Update: Whatsapp-Konkurrent wirft Sicherheitsfragen auf

Seit der Übernahme von Whatsapp durch Facebook wechseln viele Nutzer zum Konkurrenten Telegram. Doch der kostenlose Messenger wirft Sicherheitsfragen auf. Die Betreiber wehren sich gegen die Vorwürfe.

Als Facebook den Messenger-Dienst Whatsapp für 19 Milliarden Dollar übernahm, sahen sich viele Nutzer nach Alternativen um. Neben Threema bekam vor allem Telegram regen Zulauf. Der Konkurrent ähnelt optisch dem übernommenen Kurznachrichtendienst, eine Umgewöhnung fällt kurz aus. Schon jetzt sollen rund 35 Millionen Anwender den Service von Telegram nutzen. Jetzt allerdings warnt der Security-Spezialist »Psw Group« vor zu viel Vertrauen in die Sicherheit der Anwendung. »Der Messenger wirft viele Fragen in punkto Sicherheit auf, die sich nicht beantworten lassen«, so Geschäftsführer Christian Neutger. Das Unternehmen hat die Sicherheit der App im Rahmen eines Tests genauer unter die Lupe genommen.

Das erste Problem tritt laut den Experten schon bei der Installation und Aktivierung der Multiplattform-App auf. Diese sei zwar kinderleicht, aber mit dem zugesandten Validierungscode müsse sich der Nutzer an keiner Stelle validieren, um die App zu nutzen. »Weshalb hier eine Validierung vorgegeben wird, die zu keinem Zeitpunkt erfolgt, ist und ein Rätsel«, so Neutger.

Auch die Verschlüsselung von Telegram lässt bei den Experten Fragen aufkommen. Die App arbeitet mit dem hauseigenen Krypto-Verfahren »MTProto« und verschlüsselt sowohl die Server-Client- als auch die Client-Client-Kommunikation. Allerdings sehen Experten die verwendeten Bausteine zur Verschlüsselung kritisch und bezeichnen sie unter anderem als veraltet und angreifbar. Zudem muss eine echte End-to-End-Verschlüsselung erst in der App separat aktiviert werden, damit diese greift. Bei Gruppenchats bietet Telegram zudem nur eine Client-Server-Verschlüsselung an.

»Telegram zeigt sich insgesamt zuverlässig, bietet eine enorme Flexibilität und eine einfach Bedienung. Das hauseigene Protokoll wirft allerdings Fragen auf, der Datenschutz ist unzureichend und die Verschlüsselungsparameter geben keinen ausreichenden Schutz«, befinden die Tester der Psw Group in ihrem Fazit.

Update: In einem kurzen Statement gegenüber CRN äußerten sich die Telegram-Betreiber zur Validierungsthematik. So werde der Validierungscode automatisch von der SMS übernommen, so dass der User ihn nicht mehr persönlich eingeben müsse. Zudem stütze sich die PSW-Analyse leider statt eigener Forschung auf unerprüfte, manchmal umstrittene Quellen. In diesem Zusammenhang verweisen die Betreiber auf die unter dem Sicherheitsbericht stattfindende Diskussion. Zudem hat Telegram seine technische FAQ aktualisiert.