Datenschutz: Wie sicher sind Telegram und andere Messenger?
Hat der beliebte Messengerdienst Telegram Probleme mit der Sicherheit? Darauf deuten aktuelle Untersuchungen der ETH Zürich und des Royal Holloway College (University of London) hin. Die Forscherinnen und Forscher berichten von vier potenziellen Sicherheitslücken in der Verschlüsselung von Nachrichten. Telegram selbst sei informiert worden und habe die Lücken geschlossen, sagt Igors Stepanovs, der an der Studie beteiligt war.
Wie sicher ist Telegram also? »Die Lücken waren theoretischer Natur«, sagt der Informatiker. Das bedeutet, dass kein realer Angriff stattgefunden hat und die Wissenschaftler im Rahmen ihrer Untersuchungen auch nicht dazu in der Lage waren, Nachrichten von Telegram-Usern zu entschlüsseln. Dennoch haben sich in vier Bereichen deutliche Sicherheitslücken gezeigt:
Zum einen hätte ein potenzieller Angreifer die Reihenfolge der Nachrichten verändern können, die von einem User an den Server gesendet werden. »Dieser Angriff funktioniert zwar in der Praxis, allerdings ist es nicht unbedingt als gefährlich einzustufen, wenn jemand die Reihenfolge meiner Nachrichten verändern kann«, sagt Stepanovs.
Durch die zweite Sicherheitslücke konnten die Forschenden nachvollziehen, welche von zwei gesendeten Nachrichten verschlüsselt vorlag. Telegram verschlüsselt Nachrichten im Unterschied zu vielen anderen Messengern wie Whatsapp, Signal oder iMessage nämlich nicht automatisch: User müssen eine Ende-zu-Ende-Verschlüsselung aktivieren. Laut Stepanovs konnten sie zwar keine Nachrichten entschlüsseln, trotzdem sei es ein Problem, da eigentlich keinerlei Information nach außen dringen sollte. Dass dies so sei, erhöhe die Wahrscheinlichkeit für erfolgreiche Angriffe.
- Gewollte Schwachstellen in Gruppenchats
- Signal verwendet die sicherste Verschlüsselung
- Threema verwendet ein anderes Verschlüsselungs-Protokoll
- Auch bei iMessage gibt es Sicherheitsprobleme
- Die Verschlüsselung bei Skype ist nicht sehr praktikabel
- Whatsapp gibt Metadaten weiter
- Beim Facebook-Messenger kann man sich nur mit Klarnamen anmelden
- Wie man Telegram sicherer nutzen kann
Und auch die dritte potenzielle Schwachstelle liegt in der Verfügbarkeit von Informationen, an die eigentlich kein Herankommen sein sollte: nämlich die Zeit, die es braucht, bis ein Telegram-Server auf eine eingehende Nachricht reagiert. »Es handelt sich um Millisekunden, aber die könnten genügen als letztes Puzzleteil für einen Angriff«, sagt Stepanovs. Das erlaube Angreifern »im Prinzip«, verschlüsselte Nachrichten teilweise wieder zu entschlüsseln. Das klingt zwar beunruhigend, aber dafür müssten Millionen sorgfältig erstellter Nachrichten an ihr Ziel gesendet und winzigste Unterschiede in der Zustelldauer der Antworten ermittelt werden. »Wäre ein so gearteter Angriff jedoch erfolgreich, hätte dies verheerende Folgen für die Vertraulichkeit der Telegram-Nachrichten«, so der Informatiker. In der Praxis sei ein solcher Angriff aber eher nicht möglich.
Die vierte Schwachstelle ist laut Stepanovs die gefährlichste: Ein Angreifer kann sich theoretisch in die Kommunikation zwischen Server und User einschleichen, wenn der geheime Schlüssel zwischen dem Server und dem Client, also der App auf dem Smartphone, ausgetauscht wird. »Er könnte womöglich den Schlüssel auslesen und damit Nachrichten entschlüsseln«, warnt Stepanovs. Zum Glück ist auch diese Angriffsmethode relativ schwer durchführbar, da die Angreifer dazu in Minuten Milliarden von Nachrichten an einen Telegram-Server schicken müssten.
Gewollte Schwachstellen in Gruppenchats
Also alles halb so wild? Das kommt auf die Perspektive an, betont Stepanovs. Er habe sich für dieses Forschungsfeld entschieden, weil viele Menschen bei den Protesten in Hongkong Telegram nutzen, um den Widerstand zu organisieren: »Es geht hier durchaus um Menschenleben.« Die Protestierenden vertrauen darauf, dass Polizei und Geheimdienste ihre Nachrichten nicht mitlesen können. Besonders gefährlich sei allerdings eine weitere, gewollte Schwachstelle: Gruppenchats sind in Telegram nie Ende-zu-Ende-verschlüsselt. »Das ist ein relativ neues Feature, das andere Messenger wie Signal anbieten. Aber bei Telegram liegen Gruppennachrichten im Klartext auf dem Server«, erklärt der Informatiker. Lediglich auf dem Weg zum Server sind sie verschlüsselt – man spricht hier von einer Transportverschlüsselung. Wenn sich aber ein Spion Zugang zum Server verschafft, kann er alle Gruppenchats mitlesen, ebenso alle privaten Nachrichten, die nicht aktiv verschlüsselt wurden.
»Signal ist gut geprüft und gilt als State of the Art – das Beste, was wir haben«
Igors Stepanovs, Informatiker
»Telegram hat unter Kryptografen keinen besonders guten Ruf«, so Stepanovs. Das sei einer der Gründe, wieso es kaum vergleichbare Studien gibt: Die akademische Forschung habe sich bislang gewissermaßen geweigert, Energie in die Analyse der dortigen Verschlüsselungsprozesse zu stecken. Er habe sich aber angesichts der gesellschaftlichen Relevanz verantwortlich gefühlt.
Der schlechte Ruf kommt unter anderem daher, dass Telegram keine etablierten Verschlüsselungsprotokolle nutzt: »Die meisten anderen Messenger verwenden das Protokoll von Signal. Es ist gut geprüft und gilt als State of the Art – das Beste, was wir haben.«
Signal verwendet die sicherste Verschlüsselung
Das Signal-Protokoll gilt also als State of the Art. Und da der Code öffentlich und Signal zudem sehr bekannt ist, wurde der Code bereits intensiv von unabhängigen Sicherheitsforschenden überprüft. Im Oktober 2016 analysierte eine Gruppe der University of Oxford, der Queensland University of Technology und der McMaster University das Signal-Protokoll formal und konnte keine Probleme feststellen: Es sei sicher, so das Ergebnis der Studie. 2018 entdeckten Sicherheitsforschende der Ruhr-Universität Bochum zwar eine theoretische Lücke in der Konzeption von Gruppenchats. So konnte ein Angreifer, der die Gruppen-ID und Telefonnummer eines Gruppenteilnehmers kannte, sich selbst dieser Gruppe hinzufügen – und auch die verschlüsselten Nachrichten lesen. Unentdeckt würde das aber nicht bleiben: Alle anderen Gruppenmitglieder würden informiert, so Signal. Das Unternehmen wird zudem von einer gemeinnützigen Stiftung betrieben und hat von daher kein kommerzielles Interesse an den Daten.
Was spricht also gegen den Messenger? Wer Telegram-Gründer Pavel Durov fragt, wieso sein Messenger das Signal-Protokoll nicht nutzt, erfährt von seinem Misstrauen gegenüber der US-Software. Nach den Snowden-Enthüllungen habe er Probleme gehabt, »irgendjemandem in den USA zu trauen, insbesondere den von der Regierung geförderten Kryptografie-Forschern«,sagte er kürzlich im Rahmen einer Fragerunde mit Usern. Offenbar war er selbst bei einem USA-Aufenthalt vom FBI unter Druck gesetzt worden, Schwachstellen in die Telegram-Verschlüsselung einzubauen, damit Geheimdienste die Nachrichten entschlüsseln können. Er habe dies nach eigenen Angaben abgelehnt.
Signal hingegen hat angesichts der Verschlüsselung kaum Daten von Nutzerinnen und Nutzern. Im Falle von Behördenanfragen würden lediglich das Datum geteilt, an dem ein Account gestartet wurde, sowie das Datum und die Uhrzeit, wann dieser sich zuletzt mit dem Server verbunden hat, erklärt Signal. Allerdings muss man sich mit einer Telefonnummer registrieren, so dass es nicht möglich ist, den Dienst gänzlich anonym zu nutzen. Signal selbst erhält die Telefonnummern jedoch nur verschlüsselt, so dass der Anbieter nicht weiß, wer ihn nutzt. In Gruppen hingegen sehen alle Beteiligten die Telefonnummern der anderen, was häufig kritisiert wird.
Threema verwendet ein anderes Verschlüsselungs-Protokoll
Der Messenger Threema aus der Schweiz nutzt nicht das Protokoll von Signal für die Verschlüsselung, sondern die NaCl-Bibliothek. Diese Bibliothek hat unter Kryptografen einen sehr guten Ruf. Der einzige kleine Kritikpunkt ist, dass NaCl keine Perfect Forward Secrecy bietet, auf Deutsch in etwa »perfekte vorwärts gerichtete Geheimhaltung«. Diese verhindert, dass ein späterer Angreifer die Kommunikation entschlüsseln kann, wenn einer der Schlüssel kompromittiert werden sollte. Das wird unter Fachleuten allerdings nur als kleiner Makel gesehen, den Threema zudem auf Transportebene ausgleicht. In Verbindung mit eigenen Servern in der Schweiz dürfte das als recht sicher gelten. *
Zudem gilt die NaCl-Bibliothek als recht robust, was Fehler bei ihrer Einbindung angeht. Auch das ist ein wichtiger Punkt. Stepanovs beobachtet immer wieder, dass Unternehmen Fehler machen, wenn sie das Signal-Protokoll implementieren. Von daher sei auch das Signal-Protokoll keine Garantie für die Sicherheit eines Messengers: »Es ist ein guter Startpunkt, aber kein Allheilmittel.« Da nicht alle ihren Code offenlegen, lässt sich zudem schwer überprüfen, ob Fehler beim Einbringen vorliegen. Der Code von Threema ist immerhin seit Kurzem öffentlich.
Die Verschlüsselung von Threema ist in Security-Audits von Fachleuten verschiedener Unternehmen überprüft und als sehr gut befunden worden – allerdings waren diese Audits alle von Threema beauftragt. Unabhängige Krypto-Forschende wie Stepanovs haben sich der Verschlüsselung bislang offenbar nicht angenommen – vermutlich auch, weil es einen gewissen Zeitaufwand darstellt. Stepanovs und ein Kollege haben Telegram in Vollzeit mehr als ein halbes Jahr lang untersucht, während die Pentester von Cure53 beim aktuellsten Audit lediglich 16 Tage in die Prüfung von Threema investierten. Von daher verweisen sie in ihrem Bericht darauf, dass nur ein bestimmtes Level an Tiefe erreicht werden konnte bei ihrer Analyse und diese lediglich gravierende Sicherheitslücken ausschließe.
Threema speichert Telefonnummern und/oder E-Mail-Adressen der Nutzer nur auf Wunsch und jeweils verschlüsselt (»gehasht«). User können Telefonnummern und E-Mail-Adressen aus ihrem Adressbuch abgleichen, um Freunde zu finden, die Threema ebenfalls nutzen. Dabei werden die Daten aus dem eigenen Adressbuch nicht dauerhaft gespeichert, sondern es erfolge ein Abgleich über einen temporären Hash (eine Verschlüsselungs- bzw. Pseudonymisierungstechnik). Threema bekommt das Adressbuch also nur anonymisiert und verspricht, den Inhalt zu keinem Zeitpunkt auf einen Datenträger zu schreiben und sofort wieder zu löschen.
Auch bei iMessage gibt es Sicherheitsprobleme
Apple verwendet ebenfalls ein eigenes Protokoll für seine Textnachrichten: iMessage. Und auch darin wurden bereits Sicherheitsprobleme gefunden. So konnten Matthew Green und Kollegen von der Johns Hopkins University 2016 unter bestimmten Umständen Nachrichten entschlüsseln.
Auch die Spionagesoftware Pegasus hat ihren Weg auf iPhones über eine Sicherheitslücke bei iMessage gefunden. Fairerweise muss man einräumen, dass die israelische NSO Group vermutlich sehr viel Aufwand betrieben hat, um die so genannte Zero-Day-Lücke zu finden. Es ist schwer zu sagen, ob die Schwachstelle von Sicherheitsforschenden gefunden worden wäre, wenn der Code öffentlich gewesen wäre. Apple hat diese Chance jedenfalls vergeben, denn der Code ist proprietär. »Der offene Code von Telegram hat es uns erleichtert, die Sicherheit zu prüfen«, sagt Stepanovs. Im Falle von iMessage ist es für Forschende also sehr viel schwieriger.
Doch selbst wenn es immer wieder als Sicherheitsmerkmal gehandelt wird, wenn der Code öffentlich ist (Open Source), so ist das trotzdem keine Garantie. Denn es muss sich noch jemand finden, der sich die Zeit nimmt, Millionen Zeilen von Code gewissenhaft durchzuarbeiten. Im Fall von Telegram haben zwei Forschende ihre gesamte Arbeitskraft über mehr als ein halbes Jahr in die Analyse gesteckt und zwei weitere haben zugearbeitet, berichtet Stepanovs.
Zudem steht Apple wie alle US-Unternehmen vor dem Problem des Patriot Acts in Verbindung mit dem Cloud Act: Das Gesetz zwingt Unternehmen dazu, Daten auf Anfrage an Behörden zu geben. Apple hat sich dabei bisher immer auf die Seite der IT-Sicherheit gestellt und sich 2016 in einem berühmten Streit mit dem FBI durchgesetzt. Die Behörde hatte Apple aufgefordert, das Handy eines Terroristen zu entsperren – der Konzern weigerte sich mit dem Argument, keinen Zugriff auf den geheimen Schlüssel zu haben. Das FBI bezahlte schließlich vermutlich ein Unternehmen, das das Telefon hackte.
Die jüngste Ankündigung von Apple, verschlüsselte iMessage-Nachrichten und Fotos von Nutzern automatisch nach bestimmten Inhalten zu durchsuchen, würde die Verschlüsselung aber schwächen.
Die Verschlüsselung bei Skype ist nicht sehr praktikabel
Viele nutzen Skype auch als Messenger. Skype hat zwar das Signal-Protokoll implementiert, allerdings sind neue Nachrichten nicht automatisch verschlüsselt. Wer sicher kommunizieren will, muss die Funktion erst aktivieren. »Nicht alle Apps mit Signal-Protokoll haben Ende-zu-Ende-Verschlüsselung als Standardeinstellung«, warnt Stepanovs. »Skype ist hier ein gutes Beispiel: Die wenigsten Nutzer wissen überhaupt, dass es dieses Feature gibt.«
Wer bei Skype verschlüsselt kommunizieren will, muss zunächst auf »Neuer Chat« klicken oder tippen (das geht sowohl mobil als auch auf dem Desktop-Computer) und dann »Private Unterhaltung« auswählen. Die Gesprächspartnerin oder der Gesprächspartner bekommt anschließend eine Einladung, die er oder sie akzeptieren muss, bevor der Chat gestartet werden kann. Ein Grund dafür, warum dieses Feature selten genutzt wird, könnte auch Bequemlichkeit oder mangelnde Praktikabilität sein: Verschlüsselte Unterhaltungen sind nur auf dem Gerät sichtbar, auf dem sie gestartet wurden. Wer das Gerät wechselt – also beispielsweise vom Mobiltelefon auf den Desktop-Computer –, kann den bisherigen Verlauf nicht sehen und muss eine neue private Unterhaltung starten, die dann parallel zur anderen läuft.
Wer Skype nutzen möchte, braucht außerdem ein Konto bei Microsoft, für das man eine E-Mail-Adresse oder eine Handynummer hinterlegen muss. Und auch hier muss davon ausgegangen werden, dass zumindest unverschlüsselte Kommunikation sowie Metadaten an Behörden weitergeleitet werden, wenn diese danach fragen.
Whatsapp gibt Metadaten weiter
Whatsapp verschlüsselt zwar die Kommunikation mit dem robusten Signal-Protokoll. Das hilft aber nicht bei einer bestimmten Klasse von Daten, die für Behörden ebenso wie für Werbeunternehmen interessant sind und die Whatsapp sowie der Mutterkonzern Facebook intensiv sammeln: so genannte Metadaten. Darunter fällt alles jenseits des Inhalts der ausgetauschten Nachrichten. Whatsapp erhebt eine Reihe dieser Daten wie etwa die Kontakte eines Users im Adressbuch, Informationen darüber, wer wann mit wem gechattet hat, sowie Daten über das genutzte Smartphone. Letztere können helfen, einen Nutzer zu identifizieren, selbst wenn er oder sie nicht in eine App eingeloggt ist.
Whatsapp gibt die Metadaten an Instagram und Facebook weiter. Facebook wiederum sammelt sie, wertet sie aus und verkauft sie an Werbeunternehmen. Aber auch unabhängig davon bietet sich Whatsapp nicht für vertrauliche Aktivitäten an, denn Metadaten verraten viel über User, ihre sozialen Kontakte, Beziehungen, Bewegungen und Gewohnheiten. Facebook und Whatsapp müssen solche Informationen im Fall von Anfragen von US-Behörden an diese weitergeben. Wem Sicherheit und Privatsphäre also wichtig sind, der sollte einen Messenger wählen, der möglichst wenig Daten sammelt und insbesondere kein kommerzielles Interesse an ihnen hat.
Beim Facebook-Messenger kann man sich nur mit Klarnamen anmelden
Wer den Facebook-Messenger nutzen möchte, muss entweder eine Telefonnummer oder ein Facebook-Profil angeben. Da Facebook eine so genannte Klarnamenpflicht hat, ist eine anonyme Nutzung nicht möglich. Der Verbraucherzentrale Bundesverband hat vor einiger Zeit gegen die Klarnamenpflicht geklagt. Auch der Facebook-Messenger fordert zwar Zugriff auf gespeicherte Handykontakte, er funktioniert aber ebenso, wenn man ihm diese verweigert. Standardmäßig werden Chats nicht Ende-zu-Ende-verschlüsselt, was jedoch aktiviert werden kann – allerdings lediglich für Zweiergespräche, für Gruppenchats gilt dies nicht.
Laut der Datenschutzerklärung von Facebook werden »Inhalte, Kommunikationen und sonstige Informationen« erfasst, zu denen der Nachrichtenaustausch gehört. Die Informationen verwendet Facebook nach eigenen Angaben unter anderem für zielgerichtete Werbung. Achtung: Auch wer verschlüsselt kommuniziert, verrät über die Metadaten vieles über sich, was für personalisierte Werbung und Ähnliches genutzt werden kann.
Wie man Telegram sicherer nutzen kann
In dieser Gemengelage ist Stepanov's Entscheidung eindeutig: »Ich würde empfehlen, Signal zu verwenden.«
In manchen Ländern kommt man allerdings kaum um Telegram herum. In Russland etwa ist das Misstrauen gegenüber amerikanischen Anbietern wie Signal verbreitet, und Lösungen wie Threema sind international wenig bekannt. Deshalb ist es gut zu wissen, wie sich Telegram einigermaßen sicher nutzen lässt. Auch weil sich nie ausschließen lässt – weder bei US-Anbietern noch bei russischen oder chinesischen Diensten –, dass Hintertüren für die entsprechende Regierung eingebaut wurden. Telegram-Gründer Durov verlegte den Firmensitz ins Ausland und ist selbst seither abgetaucht – von daher spricht vieles dafür, dass er dem nachdrücklich geäußerten »Wunsch« seiner Regierung nicht nachgekommen ist. Wissen kann man das aber nicht sicher.
Wer Telegram nutzen will, kann die Sicherheit gegenüber potenziellen Mitlesern erhöhen, indem er oder sie die Option »secret chat« wählt – nur dann sind die Nachrichten verschlüsselt. Das geht allerdings nicht bei Gruppenchats, sondern lediglich bei Konversationen mit einer anderen Person. Dafür muss man auf den Kontakt klicken, dem man schreiben möchte, und unter dessen Namen die drei kleinen Punkte anklicken. Dann öffnet sich ein Menü, in dem sich die Option »Start Secret Chat« auswählen lässt. Telegram verspricht, dass die so gesendeten Nachrichten nicht nur Ende-zu-Ende verschlüsselt sind, sondern auch keine Spuren auf den Servern hinterlassen und nach einiger Zeit automatisch geköscht werden. Wann diese Löschung passieren soll, lässt sich beim Verfassen der Nachricht angeben: Im Eingabefenster ist ein Stoppuhren-Symbol zu sehen – wer es antippt, kann Zeitspannen zwischen einer Sekunde und einer Woche wählen. Zudem garantiert Telegram, dass sich die verschlüsselten Nachrichten nicht weiterleiten lassen. Dabei sollte man jedoch bedenken, dass Gesprächspartnerinnen und -partner immer Screenshots von Nachrichten machen und diese dann weiterleiten können. Allerdings würde das dem ursprünglichen Absender mitgeteilt werden.
Egal, mit welchem Messenger also: Vertrauliche Nachrichten sollten nur an Personen geschickt werden, denen man auch wirklich vertraut.
*Anm. d. Red.: In einer früheren Version dieses Artikels hieß es, dass der Messenger Threema Nachrichten mit einem eigenständig entwickelten Protokoll verschlüsselt. Das ist nicht korrekt, für die Verschlüsselung kommt die NaCl-Bibliothek zum Einsatz. Wir haben dies korrigiert und den Zusammenhang genauer erläutert.
Anm. d. Red.: Ein Teil dieses Artikels erschien zuvor unter dem Titel »Wie sicher ist der Messenger Telegram?« bei »higgs«.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.