Von Max Hoppenstedt

Kurz bevor Tausende Demonstranten in Hongkong eine große Menschenkette rund um die Stadt bildeten, machte sich Panik in einem beliebten Hongkonger Online-Forum breit. Der Grund: Nutzer berichteten von einer Funktion der Messenger-App Telegram, die die Privatsphäre bedroht - was in diesem Fall eine echte Gefahr darstellt. Dabei hatten die Nutzer gehofft, über die App vollständig anonym chatten zu können. Der Fall zeigt ein weiteres Mal, dass Telegram nicht ganz so sicher ist, wie sich viele von der App versprechen.

Das Problem betrifft die Gruppenchats von Telegram. Diese Gruppenunterhaltungen sind von großer Bedeutung für die dezentral agierende Protestbewegung. Das Besondere an der Gruppenfunktion von Telegram: Nutzer können Gruppen beitreten und dort unter einem Pseudonym chatten, ohne dass andere ihre Telefonnummer oder ihren echten Namen erkennen können. Bei anderen Messengern wie Signal oder WhatsApp wird allen Mitgliedern stets die eigene Telefonnummer angezeigt.

Doch die Hongkonger Aktivisten hatten entdeckt, dass Angreifer auch die Telefonnummern von unbekannten Mitgliedern einer Telegram-Gruppe herausfinden konnten. Dazu müsse ein Angreifer nur drei Schritte ausführen. Zuerst müsste der Angreifer ein Telefonbuch mit den Telefonnummern von möglichen Zielpersonen mit seinem Telegram-Account synchronisieren. Das geht mit wenigen Klicks. Anschließend tritt der Angreifer der Gruppe bei, deren Mitglieder er ausspionieren möchte, dort werden ihm dann die Telefonnummern von allen Nutzern angezeigt, die in seinem Telefonbuch sind. Der Angriff funktioniert sowohl bei aktuellen Apple-Telefonen als auch bei Smartphones mit Android-Betriebssystemen.*

Ein solcher Angriff ist für die Hongkonger Aktivisten besonders bedrohlich, weil Regierungen und Geheimdienste anschließend bei den Mobilfunkunternehmen anfragen könnten, welche Person hinter einer Telefonnummer steckt. In Hongkong fürchten viele, dass so ihre gesamte Kommunikation ins Blickfeld der chinesischen Regierung gerät und überwacht werden könnte. Die eigentlich geschützte Identität der Protestierenden, die in den Gruppen aktiv sind, wäre damit enttarnt.

"Telegram positioniert sich selbst ja als besonders sicherer Messenger auf dem Markt", sagt die Hongkonger Aktivistin Chu Ka-cheong. "Daher hoffen wir sehr, dass sie mehr tun können, um die Identität von besonders gefährdeten Gruppen wie uns zu schützen." Chu Ka-cheong hat die Lücke zusammen mit anderen Hongkonger Softwarespezialisten nachvollziehen können und eine Warnung vor der - wie sie es nennen -"Sicherheitslücke" veröffentlicht.

"Die anonymen Organisatoren der Gruppen werden sowohl von der Regierung bedroht, als auch von Gangstern der Triaden, die die Regierung unterstützen", sagt Chu Ka-cheong, die die Hongkonger Dependance der gemeinnützigen Organisation Internet Society leitet. "Privatsphäre und Anonymität kann bei ihnen über Leben und Tod entscheiden."

Ein Telegram-Sprecher sagte der Süddeutschen Zeitung, dass man Schutzmechanismen habe, die verhindern würden, dass Angriffe - wie von Hongkonger Aktivisten befürchtet - im großen Stil ausgeführt werden können. Ein Algorithmus stoppe oder bremse einen oder mehrere Telegram-Accounts, wenn sie massenhaft automatisiert Telefonnummern importiere.

Details des Schutzmechanismus wollte Telegram nicht weiter erläutern, bestätigte allerdings, dass es grundsätzlich möglich sei, Tausende Telefonnummern gleichzeitig mit einem Telegram-Account zu importieren. Für die Zukunft kündigte der Sprecher weitere Features an, die die Privatsphäre von Nutzern stärken würden, ohne allerdings darauf einzugehen, inwiefern diese das Problem in den Gruppen beheben.

Die Protestierenden laufen Gefahr, von verdeckten Ermittlern demaskiert zu werden

Um sich davor zu schützen, in den Gruppen durch verdeckte Ermittler demaskiert zu werden, hatten die Demonstranten seit dem Beginn der Proteste immer wieder Hinweise ausgetauscht, wie Telegram sicher zu benutzen sei. Einer der vielfach geteilten Tipps sollte vor dem jetzt berichteten Angriff schützen: In den Privatsphäreeinstellungen der App musste man dafür den Unterpunkt Telefonnummer aufrufen. Unter der Überschrift "Wer kann meine Telefonnummer sehen" lässt sich dort die Option "Niemand" auswählen.

Doch das unter den Demonstranten nun diskutierte Angriffsszenario zeigt, dass diese Option die eigene Telefonnummer eben nicht vollständig schützt. Tatsächlich steht direkt unter der Privatsphäre-Einstellung auch in kleinerer Schrift, dass Nutzer, die die Telefonnummer eines Chatpartners bereits kennen, diese auch dann sehen können, wenn man als Nutzer die Option "Niemand" auswählt. Das aber war allgemein übersehen worden. Das zeigen die ängstlichen Kommentare, mit denen die Aktivisten den Bericht in dem Forum kommentierten. Kaum jemandem ist klar gewesen, dass die eigene Nummer eben nicht vollständig durch Telegram geschützt wird.

Auch bei Chats mit nur zwei Teilnehmern kommt es immer wieder zu Missverständnissen. Nutzer nehmen oft an, dass diese Ende-zu-Ende-verschlüsselt und also sicher sind. Allerdings ist die Verschlüsselungsoption bei Telegram nicht standardmäßig aktiviert, man muss sie für jede begonnene Unterhaltung extra einschalten.

Bereits in der Vergangenheit zeigte sich, dass Nutzern nicht immer klar ist, welchen Schutz Telegram für die Privatsphäre bieten kann und welchen nicht. So gelang es dem deutschen Bundeskriminalamt, die Chats von Verdächtigen der rechtsradikalen Gruppe "Oldschool Society" auszulesen. Diese hatten auch über Telegram über ihre rassistischen Anschlagspläne ausgetauscht. Das BKA hatte mit einem neu entwickelten kleinen Programm dem Account der Zielpersonen ein eigenes Gerät hinzugefügt und konnte so alle Chats in der Telegram-Gruppe der "Oldschool Society" mitlesen. Recherchen des Tech-Magazins Motherboard zeigten, dass die deutschen Ermittler das Verfahren 2016 bei elf verdächtigen Telegram-Accounts einsetzten und 2015 bei 32 Accounts. In allen Fällen hatten die Ermittler eine richterliche Erlaubnis zur Überwachung der Handynummern der Verdächtigen.

Telegram wirbt eigentlich damit, die Inhalte seiner Nutzer mit einer nicht zu knackenden Ende-zu-Ende-Verschlüsselung zu versehen. Tatsächlich kann das BKA diesen kryptographischen Schutz der Nutzer auch nicht brechen. Allerdings funktioniert die Ende-zu-Ende-Verschlüsselung in der Telegram-App nicht für Gruppen, daher konnte das BKA diese überwachen. Das Gerichtsverfahren gegen die Mitglieder der Oldschool Society zeigte, dass den Rechtsradikalen diese Lücke zuvor nicht bekannt war.

Keine Alternative in Sicht

Auch in den Berichten über Hongkong wird immer wieder über Telegram als "Krypto-App" oder als verschlüsselter Messenger geschrieben. Das ist zwar grundsätzlich richtig, doch die Gruppenfunktion ist von der besonders sicheren Ende-zu-Ende-Verschlüsselung eben gerade nicht geschützt. Wo Krypto draußen dran steht, ist nicht immer überall Krypto drin.

Die Berichte in dem Hongkonger Forum wurden nach kurzer Zeit auch durch einige besonders technikaffine Hongkonger Aktivisten überprüft und mit eigenen Tests bestätigt. Auch den Tech-Experten war zuvor nicht klar, dass die Identität von Aktivisten in den Gruppen auf diese Weise enttarnt werden könnte, berichtet Chu Ka-cheong im Gespräch mit der Süddeutschen Zeitung. "Als uns das Privatsphärenproblem bei Telegram klar wurde, hat uns das in ein Dilemma gestürzt", sagt sie.

Chu Ka-cheong beteiligt sich wie Hunderttausende Bürger des Landes an den Demonstrationen, die die Stadt in den vergangenen Monaten erschüttert haben. "Uns war klar, dass Telegram weit verbreitet ist unter den Demonstranten und dass es gleichzeitig die Telefonnummern von den Protestierenden leaken könnte", erinnert sich die Software-Entwicklerin Chu Ka-cheong an das Dilemma, vor dem sie und andere Aktivisten vergangene Woche in Hongkong standen. Eine Alternative zu Telegram haben die Protestierenden bis heute nicht gefunden. Es nutzen schlicht viel zu viele Telegram.

*Update 6.9.2019: Telegram hat inzwischen (am 5. September) eine neue Option hinzugefügt, die es ermöglicht, dass anderen Nutzern die eigene Telefonnummer nur noch angezeigt wird, wenn sie im eigenen Telefonbuch hinterlegt ist. Diese Option ist nicht automatisch aktiviert und muss von Nutzern ausgewählt werden.