Immer wieder ist Telegram als Alternative zu Whatsapp im Gespräch. Die einen kritisieren eine fehlende standardmäßige Ende-zu-Ende-Verschlüsselung, ein eher undurchsichtiges Unternehmen und fehlende Open-Source-Offenlegung des Servercodes; praktische Features wie die geräteunabhängige Chat-Synchronisierung dank Cloud-Nutzung sehen die anderen als Vorteile.
„Telegram ist der unsicherste Messenger, der derzeit herumgereicht wird, Sicherheit wird nur vorgegaukelt“, schreibt SWR3-Onlinechef Stefan Scheurer in einem Beitrag, Heise-Sicherheitsexperte Jürgen Schmidt nennt Telegram „i[m] Bezug auf Privatsphäre eine Katastrophe“. Doch was sind die Gründe für derart harsche Kritik am Messenger?
Telegram-Kritik: Die Crux mit der Ende-zu-Ende-Verschlüsselung
Der wohl größte Kritikpunkt bezüglich der Sicherheit von Telegram ist die Verschlüsselung von Nachrichten. Anders als beispielsweise bei Whatsapp sind Konversationen beim cloud-basierten Dienst von Telegram nicht automatisch Ende-zu-Ende verschlüsselt. Wer diese Sicherheitseinstellung nutzen möchte, muss sie manuell für den jeweiligen Chat einstellen und bußt dafür dann (teils durchaus technisch begründet) einige gewohnte Funktionen ein.
Das heißt nicht, dass Nachrichten außerhalb der sogenannten „geheimen Chats“ bei Telegram grundsätzlich komplett unverschlüsselt verschickt werden – hier erfolgt laut den Herstellern eine Server-Client-Verschlüsselung. Anrufe via Telegram sind automatisch Ende-zu-Ende verschlüsselt, für Gruppenchats gibt es die Variante der „geheimen“ Chats hingegen gar nicht.
Insgesamt arbeitet Telegram laut eigenen Angaben mit einer Kombination aus „2048-Bit-RSA-Verschlüsselung, einer symmetrischen 256-Bit-AES-Verschlüsselung“ und Diffie-Hellman-Schlüsselaustausch.
Chats ohne Ende-zu-Ende Verschlüsselung: Telegram könnte sämtliche Verläufe mitlesen
Gerade bei den nicht Ende-zu-Ende verschlüsselten Konversationen und Verläufen, die auf den Servern von Telegram mit unbekanntem Standort und dementsprechend unbekannten Datenschutzgesetzen gespeichert werden, befürchten Kritiker:innen, dass die Informationen von Angreifern oder aber von Telegram selbst ausgelesen, weitergegeben und für unterschiedlichste Zwecke genutzt werden könnten.
Das Unternehmen selbst schreibt zum Thema Datenanfragen von Drittparteien: „Bis zum heutigen Tag haben wir 0 Byte Nutzerdaten an Dritte weitergegeben, einschließlich aller Regierungen.“ Die Daten aus den Cloud-Chats würden „in mehreren Rechenzentren rund um den Globus gespeichert, die von verschiedenen juristischen Personen verteilt auf mehrere Gerichtsbarkeiten gesteuert werden“. Schlüssel und zugehörige Daten würden nie am selben Standort gespeichert. Um Telegram zu einer Offenlegung von Daten zu zwingen, müssten demnach Gerichtsbeschlüsse aus mehreren Ländern einheitlich die Herausgabe anordnen, so die Anbieter.
Auch die Weitergabe von Daten beispielsweise zu Werbezwecken streitet das Unternehmen ab: „Wir nutzen deine Daten nicht für die Ausrichtung von Werbung und wir verkaufen sie nicht an andere.“ Telegram sei insgesamt DSGVO-konform. Beschwerden zu öffentlichen Beiträgen wie Bots, Kanälen oder Sticker-Paketen würden allerdings auf Anfrage überprüft und gegebenenfalls entfernt. Telegram arbeitet zudem mit Europol zusammen.
Wer die App nutzt, muss sich insgesamt darüber bewusst sein, dass theoretisch nicht nur die am Chat beteiligten Parteien, sondern auch die App-Betreiber Zugriff auf den kompletten Nachrichtenverlauf samt Dateien haben. Ob Telegram diese Konversationen tatsächlich so verwaltet, wie versprochen, ist nicht gerade transparent – hier müssen Nutzerinnen und Nutzer abwägen, ob und inwiefern sie dem Dienst und seinen Aussagen vertrauen. Gerade sensible Daten sollten dementsprechend aber keinesfalls in den normalen Chats verschickt werden.
Telegram als Unternehmen: Wer steckt eigentlich hinter der App?
Gegründet wurde Telegram bereits 2013 von den beiden russischen Brüdern Nikolai und Pawel Durow. Zuvor hatte sich vor allem Pawel Durow bei den russischen Behörden unbeliebt gemacht, weil er sich als Kopf der russischen Facebook-Alternative VKontakte geweigert hatte, kremlkritische Seiten zu löschen – nicht aus gesellschaftlichen, sondern aus geschäftlichen Gründen.
Insgesamt wird beispielsweise bei der vergeblichen Suche nach einem Impressum auf der deutschsprachigen Website klar, dass Telegram ganz offensichtlich nicht gefunden werden möchte. Das Impressum wäre in Deutschland eigentlich Pflicht und würde das Unternehmen auch für die Nutzerinnen und Nutzer transparenter machen. 2016 hatte beispielsweise die Redaktion der Welt den Versuch gestartet, das damals in Berlin ansässige Firmenquartier ausfindig zu machen – allerdings ohne Erfolg.
Laut den unternehmenseigenen FAQ sitzt Telegram mittlerweile in Dubai, man sei aber bereit, den Standort zu wechseln, wenn die dortigen Gesetze sich (ungünstig) ändern würden. „Das Telegram-Team musste Russland aufgrund lokaler IT-Vorschriften verlassen und hat eine Reihe von Standorten ausprobiert, darunter Berlin, London und Singapur.“ Diese durchaus geringe Transparenz bezüglich der Strukturen und Standorte von Telegram wird von Kritiker:innen als Manko empfunden – so wissen nicht nur die von Telegram angeblich gemiedenen Drittparteien, sondern auch die Nutzerinnen und Nutzer nicht all zu genau, wo ihre Daten landen und verwaltet werden.
Ist Telegram Open Source?
Diese Frage kann mit einem Jein beantwortet werden. Für die Öffentlichkeit ist vor allem der Code der Telegram-Clients verfügbar und als GNU General Public License lizensiert. Der Code des Servers hingegen ist nicht Open Source, sondern proprietär, es wird aber eine offene Programmierschnittstelle (API) angeboten.
Telegrams Umgang mit Fehlerhinweisen scheint in Teilen unterschiedlich auszufallen: Im Juli 2021 wurden von einem internationalen Expert:innenteam mehrere kryptographische Schwachstellen im Protokoll gefunden. Telegram reagierte daraufhin und besserte nach. Weniger glatt lief hingegen die Interaktion mit einem anderen Forscher, der im Frühjahr 2021 einen massive Lücke bei der Löschung von selbst-zerstörenden Fotos in der App meldete. Nach seinen Angaben habe er zunächst monatelang im Austausch mit dem Telegram-Team gestanden, bis diese ihm schließlich eine Prämie für seinen Fund boten – unter der Bedingung, dass er über die Vorgänge nicht, beziehungsweise nur mit einer schriftlichen Genehmigung von Telegram sprechen würde.
Fazit: Ist Telegram sicher und seriös?
Als besonders sichere Messenger-Alternative kann sich Telegram vor allem durch das Fehlen der standardmäßigen Ende-zu-Ende-Verschlüsselung nicht rühmen. Für den Komfort der cloud-basierten Chats, die von überall her abrufbar sind, müssen Nutzerinnen und Nutzer das Risiko eingehen, dass die kompletten Konversationen inklusive Dateien auf international verteilten Servern gespeichert werden – das bietet Potenzial für Missbrauch und Angriffe sowohl von externer, als auch von interner Seite.
Grundsätzlich müssen Nutzerinnen und Nutzer abwägen, ob sie den Versprechungen des Unternehmens zur Sicherung der nicht Ende-zu-Ende-verschlüsselten Daten vertrauen. Mehr Sicherheit gibt es beispielsweise bei Signal, auch selbst gehostete Dienste wären eine Alternative. Gerade bei letzteren dürfte allerdings die Massentauglichkeit, die etablierte Messenger-Dienste mit sich bringen, stark eingeschränkt sein.
Die Funktion der Gruppenchats mit bis zu 200.000 Mitglieder und der Kanäle bietet die Möglichkeit, sich mit zahlreichen Menschen mit den gleichen Interessen auszutauschen. Kombiniert mit den wenig ausgeprägten Eingriffen durch Telegram können sich auf der Plattform so nicht nur oppositionelle Aktivisten in Hongkong austauschen, sondern beispielsweise auch Querdenker und rechtsextreme Gruppen. Immer wieder wird zudem deutlich, dass Telegram Anlaufstelle für kriminelle und terroristische Gruppen ist, die sich dort ungestört fühlen. Kombiniert mit der undurchsichtigen Struktur des Unternehmens wirft das ein eher unseriöses Licht auf Telegram – der Strukturaspekt beispielsweise wird vom Unternehmen aber eben ganz bewusst eingesetzt.
Insgesamt lohnt es sich, bei Messenger-Diensten kritisch zwischen Komfort, Sicherheit und den eigenen Überzeugungen abzuwägen und genauer hinzusehen. Eine Überblick über die verschiedenen Dienste wie Threema, Ginlo oder Wickr gibt es dafür beispielsweise hier.
Wir zeigen euch, wie ihr euren Telegram-Account löschen könnt.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Für die Heuristik wäre wünschenswert gewesen, ob es bereits erwiesene Fälle gab wo Daten von Telegram gegen die Nutzer verwendet wurden, ohne dass ein direkter Zugriff auf das Endgerät, auch per zB Trojaner, stattfand. Oder wie etwa bei FB, dass es Hinweise darauf gab, dass Daten aus Telegram für zugeschnittene Werbung stattfanden. Wenn selbst die Welt- oder Ihre Redaktion nicht die Geschäftsadresse herausfindet, sollte das für geschäftliche Anfragen von Providern für Werbedienste auch schwierig sein, vielleicht sogar für den ein oder anderen Geheimdienst.
Es erscheint mir erstmal kein Widerspruch zu sein, dass fehlende monetäre Ausrichtung und professionelle Dienstleistungen gemeinsam existieren können, was zB viele OpenSource Softwareanbieter beweisen. Dass Menschen Telegram benutzen, die nicht unbedingt in den Medien als Heilige verehrt werden, trifft auch auf den Tor-Browser zu, dennoch sind dahinterstehende Technologie und Organisation bisher zuverlässig gewesen. In diesem Milleu von Unseriösität zu sprechen finde ich unangemessen, ganz generell lässt es sich plakativ mit dem „Nicht Waffen töten Menschen, sondern Menschen töten Menschen“ Zitat vergleichen. Auch Mörder, sogar Rechtsextreme, ja auch die Nazis trugen Schuhe, das macht Schuhe nicht unseriös. Was man also den TG Mitarbeitern vorwerfen kann ist dass Sie selbst nicht gegen die genannten Gruppen vorgehen, wobei wenigstens Terrorismus unter bestimmten Umständen in Dubai strafbar sein müsste und zu weitergehenden Kontrollen Telegram, zum Mindest gerichtlich, nicht veranlasst werden kann. Aber hier liegt ja auch ein Knackpunkt, wer Datensicherheit will aber auf der anderen Seite fordert dass Inhalte überprüft werden, kann nicht uneingeschränkt beides haben. Ferner sind auch andere „Geschäftsmodelle“ zB ThePirateBay sehr erfolgreich und zuverlässig, die sich auch insbesondere auf die Meinungs, – und Informationsfreiheit berufen, ob man dies mit der Phrase „seriös“ beschreiben möchte liegt wohl bei jedem selbst, bei ThePirateBay macht ein Impressum im Übrigen auch keinen Sinn.
1) Ich finde die Debatte über die Verschlüsselung übertrieben. Selbst wenn, ja wenn Telegramm die Verabredung mit meiner Schwester zum Kaffee mitliest – na und?
2) Ja, WhatsApp verschlusselt zwar Ende zu Ende, aber die Backups sind alle immer unverschlüsselt auf deren Servern- davon spricht niemand.
3) Wegen der Kanäle-Funktion wird oft reißerisch vor Telegramm gewarnt. Dass a) man die aber nicht nutzen MUSS, und b) es auch nützliche Kanäle gibt, bleibt meist unerwähnt. Ich wechsle ja auch nicht meine Bank, nur weil da vielleicht auch Der Wendler ein Konto hat.
4) Die vielen gegenüber anderen Messengern zusätzlichen und nützlichen Funktionen werden meist nicht erwähnt.l
Ich unterhalte mich Grundsätzlich in der Öffentlichkeit nicht unter vier Augen, als warum sollte ich dass dann bei jedem Chat tun. Wenn ich im Chat, respektive via Messenger etwas „geheimes“ besprechen will mach ich eben ein vier Augen Gespräch und die“Tür“ zu, fertig. Also ganz normale, reale Welt!
Dann möchte ich bitte erklärt haben, wie die E2E verschlüsselten Chats auf meinem mobilen Endgerät bei WhatsApplesbat auf meinen Rechner gelangen können, der ja den Schlüssel meines mobilen Endgeräts nicht kenne darf? Entweder werden die Nachrichten entschlüsselt von meinem mobilen Gerät auf die WebApp geschickt ( im besten Falle noch transportverschlusselt), oder aber der Geräteschlüssel muss irgendwo zentral abgelegt werden.
Beides ist nicht sicher!
Und warum wird denn Telegram von Terror Organisationen genutzt? Wahrscheinlich weil die Sixheit so mies ist, dass alle Geheimdienste mitlesen können!
Und was das Thema standardmäßige E2E Verschlüsselunge betrifft:
Wer eine Technik nutzt,nsollte.sich mit den Grundlagen auseinander setzen und nicht erwarten das andere für sie denken.
Hallo Oliver,
ich möchte deinen Ausführungen voll und ganz zustimmen. Ich habe schon viele Artikel über den vermeintlich „schlechten“, „unsicheren“ oder „sollten sie sofort von ihrem Handy löschen“ Messenger Telegramm gelesen. Die meisten davon sind einfach nur reißerisch und bauen auf dem allgemeinen Halbwissen auf.
Danke für deine Darstellung.
Michael
Gern geschehen, auch wenn die Antwort auf sich warten ließ ;-)
Ich habe einen Vorschlag an die Redaktion. Inspiriert dazu wurde ich durch die Feststellung, dass sich auf Telegram u.a. Querdenker und Rechtsextremisten austauschen.
Wie wäre es also mit einem Beitrag zu den Plattformen, die bevorzugt von Linksextremisten genutzt werden? Linksextremismus ist ein sehr spannendes und leider sehr unterschätztes und vernachlässigtes Thema.
Ich würde mich über einen Beitrag dazu sehr freuen! Vielen Dank :-)
Jetzt muss ich nochmal was dazu schreiben.
Immer wieder wird von Sicherheit bei Messengerb geredet.
Meines Wissens nach findet noch immer ein größerer Anteil an Email Kommunikation statt.
Und dieser ist In keiner Weise standardmäßig E2EE verschlüsselt. Darüber regt sich kein Mensch auf. Und hierbei werden sensible persönliche, wie auch wirtschaftliche Daten ausgetauscht.
Warum mit dass denn keiner der Medien mal in Angriff?