitter übernommen wurde. 2018 lagerte Whisper Systems die App dann in die neue Signal Foundation aus.

Dass Signal – anders als die meisten Konkurrenzdienste – von einer nicht auf Profit ausgerichteten Firma betrieben wird, trägt zu dem Vertrauen in den Datenschutz bei, das viele Nutzer in das Programm haben.

Die Vorsitzende der Signal Foundation ist die frühere Google-Mitarbeiterin Meredith Whittaker. Sie äußert sich immer wieder kritisch zu den Geschäftsmodellen von Digitalunternehmen, die auf dem Sammeln von Nutzerdaten beruhen.

Ist Signal sicher genug für Regierungschats?

Nach Ansicht von Michael Daniel, dem früheren Koordinator für Cybersicherheit unter US-Präsident Barack Obama, ist Signal zwar wegen der Ende-zu-Ende-Verschlüsselung und häufiger Sicherheitsupdates ein „sehr solider“ Messengerdienst. Es sei aber nicht dafür geeignet, „über militärische Vorhaben zu diskutieren“ – wie in der Signal-Chatgruppe geschehen, zu der vermutlich versehentlich auch der US-Journalist Jeffrey Goldberg hinzugefügt wurde.

Daniel sagte weiter, problematisch sei die Nutzung von Signal für den Austausch über solch vertrauliche Angelegenheiten nicht wegen der App an sich, sondern weil hierfür persönliche Mobilgeräte genutzt würden. Diese Geräte „könnten nicht sicher aufbewahrt oder geschützt worden sein“.

Daniel fügte an, die an dem Chat über den Huthi-Angriff beteiligten Regierungsmitglieder wie Vizepräsident Vance oder Verteidigungsminister Hegseth hätten Kommunikationsteams zur Verfügung, die ihnen geeignete Mittel zur Verfügung stellen könnten. Es wäre ihm zufolge unter normalen Umständen nicht schwierig gewesen, den Austausch über den Angriff „dem angemessenen Protokoll entsprechend“ zu organisieren. So wäre es auch unmöglich gewesen, dass ein Außenstehender daran teil nimmt.

Dass die US-Regierung die Nutzung von Signal für dienstliche Zwecke kritisch sieht, belegt eine interne Mitteilung des US-Verteidigungsministeriums, die laut dem US-Radiosender NPR in der vergangenen Woche versandt wurde. Das Ministerium warnte seine Angestellten demnach davor, Signal zu nutzen – und verwies insbesondere auf Hacker aus Russland. Diese versuchten, sich Zugang zu Geräten zu verschaffen, die mit einem Signal-Account gekoppelt seien. (afp/tp)