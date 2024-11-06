Seit seiner Einführung im August 2013 hat sich Telegram zur bevorzugten Messaging-App für Nutzer entwickelt, die Wert auf Datenschutz legen. Um die App zu nutzen, können sich Benutzer entweder mit ihrer tatsächlichen Telefonnummer oder einer anonymen Nummer registrieren, die sie auf dem Fragment-Blockchain-Marktplatz erworben haben. Im letzteren Fall kann Telegram nicht mit der tatsächlichen Telefonnummer des Benutzers oder anderen personenbezogenen Daten (PII) verknüpft werden.
Telegram ist seit langem für seine zurückhaltende Moderationspolitik bekannt. Die Plattform hat in ihren FAQ ausdrücklich darauf hingewiesen, dass private Chats von der Moderation vollständig ausgenommen sind. Die Moderation der Inhalte erfolgte stattdessen durch die Nutzer, und die Meldung illegaler Aktivitäten wurde in erster Linie den Nutzern selbst überlassen. Im Gegensatz dazu investieren viele seiner Mitbewerber, wie beispielsweise WhatsApp, erheblich in die Moderation von Inhalten und die Zusammenarbeit mit Strafverfolgungsbehörden.
Diese Eigenschaften haben Telegram auch zur bevorzugten Messaging-App für Cyberkriminalität und andere illegale Aktivitäten gemacht. Dazu gehört die Verbreitung von Malware, der Verkauf illegaler Waren und Dienstleistungen, die Anwerbung von Mitarbeitern und die Koordination von Cyberangriffen. Für besser organisierte Gruppen von Cyberkriminellen ist Telegram eine Drehscheibe für den Austausch operativer Informationen und die Ausweitung illegaler Geschäfte, ähnlich wie es legitime Organisationen auf Mainstream-Kanälen tun.
Der Ansatz von Telegram in Bezug auf den Datenschutz und die Moderation von Inhalten hat sich jedoch nach der Festnahme von CEO Pavel Durov in Frankreich am 24. August 2024 erheblich verändert. In den folgenden Wochen hat das Unternehmen seine FAQ-Seite und seine Datenschutzrichtlinien stillschweigend geändert. Obwohl sich der Quellcode der App laut Remy Vaughn, Sprecher von Telegram, nicht geändert hat, können Nutzer nun illegale Aktivitäten melden, die dann automatisch entfernt oder manuell moderiert werden. Darüber hinaus hat Telegram auch seine Datenschutzrichtlinie aktualisiert und erklärt, dass es bei Erhalt einer gültigen gerichtlichen Anordnung die Telefonnummern und IP-Adressen der Nutzer offenlegen wird.
Obwohl diese Änderungen für die Strafverfolgung zweifellos ein Schritt in die richtige Richtung sind, führen sie auch dazu, dass Cyberkriminalität auf andere Plattformen wie Signal oder Session verlagert wird. Ein Cyberkriminalitätssyndikat, bekannt als die Bl00dy-Ransomware-Bande, hat öffentlich erklärt, dass sie Telegram aufgrund der geänderten Unternehmenspolitik verlassen werde. Viele Hacktivisten-Gruppen sind diesem Beispiel gefolgt, ebenso wie legitime Nutzer, die sich in repressiven Regimes auf Telegram verlassen, um ihre Meinungsfreiheit zu wahren.
Leider könnte man solche politischen Kurswechsel auch als bloße Verlagerung illegaler Aktivitäten betrachten, wobei Cyberkriminalität auf immer mehr Plattformen verteilt wird. Dies könnte es für Strafverfolgungs- und Cybersicherheits-Analysten möglicherweise schwieriger machen, Bedrohungsakteure zu verfolgen und zu unterbinden. Beispielsweise könnte es für Red Teams schwieriger sein, Zugang zu diesen Untergrundgemeinschaften zu erhalten, um Bedrohungen zu identifizieren und zu mindern, bevor sie tatsächlichen Schaden anrichten können.
Telegram ist seit langem eine reichhaltige Quelle für Threat-Intelligence, wobei viele öffentlich zugängliche Kanäle zur Organisation von Cyberkriminalität genutzt werden. Während private Chats für Bedrohungsanalysten und Strafverfolgungsbehörden bislang weitgehend unzugänglich waren, wurden auch für öffentliche Kanäle strengere Moderationsrichtlinien eingeführt, wodurch es möglicherweise einfacher wird, Kriminelle zu entlarven. Obwohl kaum jemand bestreiten würde, dass dies grundsätzlich eine schlechte Sache ist, gibt es dennoch einen Vorbehalt: Kriminelle könnten einfach an einen anderen Ort ausweichen.
Noch besorgniserregender ist möglicherweise die erhöhte Wahrscheinlichkeit, dass sowohl Cyberkriminelle als auch Hacktivisten in die Arme staatlich geförderter Cyberkriminalität und Cyberspionage getrieben werden. Dies eröffnet auch die Möglichkeit, dass Angreifer durchgehend verschlüsselte und dezentrale Plattformen nutzen, die noch weniger Kontrolle unterliegen als es Telegram jemals getan hat. Dies könnte die Bemühungen von Red Teams erschweren, die mit der Simulation von Angriffen oder der Überwachung dieser Communities beauftragt sind, und somit ihre Fähigkeit zur frühzeitigen Erkennung von Bedrohungen beeinträchtigen.
Keiner der oben genannten Punkte bedeutet zwangsläufig, dass es zu einer massiven Abwanderung von Cyberkriminalität aus Telegram kommen wird. Schließlich verfügt die Plattform laut eigenen Angaben von Telegram mit rund 900 Millionen Nutzern pro Monat nach wie vor über das umfangreiche Publikum, das groß angelegte Cyberkriminalitätsoperationen wie Malware-as-a-Service benötigen, um ihre Reichweite zu vergrößern.
Darüber hinaus können sich neue Nutzer weiterhin anonym mit einer Nummer registrieren, die sie über die Fragment-Blockchain erworben haben. In diesem Fall wird die Zusage von Telegram, einer Anfrage der Strafverfolgungsbehörden nach der Telefonnummer eines Nutzers nachzukommen, irrelevant. Dennoch wird Telegram weiterhin in der Lage sein, IP-Adressen weiterzugeben, die potenziell zur Verfolgung der Aktivitäten eines Nutzers verwendet werden könnten.
Wie jeder Sicherheitsverantwortliche weiß, verändert sich die Bedrohungslandschaft ständig und wird immer komplexer, da die Aktivitäten von Cyberkriminellen zunehmend über verschiedene Plattformen hinweg fragmentiert sind. Viele Tools und Strategien zur Überwachung von Bedrohungen haben Schwierigkeiten, Schritt zu halten, sodass sie nur eine begrenzte oder gar keine Abdeckung für andere Plattformen als Telegram bieten. Der anhaltende Aufstieg dezentraler Open-Source-Plattformen wird die Bedrohungsjagd und deren Analyse weiter erschweren. Darüber hinaus entwickeln konkurrierende Staaten ihre eigenen Plattformen für Cyberspionage und staatlich geförderte Cyberkriminalität.
Es war noch nie so wichtig wie heute, einen proaktiven Ansatz in Bezug auf Cybersicherheit zu verfolgen – einen Ansatz, der alle Plattformen umfasst und in der Lage ist, die Zuordnung von Bedrohungen anhand mehrerer Datenpunkte zu priorisieren. Dies bedeutet, dass eine Kombination aus menschlichem Fachwissen und fortschrittlichen Tools zur Bedrohungsanalyse genutzt wird, um Zugang zu Informationen aus Kanälen zu erhalten, die andernfalls möglicherweise verborgen bleiben würden.
KI-gestützte Bedrohungsinformationen stellen eine leistungsstarke Ergänzung zum Fachwissen und den Erkenntnissen talentierter Sicherheitsanalysten dar. Beispielsweise kann die Stilometrie – die sprachliche Merkmale untersucht, um ein einzigartiges Profil des Schreibstils eines Benutzers zu erstellen – dazu beitragen, Cyberkriminelle zu identifizieren und Insider-Bedrohungen zu erkennen, unabhängig davon, welche Plattform sie verwenden. KI trägt dazu bei, dies in einem Umfang zu ermöglichen, der für menschliche Analysten allein nicht zu bewältigen wäre.
Auch wenn Cyberkriminelle zunehmend auf andere Plattformen ausweichen, lässt sich ihr Verhalten dennoch anhand verschiedener Muster erkennen. Durch die Möglichkeit, ihre Aktivitäten zu verfolgen, wie beispielsweise den Zeitpunkt bestimmter Beiträge und Interaktionsstile, können Analysten umfassende Profile erstellen, die ihnen dabei helfen, Vorgänge und Personen plattformübergreifend miteinander zu verknüpfen.
Während es immer schwieriger – wenn nicht sogar unmöglich – wird, Datenpunkte wie Transaktionsmetadaten oder Transaktionshistorien von Kryptowährungen zu verfolgen, können KI-gestützte Verhaltensanalyse-Tools dazu beitragen, diese Lücke zu schließen, indem sie menschlichen Analysten dabei helfen, Bedrohungsakteure und ihre Angriffsvektoren zu identifizieren. Dies wird umso wichtiger, je mehr sich Cyberkriminalität über verschiedene Plattformen ausbreitet und Sicherheitsanalysten versuchen, den Überblick über die nächste Generation von Cyberbedrohungen zu behalten.