- Telegram-Kritik: Die Krux mit der Ende-zu-Ende-Verschlüsselung
- Chats ohne Ende-zu-Ende Verschlüsselung: Telegram könnte sämtliche Verläufe mitlesen
- Keine Datenweitergaben an Dritte? Warum das nicht ganz stimmt
- Telegram als Unternehmen: Wer steckt eigentlich hinter der App?
- Ist Telegram Open Source?
- Kaum Regulierung auf Telegram: Ein zweischneidiges Schwert
- Fazit: Ist Telegram sicher und seriös?
Immer wieder ist Telegram als Alternative zu Whatsapp im Gespräch. Als großer Pluspunkt galt lange die Cloudbasis, die eine nahtlose Synchronisierung zwischen Geräten ermöglicht.
Mittlerweile häufen sich aber auch die Kritikpunkte: Es fehlt die standardmäßige Ende-zu-Ende-Verschlüsselung, das Unternehmen hinter dem Messenger ist mehr als undurchsichtig und der Servercode nicht via Open-Source offengelegt. Heise-Sicherheitsexperte Jürgen Schmidt nannte Telegram schon 2020 „in Bezug auf Privatsphäre eine Katastrophe“, zudem bietet der Messenger eine Plattform für dubiose sowie kriminelle Strukturen.
Hier kommen die wichtigsten Details, die du über die App kennen solltest.
Telegram-Kritik: Die Krux mit der Ende-zu-Ende-Verschlüsselung
Der wohl größte Kritikpunkt bezüglich der Sicherheit von Telegram ist die Verschlüsselung von Nachrichten. Anders als beispielsweise bei Whatsapp sind Konversationen beim cloud-basierten Dienst von Telegram nicht automatisch Ende-zu-Ende verschlüsselt. Wer diese Sicherheitseinstellung nutzen möchte, muss sie manuell für den jeweiligen Chat einstellen und bußt dafür dann (teils durchaus technisch begründet) einige der gewohnten Funktionen ein.
Empfehlungen der Redaktion
Artikel wechseln
Das heißt nicht, dass Nachrichten außerhalb der sogenannten „geheimen Chats“ bei Telegram grundsätzlich komplett unverschlüsselt verschickt werden – hier erfolgt laut den Herstellern eine Server-Client-Verschlüsselung. Anrufe via Telegram sind automatisch Ende-zu-Ende verschlüsselt, für Gruppenchats gibt es die Variante der „geheimen“ Chats hingegen gar nicht.
Insgesamt arbeitet Telegram laut eigenen Angaben mit einer Kombination aus „2.048-Bit-RSA-Verschlüsselung, einer symmetrischen 256-Bit-AES-Verschlüsselung“ und Diffie-Hellman-Schlüsselaustausch.
Chats ohne Ende-zu-Ende Verschlüsselung: Telegram könnte sämtliche Verläufe mitlesen
Gerade bei den nicht Ende-zu-Ende verschlüsselten Konversationen und Verläufen, die auf den Servern von Telegram mit unbekanntem Standort und dementsprechend unbekannten Datenschutzgesetzen gespeichert werden, befürchten Kritiker:innen, dass die Informationen von Angreifern oder aber von Telegram selbst ausgelesen, weitergegeben und für unterschiedlichste Zwecke genutzt werden könnten.
Wer die App nutzt, muss sich darüber bewusst sein, dass theoretisch nicht nur die am Chat beteiligten Parteien, sondern auch die App-Betreiber Zugriff auf den kompletten Nachrichtenverlauf samt Dateien haben. Ob Telegram diese Konversationen tatsächlich so verwaltet, wie versprochen, ist nicht gerade transparent – hier müssen Nutzerinnen und Nutzer abwägen, ob und inwiefern sie dem Dienst und seinen teils widersprüchlichen Aussagen vertrauen. Gerade sensible Daten sollten dementsprechend aber keinesfalls in den normalen Chats verschickt werden.
Keine Datenweitergaben an Dritte? Warum das nicht ganz stimmt
Telegram selbst schreibt zum Thema Datenanfragen von Drittparteien: „Bis zum heutigen Tag haben wir 0 Byte Nutzerdaten an Dritte weitergegeben, einschließlich aller Regierungen.“ Die Daten aus den Cloud-Chats würden „in mehreren Rechenzentren rund um den Globus gespeichert, die von verschiedenen juristischen Personen verteilt auf mehrere Gerichtsbarkeiten gesteuert werden“. Schlüssel und zugehörige Daten würden nie am selben Standort gespeichert. Um Telegram zu einer Offenlegung von Daten zu zwingen, müssten demnach Gerichtsbeschlüsse aus mehreren Ländern einheitlich die Herausgabe anordnen, so die Anbieter.
Auch die Weitergabe von Daten beispielsweise zu Werbezwecken streitet das Unternehmen ab: „Wir nutzen deine Daten nicht für die Ausrichtung von Werbung und wir verkaufen sie nicht an andere.“ Telegram sei insgesamt DSGVO-konform. Beschwerden zu öffentlichen Beiträgen wie Bots, Kanälen oder Sticker-Paketen würden allerdings auf Anfrage überprüft und gegebenenfalls entfernt.
Was die postulierte „0-Byte-Weitergabe“ angeht, muss der Messenger mittlerweile aber eigentlich ein Stück zurückrudern. Seit 2019 arbeitet die Plattform mit Europol zusammen, eine Spiegel-Recherche von 2022 zeigte außerdem, dass der Messenger Nutzerdaten an das BKA weitergegeben hat. Konkret sollen dabei Informationen über User geflossen sein, die im Bereich Kindesmissbrauch und Terrorismus verdächtig waren.
Telegram als Unternehmen: Wer steckt eigentlich hinter der App?
Gegründet wurde Telegram bereits 2013 von den beiden russischen Brüdern Nikolai und Pawel Durow. Zuvor hatte sich vor allem Pawel Durow bei den russischen Behörden unbeliebt gemacht, weil er sich als Kopf der russischen Facebook-Alternative VKontakte geweigert hatte, kremlkritische Seiten zu löschen – allerdings nicht aus gesellschaftlichen, sondern aus geschäftlichen Gründen.
Insgesamt wird beispielsweise bei der vergeblichen Suche nach einem Impressum auf der deutschsprachigen Website klar, dass Telegram ganz offensichtlich nicht gefunden werden möchte. Das Impressum wäre in Deutschland eigentlich Pflicht und würde das Unternehmen auch für die Nutzerinnen und Nutzer transparenter machen. 2016 hatte beispielsweise die Redaktion der Welt den Versuch gestartet, das damals in Berlin ansässige Firmenquartier ausfindig zu machen – allerdings ohne Erfolg.
Laut den unternehmenseigenen FAQ sitzt Telegram mittlerweile in Dubai, man sei aber bereit, den Standort zu wechseln, wenn die dortigen Gesetze sich (ungünstig) ändern würden. „Das Telegram-Team musste Russland aufgrund lokaler IT-Vorschriften verlassen und hat eine Reihe von Standorten ausprobiert, darunter Berlin, London und Singapur.“ Diese durchaus geringe Transparenz bezüglich der Strukturen und Standorte von Telegram wird von Kritiker:innen als Manko empfunden – so wissen nicht nur die von Telegram angeblich gemiedenen Drittparteien, sondern auch die Nutzerinnen und Nutzer nicht allzu genau, wo ihre Daten landen und verwaltet werden.
Ist Telegram Open Source?
Diese Frage kann mit einem Jein beantwortet werden. Für die Öffentlichkeit ist vor allem der Code der Telegram-Clients verfügbar und als GNU General Public License lizensiert. Der Code des Servers hingegen ist nicht Open Source, sondern proprietär, es wird aber eine offene Programmierschnittstelle (API) angeboten.
Telegrams Umgang mit Fehlerhinweisen scheint in Teilen unterschiedlich auszufallen: Im Juli 2021 wurden von einem internationalen Expert:innenteam mehrere kryptographische Schwachstellen im Protokoll gefunden. Telegram reagierte daraufhin und besserte nach. Weniger glatt lief hingegen die Interaktion mit einem anderen Forscher, der im Frühjahr 2021 eine massive Lücke bei der Löschung von selbst-zerstörenden Fotos in der App meldete. Nach seinen Angaben habe er zunächst monatelang im Austausch mit dem Telegram-Team gestanden, bis diese ihm schließlich eine Prämie für seinen Fund boten – unter der Bedingung, dass er über die Vorgänge nicht, beziehungsweise nur mit einer schriftlichen Genehmigung von Telegram sprechen würde.
Kaum Regulierung auf Telegram: Ein zweischneidiges Schwert
Durch Gruppenchats mit bis zu 200.000 Mitglieder und offene Kanäle ermöglicht Telegram seinen Usern, sich mit zahlreichen Menschen mit den gleichen Interessen auszutauschen. Kombiniert mit den wenig ausgeprägten Eingriffen durch Telegram ergibt sich ein zweischneidiges Schwert: Die Plattform bietet sowohl Zuflucht für Aktivist:innen – beispielsweise bei den Hongkong-Demonstrationen 2019,– als auch ein ungestörtes Sammelbecken für Verschwörungstheorien, Desinformation, kriminelle, terroristische und rechtsextreme Gruppen.
Immer wieder wird deutlich, dass der Messenger als Umschlagplatz für gewaltverherrlichende Inhalte, Darstellungen von Kindesmissbrauch, Hass und Hetze fungiert. Telegram bleibt hier weitgehend untätig und spielt die eigenen undurchsichtigen Strukturen ganz bewusst als Markenzeichen aus.
Von staatlicher Seite wird die fehlende Moderation immer wieder heftig kritisiert. Ende August 2024 nimmt die französische Polizei Pawel Durow auf dem Flughafen Le Bourget in Paris fest, als der gerade mit seinem Privatjet gelandet ist. Dem Telegram-Gründer werden unter anderem die Beihilfe zu Drogenhandel und Bandenbetrug sowie zur Verbreitung von Kindesmissbrauchsmaterial und Schadsoftware vorgeworfen. Dass entsprechende Prozesse und Inhalte auf Telegram stattfinden, wurde nachgewiesen – fraglich ist allerdings, inwiefern Durow als Unternehmenschef für die Inhalte auf seiner Plattform belangt werden kann.
Fazit: Ist Telegram sicher und seriös?
Als besonders sichere Messenger-Alternative kann sich Telegram vor allem durch das Fehlen der standardmäßigen Ende-zu-Ende-Verschlüsselung nicht rühmen. Für den Komfort der cloud-basierten Chats, die von überall her abrufbar sind, müssen Nutzerinnen und Nutzer das Risiko eingehen, dass die kompletten Konversationen inklusive Dateien auf international verteilten Servern gespeichert werden – das bietet Potenzial für Missbrauch und Angriffe sowohl von externer, als auch von interner Seite.
Grundsätzlich müssen Nutzerinnen und Nutzer abwägen, ob sie den Versprechungen des Unternehmens zur Sicherung der nicht Ende-zu-Ende-verschlüsselten Daten vertrauen. Mehr Sicherheit gibt es beispielsweise bei Signal, auch selbst gehostete Dienste wären eine Alternative. Gerade bei letzteren dürfte allerdings die Massentauglichkeit, die etablierte Messenger-Dienste mit sich bringen, stark eingeschränkt sein.
Insgesamt lohnt es sich, bei Messenger-Diensten kritisch zwischen Komfort, Sicherheit und den eigenen Überzeugungen abzuwägen und genauer hinzusehen. Einen Überblick über die verschiedenen Dienste wie Threema, Ginlo oder Wickr gibt es dafür beispielsweise hier. Auch spannend: Unsere Anleitung, wie du deinen Telegram-Account löschen kannst.
Mehr zu diesem Thema
Für die Heuristik wäre wünschenswert gewesen, ob es bereits erwiesene Fälle gab wo Daten von Telegram gegen die Nutzer verwendet wurden, ohne dass ein direkter Zugriff auf das Endgerät, auch per zB Trojaner, stattfand. Oder wie etwa bei FB, dass es Hinweise darauf gab, dass Daten aus Telegram für zugeschnittene Werbung stattfanden. Wenn selbst die Welt- oder Ihre Redaktion nicht die Geschäftsadresse herausfindet, sollte das für geschäftliche Anfragen von Providern für Werbedienste auch schwierig sein, vielleicht sogar für den ein oder anderen Geheimdienst.
Es erscheint mir erstmal kein Widerspruch zu sein, dass fehlende monetäre Ausrichtung und professionelle Dienstleistungen gemeinsam existieren können, was zB viele OpenSource Softwareanbieter beweisen. Dass Menschen Telegram benutzen, die nicht unbedingt in den Medien als Heilige verehrt werden, trifft auch auf den Tor-Browser zu, dennoch sind dahinterstehende Technologie und Organisation bisher zuverlässig gewesen. In diesem Milleu von Unseriösität zu sprechen finde ich unangemessen, ganz generell lässt es sich plakativ mit dem „Nicht Waffen töten Menschen, sondern Menschen töten Menschen“ Zitat vergleichen. Auch Mörder, sogar Rechtsextreme, ja auch die Nazis trugen Schuhe, das macht Schuhe nicht unseriös. Was man also den TG Mitarbeitern vorwerfen kann ist dass Sie selbst nicht gegen die genannten Gruppen vorgehen, wobei wenigstens Terrorismus unter bestimmten Umständen in Dubai strafbar sein müsste und zu weitergehenden Kontrollen Telegram, zum Mindest gerichtlich, nicht veranlasst werden kann. Aber hier liegt ja auch ein Knackpunkt, wer Datensicherheit will aber auf der anderen Seite fordert dass Inhalte überprüft werden, kann nicht uneingeschränkt beides haben. Ferner sind auch andere „Geschäftsmodelle“ zB ThePirateBay sehr erfolgreich und zuverlässig, die sich auch insbesondere auf die Meinungs, – und Informationsfreiheit berufen, ob man dies mit der Phrase „seriös“ beschreiben möchte liegt wohl bei jedem selbst, bei ThePirateBay macht ein Impressum im Übrigen auch keinen Sinn.
1) Ich finde die Debatte über die Verschlüsselung übertrieben. Selbst wenn, ja wenn Telegramm die Verabredung mit meiner Schwester zum Kaffee mitliest – na und?
2) Ja, WhatsApp verschlusselt zwar Ende zu Ende, aber die Backups sind alle immer unverschlüsselt auf deren Servern- davon spricht niemand.
3) Wegen der Kanäle-Funktion wird oft reißerisch vor Telegramm gewarnt. Dass a) man die aber nicht nutzen MUSS, und b) es auch nützliche Kanäle gibt, bleibt meist unerwähnt. Ich wechsle ja auch nicht meine Bank, nur weil da vielleicht auch Der Wendler ein Konto hat.
4) Die vielen gegenüber anderen Messengern zusätzlichen und nützlichen Funktionen werden meist nicht erwähnt.l
Ich unterhalte mich Grundsätzlich in der Öffentlichkeit nicht unter vier Augen, als warum sollte ich dass dann bei jedem Chat tun. Wenn ich im Chat, respektive via Messenger etwas „geheimes“ besprechen will mach ich eben ein vier Augen Gespräch und die“Tür“ zu, fertig. Also ganz normale, reale Welt!
Dann möchte ich bitte erklärt haben, wie die E2E verschlüsselten Chats auf meinem mobilen Endgerät bei WhatsApplesbat auf meinen Rechner gelangen können, der ja den Schlüssel meines mobilen Endgeräts nicht kenne darf? Entweder werden die Nachrichten entschlüsselt von meinem mobilen Gerät auf die WebApp geschickt ( im besten Falle noch transportverschlusselt), oder aber der Geräteschlüssel muss irgendwo zentral abgelegt werden.
Beides ist nicht sicher!
Und warum wird denn Telegram von Terror Organisationen genutzt? Wahrscheinlich weil die Sixheit so mies ist, dass alle Geheimdienste mitlesen können!
Und was das Thema standardmäßige E2E Verschlüsselunge betrifft:
Wer eine Technik nutzt,nsollte.sich mit den Grundlagen auseinander setzen und nicht erwarten das andere für sie denken.
Hallo Oliver,
ich möchte deinen Ausführungen voll und ganz zustimmen. Ich habe schon viele Artikel über den vermeintlich „schlechten“, „unsicheren“ oder „sollten sie sofort von ihrem Handy löschen“ Messenger Telegramm gelesen. Die meisten davon sind einfach nur reißerisch und bauen auf dem allgemeinen Halbwissen auf.
Danke für deine Darstellung.
Michael
Gern geschehen, auch wenn die Antwort auf sich warten ließ ;-)
Ich habe einen Vorschlag an die Redaktion. Inspiriert dazu wurde ich durch die Feststellung, dass sich auf Telegram u.a. Querdenker und Rechtsextremisten austauschen.
Wie wäre es also mit einem Beitrag zu den Plattformen, die bevorzugt von Linksextremisten genutzt werden? Linksextremismus ist ein sehr spannendes und leider sehr unterschätztes und vernachlässigtes Thema.
Ich würde mich über einen Beitrag dazu sehr freuen! Vielen Dank :-)
Jetzt muss ich nochmal was dazu schreiben.
Immer wieder wird von Sicherheit bei Messengerb geredet.
Meines Wissens nach findet noch immer ein größerer Anteil an Email Kommunikation statt.
Und dieser ist In keiner Weise standardmäßig E2EE verschlüsselt. Darüber regt sich kein Mensch auf. Und hierbei werden sensible persönliche, wie auch wirtschaftliche Daten ausgetauscht.
Warum mit dass denn keiner der Medien mal in Angriff?