Meredith Whittaker
Meredith Whittaker. Quelle privat.

Meredith Whittaker: Bei Signal geht es nicht ums Geld!

Meredith Whittaker sucht als neue CEO nach neuen Strategien. Mit dem Verkauf der Nutzer-Daten an Dritte will sie keinen Cent verdienen.

Signal will grundsätzlich keine Daten verkaufen, um die gigantischen Betriebskosten zu decken, erzählt uns die neue Chefin Meredith Whittaker. Beim Gespräch mit Tarnkappe.info haben wir uns erkundigt, wie das funktionieren soll. Die Fragestellung nach dem Erlösmodell ist schon deswegen von Interesse, weil Whittaker vor dem Wechsel ausgerechnet bei der Datenkrake Google tätig war.

Meredith Whittaker zur Geschichte von Signal

Tarnkappe.info: Frau Whittaker, wie ist Signal entstanden? Mit welcher Motivation geschah dies, wer war daran beteiligt?

Meredith Whittaker: Signal wurde 2014 von Moxie Marlinspike gegründet und ist aus seinem Projekt Open Whisper Systems hervorgegangen. Im Laufe der Jahre haben viele talentierte Menschen zum Aufbau und zur Pflege von Signal beigetragen. Moxie ist der Privatsphäre sehr verpflichtet, aber ich kann nicht über seine innere Motivation sprechen. Allerdings kann ich sagen, dass es mich motiviert, sicherzustellen, dass Signal weiterhin als robuster, benutzerfreundlicher Messenger existiert – und zwar außerhalb des Geflechts der Überwachung durch Unternehmen und staatliche Akteure.

Ich glaube, dass Signal für die Zukunft von existenzieller Bedeutung ist, und ich werde alles tun, um sicherzustellen, dass es wächst und gedeiht und seine strengen Datenschutzversprechen gegenüber den Menschen einhält, die sich darauf verlassen.

Signal ist kein gewinnorientiertes Unternehmen

Tarnkappe.info: Ich nehme an, das werden unsere Leser gerne zur Kenntnis nehmen. Wer steckt eigentlich heute dahinter? Wem gehören die Anteile? Oder ist das nicht öffentlich?

Signal, surveillance camera

Meredith Whittaker: Dieser Frage scheint ein Missverständnis zugrunde zu liegen: Signal hat keine Aktien oder Investoren. Es ist kein gewinnorientiertes Unternehmen. Signal ist eine gemeinnützige Organisation gemäß 501c3 (siehe hier). Informationen zu unserer Organisationsstruktur und unserem Governance-Modell sind für alle Interessierten öffentlich zugänglich unter https://signalfoundation.org.

Immer wieder wurde kritisiert, dass die Finanzierung von Signal teilweise intransparent sei. Wie genau funktioniert die Finanzierung?

Meredith Whittaker: Signal wird vollständig durch Spenden finanziert, einschließlich eines großzügigen Darlehens von Brian Acton. Wir sind als gemeinnützige Organisation gemäß 501c3 eingetragen und unterziehen uns als solche einer jährlichen Prüfung und veröffentlichen unseren Finanzstatus. Wir haben diese Organisationsform und das Spendenmodell gewählt, weil wir das dominante Geschäftsmodell der Überwachung ablehnen und vermeiden möchten. Und wir bieten unsere Dienste kostenlos an, aber anstatt Überwachungsdaten im Backend zu monetarisieren, bitten wir die Menschen, die sich auf Signal verlassen, sich mit einem kleinen Beitrag zu beteiligen.

Meredith Whittaker: “Menschen wählen nicht aus, wo sie geboren werden”

Tarnkappe.info: Wieso hat man sich für die Stiftung und die Signal Messenger LLC aufgrund des fehlenden Datenschutzes als Sitz ausgerechnet für die USA entschieden? Anders gefragt: Warum sollte man nach dem Patriot Act und den Snowden-Enthüllungen einem Unternehmen plus Stiftung mit Sitz in den USA seine Daten anvertrauen?

Meredith Whittaker: Im Gegensatz zu den meisten Tech-Produkten und Diensten sammelt Signal keine Daten über seine Nutzer. Menschen die Signal nutzen, „vertrauen“ Signal also keine Daten an. Das ist der Kern der Mission von Signal und wir nehmen diese Mission sehr ernst.

Zur Frage der Geografie: Menschen wählen nicht aus, wo sie geboren werden oder wo sich die intellektuellen und praktizierenden Gemeinschaften befinden, mit denen sie arbeiten und mit denen sie wachsen. Die Gründer und Mitarbeiter von Signal waren hauptsächlich in den USA ansässig. Hier ist Signal entstanden und hat sich von einem Hypothesenprojekt zum am weitesten verbreiteten privaten Messenger der Welt entwickelt.

Selten genutzte Messenger sind leider nutzlos

Werden die Server von Amazon, Microsoft, Google und Cloudflare irgendwann nicht mehr genutzt, sodass sie die IP-Adresse (Metadaten) nicht erhalten? Oder wird alternativ ein Onion-Routing-Protokoll implementiert? Wird die Serverstruktur irgendwann dezentralisiert (Peer-to-Peer)?

Meredith Whittaker: Im Gegensatz zu fast allen anderen Tech-Angeboten für Verbraucher ist Signal so konzipiert, dass nichts, einschließlich der Server von Signal, Zugriff auf Ihre Daten hat. Verteilte oder dezentrale Systeme erhöhen die Privatsphäre nicht. Tatsächlich können sie die Privatsphäre einschränken. Zum Beispiel waren Signalanrufe vor vielen Jahren immer P2P. Aber die Leute mochten es nicht, dass damit die IP-Adresse an jeden weitergegeben wurde, der sie angerufen hat. Aus Datenschutzgründen haben wir unser System daher so geändert, dass es nicht in allen Fällen P2P ist.

Im Fall von Signal müssen wir auch anerkennen, dass der Datenschutz kollektiv ist. Es spielt keine Rolle, wie Datenschutz und strenge Sicherheit für mich selbst aussehen soll. Wenn meine Freunde, Kollegen, Partner und diejenigen, mit denen ich sprechen möchte, einen Messenger nicht nutzen, ist er auch nutzlos für mich.

Robuste Privatsphäre als Ziel

Das Ziel von Signal ist es, allen Menschen robuste Privatsphäre zu bieten. Um dies zu erreichen, dürfen wir nicht in die Kategorie der Datenschutz-Gedankenexperimente verbannt werden: Eiserne Privatsphäre in der Theorie, aber in der Praxis ungenutzt, weil sie nicht nach den Erwartungen und Wünschen der Menschen funktionieren. Um nützlich zu sein, muss ein Messaging-Dienst heute jederzeit und überall sofort verfügbar sein. Dies ist eine Norm, die von Messengern festgelegt wurde, die am Geschäftsmodell der Überwachung teilnehmen, was Signal ablehnt. Nur weil wir das Geschäftsmodell der Überwachung ablehnen, heißt das jedoch nicht, dass wir die „immer verfügbar“-Norm ablehnen können, wenn wir nützlich, genutzt und relevant bleiben wollen.

Cloud-Dienste in der Hand weniger IT-Konzerne

Um diese Erwartungen zu erfüllen, ist derzeit eine hochverfügbare globale Serverinfrastruktur erforderlich. Diese Infrastruktur – die wir allgemein als „Cloud-Dienste“ bezeichnen – befindet sich derzeit in den Händen einer Handvoll Unternehmen. Denn die Technologiebranche hat sich im letzten Jahrzehnt dank des Geschäftsmodells der Überwachung und seiner Netzwerkeffekte konsolidiert. Es ist nicht möglich, Hochverfügbarkeitsdienste wie Signal zu entwickeln, ohne entweder eines dieser „Big Tech“-Unternehmen zu sein oder Cloud-Server von ihnen zu lizenzieren. Das ist nicht die Welt, die wir uns wünschen. Aber es ist die Welt, in der wir agieren.

Dies führt uns zu einer Diskussion über die Kosten und die Wirtschaftlichkeit der Entwicklung und Pflege von Hochverfügbarkeitssoftware wie Signal. Die Kosten sind eine der größten Herausforderungen beim Betrieb eines Dienstes wie Signal, wenn man das lukrative Geschäftsmodell der Überwachung ablehnt. Um Signal am Laufen zu halten, geben wir jährlich zig Millionen Dollar aus. Und Server und Bandbreite sind zwei der größten Ausgaben.

suspect
Foto: Lars Sobiraj.

Sowohl Server als auch Bandbreite sind mit erheblichen Skaleneffekten verbunden, die den Eigentümern dieser Cloud-Ressourcen erhebliche Vorteile in Bezug auf eine flexible Ressourcenzuweisung bieten.

An den großen Tech-Firmen geht leider kein Weg vorbei

Um ein reales Beispiel zu nennen: Als die Nutzung von Signal im Januar 2021 um das 10-fache anstieg, konnten wir unsere Cloud-Anbieter schnell anrufen und unsere Hosting-Kapazität und Bandbreite innerhalb weniger Stunden erweitern. Wenn wir im Januar 2021 unsere eigene Infrastruktur betrieben und gehostet hätten, hätten wir große ungenutzte Reserven haben müssen, um die gleiche Robustheit angesichts dieser dynamischen Bedingungen zu gewährleisten. In diesem Szenario hätten wir auch Rechenzentren leasen und auf der ganzen Welt Teams von Ingenieuren und Hardwarebetriebspersonal einstellen müssen, um sicherzustellen, dass wir Mitarbeiter für den Aufbau und die Wartung unserer Infrastruktur haben. Dieses Modell würde wahrscheinlich nicht Dutzende, sondern Hunderte von Millionen Dollar pro Jahr kosten, um eine ähnlich robuste Leistung zu erzielen.

Wenn wir in Zukunft Optionen entwickeln oder entdecken, die nicht auf eine weitverbreitete Cloud-Infrastruktur angewiesen sind und – was wichtig ist – die „immer verfügbar“ Erwartungen der Menschen erfüllen und gleichzeitig wirtschaftlich tragbar sind, werden wir sie uns natürlich ansehen. Aber es gibt heute keine solche Option. Und der Wechsel zu einer verteilten Architektur, ohne diese Probleme ernst zu nehmen, würde den Nutzen von Signal für die Menschen, die sich darauf verlassen, verringern – und möglicherweise ihre Privatsphäre. Dazu sind wir nicht bereit.

Meredith Whittaker will Spendenoptionen erweitern

Warum ist es nicht möglich, mit einer datenschutzfreundlichen Banküberweisung zu spenden? Paypal und Kreditkarte sind alles andere als datenschutzfreundlich.

Meredith Whittaker: Die Verwendung gängiger Zahlungsabwickler von Drittanbietern erleichtert das Spenden und unsere erforderliche Finanzprüfung. Wir arbeiten auch aktiv daran, diese Optionen zu erweitern.

spende, spenden

Bei In-App-Spenden und Spenderabzeichen unternimmt Signal große Anstrengungen, um sicherzustellen, dass Spenderidentitäten nicht einzelnen Signal-Konten zugeordnet werden. Wir nutzen dafür ein anonymes Berechtigungsschema, das wir für private Signal-Gruppen eingeführt haben. Jemand, der Signal verwendet, spendet an Signal, und wir verknüpfen dann ein Abzeichen mit dem Signal-Profil dieser Person, sodass der Server authentifizieren kann, dass die Person zum Kreis der Personen gehört, die gespendet haben. Ohne jedoch genau zu wissen, um welche Spende es sich handelt.

Signal plant alle Handynummern geheim zu halten

Warum muss man bei der Registrierung seine Handynummer angeben? Andere Dienste funktionieren auch ohne Angabe dieser Informationen. Wird sich das irgendwann ändern? Wird es alternativ irgendwann möglich sein, bei der Registrierung nur Nicknames statt Nummern einzugeben?

Meredith Whittaker: Wir haben keine Pläne, die Voraussetzung einer Telefonnummer bei der Registrierung zu ändern. Wir arbeiten jedoch daran, Benutzernamen zu ermöglichen, die es den Nutzern erlauben, ihre Telefonnummern vor den Personen, mit denen sie auf Signal kommunizieren, geheim zu halten.

Zum Hintergrund dieser Entscheidung: Telefonnummern ermöglichen es den Menschen, ihr soziales Netzwerk an Beziehungen („social graph“) in Signal zu „importieren“ und, was noch wichtiger ist, es mitzunehmen, wenn sie sich entscheiden, Signal nicht mehr zu verwenden. Das Netzwerk, das die Leute über Telefonnummern mitbringen, hilft den Leuten, sich schnell mit ihren Freunden und Kollegen zu verbinden. Und natürlich ist dieses Netzwerk – das Netzwerk der Menschen, die Ihnen wichtig sind, mit denen Sie zusammenarbeiten und mit denen Sie sprechen möchten – das Herzstück eines funktionierenden Messenger-Dienstes.

“Wir bekämpfen alle Anfragen gleichermaßen, egal woher sie kommen.”

Die Registrierung durch Telefonnummern hilft auch bei der Bekämpfung von Spam. Es erschwert böswilligen Nutzern viele Signal-Konten zu erstellen, die verwendet werden, um den Nachrichten-Feed der Leute mit unerwünschten Nachrichten zu verschmutzen und den Spaß und Nutzen von Signal insgesamt zu verringern. Herkömmliche Account-Systeme, die auf Benutzernamen und Passwörtern beruhen, neigen auch dazu, Sicherheitsrisiken für Personen darzustellen, deren Passwörter durch Phishing oder anderweitig kompromittiert werden. Dieses Problem, mit dem „Benutzername + Passwort“ Systeme zu kämpfen haben, kann man mit Telefonnummern abschwächen. Wir haben lange und gründlich über die Verwendung von Telefonnummern nachgedacht. Und wir glauben, dass es keinen einfachen Weg gibt, sie zu umgehen – selbst wenn wir es gerne hätten. Wenn wir jedoch eine realistische Alternative zu Telefonnummern entwickeln oder entdecken, werden wir sie mit Sicherheit genau prüfen.

Wie viele behördliche Anfragen erhält Signal jedes Jahr? Welche Behörden sind beteiligt, auch Geheimdienste?

Meredith Whittaker: Alle Anfragen, denen wir nachkommen müssen, veröffentlichen wir unter https://signal.org/bigbrother/. Wenn man diese Website durchsieht, erkennt man, wie wenig Informationen wir haben und wie wenig wir auch unter Zwang herausgeben können. Wir bekämpfen alle Anfragen gleichermaßen, egal woher sie kommen.

Vielfach weiß Signal nicht, wer mit wem kommuniziert

Können Behörden Sie auch zur Liveüberwachung zwingen? Wenn ja, bei welchen Vorwürfen? Wenn nein, wieso nicht?

Meredith Whittaker: Würden die Behörden danach fragen, würden sie von Signal nicht viel bekommen. Das Signal-Protokoll schützt vor „Man-in-the-Middle“-Überwachung – durch Signal oder jede andere Organisation. Das bedeutet, dass selbst wenn jemand eine „Live-Überwachung“ versuchen würde, der Inhalt der Nachrichten geschützt und nicht für eine Überprüfung oder Erfassung verfügbar wäre. Darüber hinaus wird die überwiegende Mehrheit der Signal-Nachrichten mit dem „Sealed Sender“-System von Signal gesendet. Das bedeutet, dass wir nicht wissen, wer eine Nachricht gesendet hat.

Wir haben niemals Zugriff auf die Nachrichten der Nutzer

Werden Chats mit automatischer Ablaufzeit sofort und dauerhaft von den Servern gelöscht? Oder wird der Verlauf gespeichert? Gibt es bei der Durchführung Unterschiede bei manuellem oder automatischem Löschen?

Meredith Whittaker: Signal hat niemals Zugriff auf die Nachrichten von Nutzer.

Wir speichern keine Nachrichten auf den Servern von Signal. Wir verwenden unsere Server, um verschlüsselte Datenblöcke (Blobs) auszuliefern, die nur von den Signal-Benutzern entschlüsselt und gelesen werden können, die die Nachrichten erhalten sollen. Diese verschlüsselten Blobs können von Signal oder anderen nicht gelesen oder entschlüsselt werden. Sobald sie an das Gerät eines Empfängers übermittelt wurden, werden diese verschlüsselten Blobs dauerhaft von den Servern von Signal gelöscht. Wir löschen diese Blobs auch, wenn sie nach einigen Tagen nicht zugestellt werden.

Wenn wir den Unterschied zwischen manuellem und automatischem Löschen von Nachrichten diskutieren, sprechen wir von etwas anderem. Wir beziehen uns auf das Löschen von Nachrichten vom Gerät eines Benutzers. Nachrichten, auf die Signal niemals Zugriff hat. Der Unterschied zwischen automatischem und manuellem Löschen besteht einfach darin, welcher Prozess zum Löschen auffordert: Das automatische Löschen wird durch das Ablaufen der Löschuhr ausgelöst (z. B. nach einer Woche oder einem Tag), während das manuelle Löschen durch eine Benutzeraktion ausgelöst wird.

In welchem Abstand nach Entstehen löschen Sie die Meta-Daten von den Servern? Wir wissen ja, wie aussagekräftig diese sind.

Meredith Whittaker: Sie können auf https://signal.org/bigbrother nachsehen. Dort haben wir die Anzahl der behördlichen Aufforderungen aufgeführt, denen wir nachkommen mussten, um sich ein Bild von der äußerst begrenzten Menge an Metadaten zu machen, auf die wir Zugriff haben und zu deren Herausgabe wir gezwungen werden können. Sie können dies dann mit den oft umfangreichen Datenanfragen von Regierungen vergleichen, die Überwachungs-Messaging-Dienste wahrscheinlich erfüllen könnten, Signal jedoch nicht.

Kostenloser Newsletter

Lesetipps und Glosse bequem ins Postfach - Abonnieren Sie jetzt den kostenlosen Newsletter.

Meredith Whittaker: “Für mich gibt es nichts Wichtigeres, als dafür zu sorgen, dass Signal im Kontext einer zunehmend zentralisierten und überwachten Welt wächst und gedeiht.”

Was ist von Meredith Whittaker als neue Managerin zu erwarten? Welche Auswirkungen wird ihre Position auf Signal haben?

Meredith Whittaker: Sie können mehr über meine Denkweise in meinem einführenden Blogbeitrag hier erfahren.

Ich bin seit fast einem Jahrzehnt ein Freund und Verfechter von Signal. Ich habe eng mit Moxie und anderen im Team zusammengearbeitet. Außerdem war ich einige Jahre im Vorstand von Signal und ich bin ein langjähriger und unerschütterlicher Befürworter starker Verschlüsselung und Privatsphäre. Ich habe entschieden, mich Signal anzuschließen, weil ich glaube, dass ich nichts Wichtigeres tun könnte, als dafür zu sorgen, dass Signal im Kontext einer zunehmend zentralisierten und überwachten Welt wächst und gedeiht.

24h Stories à la Instagram, WhatsApp & Co. ?

Wann können wir mit 24h Stories à la Instagram, WhatsApp etc. rechnen?

Meredith Whittaker: Halten Sie die Augen offen, wir arbeiten aktiv daran und es sollte sehr bald ein Update geben!

Wird es eine Option geben, die Einstellungen der App mit allem in eine ZIP-Datei zu exportieren und in einem neuen Gerät wiederherzustellen? Also somit auch die Verlaufe? Welche anderen Optionen für den Export der Signal-Daten sind geplant?

Meredith Whittaker: Momentan haben wir keine Pläne. Aber die Bereitstellung von Backup-Optionen, die auch unsere strengen Datenschutzversprechen einhalten, ist etwas, das wir prüfen.

Welche Pläne zur Interoperabilität sind in der Pipeline, wenn welche existieren?

Meredith Whittaker: Wir haben derzeit keine Pläne, die wir teilen könnten. Wichtig ist, dass wir nicht mit Diensten zusammenarbeiten werden, die das Senken unserer Datenschutzstandards erfordern würden oder die uns daran hindern würden, unsere strengen Datenschutzversprechen gegenüber den Menschen einzuhalten, die sich auf uns verlassen.

Meredith Whittaker über die Zukunft: “Ich bin kein Zauberer oder Hellseher

Wie wird das Internet in zehn Jahren aussehen? Werden die Staaten es von A bis Z komplett regulieren? Wie würde Signal darauf reagieren?

Meredith Whittaker: Ich bin kein Zauberer oder Hellseher, daher kann ich nicht sagen, wie das Internet in 10 Jahren aussehen wird oder ob wir zu diesem Zeitpunkt überhaupt den Begriff „Internet“ verwenden werden. Ich kann sagen, dass Signal seinen Datenschutzversprechen treu bleiben und seine starke Verschlüsselung nicht gefährden wird, was auch immer passiert.

Frau Whittaker, vielen Dank für die ausführlichen Antworten. Außerdem möchten wir uns bei allen Foren-Nutzern bedanken, die im Vorfeld wirklich extrem fleißig Fragen eingereicht haben.

Tarnkappe.info

Kategorie: Datenschutz, Interviews
Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.