Mike Kuketz
16. Dezember 2023 | 18:36 Uhr

Signal/Threema: Klare Kommunikation zur Push-Problematik wünschenswert

Das Thema »Behörden fragen Apple und Google nach Nutzern von Messenger-Apps« hat mich nicht losgelassen. Nachdem ich kurz erklärt hatte, wie man das Problem umgehen kann, dachte ich, es sei erledigt. Aber als Meredith Whittaker, die Geschäftsführerin von Signal, das Thema in einem Post auf Mastodon wieder aufgriff, habe ich mich erneut damit beschäftigt.

Zunächst fiel mir auf, dass das eigentliche Problem, nämlich die Verknüpfung einer Push-ID mit einem Benutzerkonto, nicht angesprochen wurde. Auch auf meine explizite Frage reagierte Whittaker eher ausweichend und verwies stattdessen auf bereits beantwortete Anfragen von Strafverfolgungsbehörden:

These are the law enforcement requests we’ve been forced to reply to, including our responses. https://signal.org/bigbrother/

Die entscheidenden Fragen bleiben jedoch unbeantwortet:

  • Kann Signal eine Google/Apple-Push-ID mit einem Signal-Konto verknüpfen? Wenn nein, wie wird dies technisch verhindert bzw. umgesetzt?
  • Wie oft hat Signal bereits Push-IDs an Behörden vergeben? Wenn ja, um welche Informationen handelt es sich dabei genau?

In diesem Fall ist der Verweis auf die veröffentlichten Anfragen der Strafverfolgungsbehörden wenig aufschlussreich. Obwohl aus den Antworten von Signal hervorgeht, dass nur Informationen wie

  • Last connection date
  • Account created

weitergegeben wurden, bedeutet dies nicht zwangsläufig, dass die Push-ID nicht in anderen Anfragen herausgegeben wurde bzw. wird. Leider habe ich diesbezüglich von Signal bzw. Meredith Whittaker keine weitere Auskunft erhalten.

Ich habe meine Fragen auch an Threema gestellt, aber bisher ebenfalls keine Antwort erhalten. Immerhin gibt Threema in seinem Transparenzbericht an, dass auch das Push-Token (Push-ID) herausgegeben wird. Dies ist immer dann der Fall, wenn die Benachrichtigung über den Push-Dienst von Google oder Apple erfolgt. Damit ist die Verknüpfung eines Threema-Accounts mit einer Push-ID möglich. Bei Signal dürfte dies nicht anders sein.

Update 19.12.2023

Threema hat ausführlich Stellung genommen und die Problematik in einem Blogbeitrag behandelt. Die vorliegende Kritik an Threema ist damit hinfällig.

Und hier setzt meine Kritik an. Zweifellos minimieren beide Messenger im Vergleich zu weitverbreiteten, massentauglichen Messengern Metadaten recht effektiv. Dennoch halte ich aus meiner Sicht mehr Transparenz für wünschenswert, zumal die Zielgruppe beider Messenger sicherheits- und datenschutzorientierte Nutzer umfasst. Es wäre wünschenswert, klarer zu kommunizieren, dass eine technische Verbindung zwischen der Push-ID und dem Benutzerkonto besteht. Ebenso wäre es wichtig, zu erfahren, wie oft diese Information bereits von Strafverfolgungsbehörden angefordert wurde. Trotz meiner Bedenken beabsichtige ich, beide Messenger weiter zu empfehlen. Allerdings halte ich die Kommunikation bezüglich der Problematik des Push-Dienstes für verbesserungswürdig, da Fragen dazu entweder gar nicht oder nur ausweichend beantwortet werden.

Mir ist bewusst, dass die Mehrheit der Nutzer wahrscheinlich nicht von diesem Problem betroffen sein wird. Aber für diejenigen, die aus welchem Grund auch immer ins Visier der Strafverfolgungsbehörden geraten, ist es wichtig zu wissen: Durch die Verknüpfung der (Google-/Apple-)Push-ID mit einem Messenger-Account besteht eine erhebliche Wahrscheinlichkeit, dass ein direkter Personenbezug hergestellt werden kann. Dies erfolgt nicht direkt durch Threema und Signal, sondern indem die herausgegebene Push-ID an die Strafverfolgungsbehörden weitergegeben wird. Diese können dann mit der Push-ID bei Google/Apple wesentlich umfassendere Informationen über eine Person erhalten.

Aus meiner Sicht sollten sich beide Messenger ehrlich machen und sagen:

Nein, wir haben keine Daten, mit denen wir euch eindeutig identifizieren können. Es kann aber sein, dass wir bestimmte Informationen weitergeben müssen, die dies ermöglichen.

Und wenn dieser Offenbarungseid geleistet ist, haben beide Anbieter die Möglichkeit, auf Alternativen zur Umgehung des Problems hinzuweisen – allerdings nur unter Android:

  • Signal: Ein flexibler Wechsel zwischen Google-Push (FCM) und der WebSocket-Variante ist derzeit nicht möglich. Um auf WebSockets umzusteigen und den Umweg über die Google Push-Server zu vermeiden, muss ein Smartphone ohne Google Play-Dienste verwendet werden. Es gibt auch einen Workaround, den ich allerdings nicht getestet habe: Forcing web-socket notifications for Signal on Android.
  • Threema: Threema per Polling nutzen oder auf den alternativen Threema Push-Dienst zurückgreifen. Im Gegensatz zu Signal gibt es also auch für Geräte, die die Google Play-Dienste nutzen, eine einfache Möglichkeit, auf Google Push zu verzichten. Das hat Threema eindeutig besser gelöst.

Insbesondere Messenger, die sich an sicherheits- und datenschutzorientierte Nutzer richten, sollten die Problematik der Push-Dienste von Google und Apple klar kommunizieren. Von WhatsApp und Co. erwarte ich dies nicht, sehr wohl aber von Signal und Threema.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
Threema
4. Februar 2020

Threema: Instant-Messaging-Dienst aus der Schweiz – Messenger Teil2

Threema ist ein auf Datenschutz und Sicherheit bedachter Messenger - unabhängig überprüfbar ist dies allerdings nicht.
Signal
8. Dezember 2020

Signal: Hohe Sicherheit und Zero-Knowledge-Prinzip – Messenger Teil9

Signals Verschlüsselung gilt als »Goldstandard« in der Kryptoszene. Mit immer neuen Technologien setzt sich der Messenger weiter von Mitbewerbern ab.
WhatsApp-Alternativen
4. Mai 2021

Datenschutzfreundliche und sichere WhatsApp-Alternativen

Es gibt Messenger-Alternativen, die WhatsApp hinsichtlich Komfort und Benutzerfreundlichkeit in nichts nachstehen und gleichzeitig deutlich datenschutzfreundlicher, transparenter und sicherer sind.
Welt der Messenger
27. Januar 2020

Die verrückte Welt der Messenger – Messenger Teil1

Die Artikelserie »Messenger« wird insgesamt acht Messenger vorstellen und diese aus der Perspektive IT-Sicherheit und Datenschutz bewerten.
XMPP
16. November 2018

Messenger: XMPP ist nicht der Heilsbringer – aber eine Lösung

XMPP kann für bestimmte Zielgruppen, mit hohem Autonomiebedürfnis, eine Lösung zu geschlossenen Plattformen wie WhatsApp darstellen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.