Ist Signal Messenger gefährdet?

Ist Signal Messenger gefährdet?

Michael WolfMichael Wolf·

Datenleck bei Signal?

Gestern wurde eine neue Schwachstelle im Signal Messenger entdeckt, die von @mysk_co gefunden wurde.

Was sind die Probleme?

Problem 1.

Nachrichten werden in einer verschlüsselten Datei gespeichert, der lokale Schlüssel wird jedoch im Klartext in einer Datei namens config.json gespeichert. Die Datei ist an einem Ort gespeichert, auf den jede Anwendung zugreifen kann, wodurch die Verschlüsselung unwirksam wird. Dieses Problem ist seit langem bekannt.

Problem 2.

Medienanhänge, wie z.B. gesendete und empfangene Fotos, werden unverschlüsselt lokal gespeichert.

Was ist nun zu tun?

Wir empfehlen, alle Desktop-Geräte von eurem Signal-Account zu trennen. Die Probleme betreffen nicht nur MacOS, sondern auch andere Desktop-Plattformen. Es ist immer noch sicher, die mobile App zu verwenden, wenn ihr eure Familie bereits darauf eingestellt habt. Wer maximale Privatsphäre sucht, sollte zusätzlich einen Blick auf SimpleX werfen und die wichtigsten Datenschutz-Einstellungen am Smartphone setzen.

Hintergrund: Was bedeutet das für Ende-zu-Ende-Verschlüsselung?

Ende-zu-Ende-Verschlüsselung schützt Nachrichten auf dem Übertragungsweg – aber nicht unbedingt auf dem Gerät selbst. Wenn der lokale Schlüssel im Klartext gespeichert wird, nützt die beste Transportverschlüsselung nichts: Ein Angreifer mit Zugriff auf das System kann die Datenbank direkt entschlüsseln. Genau das ist das beschriebene Problem bei Signal Desktop.

Das bedeutet nicht, dass Signal Desktop grundsätzlich unsicher ist. Es bedeutet, dass der Schutz der Nachrichten mit dem Schutz des Geräts steht und fällt. Wer ein sicheres Betriebssystem wie GrapheneOS auf dem Smartphone nutzt und Signal möglichst nur auf dem Mobilgerät verwendet, ist deutlich besser aufgestellt. Die wichtigsten Datenschutz-Einstellungen am Smartphone sollten dabei die Grundlage sein.

Wer maximale Privatsphäre benötigt oder besonders gefährdet ist – Aktivisten, Journalisten, Whistleblower – sollte zusätzlich über SimpleX nachdenken. Mehr über das Thema Ende-zu-Ende-Verschlüsselung erklären wir in einem separaten Artikel. Grundsätzlich gilt: Jede Sicherheitslösung ist nur so stark wie das schwächste Glied in der Kette – meist das Gerät selbst.

Praktische Empfehlungen für Signal-Nutzer

Für die meisten Nutzer ist Signal trotz dieser Schwachstellen deutlich sicherer als WhatsApp, Telegram oder SMS. Die beschriebenen Desktop-Probleme lassen sich mit einigen Maßnahmen entschärfen:

  • Signal Desktop entfernen oder ausschließlich auf Geräten mit aktivierter Festplatten-Vollverschlüsselung (FileVault, BitLocker, LUKS) verwenden
  • Nur die mobile App als primäre Kommunikationsplattform nutzen – auf GrapheneOS mit zusätzlichem App-Sandboxing bietet Signal mobil ein sehr hohes Schutzniveau
  • Disappearing Messages aktivieren – automatisch löschende Nachrichten reduzieren das Risiko bei einem späteren Gerätezugriff erheblich
  • Screen Security aktivieren – verhindert, dass Signal-Inhalte im App-Switcher des Betriebssystems sichtbar sind

Wer regelmäßig über sensible Themen kommuniziert, sollte zusätzlich SimpleX evaluieren – ein Messenger ohne zentrale Server und ohne Telefonnummer als Identifikator. Für den Großteil der Nutzer bleibt Signal dennoch die empfohlene Standardwahl gegenüber den Alternativen aus dem Big-Tech-Umfeld.

Bis zum nächsten Mal.

Souverän sein. Nicht nur online. Stackt Sats und bleibt geschmeidig!

Michael Wolf
Michael Wolf

Berater für Informationssicherheit · Bitcoinlighthouse

Seit 2021 helfe ich Menschen dabei, sich durch Open-Source-Lösungen wie Bitcoin, Linux und GrapheneOS unabhängiger zu machen und digitale Sicherheit sowie Souveränität zu erlangen.

Verwandte Beiträge