Sicherheitslücken bei Telegram: Warum die Verschlüsselung nicht ausreicht

VonJörn Schmidt
Telegram Logo
Foto von Dima Solomin auf Unsplash

Moderne Verschlüsselung ist erstaunlich sicher: Selbst der leistungsstärkste Supercomputer der Welt bräuchte zwischen 1.000 Jahren und 13 Milliarden Jahren, um eine 128-Bit-Verschlüsselung zu knacken, wie sie von sicheren Banking-Apps verwendet wird.

In dieser Zeit könnten ganze Regierungen entstehen und vergehen, während der Computer einen Schlüssel nach dem anderen ausprobiert. Diese Art von Sicherheit bietet in der Regel ausreichend Schutz für private Nachrichten.

Telegram – eine scheinbar sichere Alternative?

Telegram wird häufig als Alternative zu WhatsApp betrachtet. Viele Nutzer gehen davon aus, dass die App sicher und privat ist. Doch im Gegensatz zu WhatsApp ist Telegram nicht standardmäßig Ende-zu-Ende-verschlüsselt. Das bedeutet, dass theoretisch Administratoren, Behörden oder Hacker Zugriff auf die Inhalte haben könnten. In den letzten Jahren sind die Nutzer sich der fehlenden Verschlüsselung zunehmend bewusst geworden, insbesondere nach Ermittlungen und der Festnahme von Telegram-Gründer Pavel Durov. Dabei wurde bekannt, dass das Unternehmen Informationen wie Telefonnummern und IP-Adressen weitergegeben hatte.

Was Telegram auszeichnet – und wo es hapert

Telegram punktet zweifellos mit seiner Funktionsvielfalt: Chat-Organisation, Community-Management und benutzerfreundliche Einstellungen sind marktführend. Die Benutzeroberfläche ist für Geräte jeder Größe optimiert und ermöglicht eine einfache Navigation. Funktionen wie angeheftete Chats, animierte Emojis und Gruppenanonymität erfreuen sich großer Beliebtheit und werden sogar regelmäßig von Konkurrenten wie WhatsApp übernommen.

Durch seine Vielseitigkeit nähert sich Telegram eher sozialen Medien an, wobei Communities oft die neuesten Tech-Leaks oder internationale Nachrichten teilen. Doch wenn es um den Datenschutz geht, gibt es erhebliche Mängel.

Verschlüsselung – optional, aber kompliziert

Telegram bietet zwar optionale Verschlüsselung an, aber der Weg dorthin ist umständlich: Um einen „Geheimen Chat“ zu starten, muss man mehrere Menüs durchlaufen, den Kontakt auswählen und sicherstellen, dass die andere Person online ist. Zudem funktioniert diese Option nur auf mobilen Geräten und nicht in Gruppenchats. Selbst bei den sogenannten „Secret Chats“ sind Experten skeptisch. Die komplexe und nicht vollständig überprüfbare Verschlüsselung lässt sich nicht gründlich auf Schwachstellen prüfen.

Die Risiken einer fehlenden Ende-zu-Ende-Verschlüsselung

Typische Nachrichten werden bei Telegram zwar während der Übertragung verschlüsselt, doch eine Ende-zu-Ende-Verschlüsselung – bei der nur Sender und Empfänger den Inhalt lesen können – ist nicht standardmäßig aktiviert. Telegram-Administratoren könnten theoretisch auf den Großteil der Nachrichten zugreifen und diese an Dritte weitergeben.

Warum Open Source entscheidend ist

Für maximale Sicherheit sollten Messaging-Apps auf Open-Source-Verschlüsselung setzen, wie es beispielsweise beim Signal-Protokoll der Fall ist. Proprietärer Code, wie er bei WhatsApp verwendet wird, kann hingegen nicht unabhängig geprüft werden, was potenzielle Hintertüren ermöglicht. Eine sichere Verschlüsselung setzt regelmäßige Updates des offenen Quellcodes voraus – sowohl für Client- als auch für Server-Software. Ohne Überprüfung könnten Hintertüren existieren, durch die Behörden oder Hacker Zugriff auf Nachrichten erhalten.

Sicherheitsmaßnahmen für den Alltag

Selbst wenn die vollständige Ende-zu-Ende-Verschlüsselung für viele Nutzer nicht unbedingt notwendig ist, gibt es einige grundlegende Maßnahmen, die man ergreifen sollte, um die digitale Sicherheit zu erhöhen:

  1. Passwortmanager: Ein gutes Tool zur Verwaltung und Erstellung sicherer Passwörter
  2. Zwei-Faktor-Authentifizierung: Erhöht die Sicherheit, indem ein zusätzlicher Code für den Zugriff benötigt wird
  3. Kontaktlose Bezahlmethoden: Tap-to-Pay-Dienste wie Google Wallet fügen eine weitere Sicherheitsebene hinzu
  4. Bewusster Umgang mit persönlichen Daten: Teilen Sie keine sensiblen Informationen in sozialen Medien
  5. VPNs (Virtual Private Networks): Verschlüsseln den gesamten Internetverkehr und verbergen die Aktivitäten vor dem Anbieter

Fazit: Telegram für kritische Kommunikation ungeeignet

Telegram bietet viele nützliche Funktionen, ist aber nicht die beste Wahl für sichere Kommunikation. Wer auf Datenschutz Wert legt, sollte Alternativen in Betracht ziehen, die standardmäßig Ende-zu-Ende-Verschlüsselung bieten und eine unabhängige Überprüfung der Sicherheitsmaßnahmen erlauben. Auch wenn der durchschnittliche Nutzer selten ins Visier von Behörden oder Hackern gerät, lohnt es sich, grundlegende Sicherheitsmaßnahmen zu ergreifen, um sich vor potenziellen Bedrohungen zu schützen.

Update: Da hat sich doch glatt Telegram bei mir gemeldet und wünscht folgende Klarstellung, die ich natürlich veröffentlichen werde:

„Der Artikel besagt, dass Telegram standardmäßig nicht verschlüsselt ist. Das ist falsch. Alles, was über Telegram gesendet wurde, war schon immer verschlüsselt. Wenn Sie damit sagen wollen, dass nicht alles Ende-zu-Ende-verschlüsselt ist, hoffe ich, dass Sie das sofort klarstellen können.

Außerdem heißt es in dem Artikel, dass die Secret Chat-Verschlüsselung von Telegram nicht gründlich überprüft werden kann. Das ist falsch. Die Verschlüsselungsprotokolle von Telegram sind vollständig dokumentiert und mit dem Open-Source-App-Code können Forscher die Integrität und Implementierung der Sicherheit von Telegram unabhängig überprüfen. Viele haben dies getan, darunter auch diejenigen von der Universität Udine, Italien: https://arxiv.org/pdf/2012.03141v1.pdf.

Bis heute wurde noch nie ein Mittel gefunden, um die von Telegram verwendete Verschlüsselung zu knacken.

Darüber hinaus ist Telegram der einzige große Messenger, der reproduzierbare Builds sowohl auf Android als auch auf iOS unterstützt, sodass jeder beweisen kann, dass die Apps in App Stores aus demselben Quellcode erstellt wurden, den wir veröffentlichen.“

Quelle(n):
Android Police

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Telegram, WhatsApp, Mastodon, Threads, Bluesky oder auf Facebook oder abonniere meinen RSS-Feed!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 8 Pro mit Android 14

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert