Telegram-Chat: der sichere Datenschutz-Albtraum - eine Analyse und ein Kommentar

Trotz des hippen Images ist der angeblich sichere Messenger Telegram in Bezug auf Privatsphäre eine Katastrophe.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1142 Beiträge
Von
  • Jürgen Schmidt
Inhaltsverzeichnis

Telegram setzt sich in bestimmten Kreisen mehr und mehr als Synonym für "sicheren Chat" und "Chat mit Privatsphäre" durch. Doch schon ganz einfache Tests, die jeder selbst durchführen kann, zeigen, dass man sich bei der Nutzung des Messenger-Dienstes quasi komplett nackig macht.

Eine Analyse von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist leitender Redakteur von heise Security und Senior Fellow Security bei heise. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

Der erste einfache Test ist: Gebt eine Nachricht mit einem Link wie "https://www.heisec.de" ein, schickt sie aber noch nicht ab! Ihr seht dann, dass Euer Smartphone bereits einige Informationen zu heise Security anzeigt:

Bereits beim Tippen liefert Telegram Infos zu dem eingetippten Link.

Das macht zum Beispiel WhatsApp auch. Da holt sich die App auf dem Handy im Hintergrund die Informationen von der URL und zeigt sie Euch an. Nicht so Telegram: Dort liefert die App alles, was ihr tippt, an den Telegram-Server – schon bevor ihr es abschickt. Und dieser Server besucht dann die URL und liefert das mit dem "Portal zur IT-Security" an die Telegram-App auf dem Handy.

Ich habe diesen Test mit einer Honey-URL gemacht. Also einer URL, die nur für diesen Zweck erzeugt und zuvor nie irgendwo benutzt wurde. In den Log-Dateien meines Honey-URL-Servers tauchte sofort, nachdem ich diese URL in der Telegramm-App eingetippt hatte, ein Zugriff des TelegramBots auf. Der hatte die IP-Adresse 149.154.161.10, die zu einem Telegram-Server in England gehört. Das geschah wohlgemerkt bereits bevor ich den Link verschickt habe!

Der Telegram-Server besuchte meine "geheime" Web-Seite, noch bevor ich die Nachricht mit der URL abgeschickt hatte.

Beim Gegencheck mit WhatsApp registrierte der Honey-Server ebenfalls einen Zugriff. Aber der erfolgte wie erwartet von meiner eigenen IP-Adresse aus. Die App auf meinem Smartphone im WLAN hatte die Daten abgerufen, kein externer Server.

Nun zum zweiten Test. Öffnet auf dem PC in einem privaten Browser-Fenster die Web-Seite des Telegram-Chats: https://web.telegram.org/. Dort müsst ihr euch mit eurer Handy-Nummer anmelden. Dann schickt euch Telegram einen Login-Code in Form einer sechsstelligen Zahl. Noch bevor ihr die in euren Browser eintippt, schaltet ihr das Handy jedoch in den Flug-Modus, sodass es keine Daten mehr senden kann. Wenn ihr dann den Code im Browser eingebt, öffnet sich trotzdem eine Web-Seite mit all Euren Chats.

Sehr praktisch: Man kann Telegram auch im Browser benutzen.

Was denkt ihr, woher diese Daten kommen? Nicht von Eurem Handy. Denn das befindet sich ja im Flug-Modus ohne Netz. Und bevor ihr Euch mit dem Code ausgewiesen habt, darf der Browser auf gar keinen Fall eure Daten bekommen haben. Es bleibt nur eine einzige Möglichkeit: Die Inhalte der Chats stammen von dem Web-Server, mit dem euer Browser spricht. Bei mir war das ein Server in einem Rechenzentrum in Amsterdam (149.154.167.99).

Dieser Server hat also Zugriff auf eine komplette Kopie all meiner Chats. Die enthält sogar schon die vorher eingetippte, aber noch nicht abgeschickte Nachricht mit der heise-Security-URL als "Entwurf". Und natürlich lagern bei Telegram nicht nur meine Chats – sondern die aller Telegram-Nutzer.

Alles, was die Nutzer schreiben, wird bei Telegram zentral gespeichert und bei Bedarf ausgeliefert. An euch, wenn ihr euch mit dem richtigen Code ausweist. Aber sicher auch an einen Beamten, der einen Durchsuchungsbefehl vorweisen kann. Oder an einen bestochenen Mitarbeiter oder an Hacker, die sich Zugang zu den Servern verschaffen. Und wenn Telegram eines Tages entscheidet, dass man diese Daten nutzen will, um euch "spannende Angebote" – also gezielte Werbung – zu unterbreiten, gibt es zumindest aus technischer Sicht nichts, was sie daran hindern könnte. Privatsphäre? Ist nicht!

Theoretisch hat Telegram zwar sogenannte "geheime Chats", die vor dem Mitlesen durch Dritte gesichert sind. Aber die sind so gut versteckt, dass sie die meisten Telegram-Nutzer nicht einmal kennen, geschweige denn benutzen. Darüber hinaus sind diese geheimen Chats mit einer Reihe von Einschränkungen verbunden. So lassen sie sich nicht für Gruppen einsetzen und immer nur auf einem Gerät nutzen. Fast alle Telegram-Chats laufen deshalb über die normalen, für Telegram mitlesbaren Kanäle.

Sieben Messenger-Alternativen im Vergleich

Das läuft übrigens bei Telegram ganz anders als bei WhatsApp. Bei WhatsApp gibt es keine solchen zentralen Datenbanken mit allen Chats der Nutzer, die man nur anzapfen müsste. Denn WhatsApp verschlüsselt alle Nachrichten so, dass nur der echte Empfänger sie lesen kann (das ist die sogenannte Ende-zu-Ende-Verschlüsselung). Eure Chats liegen nur auf eurem Handy, nicht auf irgendwelchen Servern des Betreibers. Wer mitlesen will, muss an euer Handy ran – also beispielsweise einen Trojaner dort installieren.

Das gilt übrigens auch für "WhatsApp Web". Das zeigt zwar ähnlich wie Telegram all Eure Chats im Browser. Aber diese Chat-Inhalte bekommt der Browser nicht von einem WhatsApp-Server, sondern von eurem Handy. Mit dem redet es im Hintergrund, um euch die Chats anzeigen zu können. Ihr könnt das einfach selbst überprüfen, indem ihr das Experiment mit dem Flug-Modus wiederholt. WhatsApp-Web wird (vergeblich) versuchen, Euer Handy zu erreichen und sich beschweren, dass das nicht klappt:

Wenn WhatsApp nicht mit dem Handy sprechen kann, zeigt es auch keine Chats.

Wenn man es ganz genau nimmt, bekommt WhatsApp Web die Rohdaten vom WhatsApp-Web-Server, der als Zwischenstation fungiert. Aber: Die Inhalte sind dabei so verschlüsselt, dass der Server sie nicht lesen kann. Nur euer Handy und die App im Browser haben den geheimen Schlüssel, um aus dem chiffrierten Datensalat eure Chats zu rekonstruieren.

Die misstrauischen unter euch werden jetzt denken: "Wer's glaubt! Die haben doch bestimmt eine Hintertür, mit der sie trotzdem dran kommen." Das kann man tatsächlich nicht hundertprozentig ausschließen. Dass dem aber nicht so ist, dafür sprechen die seit Jahren tobenden Crypto Wars. Dabei geht es darum, WhatsApp und andere Kommunikationsdienste gesetzlich dazu zu verpflichten, genau solche Hintertüren in ihre Dienste einzubauen.

Diese Versuche sind bis jetzt im Wesentlichen gescheitert. Aktuell hat die EU eine neue Initiative gestartet, die den absurden Namen "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" trägt. Im Wesentlichen geht es darum: Ja, man wolle Verschlüsselung – wegen der Sicherheit. Aber der Zugriff auf die verschlüsselten Daten müsse trotzdem möglich sein, damit "befähigte Behörden" ("competent authorities" – wer immer das auch sein mag) damit Terroristen und Kinderschänder jagen können. Dazu sollen sie Hintertüren bekommen. Die sollen aber irgendwie sicher sein (wegen der Sicherheit!).

Und genau deshalb ist der Titel so absurd: Weil es so etwas wie sichere Hintertüren nicht gibt. Entweder man baut sichere Verschlüsselung oder man baut eine mit Hintertüren. Die ist dann unsicher und das wird ausgenutzt werden. Das ist nicht nur meine Meinung, sondern ein sehr breiter Konsens bei allen Sicherheits- und Kryptografie-Experten: Verschlüsselung ist entweder sicher oder sie hat Hintertüren<Punkt>

Doch zurück zu möglichen Hintertüren in WhatsApp. WhatsApp ist Closed-Source-Software. Das heißt, man kann nicht reinschauen; letztlich weiß niemand so genau, was da alles drin steckt. Und was fast noch schwerer wiegt: WhatsApp gehört Facebook. Die haben den Messenger gekauft und integrieren ihn Stück für Stück weiter in ihr Imperium, das mit der exzessiven Nutzung der Daten seiner Nutzer Milliarden verdient. Das allein ist Grund genug, Misstrauen an den Tag zu legen und WhatsApp so weit wie möglich den Rücken zu kehren.

Als sichere Alternative mit guter Verschlüsselung empfehle ich den Messenger Signal. Der ist komplett Open Source – man kann also jederzeit überprüfen, was da hinter den Kulissen geschieht. Er wurde von exzellenten Krypto-Experten entwickelt, die wirklich wissen, was sie tun und sich seit Jahren für IT-Security und Privacy engagieren. Und die Infrastruktur wird von einer gemeinnützigen Stiftung betrieben, die sich dem Datenschutz verschrieben hat. Da sie sich komplett aus Spenden finanziert, besteht auch kein finanzielles Interesse an den Daten der Anwender.

Wer Telegram nutzt, sollte sich hingegen im Klaren sein, dass er sich einem undurchsichtigen und sehr dubiosen Firmen-Konstrukt ausliefert, über dessen Motive so gut wie nichts bekannt ist. Man kann das durchaus tun, etwa, weil es praktisch, schick und angesagt ist. Aber mit Sicherheit und Datenschutz sollte man dabei nicht argumentieren. Denn in dieser Hinsicht ist Telegram eine glatte Katastrophe.

(ju)