An die Nutzerzahlen von WhatsApp kommt der Messenger Signal bei weitem nicht heran. Expertenschätzungen zufolge kommt der Weltmarktführer aus dem Meta-Konzern auf rund drei Milliarden Nutzer, während Signal nicht einmal auf ein Zehntel dieser Zahlen kommt.
In der US-Regierung scheint der Dienst aber genutzt zu werden. Nach einem Bericht von „The Atlantic“ hat die Spitze der US-Regierung in einer Signal-Gruppe sogar einen geplanten US-Angriff auf Huthi-Milizen im Jemen diskutiert. In die Chatgruppe wurde laut dem Blatt versehentlich auch dessen Chefredakteur Jeffrey Goldberg eingeladen.
Worauf begründet sich der gute Ruf von Signal?
Signal verfügt über eine wirksame Ende-zu-Ende-Verschlüsselung, die selbst von modernen Quantencomputern nicht geknackt werden kann. Alle Nachrichten, Anrufe und Gruppenchats sind standardmäßig mit dem Signal-Protokoll verschlüsselt. Dadurch können weder der Betreiber noch Dritte wie Telefonanbieter, Geheimdienste oder Hacker, die den WLAN-Router übernommen haben, auf die Inhalte zugreifen. Selbst NSA-Whistleblower Edward Snowden empfahl den Dienst einst.
Signal verfolgt anders als WhatsApp oder andere Konkurrenten keine kommerziellen Interessen, sondern wird von der gemeinnützigen Signal Stiftung getragen. Signal wurde ursprünglich mit Geldern aus dem Open Technology Fund des amerikanischen Außenministeriums gegründet, braucht aber schon länger größere Einzelspenden, um sich zu finanzieren. Unter anderem investierte WhatsApp-Gründer Brian Acton rund 50 Millionen US-Dollar.
Aber verwendet nicht auch WhatsApp das Signal-Protokoll?
Ja, WhatsApp verwendet das Signal-Protokoll für seine Ende-zu-Ende-Verschlüsselung. Dieses Protokoll gilt als Industriestandard und wird auch von anderen Diensten wie dem Facebook Messenger genutzt. Signal speichert jedoch im Gegensatz zu den Diensten aus dem Facebook-Konzern keine Metadaten oder Kontaktinformationen auf Servern.
Was macht das Signal-Protokoll so besonders?
Im Kern geht es dabei um die sogenannte „Perfect Forward Secrecy“. Die ist in einem kryptographischen System dann gegeben, wenn Angreifer keine Nachrichten entschlüsseln können, die der Benutzer in der Vergangenheit gesendet oder empfangen hat – und zwar selbst dann nicht, wenn der Angreifer in Besitz des privaten Schlüssels eines Benutzers gekommen ist.
Bei herkömmlichen Verschlüsselungsprotokollen wie PGP können Angreifer mit einem erbeuteteten Schlüssel nicht nur auf die künftige, sondern auch auf die zurückliegende Kommunikation zugreifen, sogar wenn sie gelöscht wurde. Um das zu verhindern, ändert das Signal-Protokoll nach jeder Nachricht automatisch den Schlüssel. Die „Perfect Forward Secrecy“ hilft aber nur, wenn Nutzer ihre Nachrichten regelmäßig löschen. Ansonsten können Angreifer, wenn sie das entsprechende Handy gestohlen oder gehackt haben, normal auf die Nachrichten zugreifen.
Gibt es sonst noch Unterschiede in Bezug auf Sicherheit?
Ja, Signal bietet keine Cloud-Backups. Alle Daten bleiben stattdessen lokal auf dem Gerät des Nutzers. Bei WhatsApp kann man dagegen Chatverläufe in der Cloud speichern. Diese Backups können zwar verschlüsselt werden, allerdings ist die Ende-zu-Ende-Verschlüsselung nicht standardmäßig aktiviert und muss manuell eingerichtet werden.
Unterschiede gibt es auch in der Art und Weise, wie Fachleute den Programmcode der Programme überprüfen können. Signal ist vollständig Open Source, das heißt der gesamte Quellcode der App sowie des Protokolls ist öffentlich verfügbar und kann von jedem eingesehen und verbessert werden. Dies erhöht die Transparenz und stärkt das Vertrauen in die Sicherheitsmechanismen. Der Meta-Konzern hütet dagegen den Quellcode von WhatsApp als Betriebsgeheimnis.
Gibt es an anderer Stelle eine Schwachstelle bei Signal?
Datenschützer stören sich daran, dass Signal die Angabe einer Telefonnummer zur Registrierung verlangt, weil dies die Anonymität einschränke. Dadurch könne man herausfinden, wem ein Signal-Account gehöre. Bei anderen Messengern wie Wire und Element kann man statt einer Telefonnummer eine E-Mail-Adresse hinterlegen, die sich leicht anonym anlegen lässt. Beim Schweizer Messenger Threema muss man gar nichts verknüpfen.
Dürfen Regierungsmitglieder in den USA überhaupt Signal benutzen?
Es gibt keine gesetzlichen Bestimmungen, die US-Regierungsmitgliedern die Nutzung von Signal ausdrücklich verbieten. Für Diskussionen über einen möglichen Kriegseinsatz und andere heikle Themen gelten jedoch strenge Sicherheitsvorschriften. So dürfen solche Unterhaltungen nur in besonders abgeschirmten Räumen („Sensitive Compartmented Information Facility“) oder digital über speziell gesicherte IT-Geräte oder Smartphones geführt werden.