Telegram ist längst nicht so sicher, wie der IS glaubt​​

Die Debatte um Terroristen, die Verschlüsselungstechnologien nutzen, wird nach den Anschlägen von Paris noch schärfer geführt. Zahlreiche Medien berichteten in den vergangenen Tagen darüber, dass der IS offen für Telegram werbe und die Chat-App, die vom russischen Internet-Millionär Pavel Durov gegründet wurde und die in Berlin entwickelt wird, zur internen Kommunikation nutze. So titelte etwa Die Welt: „Dschihadisten lieben eine Berliner App".

Sicherheitsexperten bezweifeln allerdings, dass Telegram so sicher ist, wie es die Terroristen gerne hätten.

Die kostenlose App (für iOS, Android, Windows und als Desktop-Version erhältlich) bietet auch die Möglichkeit geheimer, verschlüsselter Chats. Die Ende-zu-Ende-Verschlüsselung auf den jeweiligen Geräten soll dafür sorgen, dass nur der Empfänger die Nachricht lesen, und sie nicht von Geheimdiensten oder Hackern abgefangen werden kann.

Bereits im September gab Durov zu, dass auch der IS zu den Nutzern seiner App gehöre, über die pro Tag 12 Milliarden Nachrichten verschickt würden. IS-Propaganda-Webites ermuntern Dschihadis genauso zur Telegram-Nutzung wie auch die al-Qaida-nahe Global Islamic Media Front. Die Gruppe, die vor allem dafür bekannt ist, sichere Software-Lösungen für Dschihadis zu kopieren, bewarb die Nutzung von Telegram erst im vergangenen Monat in ihrem Magazin.

Der Computersicherheitsexperte „The Grugq" beschrieb in einem Blog-Post am Mittwoch jedoch ausführlich die Probleme der Chat-App. Verschiedene technische Spezifika würden das Programm tatsächlich für Terroristen eher unattraktiv machen:

„Telegram ist anfällig für Fehler, hat ein wackliges selbstgebautes Verschlüsselungssystem, sendet umfangreiche Metadaten mit, liest die Adressbücher der Nutzer aus und ist außerdem als Terroristen-Hangout bekannt. Ich persönlich könnte mir keine ungünstigere Konstellation für eine sichere Kommunikationsplattform vorstellen", schrieb er.

Geheimdienste widmen der Kommunikation von Terroristen wesentlich intensivere Ressourcen als den Daten durchschnittlicher User—das bedeutet auch, dass die technischen Anforderungen an eine vom IS genutzte Verschlüsselungsplattform hoch sein sollten.

The Grugq weist auch darauf hin, dass für die Anmeldung bei Telegram eine funktionierende Telefonnummer nötig sei, was leicht zu Missgeschicken führen könne. „Die Leute werden Fehler machen und sich mit ihrer persönlichen Handynummer registrieren."

Tatsächlich wies auch ein weiterer halbanonymer Sicherheitsforscher, der seine Erkenntnisse unter dem Alias „Switched" verbreitet, auf eine Unterhaltung in einem IS-Forum hin, in welchem jemand genau diesen Fehler begangen habe. Eine persönlich genutzte Telefonnummer kann Ermittlern eine vielversprechende Spur bieten, um mehr über Verdächtige herauszufinden oder sie zu tracken. Im Extremfall reicht das Wissen um die Telefonnummer für die US-Armee aus, um einen tödlichen Drohnenangriff auf Terroristen auszuführen.

Auch, dass Telegram die Kontaktdaten seiner Nutzer auf die eigenen Server lädt, kann für die Terroristen zum Problem werden, wie the Grugq betont: „So ist es Telegram möglich, eine detaillierte Karte der sozialen Verbindungen seiner Nutzer zu speichern"—ein offensichtlicher Nachteil, wenn du in einem klandestinen Netzwerk operieren willst.

Außerdem ist die Verschlüsselung von Telegram nicht automatisch aktiviert, wie das beispielsweise bei Threema oder iMessage der Fall ist. Die Nutzer müssen eine „geheime Unterhaltung" erst selbst aktivieren und die Verschlüsselung bereits laufender Chat-Verläufe ist gar nicht möglich. The Grugq weist deshalb auch darauf hin, dass die notwendige Aktivierung zu Bedienungsfehlern führen könne und Dschihadis versehentlich unverschlüsselt kommunizieren.

Manche Experten zeigen sich auch besorgt aufgrund der speziellen Verschlüsselungstechnik, die Telegram einsetzt.

„[Das Verfahren] ist nicht per se unbrauchbar oder kaputt, aber es ist sehr ungewöhnlich", erklärte Matthew Green von der Johns Hopkins University gegenüber Motherboard. „Für mich ist das schon ein Alarmsignal." Nicht standardisierte kryptographische Verfahren werden von Forschern längst nicht so weitgehend auf Herz und Nieren geprüft wie weiter verbreitete Open-Source-Alternativen wie PGP. Telegram hat deshalb in der Vergangenheit extra einen Hacker-Wettbewerb ausgeschrieben und auf unbekannte Sicherheitslücken einen Preis von 300.000 Dollar ausgelobt, den sich allerdings bislang niemand sichern konnte.

Green erklärte gegenüber Motherboard auch, dass Telegram für einen bestimmten Man-in-the-Middle-Angriff anfällig sein könnte. Dabei könnte ein Angreifer den Schlüssel einer Zielperson mit seinem eigenen austauschen und so Konversationen mitlesen. Diese Gefahr besteht überhaupt nur, weil das Verifzierungssystem von Schlüsseln bei Telegram über komplizierte Bilder voller blaugefärbter Quadrate funktioniert—statt sich, wie die meisten anderen Apps, auf alphanumerische Codes zu verlassen.

„Ich glaube, dass ein Hacker während der Datenübertragung einen kryptographischen Fingerabdruck einfügen könnte, der dem seiner Zielperson extrem nahe kommt. Der Fingerabdruck ist nicht der gleiche, aber es dürfte genügen, um die meisten Nutzer auf den ersten Blick zu täuschen."

Und selbst wenn Dschihadisten das Prozedere perfekt umsetzen und einen verschlüsselten Chat einleiten, der nicht angegriffen wird, bleibt immer noch das Problem der Metadaten. Diese Daten verraten noch immer äußerst viel über die einzelnen Nutzer, sein Netzwerk und sein Kommunikationsverhalten.

„Jedes mal wenn du etwas mit einem Handy machst, fallen diverse Metadaten an—Benachrichtigungen, IP-Traffic-Daten von und zu den Servern und die Daten, die Telegram selbst auf den Servern speichert", schreibt the Grugq abschließend. All diese Daten können von Geheimdiensten und Anti-Terror-Einheiten abgehört und analysiert werden. Das Problem der Metadaten betrifft aber nicht nur Telegram, sondern auch manche andere Krypto-Apps.

Telegram ließ eine Liste von Nachfragen von Motherboard unbeantwortet, gab aber inzwischen bekannt, 79 Chat-Gruppen gelöscht zu haben, über die der IS kommuniziert haben soll.