Signal gilt als Goldstandard für verschlüsselte Kommunikation. Doch aktuelle, peer-reviewte Forschung und Sicherheitsanalysen zeigen: Auch Signal ist nicht immun gegen Angriffe – insbesondere durch Schwächen in der Umsetzung und im Umgang mit mehreren Geräten.
Signal-Protokoll: Starke Kryptografie, aber nicht unverwundbar
Das Signal-Protokoll selbst wurde in mehreren wissenschaftlichen Arbeiten umfassend analysiert und als sehr sicher bewertet. Die Ende-zu-Ende-Verschlüsselung und das sogenannte „Ratcheting“ sorgen dafür, dass selbst bei Kompromittierung eines Schlüssels frühere und zukünftige Nachrichten geschützt bleiben. Eine formale Sicherheitsanalyse bescheinigt dem Protokoll keine gravierenden Designfehler[5].
Multi-Device-Schwachstellen: Angreifer können sich einschleusen
Die größte praktische Schwachstelle betrifft die Nutzung von Signal auf mehreren Geräten. Forschende der Universität Lübeck und andere Teams haben gezeigt, dass Angreifer unter bestimmten Bedingungen ein eigenes, bösartiges Gerät zu einem Signal-Account hinzufügen können – oft durch Phishing oder den Missbrauch von QR-Codes[1][2][6]. Ist das gelungen, erhalten sie Zugriff auf alle zukünftigen Nachrichten und können sogar den Nutzer vollständig imitieren. Die Verschlüsselung bleibt zwar technisch intakt, aber der Angreifer ist nun ein „legitimer“ Chat-Teilnehmer. Signal garantiert in diesem Szenario keine „Post-Compromise Security“, da die Implementierung der Geräte-Registrierung Schwächen aufweist[2][6].
Desktop-Version: Unverschlüsselte Dateianhänge als Risiko
Weitere Schwachstellen betreffen die Desktop-Version von Signal. Peer-reviewte Studien und Sicherheitsforscher fanden heraus, dass Anhänge lokal unverschlüsselt gespeichert werden. Angreifer mit Zugriff auf den Computer – etwa durch Malware oder physische Präsenz – können diese Dateien auslesen, manipulieren oder mit Schadcode versehen. Auch nach dem Löschen in der App lassen sich die Dateien wiederherstellen, wenn sie weitergeleitet wurden. Signal selbst sieht sich nicht in der Verantwortung, vor Angriffen auf kompromittierte Endgeräte zu schützen und plant laut eigenen Angaben keine Nachbesserungen[3][4][7].
Metadaten: Wer spricht mit wem und wann?
Obwohl Signal Nachrichteninhalte schützt, fallen weiterhin Metadaten an – also Informationen darüber, wer mit wem kommuniziert und zu welchem Zeitpunkt. Diese Metadaten können für Angreifer, insbesondere staatliche Akteure, wertvoll sein, um Kommunikationsnetzwerke zu analysieren und Beziehungen zu kartieren[1].
Fazit und Empfehlungen
- Das Signal-Protokoll ist kryptografisch stark und wurde peer-reviewed als sicher eingestuft[5].
- Praktische Angriffe zielen auf die Multi-Device-Funktion und die Desktop-Implementierung ab. Hier besteht ein reales Risiko, dass Angreifer durch Social Engineering oder lokale Kompromittierung Zugriff auf zukünftige Nachrichten und Dateien erhalten[1][2][3][4][6][7].
- Signal-Nutzer sollten die Desktop-Version mit Vorsicht verwenden, Geräte schützen und regelmäßig prüfen, ob unbekannte Geräte mit dem Account verbunden sind.
- Die Entwickler sehen die Verantwortung für Gerätesicherheit beim Nutzer, nicht bei der Software[7].
Signal bleibt einer der sichersten Messenger – aber absolute Sicherheit gibt es nicht. Peer-Review-Forschung zeigt: Die größte Schwachstelle ist oft nicht die Verschlüsselung selbst, sondern deren praktische Umsetzung und das Verhalten der Nutzer.
Quellen:
[1] Behind the signal leak: Vulnerabilities in high-security communication https://www.securitymagazine.com/articles/101539-behind-the-signal-leak-vulnerabilities-in-high-security-communication
[2] Help, My Signal has Bad Device! Breaking the Signal Messenger’s … https://research.uni-luebeck.de/en/publications/help-my-signal-has-bad-device-breaking-the-signal-messengers-post
[3] An Overview of Signal and Its Vulnerabilities – Polynom https://polynom.app/blog/overview-of-signal-messenger-vulnerabilities
[4] How dangerous are Signal vulnerabilities? | Kaspersky official blog https://www.kaspersky.com/blog/signal-desktop-file-vulnerabilities/46978/
[5] A Formal Security Analysis of the Signal Messaging Protocol https://cispa.de/de/research/publications/53203-a-formal-security-analysis-of-the-signal-messaging-protocol
[6] [PDF] Help, my Signal has bad Device! https://eprint.iacr.org/2021/626.pdf
[7] Signal for Desktop is Vulnerable to Attachments Exposure https://cyberinsider.com/signal-for-desktop-is-vulnerable-to-attachments-exposure/
[8] [PDF] A security analysis comparison between Signal, WhatsApp and … https://eprint.iacr.org/2023/071.pdf
[9] [PDF] A Formal Security Analysis of the Signal Messaging Protocol https://eprint.iacr.org/2016/1013.pdf
[10] Signal >> Blog https://signal.org/blog/
[11] Signal (software) – Wikipedia https://en.wikipedia.org/wiki/Signal_(software)
[12] What Is Signal, the App Involved in a War Plans Security Breach? https://www.nytimes.com/2025/03/25/technology/signal-app-security-leak.html
[13] [PDF] HUNTING FOR VULNERABILITIES IN SIGNAL https://www.aumasson.jp/data/talks/signal17.pdf
[14] Do Not Harm in Private Chat Apps: Ethical Issues for Research on … https://www.westminsterpapers.org/article/id/274/
