Telegram-Chat: der sichere Datenschutz-Albtraum - eine Analyse und ein Kommentar
Trotz des hippen Images ist der angeblich sichere Messenger Telegram in Bezug auf Privatsphäre eine Katastrophe.
Telegram setzt sich in bestimmten Kreisen mehr und mehr als Synonym für "sicheren Chat" und "Chat mit Privatsphäre" durch. Doch schon ganz einfache Tests, die jeder selbst durchführen kann, zeigen, dass man sich bei der Nutzung des Messenger-Dienstes quasi komplett nackig macht.
Der erste einfache Test ist: Gebt eine Nachricht mit einem Link wie "https://www.heisec.de" ein, schickt sie aber noch nicht ab! Ihr seht dann, dass Euer Smartphone bereits einige Informationen zu heise Security anzeigt:
Das macht zum Beispiel WhatsApp auch. Da holt sich die App auf dem Handy im Hintergrund die Informationen von der URL und zeigt sie Euch an. Nicht so Telegram: Dort liefert die App alles, was ihr tippt, an den Telegram-Server – schon bevor ihr es abschickt. Und dieser Server besucht dann die URL und liefert das mit dem "Portal zur IT-Security" an die Telegram-App auf dem Handy.
Ich habe diesen Test mit einer Honey-URL gemacht. Also einer URL, die nur für diesen Zweck erzeugt und zuvor nie irgendwo benutzt wurde. In den Log-Dateien meines Honey-URL-Servers tauchte sofort, nachdem ich diese URL in der Telegramm-App eingetippt hatte, ein Zugriff des TelegramBots auf. Der hatte die IP-Adresse 149.154.161.10, die zu einem Telegram-Server in England gehört. Das geschah wohlgemerkt bereits bevor ich den Link verschickt habe!
Beim Gegencheck mit WhatsApp registrierte der Honey-Server ebenfalls einen Zugriff. Aber der erfolgte wie erwartet von meiner eigenen IP-Adresse aus. Die App auf meinem Smartphone im WLAN hatte die Daten abgerufen, kein externer Server.
Das komplette Chat-Archiv
Nun zum zweiten Test. Öffnet auf dem PC in einem privaten Browser-Fenster die Web-Seite des Telegram-Chats: https://web.telegram.org/. Dort müsst ihr euch mit eurer Handy-Nummer anmelden. Dann schickt euch Telegram einen Login-Code in Form einer sechsstelligen Zahl. Noch bevor ihr die in euren Browser eintippt, schaltet ihr das Handy jedoch in den Flug-Modus, sodass es keine Daten mehr senden kann. Wenn ihr dann den Code im Browser eingebt, öffnet sich trotzdem eine Web-Seite mit all Euren Chats.
Was denkt ihr, woher diese Daten kommen? Nicht von Eurem Handy. Denn das befindet sich ja im Flug-Modus ohne Netz. Und bevor ihr Euch mit dem Code ausgewiesen habt, darf der Browser auf gar keinen Fall eure Daten bekommen haben. Es bleibt nur eine einzige Möglichkeit: Die Inhalte der Chats stammen von dem Web-Server, mit dem euer Browser spricht. Bei mir war das ein Server in einem Rechenzentrum in Amsterdam (149.154.167.99).
Dieser Server hat also Zugriff auf eine komplette Kopie all meiner Chats. Die enthält sogar schon die vorher eingetippte, aber noch nicht abgeschickte Nachricht mit der heise-Security-URL als "Entwurf". Und natürlich lagern bei Telegram nicht nur meine Chats – sondern die aller Telegram-Nutzer.
Alles, was die Nutzer schreiben, wird bei Telegram zentral gespeichert und bei Bedarf ausgeliefert. An euch, wenn ihr euch mit dem richtigen Code ausweist. Aber sicher auch an einen Beamten, der einen Durchsuchungsbefehl vorweisen kann. Oder an einen bestochenen Mitarbeiter oder an Hacker, die sich Zugang zu den Servern verschaffen. Und wenn Telegram eines Tages entscheidet, dass man diese Daten nutzen will, um euch "spannende Angebote" – also gezielte Werbung – zu unterbreiten, gibt es zumindest aus technischer Sicht nichts, was sie daran hindern könnte. Privatsphäre? Ist nicht!
Theoretisch hat Telegram zwar sogenannte "geheime Chats", die vor dem Mitlesen durch Dritte gesichert sind. Aber die sind so gut versteckt, dass sie die meisten Telegram-Nutzer nicht einmal kennen, geschweige denn benutzen. Darüber hinaus sind diese geheimen Chats mit einer Reihe von Einschränkungen verbunden. So lassen sie sich nicht für Gruppen einsetzen und immer nur auf einem Gerät nutzen. Fast alle Telegram-Chats laufen deshalb über die normalen, für Telegram mitlesbaren Kanäle.
