Signal-Affäre: Trump-Regierung nutzte offenbar unsichere Dritt-App

Es war eine Nachricht, die weltweit ungläubige Reaktionen ausgelöst hatte: Hochrangige Vertreter der US-Regierung, darunter der Nationale Sicherheitsberater Mike Waltz, hatten über den handelsüblichen Smartphone-Messenger Signal geheime Einsatzpläne gegen die Huthis im Jemen besprochen. Mehr noch: Ein Journalist von „The Atlantic“ war versehentlich in den Gruppenchat eingeladen worden. Später wurde bekannt, dass Verteidigungsminister Pete Hegseth die geheimen Informationen auch in einer Familiengruppe geteilt hatte.

Inzwischen verdichten sich jedoch die Hinweise, dass die Sicherheitsstandards innerhalb der US-Regierung noch lückenhafter sind als zunächst angenommen. Offenbar nutzen Vertreter der Trump-Administration nicht mal die App Signal selbst zur Kommunikation, die vergleichsweise hohe Sicherheitsstandards hat – sondern eine weitaus unsicherere Drittanbieter-App. Diese ermöglicht nicht nur neue Angriffsszenarien – sie wurde offenbar sogar bereits gehackt. Nach Bekanntwerden der Mängel wurde der Dienst vorerst abgeschaltet.

Konkret geht es um die App TeleMessage, eine Software aus Israel. Die Plattform erlaubt die Benutzung von Messengerdiensten wie Signal in einer modifizierten App. Möglich ist das, weil Signal quelloffen ist – der Code darf auch von anderen Entwicklern für eigene Software verwendet werden. TeleMessage reichert die gängigen Signal-Funktionen dabei mit einer weiteren an - und macht das Archivieren von Chatnachrichten möglich. Ein Feature, das die Kommunikation über den Dienst allerdings sehr viel unsicherer macht.

Bekannt wurde der Fall, weil die Nachrichtenagentur Reuters Mike Waltz während einer Kabinettssitzung fotografiert hatte. Auf dem Bild scrollt der inzwischen entlassene nationale Sicherheitsberater auf seinem Smartphone – das Display zeigt eine modifizierte Chatapp, die das Tech-Medium „404 Media“ später als TeleMessage identifizierte.

Zu erkennen ist das an einer Aufforderung, die auf dem Bildschirm zu sehen ist: „Bestätigen Sie Ihre TM SGNL-PIN“. In der normalen Signal-App gibt es auch eine solche Aufforderung zur Pin-Eingabe, diese ist jedoch mit einem anderen Text überschrieben. Auf dem Reuters-Foto sind auch Nachrichtenverläufe zu erkennen, die Bezeichnungen wie „JD Vance“ und „Gabbard“ haben – wahrscheinlich Tulsi Gabbard, die US-Geheimdienstchefin.

Auch andere Hinweise auf die Nutzung der Drittanbieter-App gibt es: Das Magazin fand zahlreiche Verträge der US-Regierung, in denen der Dienst TeleMessager erwähnt wird.

Dass die App statt der originalen Signal-Software verwendet wird, könnte rechtliche Gründe haben: US-Regierungsbeamte sind verpflichtet, Aufzeichnungen über ihre Kommunikation anzufertigen – und TeleMessage bietet das, im Gegensatz zu Signal selbst, an. Das Unternehmen wurde schon 1999 in Tel Aviv gegründet und hat sich seither auf verschiedene Spezialanwendungen zur Chat-Kommunikation spezialisiert.

Die Archivfunktion birgt allerdings neue Sicherheitsrisiken: Bei Signal selbst sind Nachrichten Ende-zu-Ende verschlüsselt, für andere nicht einsehbar und nach dem Löschen auch tatsächlich weg. Bei TeleMessage soll die Verschlüsselung nach offiziellen Angaben zwar erhalten bleiben – de facto ist das aber nicht viel wert, da Nachrichten offenbar beim Ein- und Ausgang erfasst und dann an einem anderen Ort gespeichert werden.

Ein Werbevideo des Dienstes zeigt beispielhaft Kopien der Nachrichten in einem handelsüblichen Gmail-Konto, was im Zweifel auch angegriffen werden kann.

Eine Urlaubsreise in die USA wird immer mehr zur Zitterpartie. Nun mehren sich die Warnungen, dass auch die Smartphones und Laptops von Reisenden kontrolliert werden könnten. Wie sollte man seine Geräte darauf vorbereiten? Und welche Maßnahmen sollte man besser unterlassen?

Das ist aber nicht das einzige Problem: „404 Media“ hat erfahren, dass die Schwachstellen der App bereits von Hackern ausgenutzt wurden. Diese haben laut dem Bericht „aus Neugier” zahlreiche Kundendaten von Menschen abgegriffen. Die Daten enthalten Direktnachrichten und Gruppenchats, die das Magazin einsehen konnte. Weitere Daten sind offenbar Namen und Kontaktdaten von Regierungsbeamten, Benutzernamen und Passwörter für das Backend von TeleMessage und Hinweise darauf, welche Behörden und Unternehmen möglicherweise Kunden des israelischen Unternehmens sind.

Immerhin: Von Waltz und seinem Umfeld soll der Hacker keine Daten erbeutet haben. Potenziell möglich wäre das aufgrund der Schwachstellen aber gewesen, glaubt das Magazin. In dem gehackten Material befänden sich Daten im Zusammenhang mit der Zoll- und Grenzschutzbehörde (CBP) der USA. Auch Daten des Kryptowährungsriesen Coinbase und von anderen Finanzinstituten seien gefunden worden.

„Ich würde sagen, der gesamte Vorgang hat etwa 15 bis 20 Minuten gedauert“, sagte der anonyme Hacker dem Magazin. Er erklärte auch, wie er in die Systeme von TeleMessage eingedrungen war: „Es war überhaupt kein großer Aufwand.“ Später berichtete NBC News von einem weiteren Angriff auf die App. Ein weiterer Hacker sei in das zentrale Archiv des Dienstes eingedrungen und habe dem Sender glaubhafte Screenshots vorgelegt.

Die Trump-Administration hat den Fall bislang nicht kommentiert. Sehr wohl aber das Unternehmen hinter TeleMessage: Dieses hat seinen Dienst nun vorerst vom Netz genommen. Ein Sprecher des Mutterunternehmens Smarsh sagte NBC News, man untersuche den Sicherheitsvorfall. „Nach der Entdeckung haben wir schnell reagiert, um ihn einzudämmen, und ein externes Cybersicherheitsunternehmen zur Unterstützung unserer Untersuchung beauftragt. Aus großer Vorsicht wurden alle TeleMessage-Dienste vorübergehend ausgesetzt.“

Der originale Messenger Signal genießt wegen seiner starken Verschlüsselung und seines Fokus auf den Datenschutz eigentlich hohes Vertrauen unter IT-Fachleuten. Signal positioniert sich als eine Art Gegengewicht zum kommerziellen Whatsapp und gilt als sehr sicher.

Für das Teilen von hochsensiblen Angriffsplänen ist die App jedoch nur bedingt geeignet – insbesondere, wenn man diese in Gruppenchats mit mehreren Teilnehmern bespricht. Und noch brisanter wird es, wenn dafür eine unsicherere Dritt-App verwendet wird. Ein Sprecher von Signal betont gegenüber dem RedaktionsNetzwerk Deutschland (RND): „Wir können die Datenschutz- und Sicherheitseigenschaften von inoffiziellen Versionen von Signal nicht garantieren.“

Völlig unklar bleibt, warum die US-Regierung überhaupt auf gängige Smartphone-Messenger zurückgreift. Die Behörden verfügen für die Übertragung sensibler Informationen über spezielle Systeme und Protokolle. Diese sind nahezu vollständig vom Rest der digitalen Welt abgeschottet, um den potenziellen Informationsverlust durch den Diebstahl eines kompromittierten Mobilgeräts zu verhindern.