Telegram: Kostenloser Messenger wirft Sicherheitsfragen auf

Die Verschlüsselungsexperten der PSW GROUP haben auch der WhatsApp-Alternative Telegram auf den Zahn gefühlt. [...]

Die Konkurrenz zu WhatsApp wächst: Ähnlich wie Threema will auch Telegram alles, was beim kürzlich von Facebook übernommenen Messenger positiv hervorzuheben ist, übernehmen und alles Negative besser machen. 35 Millionen Nutzer soll Telegram trotz seines jungen Alters bereits zählen. Deutsche Verschlüsselungsexperten, die sich die App im Rahmen eines umfassenden Tests (siehe Blog-Beitrag) näher angeschaut haben, warnen jedoch. „Der Messenger wirft viele Fragen in punkto Sicherheit auf, die sich nicht beantworten lassen“, so Christian Heutger, Geschäftsführer beim Internet Security-Spezialisten PSW GROUP.

Optisch orientiert sich Telegram sehr an WhatsApp: Bisherige WhatsApp-User finden sich demnach schnell zurecht, was den Umstieg einfach macht. Die App ist offiziell für iOS und Android sowie inoffiziell auch für Windows, Mac, Linux und Windows Phone erhältlich, so dass sie sich tatsächlich plattformübergreifend nutzen lässt. Erste kritische Fragen ruft jedoch schon die Installation und Aktivierung des Messengers auf: Die ist zwar kinderleicht, aber mit dem zugesandten Validierungscode muss sich der Nutzer an keiner Stelle validieren, um die App zu nutzen. „Weshalb hier eine Validierung vorgegeben wird, die zu keinem Zeitpunkt erfolgt, bleibt uns ein Rätsel“, erklärt der Experte.

Merkwürdigkeiten finden sich auch in der Verschlüsselung von Telegram: Die App arbeitet mit dem hauseigenen Krypto-Verfahren MTProto und verschlüsselt sowohl die Server-Client- als auch die Client-Client-Kommunikation. Dabei kommt eine Verschlüsselung nach 256 Bit-AES, RSA 208 und Diffie-Hellman-Schlüsselaustausch zum Einsatz. Begeistert zeigen sich die Kryptografie-Experten nicht von der hauseigenen Lösung. Die Bausteine von Telegram seien veraltet und angreifbar, heißt es. Bei der Client-zu-Client-Verschlüsselung, die in den privaten beziehungsweise „geheimen“ Chats des Messengers für Sicherheit sorgen soll, können Nutzer die Selbstzerstörung ihrer Nachrichten einstellen. Eine echte Ende-zu-Ende-Verschlüsselung wird dabei jedoch nur dann gewährleistet, wenn diese in den Einstellungen der App zuvor aktiviert worden ist. Und bei Gruppenchats kann nur die Client-Server-Verschlüsselung verwendet werden. Die Server des Dienstes sind in der ganzen Welt verteilt: In London arbeitet der Server für Europa, in Singapur der für Asien, in San Francisco der für amerikanische User.

„Telegram zeigt sich insgesamt zuverlässig, bietet eine enorme Flexibilität und eine einfache Bedienung. Das hauseigene Protokoll wirft allerdings Fragen auf, der Datenschutz ist unzureichend und die Verschlüsselungsparameter geben keinen ausreichenden Schutz“, befinden die Tester der PSW GROUP in ihrem Fazit. Sie halten zudem die langfristige Sicherstellung der Finanzierung der nicht kommerziellen, kostenlosen App, die momentan noch aus Spenden erfolgt, für fraglich. (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*