Nervige Diskussion immer mit Leuten, die meinen, sie hätten nichts zu verheimlichen, wenn es um die Sicherheit von Messengern am Smartphone und ihr Privatleben geht. Freunde, jeder der nicht nackt durch die Fußgängerzone geht und abends die Rollos am Fenster herunter lässt, hat etwas zu verbergen! Das nennt sich Privatsphäre. Und die gilt es mehr oder weniger zu schützen. Klar, letztlich Sache jedes Einzelnen. Ich für meinen Teil schaue schon, dass ich meine (Meta-)Daten bestmöglich schütze bzw. verschleiere. Für belanglosen Smalltalk und die Erreichbarkeit der breiten Masse im Freundeskreis meiner Person nutze ich den Facebook Messenger. Daneben bin ich per Threema erreichbar. Und Signal. Das muss dann auch schon reichen.
Signal ist aus dem sicheren Messenger TextSecure und der VoIP-Telefonapp RedPhone der Entwickler von Open Whisper Systems hervor gegangen. Mal davon ab, dass der Messenger nach den Leaks durch Edward Snowden und dessen Bekenntnis zum Messenger einiges an Zulauf erhalten haben dürfte – er und einige andere mehr oder (eher) weniger bekannte Personen werden dazu auf der Homepage zitiert – habe ich seinerzeit schon TextSecure installiert gehabt. Einfach aus dem Grund, weil ich auf meinem Nexus Google Hangouts nicht für SMS nutzen wollte. Da TextSecure damals schon als alternative SMS-App herhalten konnte und unter Nutzern des Messengers gleich auch noch eine Ende-zu-Ende-Verschlüsselung bot, war das für mich und meinen 12,37 SMS pro Monat keine schwere Entscheidung. Für die paar SMS, für die ich TextSecure hauptsächlich nutzen wollte, brauche ich keine wahnsinnig anpassbare App mit Profilbildern, Nicknames und anpassbaren Hintergrundbildern oder bunten Themes. Und ja, mir war und ist bewusst, dass SMS/MMS über die App nicht (mehr) verschlüsselt werden.
Was bietet Signal also nun, was ihn von anderen Messengern abheben soll?
Neben generell Ende-zu-Ende verschlüsselter Einzel- und Gruppenchats zwischen Signalnutzern mit der Möglichkeit, Audio- Video- und Bilddateien zu versenden, kann man ebenfalls seinen Standort und Kontakte aus dem eigenen Adressbuch weiterleiten. Wer jetzt mitgedacht hat, wird festgestellt haben, dass Signal Zugriff auf die Kontakte hat. Ja, dass soll wohl wie bei sämtlichen anderen Messengern in Verbindung mit der eigenen Telefonnummer zur einfacheren Nutzung von Signal beitragen. Denn so fällt immerhin eine Anmeldung mittels PIN oder Passwort weg.
Hier wird mit einer Bestätigungs-SMS gearbeitet, welche automatisch von Signal erkannt wird, sofern man der App nicht mittels anderer Apps die Rechte zum Lesen von SMS bzw. den Zugriff auf andere Apps verwehrt. Besser fände ich persönlich natürlich eine ID wie bei Threema. Einen bzw. seinen und den Schlüssel des jeweiligen Partners kann man über die Optionen der jeweiligen Unterhaltung aber einsehen. Diese können auch manuell neu vergeben werden.
Passend zur Verschlüsselung gibt Open Whisper Systems an, natürlich keinerlei Daten auf ihren Servern zu speichern. Wie gut das bei Anfragen diverser US-Geheimdienste funktioniert, bleibt natürlich wie immer fraglich, jedoch scheint schon etwas mehr dran zu sein, da Edward Snowden eben auf diesen Messenger setzt. Da Signal laut Wikipedia die Kommunikation über die Verbindungen des Google Cloud Messeging abwickelt, könnten dort leider trotz Verschlüsselung immer noch einige Metadaten abgegriffen werden. 
Verschlüsselte Verbindungen erkennt man übrigens am Schloss bei den Nachrichten und am Platzhalter in der Eingabezeile. Bei verschlüsselter Verbindung steht dort ‘Signal-Nachricht senden’. Im gegenteiligen Fall liest man dort ‘unsichere SMS senden’ und es sind keine Schlösser an den Nachrichten. Übrigens ist dann auch nur ein Haken an den gesendeten Nachrichten, der wohl nur den erfolgreichen Versand anzeigt. Nutzen beide Schreiber Signal, sind Whatsapp-like zwei Haken vorhanden.
Die Verschlüsselung arbeitet auf Basis einer von Moxie Marlinspike – einer der Entwickler von Signal – und Trevor Perrin entwickelten Lösung namens Axolotl. Dieses Kommunikationsprotokoll nutzt für die Verschlüsselung nicht nur Sicherheitsschlüssel mit langfristiger Gültigkeit, sondern vor allem mittelfristig gültige Schlüssel für einzelne Sitzungen. Dieses Verfahren soll bei einer Kompromittierung eines Nutzers dem Angreifer allzu weit in der Vergangenheit liegenden, sowie bei zukünftigem Nachrichtenaustausch, eine Entschlüsselung verwehren. Ein möglicher Angreifer erhielte also nur auf einen bestimmten Teil der Nachrichten Zugriff und müsste dann erneut den kurzlebigen Schlüssel knacken. Perrin und Marlinspike haben sich bei der Namensgebung übrigens von einem vom Aussterben bedrohten Lurch mit dem Namen Axolotl inspirieren lassen. Dieser Lurch verfügt über eine außergewöhnliche Selbstheilung, welchen Umstand die beiden mit den kurzfristig gültigen Schlüsseln assoziieren. Hoffen wir, dass die namensgebende Lurchart durch die Bedrohung des Aussterbens kein schlechtes Omen für Signal ist.
Wird in den Einstellungen der App zudem ein Passwort für die App eingerichtet, sollen sämtliche Nachrichten verschlüsselt lokal auf dem Gerät abgelegt und natürlich der Zugriff auf die Nachrichten ungeachtet der aktivierten Gerätesperre zusätzlich geschützt werden. Leider konnte ich bisher den Menüeintrag für den Export einer verschlüsselten Sicherung nicht finden, bzw. ist er (noch?) nicht vorhanden. Auch einem Freund, der freundlicherweise als Gesprächspartner fungierte, stand diese Option nicht zur Verfügung. Verfügbar ist hingegen eine Klartextsicherung der SMS-Datenbank. Diese kann in anderen Apps später ggf. importiert werden. Auch der Import der System-SMS-Datenbank ist möglich. Sinnvoll, wenn man eben wie ich zum Zeitpunkt des Wechsels der SMS-App keine Nachrichten verlieren möchte.
Wer – wie auch immer er daran gekommen sein mag – eine verschlüsselte Sicherung wieder herstellen möchte, sollte sich bewusst sein, dass exakt der Zustand wieder hergestellt wird, der zum Zeitpunkt dieser Sicherung existierte. Es gehen also ungespeicherte Daten bis zu diesem Punkt verloren. Darauf wird man vor dem Wiederherstellen der Sicherung hingewiesen. Auch, dass dabei der persönliche Schlüssel auf den alten Stand zurück gesetzt wird.
Was bleibt noch zu erwähnen?
Kontakte können blockiert werden. Auch eine Stummschaltung von Unterhaltungen ist vorhanden; mindestens eine Stunde, maximal ein Jahr. Um das mobile Surfkontingent nicht überzustrapazieren, hat der Nutzer die Möglichkeit, festzulegen, welche Medien bei welchen Verbindungen herunter geladen werden dürfen. Gut finde ich dabei, dass man dies für Roaming getrennt einstellen kann. Auch praktisch finde ich die Einstellung, Nachrichten aus den Unterhaltungen mit dem Erreichen einer definierbaren Anzahl an Mitteilungen automatisch zu löschen.
Neben dem Zugriffschutz per Passwort kann in der App das Aufnehmen von Screenshots verhindert werden. Das mag erst einmal überflüssig wirken, wenn man die App sowieso per Passwort vor fremden Augen gesichert hat. Schließlich kann diese Funktion bei freigegebener App direkt deaktiviert werden. Allerdings könnten so eben auch Screenshots in der App bei einem kompromittierten Smartphone durch den Angreifer verhindert werden.
In den weiteren Einstellungen kann man übrigens Signal-Nachrichten und Anrufe deaktivieren, Senden per Eingabetaste de-/aktivieren und die App bitten, auf System-Emojis statt der eigenen zurückzugreifen. Wer weitere Geräte mit Signal nutzt, kann diese miteinander verknüpfen: So zum Beispiel die Chrome-Erweiterung (Beta, Anmeldung per Warteliste möglich) für den Desktopeinsatz von Signal. Andere Geräte können dann ziemlich simpel über das Einlesen eines QR-Codes in die Liste aufgenommen werden. Ach ja, Benachrichtigungen. Sind zwar essentiell bei einem Messenger, deren Variationen jedoch nicht überraschend. Benachrichtigungen generell de-/aktivieren, Benachrichtigungston, Vibration, LED an/aus, Blinkmuster und Farbe für selbige, Benachrichtigungen wiederholen, was in den Benachrichtigungen angezeigt werden soll (Name, Nachricht, nichts davon), und sich über neue Nutzer aus den Kontakten von Signal informieren lassen.
Neben dem Messeging ist auch verschlüsselte Telefonie möglich. Hier wird dann im jeweiligen Kontakt am Telefonhörer oben rechts ebenfalls ein Schloss angezeigt. Möchte man einen Kontakt aus der App anrufen, der Signal nicht nutzt, wird hierbei das Gespräch auf die nativ eingestellte Telefonapp umgeleitet. Das Gespräch wird dann logischerweise unverschlüsselt geführt.
Open Whisper Systems wirbt mit kristallklarem Klang der Gespräche. Möglichkeiten zur Optimierung der Qualität selbiger gibt die App leider nicht her. Zumindest fände ich es sinnvoll, bei ganz mieser Netzanbindung manuell zwischen SD und HD Qualität wählen zu können.
Ein paar Randbemerkungen möchte ich nicht unerwähnt lassen.
Es existiert ein Fork von Signal, der ohne die Google Cloud Messaging Anbindung auskommt – LibreSignal – und zu Signal kompatibel ist. Wer sich dazu weiter einlesen möchte, findet weitere Informationen hier: https://www.kuketz-blog.de/android-signal-ohne-google-cloud-messaging/
Wer übrigens vielleicht Threema nicht nutzen möchte, weil die Software Closed Source ist, dem sei hiermit mitgeteilt, dass Signal Open Source und auf Github zum Kompilieren heruntergeladen werden kann. Wie immer sage ich zur Diskussion Closed vs. Open: Ich selbst kann es vielleicht kompilieren. Wer aber garantiert mir, dass da nicht schon im Sourcecode schädlicher Code versteckt ist? Wie immer muss ich also jemand anderem vertrauen, da ich den Code nicht überprüfen kann.
Die Verschlüsselung von Signal wurde von übrigens sogar Whatsapp adaptiert, ist jedoch nicht zu Signalnutzern kompatibel. Auf eine lückenlose und fehlerfreie Verschlüsselung von Whatsapp würde ich allerdings derzeit noch nicht setzen, da hier seitens diverser Spezialisten (u.a. heise hat dazu zwei Berichte) wohl trotz einiger Fortschritte nicht gänzlich überzeugt sind.
i can compute 
„Ich selbst kann es vielleicht kompilieren. Wer aber garantiert mir, dass da nicht schon im Sourcecode schädlicher Code versteckt ist?“
Die Antwort ist recht einfach … wer im Leben nach absoluten Garantien sucht, verbringt das ganze Leben nur mit suchen. Es geht um Wahrscheinlichkeiten. Die Idee ist halt, dass zig Leute mit verschiedenen Blickwinkeln und KnowHow an dem Quellcode arbeiten und ihn sichten und dadurch eine erhöhte(!) Sicherheit entsteht.
LikeLike
Das ist zumindest durchaus logisch.
Ich wollte damit andeuten, dass ich als Otto-Nutzer immer jemandem Vertrauen schenken muss. Entweder dem Entwickler (Closed Source) oder der Community (Open Source). Ganz einfach aus dem Grund, dass ich selbst den Code nicht verifizieren kann. Diese Diskussion kommt ja gerne auf den Tisch, wenn es bei Threema um die Sicherheit der Verschlüsselung geht.
Eine Garantie erwarte ich auch nicht, da Software immer Lücken haben kann.
LikeLike
Pingback: Messenger Signal – Desktop Client in der offenen Beta | i can compute
Zitat: „Übrigens ist dann auch nur ein Haken an den gesendeten Nachrichten, der wohl nur den erfolgreichen Versand anzeigt“
Ich möchte folgendes hinzufügen: Nach SMS- Versand über Signal erscheint ein zweiter Haken als Benachrichtigung, wenn eine Empfangsbestätigung angefordert wurde und Signal diese erhalten hat.
LikeLike
Tatsächlich? Habe bei SMS die Empfangsbestätigung deaktiviert. Wenn das allerdings so diskret erfolgt, werde ich das auch mal aktivieren.
Danke für den Hinweis!
LikeLike
Ich blicke noch nicht durch: Wofür bitte ist Signal?
Zum sicheren Senden und Empfangen von SMS oder ein sicherer Whatsapp/Threema-Ersatz? SMS und normales Messaging ala Whatsapp sind ja wohl zwei paar Schuhe.
LikeLike
Signal ist hauptsächlich ein Messenger, der verschlüsselte Kommunikation zwischen den Nutzern erlaubt. Und zusätzlich als alternative SMS App genutzt werden kann.
So wie Hangouts oder der Facebook Messenger. Nur eben mit richtiger E2E Verschlüsselung beim Messenger. SMS werden eben nicht mehr verschlüsselt.
LikeLike
Danke für die schnelle Antwort und sorry, wenn ich noch einmal nachhake:
Wenn ich jetzt Signal auf Android starte, auf den Pen tippe, um eine Msg. zu schreiben kann ich eine Person aus der Kontaktliste auswählen. Doch statt eine Msg. zu senden, z.B. via Whatsapp, um die Person nach Signal einzuladen, sendet Signal offenbar eine unverschlüsselte SMS. Ich gehe zudem davon aus, dass diese SMS kostenpflichtig ist, oder?
Wie funktioniert jetzt der Übergang von SMS auf einen „richtigen“ Messenger-Kontakt mit Signal?
LikeLike
Hi Mino,
kein Ding. Dafür mache ich das Blog ja unter anderem.
Wenn ich jetzt Signal auf Android starte, auf den Pen tippe, um eine Msg. zu schreiben kann ich eine Person aus der Kontaktliste auswählen. Doch statt eine Msg. zu senden, z.B. via Whatsapp, um die Person nach Signal einzuladen, sendet Signal offenbar eine unverschlüsselte SMS.
Korrekt. Signal versendet leider keine echten verschlüsselten SMS mehr. Das hat laut der Entwickler technische Hintergründe.
Ich gehe zudem davon aus, dass diese SMS kostenpflichtig ist, oder?
Ebenfalls korrekt. Signal versendet die SMS zu den Kosten deines Tarifes.
Nutzt dein Kontakt kein Signal, bekommt er ganz normale SMS in der App, die er dafür nutzt, sobald du ihm über Signal eine Nachricht schreibst. Dazu solltest du zuvor in den Einstellungen von Signal die App als Standard-App für SMS/MMS festlegen. Dazu gehst du wie folgt vor: Über die drei Punkte oben rechts in Signal Einstellungen/SMS und MMS. Dort kannst du Signal zur Standard-SMS-App machen. Außerdem solltest du noch in den Einstellungen/Weitere Einstellungen die obere Option „Signal-Nachrichten und -Anrufe“ aktivieren. Ggf. wird dir angeboten, SMS aus deiner bisher genutzten SMS-App zu importieren.
Wie funktioniert jetzt der Übergang von SMS auf einen „richtigen“ Messenger-Kontakt mit Signal?
Nutzt dein Kontakt ebenfalls Signal, kommuniziert ihr verschlüsselt per Messenger wie auch bei Whatsapp. Nutzt dein Kontakt kein Signal, greift wieder meine Erklärung unter dem vorigen Absatz.
Wie du anschließend den Unterschied zwischen einer unverschlüsselten normalen SMS und der verschlüsselten Kommunikation mit einem Signal-Kontakt erkennst, habe ich ja oben im Beitrag erläutert. Wenn du dazu noch Fragen hast, frag. :)
LikeLike
Hallo Peter,
habe vor ein paar Tagen Signal auf meinem Android-Handy installiert und bin mit dieser App noch nicht gut vertraut. Anfänglich lief alles einwandfrei. Beim Senden von Nachrichten, mit und ohne Anhängen, wurden diese mit 2 Häkchen gekennzeichnet. Nun erscheint aber nur noch ein Häkchen. Kannst du mir bitte erklären was die beiden Häkchen bedeuten und welche Einstellungen ich aktivieren muss.
Im Voraus vielen Dank
Gruß
Pit
LikeLike
Hi Pit,
gerne. Bei Nachrichten zwischen Signal-Nutzern bedeutet ein Haken, die Nachricht wurde vom Server an den Empfänger weiter geleitet. Zwei Haken bedeuten, sie ist auch dort angekommen – aber nicht zwangsläufig schon gelesen.
Bei Nachrichten von dir an Nicht-Signal-Nutzer bedeutet ein Haken ebenfalls, die Nachricht wurde vom Server an den Empfänger weiter geleitet – in dem Fall als SMS, sofern du Signal (wie ich) als Standard-App für SMS eingerichtet hast. Der zweite Haken bei so gesendeten SMS erscheint erst, wenn du in Signal die Empfangsbestätigung für SMS aktiviert hast: Einstellungen/SMS und MMS/SMS-Zustellberichte.
Ich hoffe, das hilft dir weiter.
LikeLike
Hallo Peter,
vielen Dank für die schnelle Info. SMS-Zustellberichte war nicht aktiviert. Dies habe ich eben gemacht. Gerade habe ich auch eine Nachricht von einem Signal-Nutzer erhalten. Eine Kommunikation innerhalb Signal funktioniert.
Nochmals Danke.
LikeLike
Gern geschehen. Freut mich, wenn dir meine Antwort geholfen hat!
LikeLike
Hallo,
ich habe Signal installiert, würde es gerne als Ersatz für die normalen SMS und MMS benutzen, da laut meinem Vertrag diese kostenpflichtig sind. Versendet Signal SMS gratis, wenn ich ihn als Ersatz für SMS Versenden nehme, oder sind sie beim Provider auch kostenpflichtig? Danke voraus für die Antwort …LG Sarah
LikeLike
Hi Sarah,
das geht nicht bzw. sind die SMS via Signal entsprechend deines Tarifs kostenpflichtig. Da ist es übrigens auch egal welche App du für SMS her nimmst. Jede App, die (echte) SMS versendet, tut das mit dem SMS Protokoll über das Mobilfunknetz. Und das bekommt dein Provider natürlich mit, weil jede SMS über deren Server läuft, bevor sie beim eigentlichen Empfänger ankommt.
Grüße
LikeLike
Danke…schade! Welchen Messenger würdest du für Tablet empfehlen, der nicht über das SMS-Protokoll läuft, sondern über die Datennutzung? Whatsapp gibt es für Tablet leider nicht…. LG Sarah
LikeLike
Ui. Ich habe zwar ein Kindle Fire hier herumliegen, einen Messenger nutze ich darauf allerdings nicht. Von daher kann ich dir leider keine Empfehlung geben, welche Messenger von Haus aus auf Tablets laufen.
Als Nerd ziehe ich mir in solchen Fällen immer ein Backup der apk vom Smartphone, kopiere die auf das Tablet und installiere die App auf diesem Wege. Selten sind das nämlich technische Einschränkungen, sondern einfach, weil die Entwickler die App nicht für die Nutzung auf großen Tablet-Displays vorgesehen haben.
LikeLike
Hallo, habe Signal runtergeladen und soweit hat alles prima funktioniert. Aber aus irgend einem Grund, kann ich jetzt keine SMS mehr verschicken und empfangen, wenn ich nicht via Wlan online bin. Ursprünglich stand im Text Feld „unsichere SMS“, da gings noch; jetzt steht nichts mehr und der Sendepfeil ist blau. D.h. ich kann für eine Nachricht auf „unsicher“ wechseln, aber anschliessend ist die Standardeinstellung wieder „sicher“. Was habe ich falsch eingestellt?!
LikeLike
Entschuldige die verspätete Antwort.
Auch wenn du anderweitig schon eine Lösung gefunden haben solltest, möchte ich trotzdem antworten.
Da ich das Problem noch nicht hatte, kann ich nur vermuten, dass Signal nicht mehr als Standard-App für SMS eingerichtet ist. Oder du hast evlt. die SMS-Funktion in Signal selbst deaktivert. Kannst du ganz simpel in den Einstellungen aktivieren. Direkt der oberste Eintrag. Mehr kann ich dazu leider auch nicht sagen. Ferndiagnosen sind immer schwierig.
LikeLike
Was bedeutet es bei Signal denn, wenn die Haken vor einem schwarzen Hintergrund sind?
LikeLike
Ich weiss … ist sehr weit weggeholt, in der passenden Produkt-FAQ des Herstellers nachzuschauen, aber villeicht hilft es ja:
https://support.signal.org/hc/de/articles/360007320751-Woher-wei%C3%9F-ich-ob-meine-Nachricht-zugestellt-oder-gelesen-wurde-
LikeLike