Die Verschlüsselungsexperten der PSW GROUP haben auch der WhatsApp-Alternative Telegram auf den Zahn gefühlt. [...]
Die Konkurrenz zu WhatsApp wächst: Ähnlich wie Threema will auch Telegram alles, was beim kürzlich von Facebook übernommenen Messenger positiv hervorzuheben ist, übernehmen und alles Negative besser machen. 35 Millionen Nutzer soll Telegram trotz seines jungen Alters bereits zählen. Deutsche Verschlüsselungsexperten, die sich die App im Rahmen eines umfassenden Tests (siehe Blog-Beitrag) näher angeschaut haben, warnen jedoch. „Der Messenger wirft viele Fragen in punkto Sicherheit auf, die sich nicht beantworten lassen“, so Christian Heutger, Geschäftsführer beim Internet Security-Spezialisten PSW GROUP.
Optisch orientiert sich Telegram sehr an WhatsApp: Bisherige WhatsApp-User finden sich demnach schnell zurecht, was den Umstieg einfach macht. Die App ist offiziell für iOS und Android sowie inoffiziell auch für Windows, Mac, Linux und Windows Phone erhältlich, so dass sie sich tatsächlich plattformübergreifend nutzen lässt. Erste kritische Fragen ruft jedoch schon die Installation und Aktivierung des Messengers auf: Die ist zwar kinderleicht, aber mit dem zugesandten Validierungscode muss sich der Nutzer an keiner Stelle validieren, um die App zu nutzen. „Weshalb hier eine Validierung vorgegeben wird, die zu keinem Zeitpunkt erfolgt, bleibt uns ein Rätsel“, erklärt der Experte.
Merkwürdigkeiten finden sich auch in der Verschlüsselung von Telegram: Die App arbeitet mit dem hauseigenen Krypto-Verfahren MTProto und verschlüsselt sowohl die Server-Client- als auch die Client-Client-Kommunikation. Dabei kommt eine Verschlüsselung nach 256 Bit-AES, RSA 208 und Diffie-Hellman-Schlüsselaustausch zum Einsatz. Begeistert zeigen sich die Kryptografie-Experten nicht von der hauseigenen Lösung. Die Bausteine von Telegram seien veraltet und angreifbar, heißt es. Bei der Client-zu-Client-Verschlüsselung, die in den privaten beziehungsweise „geheimen“ Chats des Messengers für Sicherheit sorgen soll, können Nutzer die Selbstzerstörung ihrer Nachrichten einstellen. Eine echte Ende-zu-Ende-Verschlüsselung wird dabei jedoch nur dann gewährleistet, wenn diese in den Einstellungen der App zuvor aktiviert worden ist. Und bei Gruppenchats kann nur die Client-Server-Verschlüsselung verwendet werden. Die Server des Dienstes sind in der ganzen Welt verteilt: In London arbeitet der Server für Europa, in Singapur der für Asien, in San Francisco der für amerikanische User.
„Telegram zeigt sich insgesamt zuverlässig, bietet eine enorme Flexibilität und eine einfache Bedienung. Das hauseigene Protokoll wirft allerdings Fragen auf, der Datenschutz ist unzureichend und die Verschlüsselungsparameter geben keinen ausreichenden Schutz“, befinden die Tester der PSW GROUP in ihrem Fazit. Sie halten zudem die langfristige Sicherstellung der Finanzierung der nicht kommerziellen, kostenlosen App, die momentan noch aus Spenden erfolgt, für fraglich. (pi)
Be the first to comment