Datenschutz der WhatsApp-Alternative Telegram als kritisch eingestuft

Telegram-Datenschutz soll kritisch sein
Logo: Telegram Dass WhatsApp an Facebook verkauft wurde, dürfte keine wirkliche Neuigkeit mehr sein. Das Gleiche gilt für die Tatsache, dass die Nutzerzahlen der alternativen Dienste explodieren. Alleine Threema meldete kurz nach dem Kauf 200 000 neue Nutzer innerhalb von 24 Stunden. Auch der Twitter-Kanal von Telegram liest sich wie eine Mischung aus Überwältigung und purer Verwunderung. Es finden sich - frei übersetzt - Tweets wie: "Das ist verrückt. Wir bekommen 100 Neuregistrierungen pro Sekunde. Versuchen Verbindungsprobleme in Europa zu vermeiden.", "Wir erwarteten maximal eine Million Neuregistrierungen per Tag; Fünf Millionen per Tag erschienen verrückt." und "Unser kleines Support-Team erhält mittlerweile fünf Fragen pro Sekunden. Entschuldigung, dass viele unbeantwortet bleiben, wir wachsen mit der Aufgabe."

Verschlüsselung des Dienstes basiert auf eigenem Protokoll

Telegram-Datenschutz soll kritisch sein
Logo: Telegram Telegram selbst steht für Android und iOS zum Download bereit. Anders als Threema, ist die Implementierung des Dienstes zumindest teilweise frei zugänglich, was die Entwicklung unabhängiger Apps ermöglicht. So gibt es für den Dienst auch eine Browser-Anwendung und Apps für beispielsweise Windows Phone, dass von vielen Entwicklern noch eher stiefmütterlich behandelt wird. Der Grund hierfür ist der noch recht kleine - wenn auch wachsende - Marktanteil. Dass sich daran etwas ändert, zeigt aber beispielsweise die MWC-Ankündigung von Blackberry, den Blackberry-Messenger auch für Windows Phone verfügbar machen zu wollen.

Aber zurück zu Telegram und der Verschlüsselung des Dienstes. Diese wird häufig kritisiert, zumal ihre Implementierung zwar (teilweise) quelloffen ist, aber auf teilweise veralteten Algorithmen und nicht häufig verwendeten Verfahren basieren soll. Fairerweise muss aber dazu gesagt werden, dass die Telegram-Entwickler sehr ausführlich und schnell auf die Kritik reagieren. Um die Sicherheit des Protokolls zu beweisen, rief Telegram sogar einen Wettbewerb ins Leben. Das Ziel: die erfolgreiche Entschlüsselung einer Nachricht. Dem Gewinner werden 200 000 US-Dollar als Belohnung versprochen.

Kritiker des Wettbewerbs weisen aber auf sehr eng angelegte Regularien hin, die Angreifern nicht genug Zugriff auf erforderliche Daten geben, um das Protokoll erfolgreich zu testen. Ihr Fazit: Wenn Telegram die Sicherheit des Protokolls beweisen will, dann sollen Angreifer Zugriff auf viele Daten bekommen. Wenn Sie es dann nicht schaffen mit den zur Verfügung stehenden Daten einen Angriff zu simulieren, dann wäre die Sicherheit des Protokolls - wenn auch nur zeitweise - bewiesen. An dieser Stelle sei aber darauf hingewiesen, dass Telegram einem russischen Entwickler die Hälfte des Preisgeldes zahlte, als er eine Schwachstelle meldete, die es ermöglichte eine Man-In-The-Middle-Attacke durchzuführen. Selbige Lücke ist mittlerweile von den Entwicklern geschlossen wurden.

Server über verschiedene Standorte verteilt

Telegram behauptet, seine Server seien über die Welt verteilt. Mittlerweile findet sich in dem oben verlinkten Twitter-Kanal auch eine genauere Spezifizierung dieser Aussage: Die Server für Europa stünden in London, Nutzer aus Asien unterhalten sich über Server in Singapur und der amerikanische Datenstrom wird durch Server in San Francisco kontrolliert. Telegram wirbt damit, dass der Dienst verschlüsselt sei, eine wirklich effektive Ende-zu-Ende-Verschlüsselung muss der Nutzer aber erst in den Optionen der App aktivieren.

Verschlüsselungsprotokoll von Telegram
Grafik: Telegram Das bringt uns zu einem aktuellen Test der Stiftung Warentest, die den Datenschutz der Telegram-App als kritisch bewertet. Neben dem oben erwähnten Punkt kritisiert der Test, dass die App alle Adressbucheinträge der Nutzer ungefragt speichere. Dies ist auch in den Allgemeinen Geschäftsbedingungen des Dienstes geregelt. Eine Kontaktadresse für Datenschutzfragen findet sich indes nicht. Immerhin werden sonst keine Daten an Dritte weitergegeben. Zudem konnten die Tester beweisen, dass die App keine Daten unverschlüsselt überträgt.

Einzige sicher WhatsApp-Alternative also Threema?

Zugegeben, ein Dienst hat in den Medien besonders viel Aufmerksamkeit erhalten: die Schweizer Messaging-App Threema. Sie steht sowohl für Android als auch für iOS zum Download bereit, allerdings ist dieser kostenpflichtig. Der Datenschutz der App wurde von der Stiftung Warentest als unkritisch eingestuft. Anders als bei Telegram, das übrigens von zwei ursprünglichen VKontakte-Mitarbeitern ins Leben gerufen wurde, ist der Quellcode der Anwendung aber nicht öffentlich zugänglich. Das bedeutet, dass auch hier Sicherheitslücken enthalten sein könnten.

Fairerweise sollte darauf hingewiesen werden, dass Telegram erst in die Kritik geraten konnte, gerade weil sie die Details zu ihrem Protokoll veröffentlicht haben. Die Details, die zu der Verschlüsselung von Threema bekannt sind werden aber allgemein als sicher angesehen. Die Server der Anwendungen stehen in der Schweiz, die ein beliebter Standort für Server aller Art ist.

Sollten Nutzer jetzt also schleunigst von Telegram zu Threema wechseln?

Welche verschlüsselte Messaging-App tatsächlich sicher ist, werden die Skandale der Zukunft zeigen. Das gilt natürlich auch für Threema, Telegram und die anderen Alternativen. Letztlich bleibt es dem Nutzer überlassen, welchen Dienst er seine Daten anvertraut und vor allem was er über den jeweiligen Dienst an Informationen von sich preisgibt.

Die zu beobachtende Abwanderung von WhatsApp-Nutzern zu anderen Diensten zeigt aber, dass das Thema Sicherheit in der Post-PRISM-Welt für Viele eine wichtige Rolle spielt. Ein weiteres Beispiel dafür könnte auch das Blackphone sein, ein Smartphone, das die Kommunikation der Nutzer mithilfe anderer Dienste verschlüsselt. Des Weiteren beweist die jüngste Entwicklung, dass Nutzern bei dem Gedanken unwohl ist, alle Kommunikation über einen Dienst beziehungsweise seinen Tochterunternehmen zu leiten, weshalb sie abwandern - sei es nur, um die Skandale der Zukunft zu dezentralisieren.