Telegram – Wie sicher ist der andere Star der WhatsApp-Konkurrenten?

Das Telegram-Logo.
Quelle: Telegram.org

Nachdem WhatsApp bereits gestern von Telegram im AppStore abgehängt wurde setzt sich dieser Trend auch heute fort. Tausende Nutzer scheinen derzeit besonders in die Apps Threema und eben Telegram zu fliehen. Wir schauen uns Telegram als eine kostenlose WhatsApp-Alternative mal an.

 

Der Deal zwischen Facebook und WhatsApp ist auch noch mehr als 24 Stunden nach dessen Bekanntgabe mit seinen 19 Milliarden Dollar ein Paukenschlag. Viele unserer Kollegen, wie auch wir, sind auffällig ruhig, wenn es um die Einschätzung des Mega-Deals geht. Stattdessen scheint gerade in Deutschland eine Aufbruchsstimmung zu herrschen. Offensichtlich fliehen derzeit viele Nutzer aus WhatsApp und suchen sich Alternativen. Eine der erfolgreichsten Alternativen ist derzeit die App Telegram. Derzeit steht die App an der Spitze der Download-Charts für kostenlose Apps im AppStore. Die Macher der App versprechen eine sichere Alternative zu WhatsApp zu sein. Wie schon im gestrigen Artikel zur aktuell meist verkauften App, Threema, stellen wir die Sicherheit der App mal auf den Prüfstand.

Eine Grafik der MTProto-Verschlüsselung, die in unseren Augen ziemlich sicher sein dürfte.
Quelle: Telegram.org

 

Die Erfinder des größten europäischen sozialen Netzwerkes
haben mit MTProto  eine sichere Verschlüsselung gebaut.

Die Macher von Telegram sind die Russen Pavel und Nikolai Durov. Beide sind kein unbeschriebenes Blatt in der Technikbranche. Im Sommer 2006 veröffentlichten die Brüder die erste Version des heutigen sozialen Netzwerkes VK.com, dass bis Anfang 2012 noch vkontakte.ru hieß. VK hat sich seitdem hervorragend entwickelt und ist derzeit hinter Facebook das erfolgreichste soziale Netzwerk in Europa. Dabei zielt VK besonders auf osteuropäische Nutzer ab. So stammt ein Großteil der 100 Millionen Profile aus Russland und der Ukraine. Die Brüder kennen sich also im Geschäft aus und haben mit Telegram im letzten Sommer zum Angriff auf WhatsApp geblasen.
Das Tolle an dem Dienst ist das Finanzierungsmodell. Telegram ist laut Aussage der Durov-Brüder nicht gewinnorientiert. Sie versprechen, dass die App immer kostenlos und werbefrei sein wird. Gleichzeitig versichern sie, dass auch die Daten der Nutzer nicht verkauft werden. Telegram soll sich ganz alleine aus der Digital Fortress Investmentfirma finanzieren, die Pavel Durov gehört. Durch dieses Finanzierungssystem soll sicher gestellt werden, dass keine monetären Interessen der App im Wege stehen werden. Auch mögliche Verkäufe der App sollen durch das System schlicht uninteressant gemacht werden.
Als Verschlüsselung nutzt die App eine eigens erstellte Lösung, die sich MTProto nennt. Telegram hat das komplizierte System nicht nur entworfen, sondern ihre Arbeit an dem Protokoll auch komplett offen gelegt. Doch damit nicht genug rufen sie sogar aktiv zum Hacken ihres eigenen Sicherheitsprotokolls auf und loben 200.000 US-Dollar an denjenigen aus, der die Verschlüsselung knacken kann und Telegram die Schwachstelle offenlegt. Im vergangenen Jahr ging die Summe dann auch zum ersten Mal über den Tisch. Telegram verschlüsselte die Ortsdaten nicht, was ein Patch allerdings beheben konnte. Geradezu ein Plädoyer für quelloffene Sicherheitssysteme. Nach allem was man also bisher weiß ist MTProto also ziemlich sicher.

Man sollte darauf achten immer den "secret chat" zu nutzen.

Man sollte darauf achten immer den „secret chat“ zu nutzen.

Es gibt eine Ende-Zu-Ende Verschlüsselung,
aber man muss es immer manuell anschalten.

Warum haben wir euch gestern also Threema ans Herz gelegt, wenn Telegram doch auch sicher und sogar quelloffen ist, was wir gestern ja bei der Schweizer Lösung bemängelt haben?
Telegram ist ein gutes System und auch noch kostenlos. Die Probleme, die wir mit der App haben sind gleich mehrere, die wenig mit der eigentlichen Verschlüsselung zu tun haben.
Telegram nutzt standardmäßig keine Ende-Zu-Ende Verschlüsselung. Dafür kann man aber es durch eine Cloud-Lösung auch auf mehreren Geräten nutzen und sogar Programme für den eigenen Rechner gibt es. Verschickt man die Nachrichten als normale Telegram-Nachrichten, ist die Verbindung zum Server zwar durch MTProto gesichert, doch der Weg auf dem Server ist es nicht. Das bedeutet, dass die Nachricht einfach im Klartext über die Server wandert und so abgefangen werden kann. Ob das passiert und wo eventuelle Schwachstellen in der Serverstruktur der Russen stecken lässt sich allerdings nicht sagen. Wie auch Threema hat Telegram die eigenen Server nicht offen gelegt.
Doch Telegram kann auch, wie Threema, eine komplette Ende-Zu-Ende Verschlüsselung anbieten. Hierzu muss aber ein so genannter „Secret Chat“ gestartet werden. Wir hätten hier gerne gesehen, dass Telegram die durchaus praktische, aber eben unsichere, Cloud-Synchronisierung zu Gunsten einer ständigen Ende-Zu-Ende Lösung streicht. Wir kennen uns und auch viele der durchschnittlichen Nutzer gut genug um zu wissen was für eine riesige Verführung solche Cloud-Funktionen sein können. Ganz ähnliche Kritik müssen wir auch an dem Authentifizierungs-System von Telegram äußern. Der Nutzer kann seinen Gegenüber, wie bei Threema, vor einem „secret chat“ persönlich mit einem QR-Code identifizieren. Tut man das nicht bekommt man allerdings kein negatives Feedback. Auch hier hätten wir uns gewünscht, dass Telegram mehr auf den sicheren Weg pocht, anstatt die App so angenehm und schnell wie möglich zu machen.
Weniger gefällt uns zudem, dass man bei der Anmeldung seine Handynummer eingeben muss, was wir wieder darauf zurückführen, dass Cloud-Dienste ermöglicht werden.

Für die beste Sicherheit sollte man die QR-Codes austauschen.
Quelle: Telegram

Telegram ist sich, aber der Nutzer muss sich ständig darum kümmern, was auf Dauer nervig ist.

Eines kann man Telegram aber in keinem Fall absprechen. WhatsApp-Nutzer werden sich sofort zurechtfinden und die Ersteinrichtung ist deutlich einfacher als bei der Konkurrenz von Threema. Gleichzeitig ist die Telegram-App extrem schnell und auch die Nachrichten werden durchgehen schnell übertragen.Insgesamt ist Telegram also durchaus eine gute Alternative zu WhatsApp. Die russische Lösung bietet guten Schutz, wenn man wirklich alle Möglichkeiten der App ausnutzt. Für alle, denen der Preis von Threema zu hoch ist, kann Telegram als Alternative dienen. Telegram-Nutzer sollten zum sicheren Nachrichtenverkehr allerdings einige Grundregeln beachten. So sollte man immer nur den „secret chat“ nutzen, da sonst die Verschlüsselung nicht besser als bei Apples iMessage ist und der Server die Nachricht im Klartext lesen kann. Wer zudem auf Nummer sicher gehen will sollte vor dem Chat die QR-Codes austauschen. Wichtig hierbei ist, dass ihr diesen Code bitte nicht per SMS, E-Mail oder gar WhatsApp verschickt.
Wir hätten uns unterm Strich also einen größeren Fokus auf verpflichtende Sicherheits-Funktionen gewünscht und auch eine offene Serverstruktur begrüßt. 

Hier sind die Links zu den verschiedenen App-Stores.

Apple AppStore

Google PlayStore

Advertisements

8 Gedanken zu „Telegram – Wie sicher ist der andere Star der WhatsApp-Konkurrenten?

  1. Was meint ihr über die Kritiken über das Mtprot, von moxi und anderer cryptologen?
    Sind die Daten bei Vk auch sicher ich mein spionieren die Russen den nicht?
    Ein verstehe ich nicht wieso es so viele Kritiken über die Sicherheit von Telegram gibt und bis jetzt niemand sich die hack Belohnung 200000$geholt hat.

    Gefällt mir

    • @Seli

      Das MTProto an sich scheint sicher zu sein. Wir wundern uns zwar auch ziemlich darüber, dass die Durlov-Brüder gleich ein ganzes Protokoll neu geschrieben haben, aber bisher ist sieht es eigentlich sicher aus. Ein Schwachpunkt könnte die Key-Generierung aus dem SHA1 werden, aber bisher hält das Protokoll das, was es verspricht. Da das MTProto aber neu ist und auch nicht sehr weit verbreitet ist, kann sich das in Zukunft ändern.

      Sicherheitsprotokolle sind ziemlich komplex und wir sind keine ausgebildeten Kryptologen. Uns wundert aber, dass MTProto zum großen Anteil auf relativ alten Bausteinen aufgebaut ist.

      Zur zweiten Frage:
      Sobald man Telegram außerhalb des Secure Chat nutzt hat man keine Ende-Zu-Ende Verschlüsselung, was bedeutet, dass die Nachrichten im Klartext über die Server wandern. Wir wollen Telegram nichts unterstellen, aber da VK Data Mining betreibt gehen wir mal stark davon aus, dass diese unverschlüsselten Nachrichten auch ausgewertet werden.

      Zu der Challenge, die Telegram ausgerufen hat kann man derzeit nur wenig sagen. Zum einen läuft die Challenge noch nicht lange und zum anderen gibt es durchaus verschiedene Meinungen in wie weit ein solcher Contest die Sicherheit überhaupt fördern kann.
      Das Gerüst auf dem Telegram aufbaut ist neu und damit einfach nicht genug getestet und wahrscheinlich auch nicht absolut sicher. Das können wir selbstverständlich nicht beweisen, aber so gut wie keine Software kommt bugfrei auf den Markt.
      Daher stufen wir persönlich Threema als sicherer ein.

      Ich hoffe, dass dir das hier helfen konnte.
      Kommentier gerne, wenn du noch fragen hast und reiche bitte unsere Seite auch an Freunde weiter.
      MfG
      Leo

      Gefällt mir

    • Danke für den Kommentar.
      Investmentfirmen sind natürlich gewinnorientiert. Ohne gewinn kann sich keine Firma halten. In diesem Fall ist es aber so, dass Digital Fortress quasi auf einen Teil seines Gewinns verzichtet um Telegramm am laufen zu Halten. Beide Firmen gehören den Durov-Brüdern.

      Ich hoffe wir konnten dir helfen.

      Gefällt mir

  2. Pingback: Facebook kauft Oculus Rift – 2 Milliarden Dollar für die virtuelle Realität (Video!) | thetechnologicals

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s