Während Messenger Dienst Signal von Größen wie Edward Snowden empfohlen wird, steht der Telegram-Messenger immer häufiger in Kritik. Die IT-Sicherheitsexperten der PSW GROUP PSW GROUP haben sich beide Messenger genauer angesehen und neben Berechtigungen sowie Usability besonders die AGB sowie die Sicherheit von Signal und Telegram unter die Lupe genommen.
Signal im Detail
Signal lässt sich kostenfrei installieren und nutzen. Nutzende mit Android- oder iOS-Devices können den Messenger installieren. Wer Signal auf dem Mobilgerät installiert hat, kann den Messenger auch auf dem Desktop verwenden. Versionen existieren für Windows, macOS und dank einer Debian-basierten Distribution auch für Linux.
Signal kann alles, was es für einen Messenger braucht: Text- und Sprachnachrichten, Medien- und Dateiversand in allen gängigen Formaten, Sprach- und Videotelefonate, auch Sticker sowie Gruppen sind mit an Bord. „Die Bedienung ist kinderleicht und genauso intuitiv wie bei WhatsApp. Dass mit Signal Payments nun auch eine Bezahlfunktion integriert werden soll, kann als praktisches Funktions-Update verstanden werden. Die Funktion erhöht aber auch die Angriffsfläche durch zusätzlichen Code, sodass Cyberkriminelle den Messenger als neues Ziel ausmachen könnten“, so Patrycja Schrenk.
Signal selbst spricht davon, dass „ein unerwarteter Fokus auf Privatsphäre“ liegt. Tatsächlich sieht die Krypto-Szene das von Signal-Gründer Moxie Marlinspike entwickelte Verschlüsselungsprotokoll als „Goldstandard“: Sämtliche Kommunikationsinhalte, also Anrufe, Nachrichten sowie Dateien, werden ohne Zutun der Nutzenden, Ende-zu-Ende-verschlüsselt. So können auch weniger versierte Nutzende Privatsphäre leicht umsetzen. Perfect Forward Secrecy wird unterstützt, sodass Inhalte aufgrund des Session-Keys auch im Nachhinein nicht entschlüsselt werden können.
Signal zeigt sich transparent, was Behördenanfragen angeht. Wie die Signal-Macher mitteilen, würde bei Behördenanfragen lediglich das Datum geteilt werden, an dem ein Account eingerichtet wurde und wann dieser Account zuletzt mit dem Signal-Server verbunden war. „Allerdings ist bei Registrierung die Angabe einer Telefonnummer notwendig, sodass eine anonyme Nutzung des Dienstes nicht möglich ist. Da Signal selbst die Telefonnummern jedoch nur in verschlüsselter Form erhält, lebt der Anbieter ein hohes Maß an Datensparsamkeit“, informiert Patrycja Schrenk. Die IT-Sicherheitsexpertin ergänzt aber wohlwollend: „In Bezug auf Metadaten probiert sich Signal am Zero-Knowledge-Prinzip. Das heißt: Die Betreiber sind bestrebt, keine Informationen darüber, wer wann mit wem kommuniziert, zu speichern. Zuweilen ist die Speicherung von Metadaten jedoch unabdingbar, beispielsweise für die Zustellung von Nachrichten. In diesen Fällen sollen Techniken eingesetzt werden, die es erschweren oder verunmöglichen, Informationen aus den Daten abzuleiten.“
Beim Blick in die AGB und Datenschutzrichtlinie, die im Übrigen schnell zu finden sind, fällt auf: Signal formuliert seine Nutzungsbedingungen schnörkellos und eindeutig und auch die Datenschutzerklärung zeigt sich kurz, knackig und aufs Wesentliche reduziert. „Perfekt wäre es, wenn die Rechtstexte in deutscher Sprache verfügbar wären“, bemängelt Schrenk.
Telegram im Detail
Im Januar meldete Telegram-Macher, Nikolai Durow, auf seinem Telegram-Kanal, die App sei weltweit die meist heruntergeladene Mobilapp und die Nutzerzahlen hätten 500 Millionen pro Monat überstiegen. „Wir hatten Telegram vor fünf Jahren schon einmal getestet und stolperten seinerzeit vor allem über große Sicherheitsmängel, darunter der Einsatz des veralteten Hash-Algorithmus SHA-1 und die große Intransparenz bei Serverstandort und Datenspeicherung. Wir konnten einfach nirgends herausfinden, wo Telegram selbst sitzt und wo sich die Server befinden, und wo und wie lang welche Daten warum gespeichert werden. Wir waren auch angesichts der vielen App-Downloads gespannt, wie sich der Dienst entwickelt hat“, erzählt Patrycja Schrenk.
Telegram lässt sich mit allen Plattformen kostenfrei nutzen; Mobil- und Desktop-Apps stehen genauso bereit wie Web- und inoffizielle Apps. Telegram bringt viele Funktion mit Bedienen lässt sich Telegram genauso leicht wie jeder andere Messenger. Das Plus an Funktionalität: Text-, Sprach- und Videoanrufe sind genauso mit an Bord wie Foto- und Videobearbeitungstools sowie eine offene Sticker- bzw. GIF-Plattform. „Die vielen Funktionen könnten für weniger versierte Nutzende womöglich etwas zu viel des Guten sein, ist jedoch einfach Geschmackssache. Wir kamen im Test aber gut zurecht“, so Schrenk.
Telegram möchte mit Ende-zu-Ende-Verschlüsselung der Nachrichteninhalte eine „abhörsichere“ Kommunikation erreichen. Mittel zu diesem Zweck ist die Eigenentwicklung des MTProto-Protokolls. Anders als bei den meisten anderen Messengern ist die Ende-zu-Ende-Verschlüsselung bei Telegram standardmäßig nicht aktiv. Chats werden nur zwischen Endgerät und Server verschlüsselt. „Die Telegram-Macher erklären in ihrer Datenschutzerklärung, dass Chats auf den Servern verschlüsselt gespeichert werden. Allerdings sind die Daten von Telegram einsehbar. Das gilt auch für Cyberkriminelle, wenn es ihnen gelingt, Zugang zu den Servern zu erhalten“, bemängelt Schrenk. Hinzu kommt, dass die zentralen Server von Telegram überall in der Welt verteilt sind. Alle Gespräche landen bei Telegram in der Cloud – einschließlich Backups, die zwar automatisch stattfinden, deren Schlüssel jedoch beim Anbieter liegt.
Kommunikationsinhalte werden übrigens dauerhaft in der Cloud gespeichert und erst gelöscht, wenn Nutzende Nachrichten oder ihre Accounts löschen. „So kann es passieren, dass Dritte bei Neuvergabe einer bei Telegram registrierten Telefonnummer alle Informationen zum gespeicherten Account erhalten. Da hilft es nur, den Account zu übertragen oder zu löschen, bevor die Nummer gewechselt wird“, so Schrenk und warnt: „Wer Telegram die Berechtigung gibt, auf die Kontakte zuzugreifen, lässt es zu, dass Telegram sämtliche Nummern inklusive Vor- und Nachnamen der Kontakte dauerhaft auf den Servern speichert. Das geschieht nicht etwa gehasht, sondern im Klartext.“
Die Rechtstexte zeigen sich insgesamt aufschlussreich, die englische Sprache kann jedoch zu Sprachbarrieren führen und in der Datenschutzerklärung finden sich diverse schwammige Formulierungen, die das Verständnis erschweren. „Aggregierte Metadaten“ und Informationen sowie die Analyse von Cloud-Chats durch Algorithmen sind Inhalte, die kritisch betrachtet werden müssen. Immerhin gibt es endlich konkrete Aussagen zum Server-Standort: Daten werden in Rechenzentren in den Niederlanden gespeichert.
Hinterlasse jetzt einen Kommentar