Am Wochenende wurde auf X (früher Twitter) ein Clip aus einem aktuellen Interview mit Telegram-Gründer Pavel Durov halb viral. In dem VideoDurov erzählt dem rechtsgerichteten Prominenten Tucker Carlson, dass er der einzige Produktmanager im Unternehmen sei und nur „ungefähr 30 Ingenieure“ beschäftige.
Sicherheitsexperten sagen, dass Durov zwar damit geprahlt habe, sein in Dubai ansässiges Unternehmen sei „supereffizient“, seine Aussage jedoch für die Benutzer in Wirklichkeit ein Warnsignal gewesen sei.
„Ohne Ende-zu-Ende-Verschlüsselung, eine riesige Anzahl an anfälligen Zielen und Server in den VAE? Das scheint ein Albtraum für die Sicherheit zu sein“, sagte Matthew Green, Kryptografieexperte an der Johns Hopkins University, gegenüber Tech.
Green bezog sich dabei auf die Tatsache, dass Chats bei Telegram standardmäßig nicht Ende-zu-Ende-verschlüsselt sind wie bei Signal oder WhatsApp. Ein Telegram-Benutzer muss einen „geheimen Chat“ starten, um die Ende-zu-Ende-Verschlüsselung einzuschalten, wodurch die Nachrichten für Telegram oder andere Personen als den beabsichtigten Empfänger unlesbar werden. Außerdem haben im Laufe der Jahre viele Leute Zweifel an der Qualität der Verschlüsselung von Telegram geäußert, da das Unternehmen einen eigenen proprietären Verschlüsselungsalgorithmus verwendet, der von Durovs Bruder entwickelt wurde, wie er in einer erweiterten Version des Carlson-Interviews sagte.
Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation und langjährige Expertin für die Sicherheit gefährdeter Benutzer, sagte, es sei wichtig, sich daran zu erinnern, dass Telegram im Gegensatz zu Signal viel mehr als nur eine Messaging-App sei.
„Was Telegram anders macht (und viel schlimmer macht!) ist, dass Telegram nicht nur eine Messaging-App ist, sondern auch eine Social-Media-Plattform. Als Social-Media-Plattform sitzt es auf einer enormen Menge an Benutzerdaten. Tatsächlich sitzt es auf den Inhalten aller Kommunikationen, die keine Eins-zu-eins-Nachrichten sind, die speziell [end-to-end] verschlüsselt“, sagte Galperin gegenüber Tech. „,Dreißig Ingenieure‘ bedeutet, dass es niemanden gibt, der sich um rechtliche Anfragen kümmert, und es gibt keine Infrastruktur, um mit Missbrauch und Problemen bei der Inhaltsmoderation umzugehen.“
„Und ich würde sogar behaupten, dass die Qualität dieser 30 Ingenieure nicht so toll ist“, fuhr Galperin fort. „Wenn ich ein Bedrohungsakteur wäre, würde ich dies definitiv als ermutigende Nachricht betrachten. Jeder Angreifer liebt einen stark unterbesetzten und überlasteten Gegner.“
Mit anderen Worten: Es ist unwahrscheinlich, dass Telegram mit einer so kleinen Belegschaft im Kampf gegen Hacker, insbesondere solche, die von der Regierung unterstützt werden, sehr effektiv sein kann.
Telegram antwortete nicht auf eine Bitte um Stellungnahme. Darin wurden unter anderem Fragen dazu gestellt, ob das Unternehmen einen Sicherheitschef hat und wie viele seiner Ingenieure Vollzeit an der Sicherung der Plattform arbeiten.
Letzte Woche hat der bekannte Cybersicherheitsexperte SwiftOnSecurity schrieb am X „Die Kosten für den Betrieb eines Unternehmens, das über die richtigen Cybersicherheitstools und das richtige Personal verfügt, sind absolut obszön.“
„Es ist schwer, die Zahlen zu beschreiben, die ich gesehen habe. Selbst wenn man das sagt, ist das eine Grauzone. Aber es ist [an] „Die Mitarbeiterzahl und die Ausgaben sind unglaublich“, schrieb SwiftOnSecurity.
Alles in allem investieren selbst die größten Unternehmen der Welt wahrscheinlich nicht genug Geld, Zeit und Energie in ihre eigene Sicherheit. Telegram hat laut Durov fast eine Milliarde Nutzer. Es ist eine der beliebtesten Plattformen für Leute, die im Kryptobereich arbeiten (und Millionen von Dollar bewegen), Extremisten, Hacker und Desinformationshändler.
Das macht es zu einem unglaublich interessanten Ziel für sowohl kriminelle als auch staatliche Hacker. Und es gibt – höchstens – nur eine Handvoll Leute, die sich der Cybersicherheit widmen.
Jahrelang, Sicherheit Experten haben gewarnt dass die Leute Telegram nicht als wirklich sichere Messaging-App betrachten sollten. Angesichts dessen, was Durov kürzlich sagte, könnte es sogar noch schlimmer sein, als Experten dachten.