In den IT-Medien konnte man in den vergangenen Tagen eine Meldung über den Telegram Messenger lesen. Nach dieser lässt sich eine zentrale Sicherheitsfunktion aushebeln. Insbesondere für staatliche Akteure dürfte es ein Leichtes sein das auszunutzen. Direkt betroffen sind vermutlich die Demonstranten in Hongkong, die zumindest mittelbar dem vielleicht effizientesten Überwachungsapparat der Welt gegenüberstehen.
Telegram bietet eine Funktion in Gruppenchats die eigene Telefonnummer zu verbergen. Der Haken ist – und Telegram gibt es in seinen FAQ auch zu – sobald jemand die Nummer bereits im Telefonbuch hat, kann er sie trotzdem sehen. Man muss nicht viel Fantasie haben um hier die Möglichkeiten für staatliche Akteure zu sehen. Es dürfte die chinesischen (aber auch andere!) Sicherheitsbehörden vor keine Herausforderung stellen zahlreiche potenzielle Nummern über die Anbieter herauszufinden und in ein System zu gießen. Telegram hat da wohl irgendwelche Sicherheitsfunktionen eingebaut, um solche Massenabfragen abzuwehren, aber wie wirksam diese sind weiß niemand.
Der Kern des Problems ist jedoch ein anderes: Telegram ist einfach kein sicherer Messenger. Ich hatte das auf der hiesigen Übersichtsseite (siehe: Sichere Messenger – Verschlüsselung und Metadaten) bereits zusammengefasst: Mir ist absolut kein Experte auf dem Gebiet bekannt, der das jemals behauptet hätte. Die technische Qualität von Telegram wird bereits seit längerem kritisch diskutiert. Insbesondere die technische Umsetzung der Verschlüsselung steht dabei im Zentrum der Aufmerksamkeit. Bereits Wikipedia widmet der Sicherheit von Telegram einen langen, sehr kritischen Abschnitt. Auch außerhalb der Tech-Filterblase sind kritische Artikel erschienen. Telegram setzt scheinbar bei der Verschlüsselung nicht auf eine bewährte Lösung, wie sie z.B. Open Whisper System anbietet, sondern auf eine unbekannte Eigenentwicklung. Nachrichten werden in der Cloud gespeichert und sind mindestens für den Betreiber einsehbar. Lediglich so genannte „Geheime Chats“ bieten mehr Sicherheit, sind aber nur zwischen zwei Personen möglich und nicht für Gruppen. Genau wie WhatsApp gleicht Telegram das Adressbuch des Anwenders ab um Kontakte zu ermitteln. Das BKA scheint zudem in der Lage zu sein Telegram Nachrichten abzufangen. Ohne diese Aktion bewerten zu wollen, muss man festhalten: Was das BKA kann, können andere auch. Eine umfangreiche Sicherheitsanalyse liefert das Paper „Security Analysis of Telegram“ aus dem Mai 2017.
Telegram ist ein wunderbares Beispiel für ein verbreitetes Phänomen. Es setzt sich nicht die beste Lösung durch, sondern eine Lösung von der viele Menschen glauben, sie wäre die beste Lösung. Schillernde Persönlichkeiten und Marketing sind hier die Ursachen. Signal ist hier die viel bessere Lösung, aber dahinter steht keine so schillerende Gründerfigur und die Auftritte sind eher trocken gehalten.
