476: Wire, Schwarz Gruppe und Messenger

Danke, dass ihr das Thema „Signalgate“ aufgegriffen habt. An einigen Stellen greifen eure Argumente aus meiner Sicht jedoch zu kurz.

Ihr bezeichnet Signal als den sichersten Messenger – worauf stützt sich diese Aussage? Kryptografisch ist Signal ohne Zweifel sehr solide aufgestellt. Allerdings setzen auch andere Messenger auf vergleichbare Primitive. Sicherheit ergibt sich nicht allein aus Kryptografie, sondern ebenso aus Architektur, Betrieb und Governance.

Und genau hier liegt ein zentraler Punkt: Signal ist ein stark zentralisierter Dienst. Entwicklung, Backend, Frontend und Betrieb liegen im Wesentlichen bei einer Organisation. Gleichzeitig wird die Infrastruktur bei US-amerikanischen Cloudanbietern betrieben. Das schafft einen klaren Single Point of Failure – technisch wie organisatorisch.

Hinzu kommt ein ausgeprägter Netzwerkeffekt: Signal hat sich insbesondere in der tech-affinen Community in Deutschland stark verbreitet. Dadurch entsteht eine gewisse kognitive Dissonanz – man vertraut den (durchaus sympathischen) Menschen hinter Signal, übersieht dabei aber, dass man einen zentralisierten Dienst faktisch zum Standard für sichere Kommunikation erhebt. Im Ergebnis bündelt sich ein großer Teil der Kommunikation in einem einzigen Angriffsziel.

Das ist, überspitzt formuliert, so, als würden wir alle unsere E-Mails bei einem einzelnen Anbieter in den USA hosten – und uns gleichzeitig damit beruhigen, dass wir GPG nutzen.

Auch eure Einordnung zu Wire wirft Fragen auf. Ihr beschreibt Wire als Open Source – was grundsätzlich stimmt. Aber wie verhält es sich konkret mit der Variante, die im Bundestag eingesetzt wird (Wire Bund)? Wo sind hier die entsprechenden Quellen und Artefakte einsehbar? Die Transparenz ist zumindest nicht offensichtlich.

Besonders interessant fand ich euer Szenario, in dem ein milliardenschwerer Einzelakteur einen Messenger kauft, um Einfluss auf zentrale Kommunikationsinfrastruktur zu nehmen. Dieses Szenario ist längst Realität: Dieter Schwarz hat Wire bereits vor einiger Zeit übernommen. Die Schwarz Gruppe positioniert sich zwar stark entlang europäischer Werte, agiert jedoch gleichzeitig als zunehmend einflussreicher Player in der digitalen Infrastruktur.

Parallel dazu wird politisch häufig von „digitaler Souveränität“ gesprochen – etwa wenn sich der aktuelle Digitalminister mit Vertretern dieser Unternehmensgruppe zeigt. De facto beobachten wir jedoch eher eine Verschiebung von Abhängigkeiten: weg von US-amerikanischen Tech-Konzernen hin zu europäischen Großakteuren. Das mag sich politisch besser anfühlen, ist aber keine echte Souveränität im Sinne von Unabhängigkeit und Gestaltungsfreiheit.

Wie tief die Verzahnung der Schwarz Gruppe mit der deutschen und europäischen IT-Landschaft inzwischen reicht, ist nicht vollständig transparent – und wäre aus meiner Sicht eine genauere Untersuchung wert.

Abschließend sei erwähnt: Mit Lösungen wie dem BundesMessenger der BWI oder Tchap in Frankreich existieren bereits staatlich getragene Alternativen, die auf offenen, föderierten und Ende-zu-Ende-verschlüsselten Protokollen wie Matrix basieren. Diese Ansätze zielen darauf ab, Abhängigkeiten von einzelnen Anbietern zu vermeiden und langfristig resilientere Kommunikationsinfrastrukturen aufzubauen.

Volle Zustimmung. Signal mag gut sein für das, wofür es gemacht ist. Es wird aus meiner Sicht aber gelegentlich zu leichtfertig als Gold-Standard für alle Lebenslagen gepriesen. Neben dem Problem der Zentralisierung hier drei weitere Einschränkungen, die ich in einem anderen Thema notiert hatte und die neben Signal auch für WhatsApp und andere vergleichbare Kommunikationslösungen gelten:

Also: Nichts gegen Signal – aber bitte da, wo es passt.

Danke für eine wie immer hörenswerte Folge. Zu dem Segment mit Signal/Wire wollte ich aber gerne noch etwas sagen, dass mir wichtig ist: Natürlich ist eure Kritik an der mangelnden Selbstverantwortung der betroffenen Politiker und Institutionen richtig. Auf der anderen Seite, habt ihr meiner Meinung nach aber mit der Kritik am drauf reinfallen (also so eine PIN weiter geben zum Beispiel) ein bisschen zu weit gegriffen.

Wenn ihr über Training redet, dass Menschen beibringen soll auf sowas nicht reinzufallen, dann sieht die Wissenschaft nur begrenzten Erfolg (siehe hier und hier). Es macht schon was, aber sehr wenig. Und dann muss man ja auch bedenken, dass hier Angreifer quasi einen Fehler im menschlichen Betriebssystem ausnutzen. Ist in etwa so, also würde man sagen “dann fall doch nicht auf fake news rein” - aber den Unterschied zu erkennen, das ist manchmal ganz schön schwer. Und ein einziger Fehler reicht. Zum Beispiel Troy Hunt, ein absoluter Experte auf dem Gebiet ist selbst reingefallen. Und dann kommt noch die Opfer-Scham dazu. Das müssen wir eigentlich bekämpfen, damit sich Menschen damit nicht alleine fühlen, sondern Hilfe suchen können.

Also: Wir können schon erwarten, dass finanziell gut ausgestattete Betriebe und Behörden sich selbst schützen. Aber dass einzelne Menschen Fehler machen lässt sich nicht ausschliessen, und da müssen dann andere Mechanismen greifen.

Ihr habt in der Sendung gesagt (ich paraphrasiere), dass ein Angriff auf den Menschen auch vom Menschen abgewehrt werden muss. Dem stimme ich so nicht zu: Je mehr technische Mechanismen wir den Menschen geben können desto besser, um entweder die Wahrscheinlichkeit des Fehlers zu reduzieren, oder den Schaden begrenzen.

Aber auch hier beißt sich die Katze irgendwann in den Schwanz, weil ein Übermaß an technischen Vorkehrungen zur Abstumpfung führt. Das klassische Beispiel war der - zum Glück heute nicht mehr empfohlene, aber immer noch in vielen Unternehmen praktizierte - ständige Passwort-Wechsel. Mag ein solcher Mechanismus sein, der theoretisch zu mehr Sicherheit führt, führt aber eben auch dazu, dass die gewählten Passwörter dann entweder sehr einfach gehalten oder gar niedergeschrieben werden.

Also wenn ich einer Sache gegenüber skeptisch bin, sind das noch mehr technische Mechanismen, die beim Einloggen in jede App erfordert werden. Die technischen Maßnahmen sollten vor allem der tatsächlich benötigten Sicherheit entsprechen - ich bin jedes Mal frustriert, dass das Einloggen in die studentische Selbstverwaltung höhere Sicherheitsvorkehrungen hat als mein Online-Banking.

Vielen Dank für diesen Beitrag. Ich wollte etwas ähnliches schreiben, aber du hast das deutlich eloquenter zu Papier (bzw. bits) gebracht. Um deinen letzten Absatz noch zu ergänzen: ich würde mir wünschen, dass Tchap der Vollständigkeit halber und zur Einordnung in der nächsten Folge kurz Erwähnung findet, @vieuxrenard und @philipbanse. Denn es ist genau das fehlende Puzzle-Stückchen zwischen „Das Problem sitzt vor dem Computer“, „Drittanbieter-Kommunikationsplattform: Stiftung oder Privat?“ und „Vermeidung/Reduktion von Schatten-IT durch usergerechte Softwarelösungen“. Siehe u.a. diese Fallstudie von Element (Matrix-Client) zu dem Thema:

Herkömmliche Messaging-Anwendungen — wie Signal, Telegram und WhatsApp — wurden für eine behördenweite Messaging-Lösung als nicht geeignet erachtet.
Diese zentralisierten, proprietären Apps würden die Daten der französischen Regierung in ihren eigenen Systemen speichern, was zu einer Reihe von Sicherheitsproblemen führen würde.

AFAIK soll Tchap (active daily users derzeit ca. 300k) nach und nach für alle Angestellten der öffentlichen Verwaltung ausgerollt werden.

Warum?

• E2E-Verschlüsselung (wie Signal)
• Open Source
• on premise hosting und ergo kein Datenabfluss irgendwo hin
• eigene Administration erschwert zumindest den Angriffsvektor von Julia Klöckner und co.
• ordentliche OS-agnostische Clients (inkl. web) mit schöner und guter UI/UX

Also eigentlich könnten wir nur zu unseren guten Freunden, Verbündeten und Nachbarn gehen und freundlich fragen ob sie uns helfen könnten ihr anscheinend gut funktionierendes System zu kopieren. Aber wir sollen jetzt einen 1:1-Austausch durch ein kommerzielles Produkt der Schwarz-Gruppe vornehmen.

Gab es eigentlich in den letzten Monaten Lobbyisten-Besuche der Schwarz-Gruppe bei der Bundestagspräsidentin?

Was die Aktivitäten von Wire bzw. der Schwarz Gruppe in Bezug auf Bundesbehörden angeht, ist es mit der Transparenz nicht weit her. Eine entsprechende Anfrage auf FragDenStaat bleibt seit Monaten unbeantwortet – obwohl der Antragsteller sogar bereit ist, die veranschlagten Kosten von 500 € zu übernehmen.

Und selbst im Fall einer Antwort ist davon auszugehen, dass der tatsächliche Erkenntnisgewinn eher begrenzt ausfallen dürfte.

Nur mal eine naive Frage zwischendurch: Ihr stellt die Behauptung auf, daß für Angehörige der Regierung etc. ein Phishing Awareness/Training Programm von Vorteil wäre. Also eine “interne Phishing-Truppe” die mit angemessener Häufigkeit Phishing Attacken auf Nutzer fährt, um sie im Fehlerfall auf ihr Versagen hinzuweisen.
Heißt das, daß Ihr tatsächlich belastbar recherchiert habt, daß so etwas nicht existiert, oder folgert Ihr das nur aus dem offensichtlich flächendeckenden Erfolg der besprochenen Attacke?

Sagen wir es so: Nach unseren Informationen wird das bisher jedenfalls nicht flächendeckend gemacht, sodass ein Lerneffekt eintreten könnte. Wie haben zumindest noch nie gehört, dass jemand bei einem Mock Phishing erwischt worden wäre.

Dass es seltene Experimente dieser Art geben mag kann ich nicht ausschließen.

Hallo liebes Lage Team,

Signal is schön, nutze ich teilweise auch. Aus meiner Sicht ist aber Threema besser:

• entwickelt und gewartet in der Schweiz (CERN)
• Open source
• mitmachen erfordert keine Telefonnummer (man kann seine Mobilnummer öffentlich machen, muss man aber nicht)
• Auch Menschen ohne Smartphone können teilhaben (Threema benutzt nur eine ID, ohne Telefonnummer)
• Gibt’s auch als Business Lösung, i.e. auch für Unternehmenskommunikation

Kostet einmal unter 5€ und hat man für immer gut von.

Gruß

Gunnar Bischof

Und das bleibt leider das zentrale Problem.

Egal wie wenig es kostet, in dem Moment, in dem es etwas kostet, wird es Menschen geben, die es ablehnen, so lange es „kostenlose“ Alternativen gibt („kostenlos“ ist natürlich nichts, man bezahlt halt mit seinen Daten…).

Und generell: Threema wurde 2026 von der Comitis Capital aufgekauft, ist also nun auch im Besitz einer wachstums- und gewinnorientierten Kapitalgesellschaft. Insofern bestehen hier ähnliche Risiken wie bei Wire.

In übrigen stimmt es leider auch nicht mehr, dass Signal keine Daten speichert. Gerade aktuell wird eine neue Backup-Funktion angepriesen. Siehe Screenshots.

signal-2026-04-29-20-53-20-5661024×1617 184 KB

signal-2026-04-29-20-53-20-566-11024×1538 164 KB

Wenn ich von Böhmermann bei Fest & Flauschig höre, wie plump dieses Fishing war - auch von @vieuxrenard angedeutet -, dann stellt sich mir schon die Frage, ob diese Menschen mehr Medienkompetenz haben als meine Oma.

Auf welcher Basis machen diese Menschen Gesetzgebung für den digitalen Raum? „Wir brauchen Vorratsspeicherung!!elf!“ Nee, du brauchst mal nen EDV-Grundkurs in der VHS.

Mein Gott. Das gibt es doch nicht. Sind wir keinen Schritt weiter als vor 20 Jahren?

Und noch viel, viel wichtiger:

Wie soll ein Mensch, der so plumpes Fishing nicht erkennt, eine gezielte, orchestrierte Kampagne bei X erkennen und richtig einordnen?

Hmmmmmmm……vielleicht bin ich da blauäugig, aber eigentlich sollte das bei einer Unternehmung in der Größe der Bundesregierung derartig selbstverständlich sein, daß ich “nie gehört” nicht sofort als Negativbeweis einordnen würde. Wäre natürlich eine Frage an die zuständigen Stellen wert, ob das tatsächlich so ist, und wenn ja, dann vor allen Dingen warum. Vielleicht auch, um meinen Verdacht auszuräumen, daß die IT-Verantwortlichen das bereits vor Jahren eingeführt haben, und auf grossen Protest der Betroffenen wieder einstellen mussten.

Gestern schrieb Marcel Rosenbach auf SPON einen Kommentar zu dem Thema, der sich fast wie eine Verteidigung von Frau Klöckner und Co. liest. Mindestens einen Punkt kann ich durchaus aus eigener Erfahrung nachvollziehen: daß Signal selber permanent die Nutzer-Pin abfragen will (ca. einmal im Quartal). Allerdings weiß ich aus dieser Erfahrung auch, daß genervtes Ignorieren dieser Meldung die Funktionaltiät in keiner Weise gefährdet, die von klassischen Phishern aufgebaute Dringlichkeit also mindestens ebenso mal ignoriert werden könnte, wenn sie schon nicht misstrauisch macht.

Trotzdem muss man beim Software-Design den gestressten Nutzer mitdenken. Ich bin selbst mal im Stress einem Phishing auf den Leim gegangen. Zum Glück hat das das 2FA schlimmeres verhindert.

Grundsätzlich kann ich nachvollziehen, wenn offizielle Stellen eher zu einer Wire tendieren. Wenn was schief geht, muss man jemanden haftbar machen können (was das nicht auch Thema letztens)? Wir haftbar ist eine Stiftung in den USA? Wie war das noch mal mit der Überwachung von Messenger Diensten - insbesondere bei Straftaten…

Das stimmt, und ich halte das für ein Problem. Die Signal-App trainiert die Benuzer, dass ihnen ohne Muster oder Anlass die PIN abgefragt wird. Wenn dann ein Signal Support Chat scheinbar dasselbe tut, machen die, was ihnen antrainiert wurde. Rosenbach hat die Woche im Podcast von Sascha Lobo gesagt, den Unterschied müsse man ja bemerken: Abfrage durch die App, mit Sternchen im Eingabefeld.vs Abfrage durch einen Chat mit Antwortmessage. Das sei ja offensichtlich.

Ich mache beruflich IT-Security, und ich sehe das anders: wenn wir User trainieren, ist es leichter ihnen ein Verhalten beizubringen, als ein bestimmtes Muster, das sie erkennen sollen. Hier ist für die Leute einfach viel zu normal, dass Signal plötzlich eine PIN will. Das Verhalten ist ihnen beigebracht worden, und die „Moment mal“-Schwelle wird da nie überschritten.

Podcast hier: Spotify – Web Player

Auf die doofen User zu zeigen ist natürlich immer einfach. Nun wissen wir, dass Menschen ein schwaches Glied in der Security-Kette sind und auch echte Experten auf Phishing reinfallen. Direkt nach der Klage über die Leichtgläubigkeit der Politiker:innen hat Philip ja erzählt, wie er selbst fast dem “Papa, meine neue Nummer”-Klassiker aufgesessen wäre. Deshalb sollte man sich schon auch fragen, was Technologie hier tun kann, um die User besser zu schützen. Systeme mit mehr zentraler Administration statt kompletter Eigenverantwortung wie bei Signal sind zumindest ein denkbarer Einsatz. Ob Wire da jetzt der Weisheit letzter Schluss ist, kann ich nicht beurteilen. Und all das sage ich als jemand, der oft genug über User den Kopf schüttelt – auch, weil viele Technologien im Stand der Technik die User nicht gut schützen. Ist auch einfach ein schwieriges Problem.

Und da würde ich auch Signal nicht so einfach aus der Verantwortung nehmen. Dass sich jede:r “Signal Support” nennen kann, könnte man verhindern. Vielleicht muss man auch über Alternativen zu den PINs nachdenken. Marcel Rosenbach hat das gestern im Spiegel schön aufgeschrieben. Bemerkenswert ist auch, dass man trotz weiterer Verbreitung von solchen Geschichten bei WhatsApp deutlich weniger gehört hat. Und das sage ich als Signal-Poweruser, regelmäßiger Spender und großer Freund des Messengers.

Fragwürdig ist auch die Aussage, Firmen würden mit großem Erfolg Fake-Phishing-Kampagnen durchführen. Solche große Erfolge lassen sich empirisch nämlich eher nicht belegen. Trotzdem machen das alle Firmen, weil es schon nicht schaden wird, Compliance-Checklisten es fordern und man sonst nicht viel tun kann als einzelnes Unternehmen. Und das sage ich als jemand, der selbst für die Durchführung von Phishing-Trainings mitverantwortlich ist.

Auch der Messenger „Threema“ bloggt über die Vorfälle rund um „Signal“:

Kurzes Fazit:

DIE TELEFONNUMMER IST KEIN SOLIDES FUNDAMENT

Systeme, welche die Telefonnummer als Identifizierungsmerkmal verwenden, haben zwar den Vorteil, dass sich Nutzer einfach gegenseitig auffinden können, dieser Ansatz verunmöglicht aber nicht nur von vornherein anonyme Nutzung, sondern weist auch eine inhärente Schwachstelle auf.

Prädikat: Lesenswert!

Liebes Lageteam,

großartig, das und wie ihr das Thema aufgegriffen habt.

Eine wichtige Korrektur ist aber nötig: Die Bundesregierung setzt Wire in der Form von Wire Bund ein. Das hat die Folge, dass derzeit nur registrierte Nutzer der Bundesregierung miteinander kommunizieren können. Ein Angriff, wie er jetzt bei Singnal ausgeführt wurde, ist gar nicht möglich, weil potentielle Angreifer gar nicht bei Wire Bund registriert sein können. Ebenso können nicht versehentlich Personen außerhalb der Bundesregierung zu einer Gruppe hinzugefügt werden, wie es in den USA passiert ist. Es wird eventuell zukünftig eine Öffnung geben, um mit anderen für Wire Nutzer zu kommunizieren. Derzeit können Wir Bund Nutzer aber nur mit Wire Bund Nutzern kommunizieren.

Dem kann ich nur zustimmen. Wire Bund und der frei in den App Store verfügbare Wire Messanger sind nicht die gleichen. Wire Bund ist nur aus den Netzen des Bundes erreichbar, dh er kann nur über Dienstnotebooks und Diensthandys genutzt werden (BfDI - Übersichtsseite Fachthemen - Messengerdienste bei Bundesbehörden). Ein Bund Wire-Account ist bei der jeweiligen IT der Bundesbehörde zu beantragen und man erhält anschließend eine Einladung durch das ITZ Bund. Wire-Bund ist nicht mit der Handynummer verbunden, sondern mit der Dienst-E-Mailadresse. Bei Wire-Bund ist bei jeder Person in dem Messanger angegeben, welcher Behörde die Person angehört. Wenn es technische Benachrichtigungen gibt, erfolgen sie nicht über den Messanger, sondern man erhält eine E-Mail.
Insofern hat die Empfehlung von Frau Klöckner schon einen Punkt: Der erfolgte Angriff wäre nicht möglich gewesen, wenn Wire genutzt worden wäre, da nicht einfach unbekannte Nummern sich als IT-Support des Messangers hätten ausgeben können und generell darüber keine IT-Supportnachrichten versandt werden. Was aber natürlich bleibt, ist, dass wenn ein Messanger nur über das Diensthandy genutzt werden kann, das Risiko besteht, dass das private Handy zusätzlich genutzt wird und dort wieder eine Sicherheitslücke entsteht.