Das Thema Messenger und Sicherheit ist momentan in aller Munde. Dank WhatsApp und dessen neuen Richtlinien sucht nun eine ganze Gruppe an Leuten nach neuen, sicheren Messenger-Alternativen. Einige davon haben wir euch schon einmal vorgestellt. Bisher verzeichnet jedoch der Messenger Telegram einen regen Zulauf, obwohl es hier keine Ende-Zu-Ende-Verschlüsselung ab Werk gibt.
Telegram und der Datenschutz
Der Cloud-Basierte Messenger Telegram wurde 2013 von Nikolai und Pawel Durow gegründet. Seit Januar verzeichnet der Messenger einen regen Zulauf von weltweit 500 Millionen aktiven Nutzern. Es können Gruppen gegründet und Informationen (ob wahr oder unwahr „Real Michael Wender“ o.ä.) in die Welt geschickt werden. Die Registrierung bei Telegram erfolgt, wie auch bei WhatsApp, über deine Telefonnummer. Gibst du Telegram dann noch Zugriff auf deine Kontakte, werden sofort alle vorhandenen Telegram-Nutzer angezeigt. Telegram ist quelloffen und kann von jedem eingesehen werden. Dies gilt jedoch nicht für die serverseitige Infrastruktur. Des Weiteren sind mit Telegram versendete Nachrichten standardmäßig nicht Ende-zu-Ende verschlüsselt. Bei Gruppenchats/Channels ist die Option gar nicht vorhanden und macht laut Telegram auch keinen Sinn, da es sich bei Gruppen um offene Chats handelt. Unverschlüsselte Einzel- sowie Gruppenchats werden lediglich transport-verschlüsselt und dann auf einem Server gespeichert, auf dem der russische Anbieter alles mitlesen und so theoretisch Informationen herausgeben kann. In einer Nachricht von Telegram wurde außerdem angekündigt, dass diese gespeicherten Daten bald für Werbung (Mehr Nutzer, mehr Einnahmen jedoch nicht innerhalb von Chats) genutzt werden.
Für die Ende-zu-Ende-Verschlüsselung nutzt Telegram das selbst entwickelte MTProto-Protokoll. Dieses wurde jedoch mehrfach von Kryptographieexperten kritisiert. Ein vom MIT im Mai 2017 für Version 1.0 in Auftrag gegebenen Sicherheitsaudit zeigt diverse Schwächen.
- In this project we have surveyed the Telegram messenger. When Telegram has started as a company it became popular because of its claims, public’s trust in the founders and also the timing (NSA leaks by Snowden were happened in the same year). Given these claims one would expect very high level of security from Telegram. However, our survey shows that Telegram has had serious and simple issues in the protocol (e.g. modified buggy Diffie-Hellman key exchange) that any knowledgeable security expert could penetrate. By using the command line interface of Telegram we have been able to snoop on some of our friends and detect the times when they were conversing to each other. We believe that this is a serious privacy issue, because it can be exploited to detect relationships in classroom for example. Finally, our conclusion is that Telegram, just like any other application has vulnerabilities. Users have to be aware of this fact, but unfortunately the claims by companies make non-tech-savvy users to believe that their messages are unreadable by third parties.
- In diesem Projekt haben wir den Telegramm-Messenger untersucht. Als Telegram als Unternehmen gegründet wurde, wurde es aufgrund seiner Behauptungen, des Vertrauens der Öffentlichkeit in die Gründer und des Zeitpunkts populär (NSA-Lecks von Snowden traten im selben Jahr auf). Angesichts dieser Behauptungen würde man von Telegram ein sehr hohes Maß an Sicherheit erwarten. Unsere Umfrage zeigt jedoch, dass Telegram schwerwiegende und einfache Probleme im Protokoll hatte (z. B. modifizierter fehlerhafter Diffie-Hellman-Schlüsselaustausch), in die jeder sachkundige Sicherheitsexperte eindringen konnte. Mithilfe der Befehlszeilenschnittstelle von Telegram konnten wir einige unserer Freunde ausfindig machen und die Zeiten ermitteln, zu denen sie sich unterhielten. Wir glauben, dass dies ein ernstes Datenschutzproblem ist, da es beispielsweise zum Erkennen von Beziehungen im Klassenzimmer ausgenutzt werden kann. Schließlich ist unsere Schlussfolgerung, dass Telegramm wie jede andere Anwendung Schwachstellen aufweist. Benutzer müssen sich dieser Tatsache bewusst sein, aber leider lassen die Behauptungen von Unternehmen nicht technisch versierte Benutzer glauben, dass ihre Nachrichten für Dritte nicht lesbar sind.
In der überarbeiteten Version 2.0 des MTProto-Protokolls haben Entwickler auf die Schwächen reagiert. Es gibt jedoch immer noch kein Sicherheitsaudit.
Ebenfalls wurde ein Test durchgeführt, bei dem man eine URL in den Messenger eingetippt und diese noch nicht abgeschickt hat. Hierbei werden sogleich, wie bei WhatsApp auch, während des Eintippens weitere Hintergrund-Informationen zur URL angezeigt. Telegram jedoch sendet jeden einzelnen Buchstaben direkt an die eigenen Server, welcher dann die URL besucht. Die IP-Adresse gehörte dabei zu einem Server in England. Bei WhatsApp wurde beim selben Test während des Zugriffs auf die URL die IP-Adresse des Smartphones angezeigt. Somit hat beim Test mit WhatsApp die App im eigenen WLAN die Daten aufgerufen, bei Telegram ein externer Server.
Ein weiterer Test zeigt die in der Cloud gespeicherte Daten. Dazu öffnest du auf deinem PC im Browser einen Inkognito-Tab und rufst dort die Webseite/den Web-Client von Telegram auf https://web.telegram.org/. Dort meldest du dich dann mit deiner Handynummer an. Telegram schickt dir dann den 6stelligen Login-Code auf dein Smartphone. Sobald dieser auf deinem Smartphone angekommen ist, schaltest du das Gerät in den Flugmodus, sodass kein Senden von Daten über das Smartphone mehr möglich ist. Gibst du den Code dann in der Webseite ein Öffnen sich trotzdem deine kompletten vorhandenen Chats. Die Chat-Daten stammen in diesem Fall nicht von deinem Smartphone, da sich dieses bei der Eingabe des Codes bereits im Flugmodus befand und somit kein Synchronisieren möglich ist, sondern aus der Cloud/von den Web-Servern.
Telegram wirbt jedoch damit, ein Cloud-Basierter Messenger-Dienst zu sein. Somit ist es logisch, dass deine Chats auf einem Server gespeichert und von dort geholt werden. Eine Anmeldung mittels Telefonnummer hat ja stattgefunden. Ebenfalls garantiert Telegram die Sicherheit nach heutigem Standard auch nur bei den geheimen Chats mit Timerfunktion. Der Nutzer soll dies eigenverantwortlich entscheiden.
Telegram – Geheime Chats aktivieren
Telegram bietet die kaum genutzte Option der geheimen Chats. Diese schützen die Kommunikation auch durch das Mitlesen von Dritten. Die Geheimen Chats sind standardmäßig nicht aktiviert, so musst du dies über die Einstellungen selbst tun. Das Aktivieren ist für Einzel-Chats beliebig oft möglich. Der normale, unverschlüsselte Chat, bleibt weiterhin bestehen. Ein verschlüsselter Chat, den du auf deinem Smartphone gestartet hast, kann jedoch nicht über den Web-Client weiter geführt werden, sondern immer nur über das Gerät, dass den verschlüsselten Chat gestartet hat. Sie sind also gerätespezifisch und werden nicht in der Cloud von Telegram gespeichert.
Du öffnest Telegram und klickst auf den Stift-Button für eine neue Nachricht unten rechts. Anschließend wählst du die Option „Neuer Geheimer Chat„, danach wählst du einen Kontakt aus. Der geheime Chat ist aktiv. Du kannst nun Nachrichten hin- und herschreiben. Es erfolgt zuvor noch eine Info, dass Nachrichten in einem geheimen Chat Ende-zu-Ende-Verschlüsselt sind. Das bedeutet, keine Serverspeicherung, ein Selbstzerstörungs-Timer, das Verbieten einer Weiterleitung der Nachrichten sowie ein Löschen der Nachrichten bei Abmeldung.
Bei geheimen Chats sind die Nutzernamen grün gekennzeichnet und es befindet sich ein Schloss davor. Des Weiteren ist es möglich, den geheimen Schlüssel zu vergleichen. Dabei handelt es sich um eine Art Barcode mit Nummern/Buchstabenkombinationen, welcher für jeden geheimen Chat neu generiert wird. Der Schlüssel kann über das Profilbild des anderen Nutzers aufgerufen werden. Das Austauschen der verschlüsselten Nachrichten geschieht über das oben erwähnte Diffie-Hellmann-Schlüsselaustauschverfahren. Ein Vergleichen der Schlüssel kann nur persönlich erfolgen, da du immer nur den geheimen Schlüssel deines Chat-Partners aufrufen kannst, nicht jedoch deinen eigenen. Ein Screenshot kann nicht erstellt werden, jedoch ist ein abfotografieren des Schlüssels mit einem anderen Gerät und die Weiterleitung des Fotos möglich…
Telegram – Nachrichten mit Selbstzerstörungs-Timer
Neben den Geheimen Chats bringt Telegram noch die selbstzerstörenden Nachrichten in den Chats mit. Der Timer kann zwischen 1 Sekunde bis hin zu einer Woche eingestellt. Werden. Die Selbstzerstörung beginnt, nachdem der andere Nutzer die Nachricht gelesen hat. Um den Timer einzustellen, klickst du auf das Uhren-Icon am Profilbild oder auf die drei Punkte oben rechts. Hier findest du neben dem Selbstzerstörungs-Timer noch die Optionen Anrufen, Videoanruf, Verlauf leeren, Stummschalten oder Chat löschen.
Telegram – Entfernt Apple die App aus dem App Store
Durch den regen Zulauf rückte Telegram nun auch stärker in den Fokus. So gibt es zum Beispiel aufgrund der Sicherheitsbedenken eine Klage gegen Apple/iOS von der gemeinnützigen Organisation „The Coalition for a Safer Web“. Diese verlangt von Apple, dass Telegramm aus dem App Store geworfen wird. Als Vorwurf macht man das Einschüchtern von Personen des öffentlichen Lebens sowie deren Bedrohung und die Ausübung von Druck geltend. Ebenfalls soll, lt. Apple Insider, Telegram als Werkzeug zur Verbreitung für russische Staatspropaganda und rechtsradikale Ideologien dienen. Sollte Telegram weiter im App Store bleiben würde Apple sich nicht an seine eigenen Standards halten (vor kurzem erst hat Apple die App Parler aus dem App Store geworfen. Als Grund wurde angeführt, dass Parler Hass Kommentare sowie Gewaltaufrufe nicht gelöscht hat).
Fazit
Telegram kann, wie andere Messenger auch über die App auf dem Smartphone oder auf dem PC über den Web-Client genutzt werden. Der Quellcode ist offen und einsehbar. Es ist bekannt, dass deine Daten nur transport-verschlüsselt in der Cloud lagern. Eine standardmäßige Ende-zu-Ende-Verschlüsselung in Chats ist nicht gegeben und muss erst für einzelne Chats aktiviert werden. Für Gruppen-Chats ist die E2EE gar nicht vorgesehen. Somit laufen die meisten Chats beziehungsweise die Gruppenchats über normale, für Telegram mitlesbare, Kanäle. Des Weiteren ist eine Registrierung nur mit Angabe deiner Telefonnummer möglich, Kontaktdaten (Nummer, Vor- und Zuname) werden auf den Telegram-Servern ohne deine vorherige Zustimmung gespeichert. Ebenfalls beinhaltet Telegram 2 Tracking Dienste (u.a. Google Firebase Analytics für das Erfassen von Daten, um dem Entwickler eine bessere Kenntnis seiner Zielgruppe zu ermöglichen (besuchte Seiten, wie lange du dich auf Seiten aufgehalten hast u.s.w.).
Somit ist Telegram zwar eine Alternative zu WhatsApp, sicherer ist es jedoch nicht! Wer komplette Sicherheit möchte, kommt um Threema (Verwendung ohne Angabe einer Telefonnummer oder E-Mail-Adresse, auch ohne Zugriff auf Kontakte nutzbar) nicht drumherum, allerdings müssen dafür auch alle Kontakte mitziehen. Denn im Endeffekt wird man den Messenger verwenden, bei dem man die meisten Kontakte hat. Hier hat Threema noch einen „Nachteil“, da dessen hohe Sicherheit mit nur zwingend notwendiger Datennutzung Geld kostet.
