Kommunikations-OPSEC: Signal, SimpleX und Session Technisch Verglichen

Bevor du diskutierst, welcher Messenger 'sicherer' ist, definiere zuerst, gegen wen du spielst. Signal schuetzt Nachrichteninhalte gut mit dem Double-Ratchet-Protokoll, doch der Server weiss, dass eine Telefonnummer existiert und wann sie sich verbindet. SimpleX hat ueberhaupt keine Nutzerkennungen, nur ephemere SMP-Queues. Session routet alles ueber ein Netz aus mehr als 2000 Oxen-Nodes mit Swarms von 5 bis 7 Service Nodes pro Konversation. Drei voellig unterschiedliche Metadatenmodelle, drei unterschiedliche Kompromisse zwischen Latenz, Deniability und Subpoena-Resistenz. Wer alle drei als gleichwertig behandelt, hat kein einziges Whitepaper gelesen.

Signal bleibt der Goldstandard fuer Inhalte. Double Ratchet kombiniert X3DH-Schluesselvereinbarung mit KDF-Ketten und liefert Forward Secrecy pro Nachricht sowie Post-Compromise Security. Sealed Sender entfernt den Absender aus dem fuer den Server sichtbaren Envelope, und Private Contact Discovery nutzt Intel SGX ueber Telefon-Hashes, obwohl SGX eine dokumentierte Side-Channel-Historie hat, etwa LVI und AEPIC Leak. Der politische Schwachpunkt ist die Telefonnummer, seit 2024 dank Usernames optional, aber die SIM-Bindung bleibt eine Korrelationsachse. Wer bereits ein persoenliches Bedrohungsmodell wie in OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell dokumentiert, deckt mit Signal 80 Prozent der Szenarien schmerzfrei ab.

SimpleX dreht das Problem um: Es gibt kein Konto. Jeder Kontakt ist eine unidirektionale SMP-Queue mit separaten Curve25519-Schluesseln, und der Client erzeugt ephemere Identitaeten pro Konversation. Der Server sieht nur undurchsichtige Bytes zwischen Queues und weiss nicht, wer mit wem spricht, eine Eigenschaft, die die Autoren Queue Unlinkability nennen. Der Client unterstuetzt XFTP fuer Dateien mit Ende-zu-Ende-Verschluesselung und Chunks fester Groesse, was Traffic-Analyse erschwert. Der Preis ist operativ: manuelle Schluessel-Backups, Kontaktentdeckung nur per Einladung, Mobil-UX noch sperrig. Fuer Einzelquellen-Journalismus oder radikale Kompartmentierung wie in Digitale Kompartimentierung: Getrennte Identitaeten ohne Metadaten zu lecken ist SimpleX heute die technisch korrekte Wahl.

Session forkte vom Signal Protocol, ersetzte Double Ratchet aber durch eine Session-Protocol-Variante, die Forward Secrecy aufgibt, um Multi-Device ohne zentralen Server zu erlauben. Nachrichten ruhen in Swarms des Oxen Service Node Network bis zu 14 Tage verschluesselt, und der Client nutzt Onion Routing nach Lokinet-Art ueber 3 Hops. Keine Nummer, keine E-Mail, nur eine aus Ed25519 abgeleitete Session ID. Der echte Trade-off: ohne PFS bedeutet eine Kompromittierung des Langzeitschluessels Offenlegung der Historie, und das Oxen-Netz ist kleiner als Tor, was eine groessere Korrelationsflaeche hinterlaesst. Sinnvoll fuer Aktivistengruppen, in denen Anmelde-Anonymitaet schwerer wiegt als perfekte PFS, und passt zu Setups aus Echte Anonymitaet mit Tor: Was Funktioniert und was Mythos ist 2026.

Praktischer Vergleich in Zahlen. Typische Latenz auf einem 200-Mbps-Heimanschluss: Signal liefert in 200 bis 400 ms, SimpleX in 400 bis 900 ms je nach SMP-Server, Session in 1.5 bis 3.5 Sekunden wegen Swarm-Traversal. Vom Server unter Subpoena gehaltene Metadaten: Signal beantwortete FBI-Anfragen mit lediglich Konto-Erstellungsdatum und letzter Verbindung (Grand Jury 2016 und 2021); SimpleX hat ausser Queue-Bytes nichts auszuhaendigen; Session speichert im verteilten Swarm, ohne zentralen Betreiber zum Anschreiben. Wer Datei-Metadaten wie in Metadaten-Hygiene: EXIF, PDF und Office vor der Veroffentlichung saubern saeubert, sollte wissen, dass Netzwerk-Metadaten weit mehr verraten als EXIF jemals tat.

Haeufige Fehler aus Red-Team-Arbeit und Trainings: dieselbe Signal-Nummer fuer operative und private Identitaet, Signal-Android-Cloud-Backup mit schwachem 4-stelligem PIN, SimpleX auf dem Default-Server ohne Rotation trotz vorhandener Funktion, oder eine Session ID als anonym betrachten, waehrend man sich aus demselben Heimnetz ohne Tor verbindet. Kein Messenger repariert operatives OPSEC-Versagen der Art, wie sie in Personenschutz fuer Exponierte Ziele: Journalisten, Aktivisten und Fuehrungskraefte beschrieben wird. Auch wichtig: Safety-Number-Verifikation in Signal und Schluessel-Fingerprint-Check in SimpleX sind fuer sensible Kontakte nicht optional, sie sind die einzige reale MITM-Abwehr im Moment der Entdeckung.

Empfehlung nach Szenario, ohne Schnoerkel. Alltagskommunikation mit starker Forward Secrecy und reifem Oekosystem: Signal mit Username und aktiviertem PIN Registration Lock. Gespraech mit einer Quelle, die kein an die Identitaet gebundenes Konto haben darf: SimpleX mit selbst gehostetem SMP-Server auf einem in Monero bezahlten VPS. Internationale Gruppe, in der Teilnehmer weder Telefon noch E-Mail offenlegen koennen und Latenz akzeptieren: Session mit frischer Session ID pro Operation. In allen drei Faellen Auto-Delete zwischen 1 Stunde und 7 Tagen je nach Kontext aktivieren und nie dasselbe physische Geraet fuer unterschiedliche Kompartment-Identitaeten benutzen. Takeaway: Waehle den Messenger nach dem Metadatenmodell, das du brechen musst, nicht nach der Sicherheits-Schlagzeile des Monats.