Ist Signal Messenger gefährdet?
Datenleck bei Signal?
Gestern wurde eine neue Schwachstelle im Signal Messenger entdeckt, die von @mysk_co gefunden wurde.
Was sind die Probleme?
Problem 1.
Nachrichten werden in einer verschlüsselten Datei gespeichert, der lokale Schlüssel wird jedoch im Klartext in einer Datei namens config.json gespeichert. Die Datei ist an einem Ort gespeichert, auf den jede Anwendung zugreifen kann, wodurch die Verschlüsselung unwirksam wird. Dieses Problem ist seit langem bekannt.
Problem 2.
Medienanhänge, wie z.B. gesendete und empfangene Fotos, werden unverschlüsselt lokal gespeichert.
Was ist nun zu tun?
Wir empfehlen, alle Desktop-Geräte von eurem Signal-Account zu trennen. Die Probleme betreffen nicht nur MacOS, sondern auch andere Desktop-Plattformen. Es ist immer noch sicher, die mobile App zu verwenden, wenn ihr eure Familie bereits darauf eingestellt habt. Wer maximale Privatsphäre sucht, sollte zusätzlich einen Blick auf SimpleX werfen und die wichtigsten Datenschutz-Einstellungen am Smartphone setzen.
Hintergrund: Was bedeutet das für Ende-zu-Ende-Verschlüsselung?
Ende-zu-Ende-Verschlüsselung schützt Nachrichten auf dem Übertragungsweg – aber nicht unbedingt auf dem Gerät selbst. Wenn der lokale Schlüssel im Klartext gespeichert wird, nützt die beste Transportverschlüsselung nichts: Ein Angreifer mit Zugriff auf das System kann die Datenbank direkt entschlüsseln. Genau das ist das beschriebene Problem bei Signal Desktop.
Das bedeutet nicht, dass Signal Desktop grundsätzlich unsicher ist. Es bedeutet, dass der Schutz der Nachrichten mit dem Schutz des Geräts steht und fällt. Wer ein sicheres Betriebssystem wie GrapheneOS auf dem Smartphone nutzt und Signal möglichst nur auf dem Mobilgerät verwendet, ist deutlich besser aufgestellt. Die wichtigsten Datenschutz-Einstellungen am Smartphone sollten dabei die Grundlage sein.
Wer maximale Privatsphäre benötigt oder besonders gefährdet ist – Aktivisten, Journalisten, Whistleblower – sollte zusätzlich über SimpleX nachdenken. Mehr über das Thema Ende-zu-Ende-Verschlüsselung erklären wir in einem separaten Artikel. Grundsätzlich gilt: Jede Sicherheitslösung ist nur so stark wie das schwächste Glied in der Kette – meist das Gerät selbst.
Praktische Empfehlungen für Signal-Nutzer
Für die meisten Nutzer ist Signal trotz dieser Schwachstellen deutlich sicherer als WhatsApp, Telegram oder SMS. Die beschriebenen Desktop-Probleme lassen sich mit einigen Maßnahmen entschärfen:
- Signal Desktop entfernen oder ausschließlich auf Geräten mit aktivierter Festplatten-Vollverschlüsselung (FileVault, BitLocker, LUKS) verwenden
- Nur die mobile App als primäre Kommunikationsplattform nutzen – auf GrapheneOS mit zusätzlichem App-Sandboxing bietet Signal mobil ein sehr hohes Schutzniveau
- Disappearing Messages aktivieren – automatisch löschende Nachrichten reduzieren das Risiko bei einem späteren Gerätezugriff erheblich
- Screen Security aktivieren – verhindert, dass Signal-Inhalte im App-Switcher des Betriebssystems sichtbar sind
Wer regelmäßig über sensible Themen kommuniziert, sollte zusätzlich SimpleX evaluieren – ein Messenger ohne zentrale Server und ohne Telefonnummer als Identifikator. Für den Großteil der Nutzer bleibt Signal dennoch die empfohlene Standardwahl gegenüber den Alternativen aus dem Big-Tech-Umfeld.
Bis zum nächsten Mal.
Souverän sein. Nicht nur online. Stackt Sats und bleibt geschmeidig!
Berater für Informationssicherheit · Bitcoinlighthouse
Seit 2021 helfe ich Menschen dabei, sich durch Open-Source-Lösungen wie Bitcoin, Linux und GrapheneOS unabhängiger zu machen und digitale Sicherheit sowie Souveränität zu erlangen.
Verwandte Beiträge

BGH-Urteil: Ermittler dürfen Smartphones per Fingerabdruck zwangsentsperren
Seit dem BGH-Urteil vom März 2025 ist klar: Behörden können deinen Fingerabdruck zur Handy-Entsperrung erzwingen. Wie du dein Gerät jetzt schützt und welche Rechte du hast. Kernentscheidung des BGH Der

Telegram und X geben nach: Rückschläge für die digitale Privatsphäre
Im aktuellen Streit um den Datenschutz und die Privatsphäre in sozialen Netzwerken haben die Plattformen Telegram und X bedeutende Rückschläge erlitten. Die Änderungen bei Telegram und X werfen ernsthafte Fragen zum Datenschutz und

Bitcoin steuerfrei nach einem Jahr – warum die Spekulationsfrist nicht der Punkt ist
Nach einem Jahr Haltedauer ist Bitcoin in Deutschland steuerfrei – noch. Was Spekulationsfrist, Haltefrist und § 23 EStG wirklich bedeuten – und warum eigene Node, non-KYC und Selbstverwahrung am Ende mehr zählen als jede Regel, die der Staat gerade selbst abschaffen will.


