Whatsapp-Alternative: Warum es okay ist, dass Signal Google-Server nutzt
Signal gilt in Sachen Datenschutz und Sicherheit als Vorzeigemessenger und wird nicht nur von Datenschützern als Whatsapp-Alternative empfohlen. Dabei greift Signal für seine Server-Infrastruktur auch auf Firmen mit zweifelhaftem Datenschutzniveau (Google, Amazon und Microsoft) zurück, die zudem ihren Sitz in den USA haben. Das klingt nach einem Widerspruch und mangelndem Datenschutz - ist es aber nicht.
Das liegt an der zugrunde liegenden Technik von Signal. Im Unterschied zu vielen anderen Messengern arbeitet Signal nämlich nach dem Zero-Knowledge-Prinzip, was bedeutet, dass der Anbieter selbst möglichst wenig über die Nutzer und darüber weiß, was sie auf der Plattform machen.
Das beginnt mit einer konsequenten Ende-zu-Ende-Verschlüsselung, die nur den Konversationsteilnehmern den Zugriff auf die Inhalte ermöglicht: dem Signal-Protokoll. Dieses wurde bereits von mehreren Messengern übernommen, unter anderem von Whatsapp und in leicht abgeänderter Form auch von Wire und Matrix/Element.
Ende-zu-Ende-Verschlüsselung weitergedacht
Eine Besonderheit des Signal-Protokolls ist, dass es die Nachrichten gleich mehrfach verschlüsselt. Eine erste Verschlüsselung wird mit Geräte-Keys durchgeführt, die bei der Registrierung auf dem jeweiligen Smartphone erstellt werden und immer gleich bleiben.
Zudem werden bei jedem Nachrichtenaustausch Session-Keys ausgetauscht, mit denen die folgenden Nachrichten zusätzlich verschlüsselt werden. Durch den kontinuierlichen Schlüsselaustausch bietet das Signal-Protokoll Perfect Forward Secrecy.
Das bedeutet, dass Angreifer mitgeschnittene, verschlüsselte Nachrichten auch im Nachgang nicht entschlüsseln können - selbst wenn sie in den Besitz des Geräte-Keys der jeweiligen Signal-Installation gelangen sollten.
So perfekt eine gute Ende-zu-Ende-Verschlüsselung die Inhalte schützen kann, so wenig hilft sie leider, die Umstände einer Kommunikation zu verbergen. Doch auch hier versucht Signal vorzubeugen, soweit es eben geht.
Wer hat uns verraten? Metadaten!
Diese Umstände der Kommunikation werden Metadaten genannt. Mit ihnen kann unter anderem ermittelt werden, wer mit wem kommuniziert und natürlich auch, wie oft, zu welchen Zeiten und wie lange. Im Unterschied zu den Inhalten können diese Metadaten zudem leicht und in Massen von Maschinen ausgewertet werden. Auf diese Weise lassen sich mit den Daten nicht nur das soziale Netzwerk abbilden und soziale Beziehungen erkennen (Beziehungspartner, Affäre, Kollegen), sondern auch Rückschlüsse auf die Inhalte ziehen. Nicht umsonst sind Metadaten bei Überwachungsgeheimdiensten wie NSA oder GCHQ beliebt .
Dem versucht Signal mit dem Konzept des Sealed Sender(öffnet im neuen Fenster) entgegenzuwirken. Die Macher von Signal vergleichen dazu eine Ende-zu-Ende-Verschlüsselung mit Briefumschlägen samt Empfänger und Absender und dem darin verborgenen Brief. Sinnvollerweise sollte der Absender aber nicht notwendig sein, um die Nachricht zuzustellen - wie bei echter Post eben.
Analog dazu übermittelt auch Signal die Nachrichten ohne Absender, zumindest zwischen bereits bekannten Kontakten. Damit die Empfänger trotzdem wissen, von wem eine Nachricht stammt, fügen die Absender der Nachricht ein temporäres Senderzertifikat hinzu und verschlüsseln beides - als wäre eine Visitenkarte des Absenders mit in den Briefumschlag gesteckt worden.
Das Zertifikat kann der Signal-Client des Empfängers über den Profilschlüssel des Senders authentifizieren. Dieser wird mit bekannten Kontakten geteilt und dient dazu, das jeweilige Nutzerprofil zu entschlüsseln, das beispielsweise ein Nutzerbild, einen Nickname oder den aktuellen Status des Nutzers enthalten kann. So wird nebenbei sichergestellt, dass nur bekannte Kontakte, nicht aber der Server oder Dritte die Nutzerinformationen zu Gesicht bekommen.
Gifs und Link-Vorschau ohne Metadaten
Ein weiteres Problem in Bezug auf die Metadaten ist die Integration moderner Techniken, die mittlerweile zum Standard vieler Messenger gehören: beispielsweise die Gif-Suche. Denn der Gif-Anbieter Giphy erhält damit ohne weiteres Zutun Zugriff auf die Metadaten der Nutzer, welche die Gifs anfragen.
Um dies zu verhindern, fungieren die Signal-Server als Proxy(öffnet im neuen Fenster) und leiten die Anfragen an Giphy weiter, so dass der Anbieter nur den Signal-Server, nicht jedoch die IP-Adresse des Signal-Clients zu sehen bekommt. Da die Verbindung zwischen Signal-Client und Giphy-Server TLS-verschlüsselt ist, kann der Signal-Server trotzdem nicht auf die Inhalte der Abfragen schließen.
Auf ähnliche Weise hatte Signal auch die Link-Vorschauen umgesetzt(öffnet im neuen Fenster) , die der Messenger seit rund zwei Jahren unterstützt. Auch hier sollte mit einem Proxy die IP-Adresse verschleiert werden. Das Team bekam wegen der vielen Zugriffe jedoch Probleme mit Youtube und Instagram, weil diese die Zugriffszahl begrenzen. Darüber hinaus sei es wenig sinnvoll, die IP-Adresse zu verschleiern, da die URL sowieso sehr wahrscheinlich vorher vom gleichen Gerät aus besucht wurde, stellte Signal fest. Der Signal-Client fragt die Server deshalb inzwischen direkt an(öffnet im neuen Fenster) , um die Link-Vorschauen zu erzeugen. Die Funktion kann aber auch deaktiviert werden.
Eines kann jedoch auch Signal nicht lösen: Bei der Kommunikation über das Internet per TCP/IP fallen beim Serverbetreiber prinzipienbedingt die IP-Adressen der Nutzer an - die im Falle von Signal bei den großen Cloud-Hostern liegen. Selbst wenn Signal eigene Server betriebe, würde das an dem eigentlichen Problem nichts ändern. Einziger Ausweg ist hier die Nutzung von Anonymisierungsdiensten wie Tor. Worum sich Signal aber selbst kümmern kann - und das auch tut - sind die Telefonnummern der Kontakte.
Wenn der Signal-Server nichts vom sozialen Netzwerk weiß
Ein Messenger ohne Kontakte ist nichts. Daher baute Signal bisher auf einem bereits vorhandenen sozialen Netzwerk auf: Telefonnummern, die wir in unserem Adressbuch mit weiteren Kontaktdaten wie Namen abgelegt haben. Die Kontaktdatenbank ist also schon auf unserem Smartphone - und kann auch erst mal dort verbleiben.
Um festzustellen, welche Telefonnummern des Adressbuches bei Signal registriert sind (Contact Discovery), leitet der Messenger aus den Nummern Hashwerte ab. Diese werden mit den Hashes der bereits registrieren Telefonnummern in einem abgetrennten und verschlüsselten Bereich der Intel-Prozessoren auf den Servern - der SGX-Enklave - abgeglichen, auf den theoretisch weder das Betriebssystem oder installierte Software noch das Server-Admin-Team zugreifen können.
Dass Signal nur mit Telefonnummern und damit beispielsweise nur schwer anonym nutzbar ist, wurde in der Vergangenheit immer wieder kritisiert. Damit der Messenger in Zukunft auch ohne Telefonnummer und Adressbuch genutzt werden kann, hat Signal begonnen, das soziale Netzwerk auf dem Server zu speichern. Natürlich nicht im Klartext, sondern sicher verschlüsselt. Hier kommen die im letzten Jahr eingeführte Signal-Pin und eine Technik zum Einsatz, die Signal Secure Value Recovery (SVR) nennt .
Auch hier wird wieder die bereits erwähnte SGX-Enklave verwendet, in welcher für jede Signal-Installation ein Schlüssel sowie der Hashwert der Signal-PIN hinterlegt werden. Der Schlüssel kann durch Vorweisen des Hashes der Signal-PIN aus der SGX-Enklave heruntergeladen werden. Gemeinsam mit der Signal-PIN wird dann der Schlüssel gebildet, mit dem die Kontaktliste verschlüsselt wurde. So bleiben die Kontakte auch nach einem Verlust des Smartphones erhalten, sofern die Signal-PIN korrekt eingegeben wurde.
Messenger-Server wissen, wer in der Gruppe ist
Im Unterschied zu Signal gleichen die meisten Messenger das Adressbuch direkt auf dem Server ab und hinterlegen nicht selten auch die Kontaktliste auf dem Server - unverschlüsselt. Ein ähnliches Problem gibt es auch bei Gruppen: Wer in einer Gruppe ist und wie diese heißt, wird üblicherweise im Klartext auf dem Server gespeichert, auch wenn die ausgetauschten Nachrichten selbst Ende-zu-Ende-verschlüsselt sind.
Aus diesem Grund gab es bei Signal lange genau genommen gar keine Gruppen, sondern nur ganz normale Nachrichten, die an mehrere Personen geschickt wurden. In diesen stand - natürlich verschlüsselt -, dass es sich um eine Nachricht an eine Gruppe handelte. Das hatte den Vorteil, dass der Server nur Nachrichten verteilen, sich aber nicht mit den Metadaten einer Gruppe auseinandersetzen musste.
Mittlerweile hat Signal mit einem Forschungsteam von Microsoft ein System entwickelt, bei dem die Metadaten verschlüsselt auf dem Signal-Server abgelegt werden und nur von den Gruppenmitgliedern eingesehen werden können. Neben Gruppenanrufen und -administration ermöglichen diese erst kürzlich eingeführten Gruppen, auch einzelne Mitglieder über sogenannte @mentions direkt anzusprechen oder Einladungslinks zu verschicken.
Verschlüsselung für die Massen
Trotz all der ausgefeilten Sicherheits- und Datenschutztechnik, die normalerweise dazu führt, dass nur noch eine Handvoll Nerds die Technik bedienen kann, erfüllt Signal auch sein oberstes Ziel: Verschlüsselung für die Massen (Encryption for the Masses). Das bedeutet aber auch, dass Signal nicht kompromisslos auf Datenschutz und Sicherheit achtet, sondern diese immer mit der Benutzerfreundlichkeit in Einklang bringt. Das hat bisher erstaunlich gut geklappt, befriedigt aber auch nicht (sofort) jeden exotischen Wunsch der Sicherheits- oder Datenschutzcommunity.
Trotz der hohen Benutzerfreundlichkeit - letztlich können alle, die Whatsapp bedienen können, auch mit Signal umgehen - schafft es der Anbieter, derzeit einer der sichersten und datenschutzfreundlichsten Messenger auf dem Markt zu sein. Auf einem höheren Niveau dürfte sich nur Briar bewegen , der auch die anonyme und internetlose Kommunikation in Krisengebieten unterstützt, beispielsweise von Journalisten mit ihren Quellen. Messenger wie Telegram, Whatsapp oder Wire, aber auch Matrix/Element sind wegen der Metadatenproblematik weit abgeschlagen. Was einigen Datenschützern aber trotzdem Sorge bereitet: Signal sitzt in den USA. Muss ein sicherer Messenger nicht aus Europa kommen?
Signal: Ein sicherer Messenger aus NSA-Land?
Neben der Nutzung von Servern bei Amazon, Cloudflare, Google und Microsoft wird häufig die Jurisdiktion des Messengers kritisiert: die Vereinigten Staaten. Auf den ersten Blick ist das durchaus logisch, sind die USA doch für ihre laschen Datenschutzgesetze und ihre umfangreichen Überwachungsmaßnahmen bekannt - Stichwort NSA-Skandal.
Insbesondere wird auf die National Security Letter (NSL) verwiesen: Damit kann das FBI Informationen von Firmen verlangen und ihnen gleichzeitig verbieten, über die Anfrage zu sprechen .
Doch bei den staatlichen Anfragen gilt letztlich das Gleiche wie bei den Servern von Amazon, Microsoft und Google: Daten, die man nicht hat, kann man auch schlecht herausrücken. Bestandsdaten jenseits der Telefonnummern erhebt Signal nicht, die Inhalte sind Ende-zu-Ende-verschlüsselt und können nur auf den jeweiligen Endgeräten entschlüsselt werden, die Metadaten werden stark reduziert.
Keine Daten, keine Antwort
Entsprechend karg fiel die Antwort auf eine Anfrage von US-Behörden aus , die 2016 alles wissen wollten, was der Dienst im Zusammenhang mit zwei Telefonnummern gespeichert hatte, darunter die Bestandsdaten, IP-Adressen und Kommunikationspartner.
Eine der beiden Nummern sei gar nicht bei Signal registriert gewesen, zur anderen seien die einzigen Informationen, die Signal übermitteln konnte, der Zeitpunkt, zu dem der Account mit der fraglichen Telefonnummer erstellt worden war, und der Zeitpunkt des letzten Logins gewesen, erklärte Projektgründer Moxie Marlinspike. Alle anderen Informationen seien entweder nicht erhoben worden oder aufgrund der eingesetzten Ende-zu-Ende-Verschlüsselung für das Unternehmen nicht einsehbar gewesen.
Allerdings musste Signal erst gegen eine sogenannte Gag Order klagen, um die entsprechende Anfrage öffentlich machen zu dürfen. Die betroffenen Personen durfte Signal jedoch weiterhin nicht informieren.
Bei aller berechtigten Skepsis gegenüber den USA muss aber auch gesagt werden: Deutschland und die EU werden zwar oft als perfekte Alternative für das Betreiben von Kommunikationsdiensten angepriesen, manche ihrer Gesetze sind aber ähnlich fragwürdig.
Deutschland ist keine gute Jurisdiktion für Messenger
Auch die hiesigen Telekommunikationsdienste sind dazu verpflichtet, den Sicherheitsbehörden Daten preiszugeben, ohne dass sie ihre Nutzer darüber informieren dürfen. Ab einer bestimmten Größe müssen die Dienstleister zudem Überwachungsschnittstellen für die Sicherheitsbehörden bereithalten.
Zwar ist es im Gesetz vorgesehen, dass die Betroffenen nach einer heimlichen Überwachungsmaßnahme von den entsprechenden Behörden informiert werden - in der Praxis findet das jedoch fast nicht statt.
Galten bisher nur Internet und Telefon als Telekommunikationsdienste, werden nach der Novelle des Telekommunikationsgesetzes (TKG) auch sogenannte Over-the-Top-Dienste wie Messenger oder E-Mail dazu gezählt - mitsamt der Überwachungsanforderungen.
Auch in Deutschland gibt es obendrein Gerichtsbeschlüsse, die Anbieter dazu verpflichten, ihre gute Datenschutz- und Sicherheitspraxis zu unterhöhlen. So wurde der E-Mail-Anbieter Posteo dazu gezwungen , IP-Adressen seiner Kunden auf Verlangen der Sicherheitsbehörden mitzuloggen. Dabei hatte Posteo die IP-Adressen bewusst serverseitig nicht erhoben. Eine Verfassungsbeschwerde des Anbieters wurde zurückgewiesen. Ein durchaus erstaunlicher Vorgang, da bisher nur bereits vorhandene Daten beauskunftet werden mussten.
Ähnliches widerfuhr dem E-Mail-Anbieter Tutanota, der alle eingehenden E-Mails automatisch verschlüsselt. Tutanota musste nach einem entsprechenden Gerichtsbeschluss eine Software programmieren , welche die E-Mails auf Anfrage von Sicherheitsbehörden vor der Verschlüsselung ausleiten kann.
Vorbeugen gegen Überwachung
Die beiden Fälle zeigen, dass auch in Deutschland serverseitige Schutzmaßnahmen durch Sicherheitsbehörden und Gerichte ausgehebelt werden können. Doch der Fall Tutanota zeigt auch noch etwas anderes: Der Anbieter verschlüsselt alle E-Mails, die zwischen den Tutanota-Nutzern ausgetauscht werden, Ende-zu-Ende. Die E-Mails können auf dem Server nicht vor der Verschlüsselung oder nach dem Entschlüsseln abgefangen werden.
Das gilt auch für Signal: Da der Server nur verschlüsselte und metadatenreduzierte Daten erhält, wäre eine serverseitige Überwachungsschnittstelle wenig wirkungsvoll. Zudem sind Veränderungen im Code der App oder des Servers öffentlich einsehbar, da beide Open Source sind. Im Falle der App lässt sich über Reproducible Builds zudem feststellen(öffnet im neuen Fenster) , ob nur der veröffentlichte Code in der App steckt.
Letztlich bietet also weniger der Standort, sondern vor allem die Technik einen Schutz. Findet die Verschlüsselung und Verschleierung der Daten primär an den Endpunkten statt, wird der Server nur noch zu einer Relaisstation, die unlesbare Daten verteilt. Dabei ist es bis zu einem gewissen Grad tatsächlich egal, in welchem Land oder in welchem Rechenzentrum die Server stehen.
Einschränkung der Ende-zu-Ende-Verschlüsselung ist eine Bedrohung - für alle sicheren Messenger
Deutlich bedrohlicher für Signal und letztlich alle Messengernutzer sind derweil die Pläne, die Ende-zu-Ende-Verschlüsselung in den Messengern einzuschränken . Entsprechende Initiativen werden von der Bundesregierung , der EU-Kommission und dem EU-Ministerrat vorangetrieben und zielen auf einen staatlichen Zugriff auf die Ende-zu-Ende-verschlüsselten Inhalte ab - was letztlich einer Abschaffung der Ende-zu-Ende-Verschlüsselung gleichkäme, schließt sie per Definition doch das Mitlesen durch Dritte aus.
Die Pläne finden sich bereits in einem Richtlinienentwurf der EU-Kommission wieder. Doch auch in den USA gibt es mit dem Earn IT Act ein ähnliches Gesetzesvorhaben , das die Nutzung von Ende-zu-Ende-Verschlüsselungen praktisch unmöglich machen könnte. Sollte es dazu kommen, könnte sich das kleine gemeinnützige Unternehmen Signal dazu gezwungen sehen, die USA zu verlassen, um den Dienst aufrechtzuerhalten.