Telegram sagt, es hat 'etwa 30 Ingenieure'; Sicherheitsexperten sagen, dass das... nicht gut ist
Am Wochenende wurde ein Ausschnitt aus einem kürzlich geführten Interview mit dem Telegram-Gründer Pavel Durov semi-viral auf X (früher Twitter). In dem Video erzählt Durov dem rechtsgerichteten Persönlichkeit Tucker Carlson, dass er der einzige Produktmanager des Unternehmens ist und nur 'etwa 30 Ingenieure' beschäftigt.
Sicherheitsexperten sagen, dass Durov, während er damit prahlte, dass sein in Dubai ansässiges Unternehmen 'super effizient' sei, tatsächlich ein rotes Flag für die Benutzer gesetzt hat.
'Ohne Ende-zu-Ende-Verschlüsselung, einer großen Anzahl von verwundbaren Zielen und Servern im Vereinigten Arabischen Emiraten? Das klingt wie ein Sicherheitsalbtraum', sagte Matthew Green, Kryptographie-Experte an der Johns Hopkins University, gegenüber TechCrunch.
Green bezog sich darauf, dass Chats auf Telegram standardmäßig nicht Ende-zu-Ende verschlüsselt sind wie auf Signal oder WhatsApp. Ein Telegram-Benutzer muss einen 'Geheimen Chat' beginnen, um die Ende-zu-Ende-Verschlüsselung einzuschalten, sodass die Nachrichten für Telegram oder andere außer dem beabsichtigten Empfänger unlesbar sind. Außerdem haben im Laufe der Jahre viele Menschen die Qualität der Verschlüsselung von Telegram in Zweifel gezogen, da das Unternehmen seinen eigenen proprietären Verschlüsselungsalgorithmus verwendet, der von Durovs Bruder erstellt wurde, wie er in einer erweiterten Version des Interviews mit Carlson sagte.
Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation und langjährige Expertin für die Sicherheit gefährdeter Benutzer, sagte, dass es wichtig sei zu bedenken, dass Telegram anders als Signal viel mehr als nur eine Messaging-App ist.
'Was Telegram anders macht (und viel schlimmer ist!), ist, dass Telegram nicht nur eine Messaging-App ist, sondern auch eine Social-Media-Plattform. Als Social-Media-Plattform sitzt es auf einer enormen Menge an Benutzerdaten. Tatsächlich sitzt es auf den Inhalten aller Kommunikationen, die keine eins-zu-eins-Nachrichten sind, die speziell [Ende-zu-Ende] verschlüsselt wurden', sagte Galperin gegenüber TechCrunch. '‚30 Ingenieure‘ bedeutet, dass es niemanden gibt, der rechtliche Anfragen bekämpft, es keine Infrastruktur für den Umgang mit Missbrauch und Inhalten gibt Moderationsprobleme.'
'Und ich würde sogar behaupten, dass die Qualität dieser 30 Ingenieure nicht so toll ist', fuhr Galperin fort. 'Außerdem würde ich, wenn ich ein Bedrohungsakteur wäre, dies definitiv als ermutigende Nachricht betrachten. Jeder Angreifer liebt einen zutiefst unterbesetzten und überarbeiteten Gegner.'
Mit anderen Worten, Telegram ist mit einem so kleinen Personal unwahrscheinlich effektiv gegen Hacker, insbesondere staatlich unterstützte, zu kämpfen.
Lass mich raten, keiner dieser 30 Mitarbeiter umfasst Datenschutz- oder Compliance-Personen, und es wird nie eine externe Prüfung durchgeführt, um potenzielle Sicherheitskontrollen zur Beschränkung des Zugriffs auf Benutzerdaten zu überprüfen. 'Vertrauen Sie uns bitte' ist nicht, wie Sicherheit funktioniert. https://t.co/w7PBkU0TJR
— JP Aumasson (@veorq) 22. Juni 2024
Telegram hat nicht auf eine Anfrage nach Kommentar reagiert, die Fragen enthielt, ob das Unternehmen einen Chief Security Officer hat und wie viele seiner Ingenieure Vollzeit an der Sicherung der Plattform arbeiten.
Letzte Woche schrieb der bekannte Cybersicherheitsexperte SwiftOnSecurity auf X: 'Die Kosten für den Betrieb eines Unternehmens, das über alle richtigen Cybersicherheitstools und Mitarbeiter verfügt, sind absolut obszön.'
'Es ist schwer zu beschreiben, welche Zahlen ich gesehen habe. Sogar zu sagen, dass es sich um einen Graubereich handelt. Aber es ist [eine] unglaubliche Anzahl von Mitarbeitern und Ausgaben', schrieb SwiftOnSecurity.
Alles in allem geben selbst die größten Unternehmen der Welt wahrscheinlich nicht genug Geld, Zeit und Energie für ihre Absicherung aus. Telegram hat laut Durov fast eine Milliarde Benutzer. Es ist eine der beliebtesten Plattformen für Menschen, die in der Kryptowelt arbeiten (und Millionen von Dollar bewegen), Extremisten, Hacker und Desinformationsverbreiter.
Das macht es zu einem äußerst interessanten Ziel sowohl für kriminelle als auch staatliche Hacker. Und es hat höchstens nur eine Handvoll Personen, die sich der Cybersicherheit widmen.
Jahrelang haben Sicherheitsexperten davor gewarnt, Telegram nicht als wirklich sichere Messaging-App zu betrachten. Angesichts dessen, was Durov kürzlich gesagt hat, könnte es noch schlimmer sein, als Experten dachten.
