Datenschutzbewertung zu Signal

Signal kann sofort verwendet werden, ohne dass sich dies auf Ihre Privatsphäre auswirkt. Andere Benutzer*innen können feststellen, ob Sie Signal verwenden, indem sie Ihre Telefonnummer eingeben. Sie haben jedoch die Möglichkeit, dies während des Onboardings zu deaktivieren.

Es mag Ihnen auffallen, dass Link-Vorschauen standardmäßig aktiviert sind, aber Signal löst das Problem, dass Vorschau-Links Ihre IP-Adresse offenlegen, auf elegante Weise. Für beliebte Websites wie Youtube und Instagram erstellt Signal eine Proxy-Verbindung direkt zu der Website, die mit Ihnen verknüpft wurde. Der Rest der Verbindung wird dann über TLS zwischen Ihrem Gerät und der Website abgewickelt.

Ihre IP-Adresse wird nicht offengelegt, da Signal Ihre Anfrage über einen Proxy leitet, aber Signal kann die URL, auf die Sie zugreifen, nicht lesen, da sie verschlüsselt ist.

Das einzige wirkliche Problem, das wir haben, ist, dass das IP-Relay für Anrufe standardmäßig nur Ihre IP vor Benutzern*innen schützt, die sich nicht in Ihrem Kontaktbuch befinden. Sie können dies für alle VoIP-Anrufe auf Ihrem Gerät aktivieren, dies wirkt sich jedoch auf die Qualität Ihres Anrufs aus.

Signal fragt standardmäßig nach sehr wenig Ihrer Daten – im Wesentlichen ist es nur Ihre Telefonnummer. Alles andere will Signal nicht wissen. Wenn Sie sich nicht wohl fühlen, Ihre Nummer zu übergeben, sollten Sie einen anderen Service in Betracht ziehen. In der Vergangenheit hat Signal den US-Gerichtsbeschlüssen nachgekommen, indem es bestätigt hat, ob eine Telefonnummer mit einem*r Signal-Benutzer verknüpft ist und wann diese*r Benutzer*in zuletzt angemeldet war.

Bis heute ist Signal nicht auf die gleichen Datenschutzkontroversen gestoßen, die andere Instant-Messaging-Dienste geplagt haben. Es wird von der Signal Foundation verwaltet, einer gemeinnützigen Organisation mit Sitz in den USA, die die tägliche Entwicklung über eine Tochtergesellschaft, Signal Messenger LLC, abwickelt.

Die Finanzierung von Signal erfolgt durch Spenden. Diese Spender bleiben in der Regel anonym, obwohl wir wissen, dass der ehemalige WhatsApp-Mitbegründer Brian Action der Signal Foundation über 100 Millionen $ geliehen hat, um das langfristige Wachstum und die Entwicklung von Signal zu finanzieren.

So weit, so gut. Es lohnt sich jedoch, einige Missverständnisse in Bezug auf Signal aufzuklären, nachdem mehrere Chats zwischen hochrangigen nationalen Sicherheitsberatern in den USA an die Presse durchgesickert sind.

Zu keinem Zeitpunkt war die tatsächliche Sicherheit von Signal gefährdet. Die Geschichte entstand erst, nachdem Mike Waltz versehentlich Jeffrey Goldberg, Chefredakteur von The Atlantic, zu einem sicheren Gruppenchat eingeladen hatte, in dem Fragen der nationalen Sicherheit besprochen wurden.

Ja, Sie lesen richtig. Wenn es Ihnen jemals peinlich war, jemanden einzuladen, den Sie nicht zum Gruppenchat einladen sollten, keine Sorge – Mike Waltz hat Sie definitiv geschlagen. Es gibt jedoch eine wichtige Lektion, die Sie daraus ziehen können: Sie können die sicherste Privacy-First-Messaging-App der Welt verwenden, aber wenn Sie den Personen, die Sie texten, nicht vertrauen können, spielt das keine Rolle.

Obwohl Signal nicht für die Verwendung durch das Verteidigungsministerium freigegeben wurde, rühren viele der Bedenken in Bezug auf seine Verwendung von der ordnungsgemäßen Einhaltung der langfristigen Datenarchivierung für FOIA-Anfragen her. Tatsächlich sagte CIA-Direktor John Ratcliffe aus, dass Signal von der CIA aktiv für den täglichen Betrieb genutzt wird.

Gemäß der Datenschutzrichtlinie von Signal werden alle Daten, die Sie Signal mit Ausnahme Ihrer Telefonnummer zur Verfügung stellen, durch eine Ende-zu-Ende-Verschlüsselung gesichert. Obwohl einige Daten vorübergehend von den Servern von Signal gespeichert werden, bis sie an Ihr Gerät gesendet werden können, bedeutet die Art der verwendeten Verschlüsselung, dass die Mitarbeiter*innen von Signal Ihre Nachrichteninhalte oder Metadaten nicht anzeigen können.

Obwohl einige Daten an Drittanbieter wie Google und Meta weitergegeben werden, um auf die von diesen Unternehmen angebotenen Dienste zugreifen zu können, beispielsweise um den von Ihnen eingegebenen Text zu senden, um eine GIF-Datei über GIPHY zu finden, oder um Standortdienste über Google Maps anzufordern, hat Signal Maßnahmen ergriffen, um sicherzustellen, dass bei diesen Anfragen nur die minimal erforderliche Datenmenge offengelegt wird, einschließlich der Maskierung Ihrer IP-Adresse.

Signal hat jedoch begonnen, einen Cloud-Backup-Service zu verkaufen, um die Übertragung großer Datenmengen zwischen alten und neuen Geräten zu erleichtern. Laut Signal verwendet es den gleichen Technologie-Stack, der verwendet wird, um Nachrichten vorübergehend auf den Servern von Signal zu speichern, bevor sie an ein Gerät gesendet werden können.

Fast jeder Aspekt der App verwendet eine Ende-zu-Ende-Verschlüsselung. Signal verschlüsselt nicht nur Ihre Nachrichten, sondern auch Ihre Kontaktliste, Ihre Anhänge und sogar das von Ihnen hochgeladene Profilbild. Es ist auch vollständig Open Source sowohl auf Client- als auch auf Serverebene. Wenn Sie also den Servern der Signal Foundation nicht vertrauen, können Sie Ihre eigenen betreiben.

Signal verschlüsselt nicht nur den Inhalt einer Nachricht, sondern reduziert auch die Menge der für einen Angreifer verfügbaren Metadaten, indem es mithilfe einer Technologie namens „Sealed Sender“ verschleiert, von wem die Nachricht stammt. Wenn eine Signalmeldung gesendet wird, ist nur die Lieferadresse sichtbar.

Das größte Problem bei Signal ist, dass eine Telefonnummer erforderlich ist, um ein Konto zu registrieren, selbst wenn Sie nur die Desktop-Version verwenden. Wenn Sie Signal auffordern, die bei Ihnen gespeicherten Daten zu übergeben, wird angezeigt, dass die von Ihnen verwendete Telefonnummer mit jedem Gerät verknüpft ist, mit dem Sie sich bei Signal angemeldet haben.

Infolgedessen muss Signal diese Informationen auf Verlangen der US-Strafverfolgungsbehörden aushändigen . Der Umfang der Informationen, die ein*e Ermittler*in erhalten kann, ist begrenzt, aber zumindest könnte er*sie bestätigen, wann Sie sich zuletzt mit dem Dienst verbunden haben.

Während die meisten Google-Analysen in der Signal-App deaktiviert sind, verwendet sie immer noch die Google Maps-API, um Standortdaten zu verarbeiten. Aufrufe an Google Maps übermitteln eine Reihe von Metadaten, darunter die IP-Adresse, von der aus Sie sich verbinden. Für ein Projekt, das so sehr in die Privatsphäre investiert, ist es überraschend, dass Signal keine Open-Source-Alternative wie Open Street Map verwendet.

Es gibt nur ein paar Anpassungen, die Sie an Signal vornehmen müssen, um Ihre Daten zu schützen.

Zunächst einmal, wenn Sie Signal verwenden, um Ihre Einstellungen zwischen Geräten zu sichern, werden Sie aufgefordert, eine PIN einzugeben, um zu verhindern, dass Ihre Daten in die falschen Hände geraten. Verwenden Sie hier unbedingt ein starkes alphanumerisches Passwort – Signal nutzt ausgeklügelte Sicherheitsmechanismen, um das Risiko von Brute-Force-Angriffen zu verringern, aber Vorsicht ist besser als Nachsicht.

Sie sollten auch sicherstellen, dass Sie die Authentifizierungssperre aktiviert haben, für die Ihr PIN-Code erforderlich ist, wenn ein*e andere*r Benutzer*in versucht, ein Signalkonto mit Ihrer Telefonnummer auf einem neuen Gerät zu registrieren.

Für zusätzliche Sicherheit können Sie Signal so einrichten, dass die Authentifizierung Ihres Geräts erforderlich ist, bevor die App geöffnet wird.

Der drastischste Schritt: Sie können Ihr gesamtes Konto löschen, indem Sie zur mobilen Signal-App gehen. Tippen Sie auf Ihr Profil und gehen Sie zu > Einstellungen > Konto > Konto löschen. Dort geben Sie Ihre Signalnummer ein und klicken auf Konto löschen.

Bitte beachten Sie: Wenn Sie Ihre Signal Desktop-Installation löschen, werden Ihre Daten nicht von den Signal-Servern entfernt, da Sie die App von einem registrierten Mobilgerät verwenden müssen, um den Vorgang abzuschließen.

Durch das Löschen Ihres Kontos werden die Nachrichten, die Sie an andere Kontakte gesendet haben, nicht entfernt. Wenn seit dem Senden einer Nachricht mehr als 24 Stunden vergangen sind, können Sie diese nicht mehr entfernen.

Sie können sich mit einer SIM-Karte registrieren, die nicht mit Ihrer persönlichen Identität verknüpft ist, und durch die Verwendung eines vertrauenswürdigen VPN oder Tor zusätzlich ein wenig mehr Anonymität hinzufügen. Wenn Sie Signal komplett meiden möchten, können Sie eine Brücke von Matrix verwenden, um mit Signal-Nutzern*innen zu kommunizieren, ohne Ihre Telefonnummer anzugeben.

Wenn Sie nach einer Alternative suchen, erhalten Sie je nach dem Bedrohungsmodell, das Ihnen Sorgen bereitet, nur eine gleichwertige Lösung in Bezug auf den Datenschutz.

Möchten Sie nicht, dass Ihre Nachrichten überhaupt über das Internet gesendet werden? Briar unterstützt echte P2P-Messaging im Sneaker-Net-Stil für Einzelchats und Foren, wobei lokale Protokolle zum Hin- und Hersenden von Beiträgen verwendet werden. Im Wesentlichen sind Sie, wenn Sie in den Bluetooth-Bereich kommen, mit allen relevanten Briar-Benutzern*innen synchronisiert, die Sie akzeptiert haben.

Unwohl mit der Menge an zentralisiertem Vertrauen, die für die Verwendung von Signal erforderlich ist? Matrix verwendet ein dezentrales Modell, um Nachrichten über ein Netzwerk von Knoten zu versenden, das ähnlich wie Tor funktioniert.

Für beide Alternativen ist auch keine Telefonnummer erforderlich.