Signal: Nutzt die US-Regierung einen unsicheren Klon der Messenger-App?
Am 1. Mai 2025 wurde der Sicherheitsberater der USA, Mike Waltz, von seinen Pflichten entbunden. Diese Entscheidung folgte wohl aufgrund des Signal-Skandals, bei dem Angriffspläne der US-Regierung innerhalb einer Messenger-Gruppe besprochen wurden, in die versehentlich ein Journalist eingeladen wurde. Doch offenbar ist der Skandal damit noch nicht abgeschlossen. Wie 404Media berichtet, gibt es Grund zur Annahme, dass die genutzte Signal-Version der US-Regierung unsicher ist.
Warum die US-Regierung einen Signal-Klon mit einer Archivfunktion nutzt
Die Infos gehen auf ein Bild der Nachrichtenagentur Reuters zurück, das Mike Waltz während einer Besprechung mit Donald Trump zeigt. Der ehemalige Sicherheitsberater nutzt auf dem Bild sein Smartphone mit Signal. Auf den ersten Blick sieht der Messenger ganz normal aus. Ein genauerer Blick offenbart aber einen Klon.
Auf dem Bild ist die Nachricht „Bestätigen Sie ihre TM SGNL PIN“ zu lesen. Diese Benachrichtigung tritt laut 404Media auch bei der regulären Signal-App auf, um User:innen an ihre PIN zu erinnern und sicherzustellen, dass das Gerät nicht gestohlen wurde. Allerdings steht in der normalen App nicht „TM SGNL“, sondern der echte Name der Messenger-App. Das TM deutet darauf hin, dass es sich um eine manipulierte Version von Signal handelt, die vom Softwareanbieter Telemessage bereitgestellt wird.
Der einzige Unterschied ist dabei, dass die Telemessage-Version von Signal in der Lage ist, eingehende und ausgehende Nachrichten extern zu speichern und zu archivieren. Mitglieder der US-Regierung sind verpflichtet, ihre Kommunikation sicher abzuspeichern, damit diese später nachvollzogen werden kann. Allerdings gibt es in der normalen Signal-App nur die Möglichkeit, ein lokales Backup zu erstellen, das mit einem gerätespezifischen Passwort geschützt wird.
Telemessage zeigt in einem Werbevideo, dass sämtliche Nachrichten, die mit der veränderten Version empfangen oder gesendet werden, in einem Gmail-Postfach landen. Laut dem Anbieter soll es aber auch zahlreiche Alternativen für Archive und Cloud-Lösungen geben. Wie 404Media betont, könnte das Speichern über einen externen Dienst dazu führen, dass die Verschlüsselung von Signal außer Kraft gesetzt und Nachrichten geleakt werden. Auch Signal bestätigte: „Wir können die Privatsphäre und Sicherheit bei inoffiziellen Versionen von Signal nicht garantieren“.
Offenbar beschränkt sich die veränderte Signal-Version aber nicht nur auf einige Regierungsmitarbeiter:innen. Es soll mehrere Regierungsverträge mit Telemessage über die Signal-Alternative mit Archivfunktion geben. Darunter auch ein Vertrag über 90.000 US-Dollar, der im Dezember 2024 noch von der Biden-Regierung ins Leben gerufen wurde.
