Pawel Durow ist der Gründer von Telegram. Er gab Tucker Carlson ein Interview, in dem er bekanntgab, dass nur 30 Entwicklerinnen und Entwickler bei dem Unternehmen arbeiten. Cybersicherheitsexperten schlagen Alarm.
Contour by Getty Images

Interviews mit dem ultrarechten Verschwörungserzähler Tucker Carlson sollte man sich gut überlegen. Selbst Wladimir Putin soll nach dem einzigen Interview mit einem westlichen "Journalisten" nicht besonders von dem ehemaligen Fox-News-Moderator angetan gewesen sein. Am Ende dürfte auch Carlson selbst nicht ganz glücklich gewesen sein, musste er sich doch Putins eigenartiges Verständnis von europäischer Geschichte anhören.

Eines ist aber sicher: Ein Gespräch mit dem 55-jährigen US-Amerikaner generiert immer Aufmerksamkeit. Dass diese meist eher negativer Natur ist, dürfte vielen Talkgästen erst im Nachhinein bewusst werden. Nicht umsonst wurde Carlson an dieser Stelle schon als "Abrissbirne für die US-Debattenkultur" bezeichnet.

Keine sichere Verschlüsselung

Das musste nun auch Telegram-Grüner Pawel Durow erfahren. In einem reichweitenstarken Ausschnitt aus dem Gespräch mit Carlson erklärt Durow, wie schlank sein Unternehmen ist. Es gebe nur einen Produktmanager, nämlich Durow selbst, und "um die 30" Entwicklerinnen und Entwickler. Doch die vermeintliche Effizienz ist ein enormes Sicherheitsrisiko, wie Cybersicherheitsforscher nun zu bedenken geben. Seinem umstrittenen Unternehmen erwies Durow mit dem Carlson-Interview jedenfalls einen Bärendienst.

So kritisierte der Kryptografieexperte Matthew Green Telegram gegenüber Techchrunch scharf: "Ohne Ende-zu-Ende-Verschlüsselung, eine riesige Anzahl anfälliger Ziele und Server in den Vereinigten Arabischen Emiraten? Das scheint ein Sicherheitsalbtraum zu sein." Green spielt darauf an, dass die Chats in Telegram nicht standardmäßig Ende-zu-Ende-verschlüsselt sind. Zumindest nicht so, wie es bei Signal oder Whatsapp der Fall ist. Will man bei Telegram verschlüsselte Nachrichten verschicken, muss man einen "geheimen Chat" starten. Erst dann werden die Nachrichten für Telegram und jeden anderen, außer dem Empfänger, unlesbar.

Außerdem gibt es erhebliche Zweifel an der Qualität der Verschlüsselung. Dieses MTProto genannte System wurde nämlich von Nikolaj Durow entwickelt, dem Bruder des Unternehmensgründers. Green ließ daran schon vor einiger Zeit kein gutes Haar: Telegrams Ende-zu-Ende-Verschlüsselung sei, wie eine Chatnachricht in die Neunzigerjahre zu schicken. Es handle sich um eine Bastellösung mit mehreren zweifelhaften Entscheidungen. Dass der Betreiber nicht schon lange auf ein moderneres System der Ende-zu-Ende-Verschlüsselung gewechselt sei, sei unverständlich. Kein Vergleich zum gemeinhin als Goldstandard anerkannten Signal-Protokoll, das auch bei Whatsapp, Facebook Messenger und selbst bei RCS-Chat bei Google Messages zum Einsatz kommt.

Problem: Telegram ist ein Social Network

Außerdem müsse man sich im Klaren darüber sein, dass Telegram mit Gruppenchats mit mehreren Hunderttausend Personen weit mehr als nur ein Messenger ist, vielmehr eindeutig in die Richtung eines sozialen Netzwerks geht, sagt Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation. Das mache Telegram mit all den Defiziten deutlich schlimmer als einen gewöhnlichen Messenger. "Als Social-Media-Plattform sitzt es auf einer enormen Menge von Nutzerdaten. In der Tat sitzt es auf dem Inhalt aller Kommunikationen, die nicht Ende-zu-Ende-verschlüsselt wurden", so Galperin.

Zu den Daten gehören etwa die IP-Adresse des Nutzers, Details zu den genutzten Geräten und Nutzernamen. Vor allem aber: Bei nicht geheimen Chats werden sämtlich Inhalte auf den Servern des Betreibers zwischengespeichert. Das passiert nicht erst, wenn eine Nachricht abgesendet wird, schon beim Tippen werden die Nachrichten laufend mit den Servern synchronisiert.

Gleichzeitig sei die Zahl an Entwicklern mit 30 zu gering: "Das bedeutet, dass es keine Infrastruktur für den Umgang mit Missbrauch oder Inhaltsmoderation geben kann." Zugleich dürfte es sich bei den Telegram-Mitarbeitern nicht um das qualifizierteste Personal handeln, vermutet Galperin. "Und wenn ich ein Bedrohungsakteur wäre, würde ich dies definitiv als ermutigende Nachricht betrachten. Jeder Angreifer liebt einen zutiefst unterbesetzten und überlasteten Gegner." Oder in anderen Worten: Mit einer so dünnen Personaldecke wäre Telegram im Kampf gegen Hacker, besonders im staatlichen Auftrag, wohl nicht besonders effektiv.

Eine Nachfrage von Techcrunch, ob das Unternehmen einen Chief Security Officer benennen kann, blieb unbeantwortet.

Streit mit dem Kreml

Offen ist auch die Frage, wie sehr Durow mit den Behörden in Russland zusammenarbeitet. Im Interview rühmt er sich damit, dass auf Telegram noch nie eine Werbung gelaufen ist. Tatsächlich finanziert Durow den Betrieb von Telegram großteils mit seinem Privatvermögen. Dieses stammt aus Einnahmen aus dem russischen Studi-VZ- oder Facebook-Klon VKontakte, heute vk.com. Durow hat sich in seiner Zeit als Geschäftsführer von VKontakte mehrfach geweigert, mit den russischen Behörden zusammenzuarbeiten.

So forderte der Kreml die Sperrung der Seite des mittlerweile verstorbenen Regierungskritikers Alexej Nawalny. Durow weigerte sich und veröffentlichte die Dokumente des Geheimdienstes FSB stattdessen auf seiner Seite. Es kam zur Beschlagnahmung mehrere Server, woraufhin Durow nicht nur das Unternehmen, sondern auch Russland verließ. Durow und sein Bruder leben in Dubai und haben nach eigenen Angaben keine Intentionen, nach Moskau zurückzukehren.

Wird die App in der Ukraine verboten?

Jedoch ist unklar, ob Russland nicht doch Kontrolle über Telegram ausübt. In der Ukraine steht deswegen sogar ein Verbot der vor allem in Osteuropa enorm populären Plattform im Raum. Der FSB könnte über Telegram auf Informationen ukrainischer Militärs zugreifen, lautet nur eine Befürchtung. Dazu kommt, dass Russland Telegram intensiv für Propaganda nutzt. Jeder zweite russische User folgt politischen Kanälen auf der Plattform, jeder dritte einem Account mit direktem Bezug zum Krieg.

Kein Wunder: 71,3 Prozent der Ukrainerinnen und Ukrainer geben an, Telegram zu nutzen. In der Ukraine wird Telegram auch für Luftschutzwarnungen genutzt, wie der Thinktank Atlantic Council berichtet. Dementsprechend populär ist die App auch in der Ukraine, und der erwartete Widerstand gegen ein Verbot der App wäre wohl groß. Deshalb werden dem Gesetzesvorschlag auch nur sehr geringe Erfolgschancen in Aussicht gestellt.

Laut Durow hat Telegram weltweit über eine Milliarde Nutzerinnen und Nutzer und ist die populärste Plattform unter Menschen, die mit Kryptowährungen handeln, berichtet der Gründer. (pez, 26.6.2024)