taz: Herr Schilz, mit einer Phi­shingattacke über den Messenger Signal haben Angreifer versucht, sich Zugriff auf einzelne Nut­zer:in­nen­kon­ten zu verschaffen, unter anderem von prominenten Po­li­ti­ker:in­nen. Gute PR für Sie?

Benjamin Schilz: Ich würde nicht unbedingt sagen, dass es gut für uns ist, aber es ist gut für das gesellschaftliche und politische Bewusstsein. Die Menschen werden sich durch solche Geschehnisse und die Berichterstattung darüber bewusst, dass sie in der digitalen Welt einer ganzen Reihe von Risiken ausgesetzt sind.

taz: Sie merken keinen Effekt, etwa an den Downloadzahlen oder dass mehr Unternehmen auf Sie zukommen und Wire einsetzen wollen?

Schilz: Wir merken tatsächlich, dass im Zuge der Berichterstattung über den Phishingvorfall das Interesse an uns als alternativem und sicherem Messenger steigt. Das betrifft vor allem Unternehmen, denn für die öffentliche Hand – etwa Behörden und den Bundestag – gibt es ja schon eine eigene Wire-­Version, die dort eingesetzt wird.

taz: In dem Phishingfall gab es bei Signal keine Sicherheitslücke, die ausgenutzt wurde. Die Angreifer nutzten den Schwachpunkt Mensch. Es gab nun einzelne Stimmen aus der Politik, die Nutzung von Signal für die parlamentarische Arbeit zu verbieten.

Schilz: Um es klar zu sagen: Signal ist ein großartiges Produkt mit einer exzellenten Verschlüsselung. Aber Signal ist ein Messengerdienst für private An­wen­der:in­nen. Er ist dafür gemacht, dass Freund:in­nen und Familie auf sichere und einfache Art und Weise in Kontakt treten können. Er ist nicht dafür gemacht, die Kommunikation in Unternehmen oder im parlamentarischen Raum zu schützen. Und wir müssen uns bewusst sein, dass die Attacken der Angreifer, was Phishing und andere Maschen angeht, immer ausgefeilter werden. Und unterschiedliche Nutzergruppen sind hier natürlich unterschiedlich stark gefährdet.

taz: Die Phishingattacke beruhte darauf, dass die Angreifer die Telefonnummer kannten oder errieten, die bei Signal mit dem Konto verknüpft ist. Wire verzichtet auf die Telefonnummer. Macht das Phishing unmöglich?

Schilz: In Sachen IT-Sicherheit ist nichts unmöglich. Aber wir bieten weitere Maßnahmen, die das Schutzniveau erhöhen, zum Beispiel eine Security-Policy. Erinnern Sie sich an den Atlantic-Fall im vergangenen Jahr?

taz: Der Nationale Sicherheitsberater der USA, Mike Waltz, hatte damals den ­Chefredakteur des Magazins The ­Atlantic versehentlich in einem hoch geheimen Chat als Teilnehmer hinzugefügt. Dieser konnte daraufhin die Planung einer Militäroperation mitlesen, und das Magazin veröffentlichte daraufhin die Details der Operation.

Schilz: Mit einer Security-Policy kann man solche Fälle verhindern. Die regelt zum Beispiel, welche Kontakte überhaupt zu Gruppen hinzugefügt werden dürfen. Auch Phishing würde das mindestens deutlich erschweren. Für die private Nutzung wäre so etwas natürlich nicht praktikabel, aber für Unternehmen und öffentliche Stellen ist es essenziell.

taz: Die Diskussion über die Sicherheit von Kommunikation ist eng verknüpft mit der über digitale Souveränität. Wie unabhängig ist Wire von US-amerikanischen Diensten?

Schilz: Wir sind ein europäisches Unternehmen. Wire wird in Europa entwickelt. Der Großteil unseres Personals sitzt in Deutschland, aber wir haben auch Teams in Frankreich, in Großbritannien und in der Schweiz. Dort und in Frankreich haben wir auch Gesellschaften, die Töchter der deutschen Holding sind.

taz: Wer sind die Investoren von Wire?

Schilz: Unsere Hauptinvestoren sind Janus Friis, Däne und Mitgründer von Skype, die Schwarz-Gruppe und zwei deutsche Fonds. Mehr als 90 Prozent unserer Anteilseigner sind aus Europa – die wenigen von außerhalb haben keinen Einfluss auf unsere Entscheidungen.

taz: Ist das Unternehmen profitabel?

Schilz: Noch nicht. Aber wir rechnen damit, dass sich das noch dieses Jahr ändern wird.

taz: Die Gretchenfrage bei Messengerdiensten ist auch, ob sie Server von US-amerikanischen Konzernen nutzen. Wie sieht es da aus?

Schilz: Unsere Kunden aus Unternehmen und der öffentlichen Hand nutzen in der Regel ohnehin eigene Server. Aber bei unserer App für Pri­vat­an­wen­der:in­nen setzen wir neben europäischen Anbietern auch auf Server von Amazon.

taz: Das ist in Sachen digitale Souveränität ein Risiko.

Schilz: Wir sind daher dabei, von Amazon zu einem europäischen Anbieter zu wechseln. Das lässt sich nicht über Nacht machen, weil wir Ausfallzeiten vermeiden wollen. Aber wir arbeiten seit dem vergangenen Jahr daran, und der Umzug sollte in den kommenden Monaten abgeschlossen ein.

taz: Wenn Unternehmen in Deutschland auf Amazon und andere große US-amerikanische Anbieter für ihre Clouds setzen, argumentieren sie oft damit, dass diese einfach mehr Leistung und Funktionen böten als europäische Anbieter.

Schilz: Ja, in der Regel bieten die Cloudprovider hier ein bisschen weniger Funktionen als ihre US-Pendants. Aber das Problem ist ein anderes: Die US-Konzerne sind sehr gut darin Lock-in-Effekte zu generieren. Sie bauen ihre Produkte so, dass sie es den Nutzenden, egal ob privat oder Unternehmen, schwer machen zu wechseln. Aber davon abhalten lassen darf man sich trotzdem nicht.