IT-Sicherheit

Probleme für Signal

Der IT-Support des EU Parlaments rät den Abgeordneten von einer Verwendung des Messengers Signal ab. Die Software sei nicht ausreichend vom Sicherheitsdienst des Parlaments getestet worden und verfüge daher nicht über die notwendige Zulassung. Die Entscheidung des IT-Supports erging parallel zum Bekanntwerden einer schwerwiegenden Sicherheitslücke bei Signal.   

Zweifel an Signal im EU-Parlament?

Anlass der Entscheidung des IT-Supports war die Bitte der Co-Fraktionschefs der Linken im Europaparlament, die Desktop-App von Signal auf Rechnern ihrer Abgeordneten und deren Assistenten zu installieren. Mit Hinweis auf Sicherheitsbedenken hat der IT-Support diese Bitte abgelehnt. Ohne Einwilligung des IT-Supports dürfen die Abgeordneten jedoch keine Software auf ihren PCs installieren. Die Entscheidung hat bei den Betroffenen Unverständnis hervorgerufen. Denn Signal gilt im Vergleich mit anderen Messengern wie WhatsApp als besonders sicher. Der Hinweis des Sicherheitsdienstes, dass WhatsApp ebenfalls Ende-zu-Ende-verschlüsselte Kommunikation biete ist vor allem deswegen problematisch, da Metadaten wie z.B. Standort und Rufnummer von WhatsApp zum Mutterkonzern Facebook übermittelt werden. Signal hingegen verschlüsselt neben den Inhalten der Chats auch die Metadaten seiner Nutzer. Der Abgeordnete Martin Schirdewan (Die Linke) nannte mit Blick auf den Cambridge Analytica Skandal den Verweis auf WhatsApp durch den Sicherheitsdienst „blauäugig“. Zum Ruf Signals als sicherer Messengerdienst hatte nicht zuletzt auch eine Empfehlung des NSA-Whistleblowers Edward Snowden beigetragen.

Sensible Sicherheitslücke bei Signal

Die Ablehnung durch den Sicherheitsdienst fällt mit der Offenlegung einer schwerwiegenden Sicherheitslücke bei Signal zusammen, die eine Sicherheitsforscherin von Googles Project Zero identifiziert hatte. Hinter Project Zero steht eine Gruppe hochqualifizierter Sicherheitsforscher, die nach Schwachstellen in populären Produkten suchen. Die gefundene Sicherheitslücke hatte es ermöglicht, Signal Nutzer unbemerkt abzuhören.

Durch den Fehler war es möglich, Signal-Nutzer anzurufen und das Gespräch auf Empfängerseite anzunehmen, ohne dass eine Interaktion des Betroffenen notwendig war. Ursache der Sicherheitslücke war ein Logikfehler in einer Funktion der App, die dem Anrufer signalisiert, dass der Anruf angenommen wurde. Dank dieser Lücke war nur eine Geräuschüberwachung möglich. Zugriff auf die Videokamera konnten Angreifer auf diese Weise jedoch nicht erhalten. Einen Lauschangriff hätten Signalnutzer daran erkennen können das ein Signaltelefonat aktiv ist. Der abgeschlossene Anruf wäre auch – wie gewöhnliche Telefonate – in der Konversationsliste aufgetaucht.

Betroffen sollen nur Android Nutzer sein; Apples Betriebssystem iOS würde durch einen Fehler auf der Benutzeroberfläche den Verbindungsaufbau verhindern und sei daher nicht von der Sicherheitslücke betroffen. Mittlerweile wurde die Lücke von den Betreibern von Signal geschlossen. Sowohl für Android als auch für iOS steht eine aktualisierte Fassung mit der Versionsnummer 4.47.7 zur Verfügung.

Nutzer von Signal können unter dem Menüpunkt „Einstellung“ und dem Unterpunkt „Weitere Einstellungen“ überprüfen ob sie die aktuellste Version von Signal verwenden. Ist dies nicht der Fall, ist dringend zu einer Aktualisierung zu raten.

Fazit

Ein Zusammenhang zwischen der bekannt gewordenen Sicherheitslücke und der Entscheidung des Sicherheitsdienstes des EU-Parlaments ist nicht auszuschließen, erscheint aber unwahrscheinlich. Aus dem Schreiben des Sicherheitsdienstes geht nicht hervor, dass dieser Signal generell für unsicherer als andere Messenger hält.

Die aktuelle Sicherheitslücke zeigt jedoch, dass auch vermeintlich besonders sichere Messenger wie Signal nicht vor Sicherheitslücken gefeit sind. Nutzern ist daher zu empfehlen, wie bei jeder anderen Software auch bei der Benutzung von Signal Sorgfalt walten zu lassen und sich regelmäßig über sicherheitsrelevante Updates zu informieren.

 

Quellen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*