Der Chatdienst Telegram gilt als einer der sichersten Messenger, weshalb Dissidenten, Bürgerrechtler, aber auch Anhänger der Terrormiliz IS auf den Service setzen. Jetzt hat eine Untersuchung unabhängiger Sicherheitsforscher gezeigt, dass Telegram vermutlich einige Lücken aufweist, die Behörden Zugriff auf Chats und andere Daten ermöglichen. Offenbar konnten iranische Hacker mehrere Konten von Zielpersonen einsehen und rund 15 Millionen User identifizieren, berichtet Reuters.
Zusammenarbeit mit Telcos
Telegram wird in Iran von 20 Millionen Menschen genutzt, die sich so vor staatlicher Überwachung schützen möchten. Laut den Sicherheitsforschern Collin Anderson und Claudio Guarnieri (Amnesty International) konnten regierungsnahe Hacker die Accounts von "rund einem dutzend Aktivisten" durch Zusammenarbeit mit nationalen Telekommunikationsfirmen knacken. Sobald sich Nutzer mit einem neuen Gerät bei Telegram anmelden, verschickt das Unternehmen einen SMS-Code zur Verifizierung des Accounts. Diese SMS kann allerdings abgefangen werden. So konnten dann Hacker auf die Konten zugreifen.
Passwort als zusätzliche Absicherung
Der Messenger empfiehlt selbst, nicht nur SMS-Codes, sondern auch ein starkes Passwort zu nutzen, das mit einer sicheren E-Mail-Adresse zur Wiederherstellung verbunden ist. Allerdings soll es sogar Fälle gegeben haben, in denen auch jenes E-Mail-Konto gehackt wurde. Da Telegram Nachrichten – wie WhatsApp und Facebook – Ende zu Ende verschlüsselt, ist es für Sicherheitsbehörden sehr schwierig, diese Nachrichten unterwegs abzufangen. Außerdem kann das Unternehmen selbst keine Daten an Regierungen weiterleiten, da es diese gar nicht besitzt.
Durch die Lücken, die durch die Verifizierung neuer Accounts entsteht, schuf Telegram offenbar eine Hintertür. Westliche Geheimdienste hatten in den vergangenen Monaten wiederholt erklärt, dass Telegram von Terroristen genutzt werde. Erst diese Woche nannte der französische Geheimdienst den Service das "Lieblingstool" von Terroristen. Es wäre erstaunlich, wenn NSA und Co nicht ebenfalls über die Lücke Bescheid wüssten, wenngleich der Abgriff der Daten ohne Kontrolle jener Mobilfunker, über die Bestätigungs-SMS versandt werden, ungleich schwieriger wird.
Snowen empfiehlt Signal
Telegram ist 2013 vom russischen IT-Entrepreneur Pavel Durov gegründet worden, der schon mit VKontakte die IT-Branche geprägt hatte. Durov schrieb bereits im Oktober, dass iranische Behörden von ihm Zugriff auf Telegram verlangt haben. NSA-Whistleblower Edward Snowden hatte sich vergangenen Herbst besorgt über die Sicherheit von Telegram gezeigt. Alternativen im Bereich der sehr sicheren Messenger sind etwa das von Snowden empfohlene Signal oder Threema. (fsc, 3.8.2016)