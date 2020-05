Whatsapp mag der weltweit am meisten genutzte Messenger sein, dass dahinter mit Facebook eines der umstrittensten Unternehmen der IT-Branche steht, schmeckt aber längst nicht allen. Und davon profitiert so mancher Konkurrent: Mit einem kompromisslosen Fokus auf Sicherheit und Privatsphäre hat Signal zuletzt merklich Fahrt aufgenommen. Die Zahl der User steigt, auch die Entwicklung schreitet erheblich flotter voran – ironischerweise dank einer Finanzspritze von Whatsapp-Mitgründer Brian Acton.



Verschlüsselung ist nicht alles

Eine der zentralen Stärken von Signal ist dabei die Ende-zu-Ende-Verschlüsselung der Nachrichten. Denn nur eine solche sorgt dafür, dass selbst der Betreiber keinen Einblick hat, was hier eigentlich diskutiert wird. Die Basistechnologie dafür hat Signal schon vor geraumer Zeit entwickelt, und sie ist mittlerweile auch in so manches Konkurrenzprodukt eingeflossen – allen voran Whatsapp. Doch das ist eben nicht der einzige relevante Punkt, denn selbst wenn man keinen Einblick in die Inhalte hat, lassen sich noch immer interessante Metadaten erfassen, und genau das tut Facebook – während Signal einiges unternimmt, um jegliche Nachvollziehbarkeit zu verhindern.

Signals Privacy-Fokus zeigt sich auch bei den kleinen Features. Link-Previews werden etwa so erstellt, das eine Rückführung auf die Person nicht möglich sein soll. Von Haus aus sind sie aber ohnehin deaktiviert. Foto: Signal

Dazu kommt, dass all das, was der Hersteller hier so zur Absicherung unternimmt, nur ein Stück eines größeren Puzzles bildet. Wer besonders hohe Ansprüche an die Vertraulichkeit seiner Gespräche hat, der sollte noch einige andere Punkte beachten – sonst wiegt man sich auch mit Signal schnell mal in falscher Sicherheit.

Vertrauen ist gut ...

Der Dreh- und Angelpunkt jeder vertraulichen Konversation ist, dass man auch sicher weiß, mit wem man hier eigentlich redet. Das kann man etwa sicherstellen, indem man sich auf anderem Wege rückversichert. Besser ist es, auf eine der Kernfunktionen von Signal zurückzugreifen. Zu jedem Kontakt gehört eine eindeutige Sicherheitsnummer, die über den Punkt "View Safety Number" eingesehen werden kann. So kann man dann bei einem privaten Treffen diese Codes abgleichen. Signal macht diesen Vergleich sehr einfach, indem hier auch ein QR-Code geliefert wird, der vom anderen Smartphone eingescannt und somit überprüft werden kann.

Der Abgleich der Sicherheitsnummer geht mit QR-Code recht einfach. Grafik: Signal

Gleichzeitig sollte man in der Folge dann aufpassen, was Signal so schreibt: Denn sollte sich die Sicherheitsnummer einer Person einmal ändern – das kann etwa beim Wechsel des Smartphones sein oder wenn ein Angreifer versucht, sich hier einzuschalten –, wird in der Diskussion explizit davor gewarnt. In diesem Fall sollte dann die oben beschriebene Rückversicherung wieder neu vorgenommen werden.

Was weg ist, ist weg

Es ist wahrscheinlich eine der wichtigsten Funktionen des Messengers: Signal bietet die Möglichkeiten, die Nachrichten nach einer gewissen Zeit automatisch löschen zu lassen. Die Einstellungsoptionen reichen dabei von fünf Sekunden bis zu einer Woche. Und das zu aktivieren, ist äußerst ratsam. Denn falls es dann doch mal jemand schafft, Zugriff auf das eigene Smartphone zu erhalten, kann er zumindest nicht gleich Jahre an alten Konversationen zurückverfolgen.

Wer das noch auf die Spitze treiben will: Seit kurzem gibt es bei Signal auch die Möglichkeit, zu begrenzen, wie oft verschickte Bilder betrachtet werden können, bevor sie gelöscht werden können.

Der Zeitablauf der aktuellen Diskussion ist rechts oben im Interface zu sehen. Foto: Signal

Lock Screen

Apropos Zugriff auf das Smartphone: Die Ende-zu-Ende-Verschlüsselung schützt die Daten natürlich nur bei ihrer Übertragung. Wer seine Gespräche effektiv schützen will, muss also auch darauf achten, dass das eigene Smartphone sicher ist. Und das beginnt bei der Lockscreen-Sperre. Ein längerer PIN oder ein Passwort sollten es schon sein, um es Angreifern nicht allzu leicht zu machen. Je nach Bedrohungsszenario können biometrische Verfahren wie Fingerprint oder Gesichtserkennung – zumindest wenn sie ordentlich implementiert sind – ebenfalls einen adäquaten Schutz bieten. Gleichzeitig muss einem klar sein, dass man zur Herausgabe von beidem nicht nur recht einfach gezwungen werden kann, sondern dass Behörden in vielen Ländern dies auch dürfen.

Wem das nicht reicht, der kann Signal noch mit einem zusätzlichen Passwort versehen, das vor dem Start der App abgefragt wird. Ob das in der Praxis ein valides Mittel ist, hängt allerdings auch vom eigenen Nutzungsverhalten ab. Dauernd das Passwort einzugeben wird schnell sehr nervig, also wird dieses üblicherweise für eine gewisse Zeit gecachet. Damit bietet diese Funktion aber natürlich auch nur dann einen zusätzlichen Schutz, wenn das Smartphone länger nicht mehr benutzt wurde.

Kein Fehler, sondern Absicht: Die Option "Screen Security" verhindert, dass im Task-Switcher Inhalte aus Signal zu sehen sind. Screenshot: Proschofsky / STANDARD

Die wichtigsten Optionen finden sich im Bereich "Privatsphäre". Screenshot: Proschofsky / STANDARD

Verräterische Benachrichtigungen

Einen Blick sollte man auch auf die Einstellungsbenachrichtigungen werfen. Den von Haus aus werden hier sowohl Name als auch Inhalt von eingehenden Nachrichten am Lock-Screen dargestellt – also ohne dass das Gerät überhaupt entsperrt werden muss. Das liefert Dritten aber natürlich wieder wertvolle Informationen. Wer dies unterbinden will, sollte das über die Einstellungen umsetzen.

Eine weitere nützliche Option von Signal nennt sich "Screen Security". Sie verhindert, dass Screenshots der App-Inhalte aufgenommen werden können. Dies ist insofern relevant, da es damit auch jegliche Versuche anderer Apps, hier Einblick zu bekommen, blockiert, und dazu gehört nicht zuletzt der Task-Switcher. So verhindert man, dass beim Wechsel zwischen Anwendungen Dritte über die Schulter sehen können, was man zuvor auf Signal diskutiert hat.

Tastaturproblem

Viele Tastaturen lernen von Haus aus über die Nutzereingaben, um hier dann bessere Vorschläge machen zu können. Dies kann natürlich wiederum verräterisch sein, wenn dann bestimmte Begriffe auch in anderen Apps kommen. Insofern ist es unter Android möglich, den Incognito-Modus von Keyboard-Apps wie Google Gboard zu erzwingen, wo solche Daten nicht gesammelt werden.

Unter iOS gilt wiederum, dass man besser auf die Option, Back-ups in der iCloud zu speichern, verzichtet. Das ist zwar nützlich, bietet aber eben auch einen weiteren Angriffspunkt. Überhaupt sollte man sich genau überlegen, wo man die Back-ups von Signal speichert. Unter Android landen diese nämlich so am Datenspeicher, dass jede App mit erteilter Storage-Berechtigung auf diese Daten Zugriff hat. Diese sind zwar verschlüsselt abgelagert, trotzdem ist auch dies ein potenzieller Angriffsvektor.

Updates, Updates, Updates

Das mag jetzt nicht gerade Signal-spezifisch sein, trotzdem ist es hier auch relevant: Das regelmäßige Einspielen von Updates ist essenziell für die App-Sicherheit. Und zwar sowohl Updates für die App selbst als auch das Betriebssystem. Immerhin ist jede App immer nur so sicher wie die Software, auf der sie läuft. Daraus folgt direkt, dass es natürlich immer ratsam ist, ein Smartphone zu verwenden, das vom Hersteller noch laufend mit Updates versehen wird. Bei iPhones ist das üblicherweise kaum ein Problem, in der Android-Welt sieht es da schon etwas schwieriger aus. Hier variiert die Qualität der Updateversorgung massiv zwischen einzelnen Herstellern.

Telefonnummernprobleme

Aus einer Sicherheitsperspektive gibt es bei Signal vor allem ein großes konzeptionelles Defizit: Wie Whatsapp auch, ist die Identität der Nutzer mit ihrer Telefonnummer verbunden. Das macht die App zwar einfach zu nutzen, hat aber den Nachteil, dass damit recht gut nachvollzogen werden kann, wer hinter einem Account steckt. Und natürlich erfährt somit auch jeder, mit dem man diskutiert – etwa auch in Gruppen-Chats –, was die eigene Telefonnummer ist.

Echte Anonymität ist in solch einem Modell realistisch zwar kaum möglich, zumindest kann man sich dem aber mit ein paar Tricks annähern, wenn man bereit ist, etwas Extraaufwand zu betreiben. Immerhin wird die zum Account gehörige Telefonnummer nur bei der Einrichtung der App überprüft. Anschließend kann die SIM-Karte nach Belieben ausgewechselt werden, der Signal-Account bleibt trotzdem der gleiche. Dies ermöglicht, dass man sich extra für Signal eine Wertkartennummer besorgt, die dann vor dem Setup kurz eingewechselt wird. Wer hier noch etwas mehr Anonymität wünscht, könnte sich sogar eine solche SIM-Karte in einem Land besorgen, wo es derzeit noch keine Registrierungspflicht gibt. Zu beachten ist, dass dabei natürlich immer die Gefahr besteht, dass man irgendwann den Account verliert, wenn die Wertkartennummer nicht mehr geht.

Zusätzliche Sperre

Nicht nur in so einem Setup empfiehlt sich noch eine weitere Option von Signal, der sogenannte "Registration Lock". So kann der Account mit einer zusätzlichen PIN-Nummer geschützt werden, diese wird dann nicht nur in der Nutzung immer wieder abgefragt, sie ist vor allem für das Einrichten auf einem neuen Gerät Voraussetzung. Das garantiert, dass sich nicht jemand anderer, der irgendwie Zugriff auf die betreffende Telefonnummer bekommen hat – sei es durch eine SIM-Swapping-Attacke oder auch einfach nur, weil eine Wertkartennummer neu vergeben wurde –, plötzlich die eigene Identität annehmen kann. Nur um das klarzustellen: Bei einem solchen Angriff wäre es trotzdem nicht möglich, alte Nachrichten zu lesen, und wie oben schon beschrieben, würden die anderen in einer Diskussion auch gewarnt – trotzdem bleibt die Realität, dass viele solche Hinweise schlicht überlesen.

Desktop-Client

Bleibt noch ein Punkt, der mehr ein Denkanstoß denn eine direkte Empfehlung sein soll. Nämlich ob es wirklich eine gute Idee ist, den Desktop-Client von Signal zu verwenden. Über diesen können Nachrichten auch unter Windows, Mac OS und Co geschrieben werden, was fraglos nützlich ist. Gleichzeitig ist es aber so, dass die Sicherheit von Desktop-Systemen zumeist erheblich schlechter ist als jene von Smartphones. Oft ist der lokale Datenträger nicht einmal verschlüsselt, wodurch Dritte mit direktem Zugriff interessante Daten erhalten könnten. Auch gibt es keine vernünftige App-Isolierung wie unter Android und iOS, wodurch meist ohnehin alle Programme die lokal gespeicherten Daten einsehen können. Wie gesagt: All das hängt nicht zuletzt davon ab, wie gut man die Sicherheit am eigenen Rechner im Griff hat, man sollte sich nur dessen bewusst sein, dass man sich hier potenziell zusätzliche Probleme einfängt.

Der Signal-Desktop: nützlich, aber erhöht natürlich auch das Risiko. Foto: Signal

Es ist alles relativ

Eines sei zum Abschluss noch betont: Ob man all diese Tipps auch vollständig umsetzen mag, ist nicht zuletzt eine Frage der eigenen Risikoabschätzung, des individuellen Sicherheitsbedürfnisses. Manches ist für die breite Masse an Nutzern sicher zu aufwendig, anderes hingegen generell sinnvoll. Gleichzeitig sollte dabei aber nicht vergessen werden, dass man bei jeder solchen Konversation immer auch eine Verantwortung für die Privatsphäre des Gegenübers übernimmt. Immerhin reicht schon ein schlecht geschütztes Gerät aus, um Einblick in eine Gruppenkonversation nehmen zu können. (Andreas Proschofsky, 10.5.2020)