Wenn der Mensch versagt Wie sicher ist Signal und was kann die App überhaupt?

Ein falscher Klick und schon sass Jeffrey Goldberg in einem geheimen Signal-Chat über Militärschläge im Jemen. Das bei einer App, die sich mit dem Slogan «Say hello to privacy» schmückt. Doch wie sicher ist Signal wirklich – und wo liegen die Grenzen?

Martin Abgottspon

27.03.2025, 11:20

27.03.2025, 21:17

Martin Abgottspon

Signal ist ein kostenloser Messenger mit rund 40 bis 70 Millionen monatlichen Nutzern weltweit. Weit weniger als WhatsApp oder Facebook Messenger – aber mit einem klaren Fokus auf maximale Privatsphäre. Entwickelt von Krypto-Pionier Moxie Marlinspike und betrieben von der Non-Profit-Organisation Signal Foundation, verzichtet die App auf Werbung, Tracker und kommerzielle Datenverwertung.

«Signal ist der Goldstandard für private Kommunikation», sagt Meredith Whittaker, Präsidentin der Signal Foundation. Die App ist vollständig quelloffen, was bedeutet: Jeder kann den Code einsehen und auf Schwachstellen prüfen – ein seltener Transparenzstandard in der Branche.

Das Herzstück der App ist die Ende-zu-Ende-Verschlüsselung (E2EE). Damit können nur Sender und Empfänger Nachrichten lesen – nicht einmal Signal selbst hat Zugriff. Auch Profilbilder, Gruppenmitgliedschaften oder Chatverläufe speichert die App nicht zentral.

JemenPentagon-Chef wegen Geheimchat-Affäre unter Druck

Doch E2EE ist kein Allheilmittel. «Verschlüsselung schützt nicht vor Dummheit», sagt ein Kritiker sarkastisch. Wer sensible Informationen an die falsche Person schickt – oder wie im Fall Goldberg versehentlich hinzufügt – ist mit keiner Technik der Welt abgesichert.

Der Technikforscher Matthew Mittelsteadt bringt es auf den Punkt: «Sobald eine Nachricht den Empfänger erreicht, kann die Sicherheit versagen.» Ein kompromittiertes Endgerät, ein unsicheres Passwort – und die Verschlüsselung wird zur Farce.

Dass US-Spitzenpolitiker ausgerechnet Signal für sicherheitsrelevante Kommunikation nutzen, ist für viele Fachleute ein Affront. Datenexpertin Caro Robson spricht in einem Interview mit der BBC von einem «sehr, sehr ungewöhnlichen» Vorgang: «Normalerweise werden hochsichere, staatliche Systeme genutzt – in speziell geschützten Einrichtungen, den sogenannten SCIFs.»

In diesen streng kontrollierten Räumen sind persönliche Geräte verboten, Wände werden regelmässig auf Abhörtechnik geprüft. Robson: «Das gesamte System ist nach höchsten kryptografischen Standards der Regierung gesichert – gerade bei Verteidigungsfragen.»

Ein Messaging-Dienst wie Signal ist dagegen für den privaten Gebrauch konzipiert – nicht für militärische Koordination.

Ein weiteres Feature macht Signal besonders brisant: die Funktion, Nachrichten automatisch nach wenigen Sekunden bis Wochen verschwinden zu lassen. Im Fall der geleakten Militär-Chatgruppe seien Nachrichten laut Goldberg nach sieben Tagen gelöscht worden.

Mobilnummern, Mailadressen, PasswörterHegseth, Waltz und Gabbard – so leicht lassen sich private Daten von US-Sicherheitspolitikern im Netz finden

Ein Problem für Transparenz und Rechtssicherheit. In den USA gibt es klare Vorschriften zur Archivierung offizieller Kommunikation. Ob die Chat-Inhalte weitergeleitet oder gesichert wurden, bleibt offen. Wer verschwindende Nachrichten für Regierungsgeschäfte nutzt, begibt sich auf rechtlich dünnes Eis.

Immer wieder fordern Regierungen sogenannte «Backdoors», also Zugangsmöglichkeiten zu verschlüsselten Inhalten. Signal, Apple und andere Tech-Konzerne wehren sich vehement.

Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation, erklärt: «Wenn du mit einem Durchsuchungsbefehl bei Signal auftauchst, können sie dir fast nichts geben.» Der Datenschutz sei so konzipiert, dass selbst Strafverfolger nur Zugriff auf Metadaten erhalten – wenn überhaupt.

2023 drohte Signal sogar, sich aus dem britischen Markt zurückzuziehen, sollte das geplante Online Safety Bill die Verschlüsselung kompromittieren.

Signal ist kein Spionage-Tool, sondern ein Messenger mit vielen Schutzmechanismen. Doch wer maximale Sicherheit will, muss auch selbst Verantwortung übernehmen: