Ich habe zwei Freunde, die bevorzugt den Messengerdienst SIGNAL zur Textkommunikation verwenden. Dieser sei besonders sicher. Ich habe die entsprechenden Apps auf dem iPhone und meinem Mac nur wegen dieser beiden Personen installiert.
ansehen/verstecken
- Signal ist nicht geknackt – Menschen wurden hereingelegt
- Was ist passiert?
- Die alte Schwachstelle: der Mensch
- Warum Signal trotzdem als besonders sicher gilt
- Phishing ist kein Hackerzauber
- Warum gerade Politiker und Journalisten interessante Ziele sind
- Signal kann nicht verhindern, dass Nutzer Fehler machen
- Was man daraus lernen sollte
- Der falsche Schluss wäre: Signal ist unsicher
- Fazit
- Bildquellen:
Ich bräuchte das Ding nicht, weil ich zu den Irrgläubigen gehöre, die meinen, sie hätten nichts zu verbergen, und die Sicherheitsmaßnahmen, die eines der größten Unternehmen der Welt getroffen hat, könnten für mich ausreichen. Ich nutze ganz einfach den Apple-Dienst iMessage, der an androide Leute auch ganz normale SMS verschickt.
Nun ist es in den letzten Tagen laut geworden um SIGNAL. Mir wurde erzählt, viele Leute würden diesen Messenger jetzt löschen, weil es da ein unglaubliches Sicherheitsleck gegeben habe. Die Nutzer seien ausgespäht worden.
Was ist da dran?
Signal ist nicht geknackt – Menschen wurden hereingelegt
Der Messengerdienst Signal gilt seit Jahren als eine der sichersten Möglichkeiten, digital miteinander zu kommunizieren. Besonders Journalisten, Politiker, Aktivisten und Menschen mit erhöhtem Schutzbedarf nutzen Signal, weil Nachrichten und Anrufe Ende-zu-Ende-verschlüsselt sind. Signal selbst schreibt, dass weder Signal noch Dritte Nachrichten lesen oder Anrufe mithören können.
Und nun gibt es einen Skandal: Ausgerechnet deutsche Politiker, Regierungsmitglieder, Diplomaten, Militärs und Journalisten sollen Ziel einer Phishing-Kampagne über Signal geworden sein. Die Bundesanwaltschaft ermittelt wegen Spionageverdachts, nachdem BfV und BSI bereits vor solchen Angriffen gewarnt hatten.
Was ist passiert?
Nach den bisherigen Berichten gaben sich Angreifer als angeblicher Signal-Support aus. Die Opfer erhielten Nachrichten, die wie eine Warnung oder Kundendienstmeldung wirkten. Darin wurden sie aufgefordert, Codes, PINs oder andere Zugangsinformationen preiszugeben oder ein neues Gerät zu verknüpfen.
In einer Variante konnten Angreifer offenbar über die Geräteverknüpfung Zugriff auf das Konto bekommen und dann Gruppen, Kontakte und Nachrichten einsehen, die auf dem neu verknüpften Gerät verfügbar waren.
Das ist der entscheidende Punkt: Es handelt sich nach dem bisherigen Kenntnisstand nicht um eine geknackte Verschlüsselung und nicht um eine klassische Sicherheitslücke in Signal. Es ging um Social Engineering, also darum, Menschen zu täuschen – nicht darum, die App technisch aufzubrechen.
Die alte Schwachstelle: der Mensch
Damit sind wir beim Kern der Sache. Ein Konto ist immer nur so sicher wie der Mensch, der es benutzt. Das gilt für das Bankkonto, für den E-Mail-Account, für den Zugang zum Online-Shop – und eben auch für einen Messenger. Wenn jemand seine Zugangsdaten, Bestätigungscodes oder Freigaben an einen Fremden herausgibt, dann hilft auch die beste Verschlüsselung nicht mehr. Das ist ungefähr so, als hätte man eine Tresortür aus bestem Stahl, mit kompliziertem Zahlenschloss, Alarmanlage und Wachhund – und dann kommt jemand, behauptet, er sei vom Tresor-Kundendienst, und man sagt ihm freiwillig die Kombination.
Danach ist nicht der Tresor schlecht. Danach war der Besitzer unvorsichtig.
Warum Signal trotzdem als besonders sicher gilt
Signal hat seinen guten Ruf nicht zufällig. Die App verschlüsselt Nachrichten, Anrufe und Dateien standardmäßig Ende-zu-Ende. Das bedeutet: Nicht der Anbieter hält den Schlüssel, sondern die beteiligten Geräte. Signal kann nach eigener Darstellung Inhalte nicht lesen und nicht mithören. Dazu kommt, dass Signal vergleichsweise datensparsam arbeitet. Die App ist nicht darauf ausgelegt, möglichst viele Nutzerdaten für Werbung, Profilbildung oder Plattformgeschäft zu sammeln. Gerade diese Mischung aus starker Verschlüsselung, wenig Datensammelei und überschaubarer Angriffsfläche macht Signal für Journalisten und sensible Berufsgruppen interessant.
Aber: Signal ist kein Zauberschutz gegen Dummheit, Eitelkeit, Hektik oder schlechte Gewohnheiten.
Phishing ist kein Hackerzauber
Phishing klingt immer nach dunklem Keller, Kapuzenpulli und grünen Zahlenkolonnen auf dem Bildschirm. In Wahrheit ist es oft viel banaler. Jemand schreibt Dich an, erzeugt Druck, behauptet, Dein Konto sei gefährdet, und fordert Dich auf, schnell zu handeln. Genau diese Dringlichkeit ist der Trick.
„Ihr Konto wurde angegriffen.“
„Bitte bestätigen Sie sofort Ihre PIN.“
„Scannen Sie diesen QR-Code, um Ihr Konto zu sichern.“
Das Opfer glaubt, es schütze sich – und öffnet in Wahrheit selbst die Tür.
Warum gerade Politiker und Journalisten interessante Ziele sind
Für Geheimdienste und staatlich gelenkte Angreifer sind solche Konten hochinteressant. Es geht nicht nur um private Chats. Es geht um Netzwerke. Wer in eine Signal-Gruppe eines Politikers gelangt, sieht vielleicht Kontakte, Terminabsprachen, politische Stimmungen oder interne Gesprächszusammenhänge. Ein erfolgreicher Zugriff auf ein einzelnes Konto kann also weit über die betroffene Person hinausreichen. Gerade Gruppenkommunikation ist sensibel, weil dort oft informeller gesprochen wird als in offiziellen E-Mails oder Pressemitteilungen.
Signal kann nicht verhindern, dass Nutzer Fehler machen
Das ist die unbequeme Wahrheit. Kein Messenger kann verhindern, dass ein Nutzer einem Betrüger glaubt. Kein Passwortmanager hilft, wenn man den Einmalcode abtippt und verschickt. Keine Ende-zu-Ende-Verschlüsselung schützt, wenn man ein fremdes Gerät selbst mit dem eigenen Konto koppelt.
Man muss hier sauber unterscheiden: Signal schützt Nachrichten auf dem Transportweg und vor neugierigen Serverbetreibern. Signal schützt aber nicht automatisch vor einem Menschen, der sich freiwillig täuschen lässt.
Was man daraus lernen sollte
Die wichtigste Regel lautet: Kein echter Kundendienst fragt nach PINs, Zugangscodes oder Verknüpfungsfreigaben. Wer so etwas verlangt, ist kein Kundendienst, sondern ein Angreifer.
Außerdem sollte man bei Signal die Sicherheitsfunktionen ernst nehmen: eine starke Signal-PIN verwenden, die Registrierungssperre aktivieren, verknüpfte Geräte regelmäßig prüfen und niemals QR-Codes scannen, die einem angeblich ein Support-Mitarbeiter schickt.
Der falsche Schluss wäre: Signal ist unsicher
Der naheliegende, aber falsche Reflex lautet jetzt: „Aha, Signal ist also doch nicht sicher.“ Nein. So einfach ist es nicht.
Richtig wäre: Signal ist technisch weiterhin ein sehr sicherer Messenger. Aber auch ein sicherer Messenger kann missbraucht werden, wenn Angreifer nicht die Technik angreifen, sondern den Menschen davor.
Das ist bei WhatsApp nicht anders, bei Telegram nicht anders, bei E-Mail nicht anders und beim Onlinebanking schon gar nicht anders. Der beste Dienst wird wertlos, wenn der Nutzer auf eine gut gemachte Betrugsmasche hereinfällt.
Fazit
Der Signal-Skandal ist weniger ein Signal-Skandal als ein Lehrstück über digitale Leichtgläubigkeit. Die Verschlüsselung wurde nicht besiegt. Der Mensch wurde überredet. Und genau das ist die ernüchternde Wahrheit: In der digitalen Sicherheit ist die schwächste Stelle oft nicht der Server, nicht das Protokoll und nicht die App.
Die schwächste Stelle sitzt vor dem Bildschirm.
Bildquellen:
- signal_thumbnail_800x500: signal-icon
