Security

Goodbye, Telegram

Warum ich Telegram verlassen habe...

Michael Meister

3 min read
Goodbye, Telegram
Photo by Tolu Akinyemi 🇳🇬 / Unsplash

Ja, ich habe Telegram gerne genutzt. Nicht etwa, um Nachrichten damit zu verschicken. Nein. Ich habe Telegram genutzt, um unwichtige Backups in Chats mit mir selbst zu Parken. Schön, wenn man so quasi unlimited Storage zur Verfügung gestellt bekommt und das auch noch automatisiert über deren API nutzen kann.

Auf gleiche Weise ist es möglich auch große Datenmengen mit Bekannten austauschen. Einfach die Daten in 1GB große ZIP-Archive zerlegen und mit openssl verschlüsseln. Schon konnte man die Infrastruktur auf gleiche Weise missbrauchen, wie es auch die kriminellen Subjekte im Umfeld von Telegram tun.

Auch Telegram-Bots waren für mich sehr nützlich. Ich habe sie für meine Hausautomation genutzt und um Broadcasts zu senden.

Wie auf meinem Blog zu verfolgen ist, habe ich inzwischen alle Dienste selbst gehostet. Telegram habe ich für Chats nie genutzt, da die Verschlüsselung schwierig durchzusetzen ist, insbesondere wenn man den Chat auf mehreren Geräten führt, wie etwa auf dem Smartphone, Tablet oder über Telegram-Web. Mit der Nutzung von Telegram-Web sind die Chats ohnehin nicht mehr wirklich verschlüsselt. Zudem möchte ich TLS nicht als echte Verschlüsselung ansehen, da ein Messenger Ende-zu-Ende-Verschlüsselung bieten sollte. Bei Gruppenchats kann Telegram dieser Anforderung erst recht nicht gerecht werden.

Die grundsätzlichen Probleme hatte ich ja bereits beschrieben:

Telegram
Trotz populärer Nutzung erhebliche Sicherheitsmängel. Fehlende Standardverschlüsselung und fragwürdige Datenpraktiken. Eine Analyse.
Meister-Tech-BlogMichael Meister

Und dass die Daten unverschlüsselt auf den Telegramservern liegen, kann jeder selbst prüfen, indem er auf https://web.telegram.org geht und die Verknüpfung mit seinem Account herstellt. Wenn man kurz nach der Verknüpfung das Telefon in den Flugmodus versetzt, laufen trotzdem noch alte Chats in der Chat-History ein. Und wenn sie nicht aus dem Telefon kommen können, wo kommen sie dann her?

Eva Galperin von der Electronic Frontier Foundation warnt: "Telegram sitzt auf einer enormen Menge an Benutzerdaten. Tatsächlich sitzt es auf den Inhalten aller Kommunikationen, die keine Eins-zu-eins-Nachrichten sind, die also nicht speziell (Ende-zu-Ende) verschlüsselt wurden." ... und das sind ja fast alle.

Telegram-Gründer Pawel Durow gab bekannt, dass das Unternehmen nur etwa 30 Ingenieure beschäftigt. Dies führt zu Bedenken:

  • Zu wenig Personal für effektive Sicherheitsmaßnahmen und Reaktion auf Bedrohungen
  • Fehlende dedizierte Teams für rechtliche Anfragen und Inhaltsmoderation (Ja: Telegram ist ein Social-Media-Client)
  • Erhöhte Anfälligkeit für Cyberangriffe aufgrund Unterbesetzung

Sicherheitsexpertin Eva Galperin kommentiert daher weiter: "Jeder Angreifer liebt einen zutiefst unterbesetzten und überarbeiteten Gegner."

Wie geht es nun weiter

Ich bekomme immer häufiger Nachrichten über Telegram. Die Absender möchten Informationen von mir, die jedoch meine aktuellen Projekte preisgeben würden. Um der wachsenden Zahl dieser Anfragen zu entgehen, sehe ich mich gezwungen, Konsequenzen zu ziehen: Ich werde mich aus diesem Netzwerk zurückziehen.

Als ich Moxie Marlinspike von Whisper Systems kennenlernte, war ich von seinen Apps „TextSecure“ und „RedPhone“ begeistert. Einige Jahre später wurde das Signal-Protokoll auch von anderen Apps, darunter WhatsApp, übernommen. Leider machte WhatsApp dabei einen, meiner Meinung nach, entscheidenden Implementationsfehler: Bei WhatsApp ist der Absender der Nachricht außen auf dem „Briefumschlag“ sichtbar, während er bei Signal erst im Inhalt selbst erscheint. Das bedeutet, dass man bei Signal von außen nicht erkennen kann, wer mit wem kommuniziert – dieses Privileg hat nur der Empfänger. Ein entscheidender Aspekt, wie ich finde. So kann Signal im Falle gerichtlicher Anordnung quasi keine persönlichen Informationen preisgeben. Hier ist eine Reaktion von Signal auf eine solche Anordnung:

signal
signal.pdf
22 KB
download-circle

Als Meredith Whittaker schließlich neue Vorsitzende der Signal-Stiftung wurde, hatte ich anfängliche Zweifel, ob sie Moxies Vision fortsetzen würde, da sie zuvor 13 Jahre bei Google tätig war. Doch mittlerweile bin ich mit ihrer Führung sehr zufrieden.

Es gibt natürlich auch die Schweizer Alternative TeleGuard. Ihre Implementierung gefällt mir momentan am besten. Allerdings kenne ich die Betreiber noch nicht und hatte bisher auch keine Gelegenheit für einen Code-Audit.

Fazit

Ich beende alle Beziehungen zu Telegram und chatte weiterhin über Signal.