Die sogenannte „Signal-Affäre“ ist in Wahrheit keine Affäre um Signal, sondern ein klassischer Fall von Fehlgebrauch und mangelnder digitaler Kompetenz auf höchster Ebene. Der Dienst und die App Signal selbst ist eine gute Messengeranwendung für vertrauliche private Kommunikation – vorausgesetzt, sie werden im dafür vorgesehenen Rahmen genutzt. Ähnlich einzustufen ist der schweizerische Dienst bzw. die App Threema. Für Regierungen, Militärs oder Sicherheitsbehörden gelten jedoch andere Regeln. Kommerzielle Kommunikationstools dürfen nicht für sicherheitsrelevante Zwecke eingesetzt werden. Hierfür sind die durchaus vorhandenen, speziell abgesicherten und kontrollierten Systeme einzusetzen.
Worum es geht
Ende März 2025 wurde bekannt, dass ein ranghohes Mitglied der US-Regierung, der inzwischen von diesem Amt abgelöste Nationale Sicherheitsberater Mike Waltz, über eine modifizierte Messenger-App kommunizierte, die auf dem Open-Source-Protokoll von Signal basiert, aber entscheidende Sicherheitsmerkmale aushebelt. Die App, bei der es sich vermutlich um TeleMessage handelt, dient eigentlich der Archivierung dienstlicher Kommunikation, indem sie Kopien verschlüsselter Nachrichten automatisch an zentrale Server weiterleitet.
Diese App wurde jedoch offenbar so eingesetzt, dass vertrauliche Inhalte für Unbefugte einsehbar wurden. So war es in einem anderen Fall einem Angreifer möglich, über TeleMessage auf Inhalte von Direktnachrichten und Gruppenchats zuzugreifen – darunter Gespräche zwischen US-Kongressabgeordneten und Beamten der Grenzschutzbehörde sowie Chats mit potenziell sensiblen Inhalten aus der Finanzwelt.
Fehlkonfiguration und menschliches Versagen
Ein renommierter US-Journalist wurde versehentlich zu einem Gruppengespräch eingeladen, in dem es um bevorstehende Militäraktionen im Jemen ging. Besonders brisant dabei ist, dass die Affäre offenbar durch ein Fehlbedienung einer Komfortfunktion von Apple iOS, die vorschlägt, Telefonnummern aus E-Mails bestehenden Kontakten zuzuordnen, ausgelöst wurde. Waltz hatte in diesem Fall versehentlich die Telefonnummer des Journalisten unter dem Namen eines Kollegen gespeichert. Als später eine neue Chatgruppe erstellt wurde, wurde der falsche Kontakt hinzugefügt – mit schwerwiegenden Folgen.
Kein Versagen von Signal
Zu betonen ist, dass die Sicherheit und Integrität der Original-Signal-App nicht in Frage steht. Signal wurde so konzipiert, dass Kommunikation durchgängig verschlüsselt ist und weder Anbieter noch Dritte Zugang zu Nachrichteninhalten haben. Die Schwachstelle entstand allein durch die Kombination aus einer modifizierten App und unsachgemäßer Nutzung.
Messenger für die private Kommunikation
Signal ist – wie auch andere verschlüsselte Messenger, z. B. Threema – für den privaten, sicheren Austausch gut geeignet. Das Problem entsteht, wenn solche Werkzeuge in professionellen oder sicherheitsrelevanten Kontexten, für die sie nicht vorgesehen sind, eingesetzt werden. Das gilt auch hierzulande. In Baden-Württemberg und anderen Bundesländern ist z. B. Lehrkräften und Polizeibediensteten die dienstliche Nutzung von WhatsApp zu Recht untersagt. Für solche Zwecke existieren speziell entwickelte und regulierte Systeme mit klaren Vorgaben zur Vertraulichkeit und Nachvollziehbarkeit.
Ende-zu-Ende-Verschlüsselung bietet keine allumfassende Sicherheit
Ende-zu-Ende-Verschlüsselung (E2EE) ist zwar wichtig und entspricht dem aktuellen Stand der Technik, ersetzt aber kein Sicherheitskonzept. Bei fehlerhafter Bedienung, unzureichender Schulung oder bewusster Umgehung greift auch die beste Verschlüsselung nicht. Erst recht in Fällen, in denen ein massiver Eingriff in Rechte der Nutzer oder unbeteiligter Nicht-Nutzer (unzulässige Auswertung von Metadaten oder Auslesen der Kontakte ) stattfindet, bietet E2EE allenfalls eine trügerische Scheinsicherheit, die gravierende Verletzungen der Sicherheit und des Schutzes der Privatsphäre nicht verhindert – sondern begünstigt.
Fazit
- Nicht Signal, sondern eine Dritt-App war im Einsatz, die Sicherheitslücken einführte.
- Die App war nicht für hochsensible Regierungszwecke gedacht, sondern für eine kontrollierte Archivierung.
- Private Smartphones und kommerzielle Apps sind für geheimhaltungsbedürftige Inhalte ungeeignet, insbesondere in sicherheitsrelevanten Zusammenhängen.
- Eine Komfortfunktion von Apple iOS und fehlendes technisches Verständnis führten zu einem schwerwiegenden Fehler.