Eigentlich kann Signal herzlich wenig dafür, dass es gerade abermals im Zentrum einer Debatte um IT-Sicherheitspannen steht. Mutmaßlich russische Hacker sollen die Kommunikation zahlreicher ranghoher deutscher Politiker über den Messenger potentiell mitgelesen haben können. Nach Informationen des „Spiegel“ waren unter anderem Bundestagspräsidentin Julia Klöckner, Bildungsministerin Karin Prien (beide CDU) und Bauministerin Verena Hubertz (SPD) betroffen.
Deutsche und ausländische Sicherheitsdienste haben in den vergangenen Monaten wiederholt vor einer sogenannten Phishing-Kampagne über Signal gewarnt. Dabei geben sich Angreifer zum Beispiel als Support des Messengers aus und fordern die Eingabe von Zugangsdaten. Sie richteten sich offenbar gezielt an die Signal-Konten von Politikern, Beamten, Diplomaten, Militärs und Journalisten. Mit den Zugangsdaten können die Hacker etwa weitere Geräte zum Signal-Konto hinzufügen und so heimlich Konversationen mitlesen oder die Besitzer sogar komplett aussperren, um in deren Namen mit anderen Kontakten zu kommunizieren oder diese ebenfalls zu kompromittieren.
Nicht Signal wurde gehackt, sondern die Politiker
Die Angreifer haben also nicht den Signal-Messenger gehackt oder eine Sicherheitslücke ausgenutzt, sondern die Nutzer. Tatsächlich gilt Signal weiterhin als einer der sichersten Messenger überhaupt. Alle Nachrichten, Anrufe und Gruppenchats sind standardmäßig mit dem Signal-Protokoll Ende-zu-Ende-verschlüsselt. Dadurch können weder der Betreiber noch Dritte wie Telefonanbieter, Geheimdienste oder Hacker, die den WLAN-Router übernommen haben, auf die Inhalte zugreifen. Selbst NSA-Whistleblower Edward Snowden empfahl den Dienst einst.
Signal ist zwar amerikanisch, verfolgt anders als Whatsapp oder andere Konkurrenten aber keine kommerziellen Interessen, sondern wird von der gemeinnützigen Signal-Stiftung getragen. Deren Zweck ist es, die sichere Kommunikation weiter zu gewährleisten.
Trotzdem häufen sich die Forderungen nach einem Signal-Verbot für Politiker. Bundestagsvizepräsidentin Andrea Lindholz (CSU) forderte in der „Bild“ etwa am Montag Bundesregierung und Bundestag dazu auf, die Nutzung des Dienstes einzustellen. „Wir sollten über ein Signal-Verbot auf Dienstgeräten von Abgeordneten und Bundestagsmitarbeitern nachdenken“, sagte Lindholz. Aus Sorge vor digitaler Spionage hat jüngst auch die EU-Kommission Medienberichten zufolge ihre ranghöchsten Beamten angewiesen, eine Signal-Gruppe zur internen Kommunikation umgehend zu schließen.
Signal ist nicht auf den Einsatz in Behörden ausgelegt
Dabei zweifelt niemand die Sicherheit des Verschlüsselungsprotokolls an. Problematisch ist eher, dass Signal nicht auf den Einsatz im kommerziellen Bereich oder in Behörden ausgelegt ist, sondern auf Endkonsumenten. Kritiker sagen, dass Signal nicht für die Anforderungen der öffentlichen Hand entwickelt worden ist. Es geht zum Beispiel um die Verifizierung von Mitarbeitern und um präzise Mechanismen, wer auf welche digitalen Ressourcen, Daten und Systeme zugreifen darf.
Im März 2025 geriet die amerikanische Regierung in die Kritik, weil ranghohe Regierungsmitglieder vertrauliche Informationen über den Messengerdienst austauschten, unter anderem sogar zu einem geplanten US-Angriff auf Huthi-Milizen im Jemen. In die Chatgruppe wurde aber versehentlich auch der Chefredakteur des US-Mediums „The Atlantic“ eingeladen, der die sensiblen Nachrichten mitlesen konnte.
Auch die Kontrolle über die sogenannten Metadaten ist ein wichtiger Punkt. Denn auch bei vollständiger Verschlüsselung können diese zum Beispiel Aufschluss geben, wer wann mit wem kommuniziert hat. Signal-Kritiker monieren, dass sich Cyberspionage in geschlossenen Umgebungen deutlich leichter verhindern lasse.
Viele Staaten arbeiten an Alternativen
Zahlreiche europäische Staaten – darunter Deutschland, Frankreich, die Niederlande oder Belgien – arbeiten deshalb an eigenen Messengern für den sicheren Gebrauch in Behörden. Belgien hat im März mit der Einführung der Messenger-App Beam begonnen, die vom staatlich geförderten Unternehmen Belgian Secure Communications entwickelt wurde und künftig von rund 750.000 Beschäftigten im öffentlichen Dienst eingesetzt werden soll. Deutschland arbeitet mit gleich zwei privatwirtschaftlichen Anbietern zusammen, die den Einsatz von Signal oder Whatsapp eigentlich längst überflüssig machen sollten.
Zum einen ist das Wire, ein 2012 gegründetes, in Berlin ansässiges Softwareunternehmen. Zu den Anteilseignern gehört die Schwarz-Gruppe, die für den Discounter Lidl bekannt ist, aber mit Schwarz Digits auch ehrgeizige Pläne im Digitalgeschäft verfolgt. Auch Bundestagsvizepräsidentin Lindholz fordert den Umstieg auf Wire, das ein „wesentlich höheres“ Sicherheitsniveau vorweise. Der Bundestag stelle Wire für dienstliche Zwecke zur Verfügung. „Jetzt müssen es aber alle auch tatsächlich nutzen“, sagte die CSU-Politikerin.
Die über Wire verschickten Nachrichten oder getätigten Anrufe sind standardmäßig Ende-zu-Ende-verschlüsselt; der Quellcode der Software ist öffentlich einsehbar. Seit 2022 testet die Bundesregierung eine speziell auf ihre Bedürfnisse angepasste Version namens „Wire Bund“. Das Bundesamt für Sicherheit in der Informationstechnik hat Wire jüngst offiziell für die Nutzung im Umfeld der Geheimhaltungsstufe „Verschlusssachen – nur für den Dienstgebrauch“ zugelassen, was einen deutlich breiteren Einsatz ermöglicht.
Wire-Chef: „Mussten uns drei Jahre lang testen lassen“
„Um vom BSI für vertrauliche Kommunikation in Ministerien zertifiziert zu werden, mussten wir uns drei Jahre lang testen und unseren Code überprüfen lassen“, sagte der Wire-Chef Benjamin Schilz der F.A.Z. im vergangenen Dezember. Schilz sagt, dass eine Sicherheitspanne wie die der US-Regierung mit Wire nicht passiert wäre. „Unsere App ist nicht nur als Produkt sicher, sondern denkt auch das Verhalten der Nutzer mit“, erklärt der Wire-Chef. Wenn alle Mitglieder einer Chatgruppe berechtigt für Dokumente der Geheimhaltungsstufe „Verschlusssachen – nur für den Dienstgebrauch“ seien, werde den Mitgliedern etwa sehr deutlich ein grünes Banner eingeblendet. Sobald ein Nutzer beitrete oder eingeladen werde, der diese Berechtigung nicht habe, werde dieses Banner rot.
Wire ist aber nicht der einzige auf Sicherheit ausgelegte Messenger innerhalb der Bundesregierung. Der IT-Dienstleister der Bundeswehr BWI hat auf der Basis des Anbieters Element einen eigenen Messenger entwickelt. Auch Informationen der Schutzklasse „Verschlusssache – nur für den Dienstgebrauch“ werden über den „Bwmessenger“ verschickt. Element basiert auf dem Matrix-Protokoll – einem offenen Kommunikationsprotokoll, das die dezentrale Nutzung von Chat, Video- und IP-Telefonie erlaubt.
Alle auf Matrix basierenden Anwendungen können untereinander kommunizieren. Mehr als 25 Regierungen weltweit haben Matrix-basierte Systeme eingeführt. Auch der Messenger der NATO basiert auf Matrix. Anders als zum Beispiel Wire funktionieren Matrix-basierte Messenger dezentral. Die Daten eines Nutzers befinden sich nicht auf einem fremden Server, und die Software auf dem eigenen Server kann der Nutzer vollständig kontrollieren. Fällt ein Server einer Organisation aus, funktioniert der Rest des Netzwerks weiterhin. Das soll verhindern, dass wegen Technikproblemen plötzlich Millionen Nutzer nicht mehr miteinander kommunizieren können.
Dass es innerhalb der Bundesregierung gleich zwei Lösungen gibt, sorgt für Kritik. Das Momentum für hochsichere Alternativen zu Teams und Slack oder Whatsapp und Signal scheint nach Jahren eher schleppender Implementierungen aktuell hoch zu sein. Aber egal, ob Politiker nun Signal, Wire oder Element nutzen, eine Binsenweisheit der IT-Sicherheit bleibt gültig: Das größte Einfallstor für Hacker bleibt der Mensch.
