Messenger Test – Note 1 für Signal, Telegram mit deutlichen Defiziten

Messenger Test - Note 1 für Signal, Telegram mit deutlichen Defiziten

Während Messenger Dienst Signal von Größen wie Edward Snowden empfohlen wird, steht der Telegram-Messenger immer häufiger in Kritik. Die IT-Sicherheitsexperten der PSW GROUP PSW GROUP haben sich beide Messenger genauer angesehen und neben Berechtigungen sowie Usability besonders die AGB sowie die Sicherheit von Signal und Telegram unter die Lupe genommen.

„Signal hat sich ausgezeichnet geschlagen. Die Einstiegshürden sind noch geringer und die Nutzerfreundlichkeit mindestens genauso hoch wie die von Platzhirsch WhatsApp. Von der Verschlüsselung, der Datenspeicherung und den generellen Schutzmechanismen war das gesamte Test-Team begeistert. Ein kleines Manko: Die Signal Foundation hostet ihre Server nicht selbst und die englische Sprache in den Rechtstexten erschwert das Verständnis. Telegram hingegen konnte tatsächlich weniger überzeugen. Zwar bietet der Messenger eine Vielzahl spannender Funktionen und hat keinerlei Einstiegshürden. Allerdings zeigen sich Defizite in Sachen Sicherheit und Privatsphäre. Für Einsteiger, die einen sicheren Messenger suchen, ist Telegram eher nicht geeignet, da zu viele Konfigurationen notwendig sind, um ihn halbwegs sicher nutzen zu können. Profis in Sachen Sicherheit hingegen bietet Telegram einfach zu wenig Privatsphäre“, lautet das Gesamturteil von Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Signal im Detail

Signal lässt sich kostenfrei installieren und nutzen. Nutzende mit Android- oder iOS-Devices können den Messenger installieren. Wer Signal auf dem Mobilgerät installiert hat, kann den Messenger auch auf dem Desktop verwenden. Versionen existieren für Windows, macOS und dank einer Debian-basierten Distribution auch für Linux.

Signal kann alles, was es für einen Messenger braucht: Text- und Sprachnachrichten, Medien- und Dateiversand in allen gängigen Formaten, Sprach- und Videotelefonate, auch Sticker sowie Gruppen sind mit an Bord. „Die Bedienung ist kinderleicht und genauso intuitiv wie bei WhatsApp. Dass mit Signal Payments nun auch eine Bezahlfunktion integriert werden soll, kann als praktisches Funktions-Update verstanden werden. Die Funktion erhöht aber auch die Angriffsfläche durch zusätzlichen Code, sodass Cyberkriminelle den Messenger als neues Ziel ausmachen könnten“, so Patrycja Schrenk.

Signal selbst spricht davon, dass „ein unerwarteter Fokus auf Privatsphäre“ liegt. Tatsächlich sieht die Krypto-Szene das von Signal-Gründer Moxie Marlinspike entwickelte Verschlüsselungsprotokoll als „Goldstandard“: Sämtliche Kommunikationsinhalte, also Anrufe, Nachrichten sowie Dateien, werden ohne Zutun der Nutzenden, Ende-zu-Ende-verschlüsselt. So können auch weniger versierte Nutzende Privatsphäre leicht umsetzen. Perfect Forward Secrecy wird unterstützt, sodass Inhalte aufgrund des Session-Keys auch im Nachhinein nicht entschlüsselt werden können.

Signal zeigt sich transparent, was Behördenanfragen angeht. Wie die Signal-Macher mitteilen, würde bei Behördenanfragen lediglich das Datum geteilt werden, an dem ein Account eingerichtet wurde und wann dieser Account zuletzt mit dem Signal-Server verbunden war. „Allerdings ist bei Registrierung die Angabe einer Telefonnummer notwendig, sodass eine anonyme Nutzung des Dienstes nicht möglich ist. Da Signal selbst die Telefonnummern jedoch nur in verschlüsselter Form erhält, lebt der Anbieter ein hohes Maß an Datensparsamkeit“, informiert Patrycja Schrenk. Die IT-Sicherheitsexpertin ergänzt aber wohlwollend: „In Bezug auf Metadaten probiert sich Signal am Zero-Knowledge-Prinzip. Das heißt: Die Betreiber sind bestrebt, keine Informationen darüber, wer wann mit wem kommuniziert, zu speichern. Zuweilen ist die Speicherung von Metadaten jedoch unabdingbar, beispielsweise für die Zustellung von Nachrichten. In diesen Fällen sollen Techniken eingesetzt werden, die es erschweren oder verunmöglichen, Informationen aus den Daten abzuleiten.“

Beim Blick in die AGB und Datenschutzrichtlinie, die im Übrigen schnell zu finden sind, fällt auf: Signal formuliert seine Nutzungsbedingungen schnörkellos und eindeutig und auch die Datenschutzerklärung zeigt sich kurz, knackig und aufs Wesentliche reduziert. „Perfekt wäre es, wenn die Rechtstexte in deutscher Sprache verfügbar wären“, bemängelt Schrenk.

Telegram im Detail

Im Januar meldete Telegram-Macher, Nikolai Durow, auf seinem Telegram-Kanal, die App sei weltweit die meist heruntergeladene Mobilapp und die Nutzerzahlen hätten 500 Millionen pro Monat überstiegen. „Wir hatten Telegram vor fünf Jahren schon einmal getestet und stolperten seinerzeit vor allem über große Sicherheitsmängel, darunter der Einsatz des veralteten Hash-Algorithmus SHA-1 und die große Intransparenz bei Serverstandort und Datenspeicherung. Wir konnten einfach nirgends herausfinden, wo Telegram selbst sitzt und wo sich die Server befinden, und wo und wie lang welche Daten warum gespeichert werden. Wir waren auch angesichts der vielen App-Downloads gespannt, wie sich der Dienst entwickelt hat“, erzählt Patrycja Schrenk.

Telegram lässt sich mit allen Plattformen kostenfrei nutzen; Mobil- und Desktop-Apps stehen genauso bereit wie Web- und inoffizielle Apps. Telegram bringt viele Funktion mit Bedienen lässt sich Telegram genauso leicht wie jeder andere Messenger. Das Plus an Funktionalität: Text-, Sprach- und Videoanrufe sind genauso mit an Bord wie Foto- und Videobearbeitungstools sowie eine offene Sticker- bzw. GIF-Plattform. „Die vielen Funktionen könnten für weniger versierte Nutzende womöglich etwas zu viel des Guten sein, ist jedoch einfach Geschmackssache. Wir kamen im Test aber gut zurecht“, so Schrenk.

Telegram möchte mit Ende-zu-Ende-Verschlüsselung der Nachrichteninhalte eine „abhörsichere“ Kommunikation erreichen. Mittel zu diesem Zweck ist die Eigenentwicklung des MTProto-Protokolls. Anders als bei den meisten anderen Messengern ist die Ende-zu-Ende-Verschlüsselung bei Telegram standardmäßig nicht aktiv. Chats werden nur zwischen Endgerät und Server verschlüsselt. „Die Telegram-Macher erklären in ihrer Datenschutzerklärung, dass Chats auf den Servern verschlüsselt gespeichert werden. Allerdings sind die Daten von Telegram einsehbar. Das gilt auch für Cyberkriminelle, wenn es ihnen gelingt, Zugang zu den Servern zu erhalten“, bemängelt Schrenk. Hinzu kommt, dass die zentralen Server von Telegram überall in der Welt verteilt sind. Alle Gespräche landen bei Telegram in der Cloud – einschließlich Backups, die zwar automatisch stattfinden, deren Schlüssel jedoch beim Anbieter liegt.

Kommunikationsinhalte werden übrigens dauerhaft in der Cloud gespeichert und erst gelöscht, wenn Nutzende Nachrichten oder ihre Accounts löschen. „So kann es passieren, dass Dritte bei Neuvergabe einer bei Telegram registrierten Telefonnummer alle Informationen zum gespeicherten Account erhalten. Da hilft es nur, den Account zu übertragen oder zu löschen, bevor die Nummer gewechselt wird“, so Schrenk und warnt: „Wer Telegram die Berechtigung gibt, auf die Kontakte zuzugreifen, lässt es zu, dass Telegram sämtliche Nummern inklusive Vor- und Nachnamen der Kontakte dauerhaft auf den Servern speichert. Das geschieht nicht etwa gehasht, sondern im Klartext.“

Die Rechtstexte zeigen sich insgesamt aufschlussreich, die englische Sprache kann jedoch zu Sprachbarrieren führen und in der Datenschutzerklärung finden sich diverse schwammige Formulierungen, die das Verständnis erschweren. „Aggregierte Metadaten“ und Informationen sowie die Analyse von Cloud-Chats durch Algorithmen sind Inhalte, die kritisch betrachtet werden müssen. Immerhin gibt es endlich konkrete Aussagen zum Server-Standort: Daten werden in Rechenzentren in den Niederlanden gespeichert.

Weitere Informationen

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Gefährlicher Trojaner „DroidBot“ – Android-User müssen vorsichtig sein

Gefährlicher Trojaner „DroidBot“

Android-User müssen vorsichtig sein

Aktuell warnen Sicherheitsforscher vor einem Trojaner mit dem Namen „DroidBot“, der auf Android-Geräten großen Schaden anrichten kann. Im schlimmsten Fall kann am Ende das gesamte Bankkonto der Android-User leer geräumt sein. Nutzer sollten daher besonders vorsichtig sein. […]

Ü-85-Regelung – Senior wird bei Haustürgeschäft Tarifwechsel verwehrt

Ü-85-Regelung

Senior wird bei Haustürgeschäft Tarifwechsel verwehrt

Bei Haustürgeschäften sollten Verbraucher grundsätzlich vorsichtig sein. Es besteht die Gefahr, zu übereilten Vertragsabschlüssen gedrängt oder sogar auf Kriminelle hereinzufallen. Einem Senior wurde von einem Telekom-Vertreter ein Haustürgeschäft allerdings aufgrund seines Alters verweigert. […]

Nicht mehr erreichbar – die 11833 wurde nach 3 Jahrzehnten abgeschaltet

Nicht mehr erreichbar

Die 11833 wurde nach 3 Jahrzehnten abgeschaltet

Die legendäre 11833-Auskunft der Deutschen Telekom gibt es nicht mehr. Gestern hat das Unternehmen den Dienst nach beinahe 30 Jahren endgültig abgeschaltet. Verbrauchern stehen bei Bedarf aber weiterhin entsprechende Telefonauskunftsdienste von anderen Anbietern zur Verfügung. […]

„Restore Credentials“ – Google macht Smartphone-Wechsel komfortabler

„Restore Credentials“

Google macht Smartphone-Wechsel komfortabler

Google vereinfacht den Wechsel von einem Android-Smartphone zu einem anderen noch weiter. Nutzer können künftig von der sogenannten „Restore Credentials“-Funktion profitieren. Dank dieser werden beispielsweise auch Passwörter für Anwendungen automatisch auf das neue Handy übertragen. […]