Telegram: Kostenloser Messenger wirft Sicherheitsfragen auf

Die Verschlüsselungsexperten der PSW GROUP haben auch der WhatsApp-Alternative Telegram auf den Zahn gefühlt. [...]

Die Konkurrenz zu WhatsApp wächst: Ähnlich wie Threema will auch Telegram alles, was beim kürzlich von Facebook übernommenen Messenger positiv hervorzuheben ist, übernehmen und alles Negative besser machen. 35 Millionen Nutzer soll Telegram trotz seines jungen Alters bereits zählen. Deutsche Verschlüsselungsexperten, die sich die App im Rahmen eines umfassenden Tests (siehe Blog-Beitrag) näher angeschaut haben, warnen jedoch. „Der Messenger wirft viele Fragen in punkto Sicherheit auf, die sich nicht beantworten lassen“, so Christian Heutger, Geschäftsführer beim Internet Security-Spezialisten PSW GROUP.

Optisch orientiert sich Telegram sehr an WhatsApp: Bisherige WhatsApp-User finden sich demnach schnell zurecht, was den Umstieg einfach macht. Die App ist offiziell für iOS und Android sowie inoffiziell auch für Windows, Mac, Linux und Windows Phone erhältlich, so dass sie sich tatsächlich plattformübergreifend nutzen lässt. Erste kritische Fragen ruft jedoch schon die Installation und Aktivierung des Messengers auf: Die ist zwar kinderleicht, aber mit dem zugesandten Validierungscode muss sich der Nutzer an keiner Stelle validieren, um die App zu nutzen. „Weshalb hier eine Validierung vorgegeben wird, die zu keinem Zeitpunkt erfolgt, bleibt uns ein Rätsel“, erklärt der Experte.

Merkwürdigkeiten finden sich auch in der Verschlüsselung von Telegram: Die App arbeitet mit dem hauseigenen Krypto-Verfahren MTProto und verschlüsselt sowohl die Server-Client- als auch die Client-Client-Kommunikation. Dabei kommt eine Verschlüsselung nach 256 Bit-AES, RSA 208 und Diffie-Hellman-Schlüsselaustausch zum Einsatz. Begeistert zeigen sich die Kryptografie-Experten nicht von der hauseigenen Lösung. Die Bausteine von Telegram seien veraltet und angreifbar, heißt es. Bei der Client-zu-Client-Verschlüsselung, die in den privaten beziehungsweise „geheimen“ Chats des Messengers für Sicherheit sorgen soll, können Nutzer die Selbstzerstörung ihrer Nachrichten einstellen. Eine echte Ende-zu-Ende-Verschlüsselung wird dabei jedoch nur dann gewährleistet, wenn diese in den Einstellungen der App zuvor aktiviert worden ist. Und bei Gruppenchats kann nur die Client-Server-Verschlüsselung verwendet werden. Die Server des Dienstes sind in der ganzen Welt verteilt: In London arbeitet der Server für Europa, in Singapur der für Asien, in San Francisco der für amerikanische User.

„Telegram zeigt sich insgesamt zuverlässig, bietet eine enorme Flexibilität und eine einfache Bedienung. Das hauseigene Protokoll wirft allerdings Fragen auf, der Datenschutz ist unzureichend und die Verschlüsselungsparameter geben keinen ausreichenden Schutz“, befinden die Tester der PSW GROUP in ihrem Fazit. Sie halten zudem die langfristige Sicherstellung der Finanzierung der nicht kommerziellen, kostenlosen App, die momentan noch aus Spenden erfolgt, für fraglich. (pi)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*