Über fatale Sicherheitslücken ist der Krypto-Messenger Signal bislang noch nicht gestolpert. Doch der Schutz der Privatsphäre hört bei Verschlüsselung nicht auf, wie die Anordnung eines US-Gerichts zeigt. Nun hat Signal auch diesen Test bestanden.

Kaum ein Name fällt so häufig wie „Signal“, wenn es um die Wahl einer sicheren und datenschutzfreundlichen App geht, mit der es sich Ende-zu-Ende-verschlüsselt kommunizieren lässt. Die im Quelltext verfügbare Software von Open Whisper Systems war von Beginn an darauf ausgelegt, die Privatsphäre der Nutzer zu wahren und dabei möglichst wenige Daten zu sammeln. Nicht von ungefähr genießt sie deshalb einen hervorragenden Ruf. Prominente Unterstützung erhielt der Messenger, der mittlerweile als Chrome-Erweiterung auch auf dem Desktop angekommen ist, unter anderem von Whistleblower Edward Snowden: Er benutze Signal jeden Tag, erklärte Snowden im Vorjahr.

Nun wurden die gut klingenden Behauptungen erstmals einer Probe unterzogen, zumindest auf einer legalen Ebene. Open Whisper Systems flatterte dieses Jahr eine Anordnung eines US-Bundesbezirksgerichts in Virginia ins Haus, die den Anbieter zur Herausgabe von Nutzerdaten und zudem zur absoluten Geheimhaltung („gag order“) verpflichtet hatte. Mit Hilfe der Bürgerrechtsorganisation ACLU (American Civil Liberties Union) gelang es dem Unternehmen, die Schweigeverpflichtung aufzuheben und einige Details der Anfrage öffentlich zu machen.

Breit gefasste Anfragen

Die Behörden verlangten in ihrer breit gefassten Anfrage die Daten von zwei mutmaßlichen Nutzern, wobei nur einer davon Signal auch tatsächlich im Einsatz hatte. Neben Namen, IP-Adressen und der kompletten Account-Historie verlangten die Ermittler zudem etwaige Bezahlinformationen sowie über ein Tracking-Cookie verknüpfte weitere Accounts der Nutzer.

Aus der nun veröffentlichten Antwort geht hervor, dass Open Whisper Systems lediglich zwei Informationen vorlagen: der Zeitpunkt, zu dem der Account angelegt wurde, und wann er sich zuletzt mit den Signal-Servern verbunden hatte.

Datensparsamkeit zahlt sich aus

„Der Signal-Dienst wurde so entwickelt, dass wir möglichst wenige Daten sammeln“, sagte Moxie Marlinspike, der Gründer von Open Whisper Systems der New York Times. Selbst Informationen darüber, wer mit wem kommuniziert, würden nicht gespeichert. Die Inhalte der Gespräche selbst sind mit Hilfe von Ende-zu-Ende-Verschlüsselung geschützt und können ausschließlich von den jeweiligen Gesprächspartnern eingesehen werden.

Derart breit gehaltene Anfragen, die die Anbieter noch dazu zur Verschwiegenheit verpflichten, geraten in den USA zunehmend in die Kritik. Als Reaktion auf die Snowden-Veröffentlichungen werden deshalb auch Apps wie Signal beliebter, die auf Verschlüsselung und Datensparsamkeit setzen. „Verschwiegenheitsverpflichtungen sollten nur in außergewöhnlichen Fällen eingesetzt werden“, sagte der ACLU-Anwalt Brett M. Kaufman. „Dieser Fall demonstriert, dass die Ausnahme zur Regel geworden ist, auch in Routineangelegenheiten.“