In den vergangenen Wochen häuften sich Berichte über gezielte Phishing-Attacken auf Nutzerinnen und Nutzer des Messengers Signal. Besonders brisant: Unter den Betroffenen sind auch Politiker, Journalisten und andere sicherheitssensible Zielpersonen. Da könnte schnell ein negativer Eindruck entstehen: Ist Signal womöglich doch nicht so sicher, wie sein Ruf vermuten lässt?
Diese Schlussfolgerung liegt nahe, ist aber falsch. In den bekannt gewordenen Fällen wurde weder Signals Infrastruktur kompromittiert noch die kryptographische Absicherung der App ausgehebelt. Stattdessen setzten die Angreifer auf ein Mittel, das schon oft funktioniert hat, wenn die Technik eigentlich sicher ist: Social Engineering. Sie gaben sich also beispielsweise als vermeintlicher „Signal-Support“ aus und brachten ihre Opfer dazu, Registrierungs‑Codes oder die persönliche Signal-PIN preiszugeben. Mit diesen Informationen war es den Angreifern anschließend möglich, ein neues Gerät mit dem Konto des eigentlichen Nutzers zu verknüpfen.
Dass nun ausgerechnet Signal im Fokus einer solchen Kampagne steht, ist absurderweise eher ein Kompliment als ein Warnsignal: Angriffe erfolgen meist dort, wo besonders schützenswerte Kommunikation vermutet wird.
Signal gilt nicht umsonst seit Jahren als Referenz für sichere digitale Kommunikation. Der Grund liegt vor allem im zugrunde liegenden Protokoll, das generelle (und nicht abschaltbare) Ende-zu-Ende-Verschlüsselung mit modernen Sicherheitsmechanismen kombiniert. Jede Nachricht erhält dabei ihren eigenen kryptographischen Schlüssel, was dafür sorgt, dass selbst im unwahrscheinlichen Fall, dass der Schlüssel später kompromittiert wird, weder frühere noch spätere Nachrichten entschlüsselt werden können. In der Fachwelt gelten diese Eigenschaften als besonders hoher Sicherheitsstandard.
Hinzu kommt noch eine sehr datensparsame Serverarchitektur: Signal versucht, so wenige Metadaten wie möglich zu erfassen und speichert beispielsweise keine sozialen Graphen oder dauerhaft zuordenbare Kommunikationsprofile.
Die Schwachstelle liegt weniger in der Technik als im Anmeldeprozess. Signal nutzt Telefonnummern als Identifikator, was prinzipiell Angriffsflächen für Phishing öffnet. Wer jedoch Zusatzfunktionen wie die Registrierungssperre und eine starke PIN aktiviert, reduziert dieses Risiko erheblich. An der grundlegenden technischen Sicherheit von Signal ändern diese Angriffsformen nichts.
Und wie sieht es bei den anderen Messengern aus?
WhatsApp wird bezüglich der Sicherheit oft reflexartig kritisiert. Technisch betrachtet sieht die Sache aber anders aus, denn auch WhatsApp verwendet für Nachrichten und Anrufe Ende-zu-Ende-Verschlüsselung nach dem Signal-Protokoll. Der eigentliche Schutz der Inhalte ist damit auf einem hohen Niveau und unterscheidet sich kaum von Signal.
Die Unterschiede liegen vor allem im Drumherum: WhatsApp ist Teil des Facebook-Konzerns Meta und erhebt deutlich mehr Metadaten als Signal - beispielsweise Informationen darüber, welche Kontakte miteinander kommunizieren, wie häufig und zu welchen Zeiten. Diese Daten sind nicht Ende-zu-Ende-verschlüsselt und fallen in einem Konzernumfeld an, das ohnehin schon einen gewissen Ruf als „Datenkrake“ hat.
Lange Zeit waren zudem Chat‑Backups ein Schwachpunkt, denn während laufende Unterhaltungen verschlüsselt waren, lagen Sicherungskopien in Cloud‑Diensten oft ungeschützt herum. Inzwischen bietet WhatsApp zwar verschlüsselte Backups an, diese müssen jedoch aktiv eingeschaltet werden. Wer das nicht tut, dem nützt letztlich auch die eigentlich vorhandene Verschlüsselung der Kommunikation nichts.
Server in der Schweiz
Threema schlägt einen eigenen Weg ein. Der Schweizer Messenger verzichtet bewusst auf Telefonnummern als zentrale Basis der Nutzer-Identität. Stattdessen bekommen neue Nutzer eine zufällig generierte ID zugeteilt, was das Risiko von Phishing und ungewollter Kontaktverknüpfung reduziert. Auch hier ist Ende-zu-Ende-Verschlüsselung standardmäßig aktiv und umfasst nicht nur Nachrichteninhalte, sondern auch viele begleitende Informationen.
Technisch setzt Threema auf ein eigenes Verschlüsselungsprotokoll, das in der Vergangenheit mehrfach wissenschaftlich untersucht wurde. Dabei traten zwar auch gewisse Schwächen zutage, die aber nach der Offenlegung behoben wurden. Threema legt großen Wert auf Audits, Open‑Source‑Transparenz und rechtliche Rahmenbedingungen. Die Server stehen in der Schweiz, wodurch das Unternehmen nicht US‑amerikanischem Cloud‑Recht unterliegt. Für viele Nutzer ist das ein entscheidender Vorteil, insbesondere in sensiblen beruflichen Kontexten.
Die Betreiber könnten mitlesen
Der unsicherste unter den großen Vier ist Telegram, obwohl der Messenger häufig in Aufzählungen mit „sicheren Messengern“ auftaucht. Der Grund ist einfach: Normale Telegram-Chats sind lediglich zwischen Gerät und Server verschlüsselt, die Betreiber von Telegram könnten diese Inhalte aber grundsätzlich selbst lesen, wenn sie wollten.
Ende-zu-Ende-Verschlüsselung gibt es bei Telegram zwar auch, aber nur in sogenannten „Secret Chats“. Diese müssen bewusst gestartet werden, funktionieren nur zwischen zwei Personen und lassen sich auch nicht nahtlos zwischen Geräten synchronisieren. Gruppenunterhaltungen sind grundsätzlich nicht Ende-zu-Ende-verschlüsselt. In der Praxis nutzen die meisten Anwender daher Kommunikationsmodi, die bezüglich der Sicherheit eher mit klassischen Cloud‑Messengern vergleichbar sind.
Hinzu kommt die Nutzung eines eigenen Verschlüsselungsprotokolls, das in der Vergangenheit kritisch analysiert und teilweise auch korrigiert wurde, trotzdem aber nicht das Vertrauen und die breite formale Absicherung wie etwa das Signal-Protokoll genießt.
Letztlich ist aber ohnehin jeder Messenger nur so sicher wie es der Bedienende zulässt: Wenn - wie im Fall des aktuellen Signal-Phishings - fragwürdige Links angeklickt und Zugangsdaten weitergegeben werden, nützt die ausgefeilteste Sicherheitstechnik nichts. Die größte Schwachstelle ist und bleibt der Mensch.