Digital
Analyse

Telegram: Darum soll die App ein «Datenschutz-Albtraum» sein

epa08540601 A protester talks to German police officers during an anti-restrictions protest lead by German vegan chef Attila Hildmann, at the Lustgarten park in Berlin, Germany, 11 July 2020. Hildmann ...
Protestierender vs. Polizisten in Berlin: Viele Corona-Skeptiker tauschen sich über Telegram-Chatgruppen aus. Ein Techjournalist ruft nun die Datenschutzprobleme in Erinnerung.archivBild: keystone
Analyse

Hände weg von Telegram? Darum soll die App ein «Datenschutz-Albtraum» sein

Telegram gilt speziell bei jüngeren Smartphone-Usern als hip und ist in Corona-Skeptiker-Kreisen ein bevorzugtes Kommunikationsmittel. Doch in Bezug auf die Privatsphäre sei der Dienst eine Katastrophe, warnt heise.de.
23.11.2020, 17:0824.11.2020, 12:40
Mehr «Digital»

Was ist passiert?

Der deutsche Techjournalist Jürgen Schmidt hat mit einer kritischen Analyse zur Telegram-App in ein Wespennest gestochen. Am vergangenen Freitag wurde sein Beitrag bei Heise Security veröffentlicht. Im Titel ist von einem «sicheren Datenschutz-Albtraum» für die Nutzer die Rede.

Schmidt schreibt, zwar setze sich Telegram in bestimmten Kreisen mehr und mehr als Synonym für «sicheren Chat» und «Chat mit Privatsphäre» durch. Doch schon ganz einfache Tests, die jeder selbst durchführen könne, zeigten, dass man sich bei der Nutzung des Messenger-Dienstes «quasi komplett nackig» mache.

Das beunruhigende Fazit des Autors, das viele erzürnte Reaktionen ausgelöst hat: WhatsApp sei sicherer als Telegram. (Was aber nicht heisst, dass man den zum Facebook-Konzern gehörenden Messenger nutzen sollte! Es gibt sinnvolle Alternativen. Dazu folgt weiter unten mehr.)

Wo ist das Problem bei Telegram?

Es gibt mehrere. Jürgen Schmidt erklärt in dem bei heise.de veröffentlichten Beitrag, wie Telegram-User die zum Teil gravierenden Schwachstellen selber nachvollziehen können. Und er kritisiert die sogenannt «geheimen Chats».

  • Wenn man im Telegram-Chat einen Link eingibt (also eine Adresse zu einer Website), dann werde das Eingegebene in Echtzeit an einen Telegram-Server übermittelt. Und dies noch bevor man die Nachricht abgeschickt habe.
  • Ein solcher Telegram-Server, der sich gemäss Schmidts Abklärungen in England befindet, hatte Zugriff auf eine komplette Kopie all seiner Chats. Und dieses Online-Archiv enthielt sogar schon die vorher eingetippte, aber noch nicht abgeschickte Nachricht.

Der Heise-Redaktor warnt:

«Alles, was die Nutzer schreiben, wird bei Telegram zentral gespeichert und bei Bedarf ausgeliefert. An euch, wenn ihr euch mit dem richtigen Code ausweist. Aber sicher auch an einen Beamten, der einen Durchsuchungsbefehl vorweisen kann. Oder an einen bestochenen Mitarbeiter oder an Hacker, die sich Zugang zu den Servern verschaffen.»
  • Theoretisch biete Telegram zwar sogenannte «geheime Chats», die vor dem Mitlesen durch Dritte gesichert seien. Aber diese Funktion sei (in der App) so gut versteckt, dass sie die meisten Telegram-Nutzer nicht einmal kennen würden, geschweige denn benutzten.
  • Darüber hinaus seien diese geheimen Chats mit einer Reihe von Einschränkungen verbunden, kritisiert der Techjournalist. So liessen sie sich nicht für Gruppen einsetzen und immer nur auf einem Gerät nutzen.
  • Über die Verantwortlichen, die Telegram (gratis) anbieten und die Chat-Server betreiben, ist wenig bekannt.

Schmidt warnt:

«Wer Telegram nutzt, sollte sich im Klaren sein, dass er sich einem undurchsichtigen und sehr dubiosen Firmen-Konstrukt ausliefert, über dessen Motive so gut wie nichts bekannt ist.»

Ist WhatsApp tatsächlich sicherer?

Ja, zumindest was die von Jürgen Schmidt kritisierte unverschlüsselte Speicherung von Nutzerdaten auf dem Telegram-Server betrifft. Der Techjournalist schreibt, bei WhatsApp gebe es keine solchen zentralen Datenbanken mit allen Chats der Nutzer, «die man nur anzapfen müsste».

WhatsApp verschlüssele alle User-Nachrichten so, dass nur der echte Empfänger sie lesen könne (das wird bekanntlich als Ende-zu-Ende-Verschlüsselung bezeichnet).

Das gelte auch für «WhatsApp Web». Das zeige zwar ähnlich wie Telegram alle Chats im Browser-Fenster an. Aber diese Chat-Inhalte erhalte der Browser nicht von einem WhatsApp-Server übermittelt, sondern vom Smartphone.

Wenn man es ganz genau nehme, erhalte WhatsApp Web die Rohdaten vom WhatsApp-Web-Server, der als Zwischenstation fungiere, räumt Schmidt ein. Aber «Die Inhalte sind dabei so verschlüsselt, dass der Server sie nicht lesen kann.»

Allerdings sei nicht auszuschliessen, dass Geheimdienste über Sicherheitslücken trotzdem Zugriff auf die Daten hätten. Entsprechende «Hintertüren» dürften vorhanden sein.

Sind die Vorwürfe berechtigt?

Schwer zu sagen. Jedenfalls stellen sich viele Fragen, wobei die Verantwortlichen schwer zu erreichen sind.

Telegram-User können zumindest gewisse «Schwachstellen» über die App-Einstellungen beseitigen.

Unter «Privatsphäre und Sicherheit» lässt sich einstellen, ob man die Linkvorschau über den Telegram-Server haben will, wie ein Kommentator bei heise.de betont. Dies sei auch bewusst so gewollt von Telegram, «damit man das Gerät des Einzelnen als im Web lauschende Regierung nicht mit dem Aufruf einer Seite in Verbindung bringen kann».

Ein anderer User erklärt: Wenn man in einem verschlüsselten Chat einen Link eingebe, frage Telegram ausdrücklich nach, ob man die Linkvorschau aktivieren wolle und weise darauf hin, dass dies auf dem Server generiert würde.

«Geheime Chats»: Telegram weist darauf hin, dass die Linkvorschau auf den eigenen Servern generiert werde. Es würden aber keine Daten gespeichert.
«Geheime Chats»: Telegram weist darauf hin, dass die Linkvorschau auf den eigenen Servern generiert werde. Es würden aber keine Daten gespeichert.screenshot: watson

Im FAQ auf der Website wird behauptet, Telegram habe noch nie Userdaten an Dritte weitergegeben.

«To this day, we have disclosed 0 bytes of user data to third parties, including governments.»
quelle: telegram.org

Zum Schutz der User-Daten, die nicht durch eine Ende-zu-Ende-Verschlüsselung abgedeckt seien, verwendet Telegram gemäss eigenem FAQ eine Cloud-Infrastruktur. Die Chat-Daten würden in Datenzentren rund um den Globus gespeichert, die von verschiedenen juristischen Personen in verschiedenen Gerichtsbarkeiten kontrolliert würden. Dies soll Behörden den Zugriff auf die Daten angeblich erschweren.

Wem gehört Telegram?
Telegram wurde 2013 von den Brüdern Nikolai und Pawel Durow gegründet. Die beiden hatten zuvor schon das meistgenutzte russische soziale Netzwerk «VK» gegründet, flohen aber in die Vereinigten Staaten – laut Berichten wegen Zensurversuchen durch die russische Regierung und nach Konflikten mit Putin-Loyalisten.
Die Telegram Messenger LLP (eine Firma nach britischem/US-amerikanischem Recht) sei nach eigenen Angaben ein unabhängiges Non-Profit-Unternehmen, weiss wikipedia.org. Das Entwickler-Team befinde sich laut Telegram-Website in Dubai. Laut einem Medienbericht von 2017 hat die angeblich sichere Messaging-App Angestellte im russischen St.Petersburg, im selben Gebäude wie das vom Kreml beeinflusste soziale Netzwerk VK.

Was fällt sonst noch (negativ) auf?

Angesichts der schweren Vorwürfe wollte watson bei den Telegram-Verantwortlichen eine Stellungnahme einholen. Das Problem: Auf der Telegram-Website werden keine offiziellen Kontaktdaten angegeben. Man findet im FAQ lediglich Angaben, wie der Support über Twitter erreicht wird. Bei den Support-Teams handle es sich um Ehrenamtliche.

Wer vom Unternehmen eine schnelle Antwort wünscht, ist gezwungen, die Telegram-App zu installieren.

«Am schnellsten wird dir immer per Chatnachricht geantwortet, dazu in den Telegram-Einstellungen auf ‹Eine Frage stellen› tippen.»
quelle: telegram.org

Wenn man diesen Rat befolgt, wird die Mitteilung angezeigt, dass der Support von Freiwilligen durchgeführt werde. Ein richtiges Impressum scheint nicht vorhanden zu sein.

Bild
screenshot: watson

Was sind die sicheren Alternativen?

Da ist vor allem Signal zu nennen. Eine Open-Source-Messenger-App, die von Edward Snowden empfohlen wurde.

Das sieht auch Jürgen Schmidt so:

«Der ist komplett Open Source – man kann also jederzeit überprüfen, was da hinter den Kulissen geschieht. Er wurde von exzellenten Krypto-Experten entwickelt, die wirklich wissen, was sie tun und sich seit Jahren für IT-Security und Privacy engagieren. Und die Infrastruktur wird von einer gemeinnützigen Stiftung betrieben, die sich dem Datenschutz verschrieben hat. Da sie sich komplett aus Spenden finanziert, besteht auch kein finanzielles Interesse an den Daten der Anwender.»
quelle: heise.de

Und aus der Schweiz gibts Threema. Dieser Messenger ist kostenpflichtig und wird unter anderem auch von der Bundesverwaltung zur sicheren Kommunikation genützt. In der Business-Ausführung wohlgemerkt, daneben bietet die Schweizer Entwicklerfirma eine Version speziell für Schulen an.

Im September kündigten die Entwickler an:

«In den kommenden Monaten werden wir zusätzlich den Quellcode der Threema-Apps vollständig offenlegen und reproduzierbare Builds ermöglichen.»
quelle: threema.ch

Was sich abschliessend sagen lässt: Von WhatsApp ist definitiv abzuraten, weil der einstmals unabhängige Dienst seit 2014 dem Facebook-Konzern gehört. Trotz Ende-zu-Ende-Verschlüsselung landen zumindest die Metadaten bei der amerikanischen Datenkrake und werden verwertet.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
23 Bilder, die das Internet verbieten sollte
1 / 25
23 Bilder, die das Internet verbieten sollte
Wie kann er nur?!
bild: imgur

Auf Facebook teilenAuf X teilen
Sharon Stone veröffentlicht emotionalen Corona-Appell
Video: watson
Das könnte dich auch noch interessieren:
57 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Frankygoes
23.11.2020 17:29registriert März 2019
Deswegen hinterlasse ich konspirative Nachrichten auch grundsätzlich nur in meinem Zeitreisebriefkasten vor dem Haus.

(P.S: Signal! Daumen hoch)
2077
Melden
Zum Kommentar
avatar
Helios
23.11.2020 17:38registriert Juni 2017
Benutze sowohl Signal als auch Threema, beide sind tiptop, mittlerweile sind auch schon mahr als die Hälfte meiner Kontakte auf dem einen oder anderen Dienst.

Step-by-step weg von den Datenkraken Facebook-Insta-Whatsapp, Google und Microsoft.
1757
Melden
Zum Kommentar
avatar
ChiliForever
23.11.2020 17:37registriert November 2016
Da sich generell viele Telegramm-User (explizit vor allem die ganzen Anti-Corona und Verschwörungsgruppen) nicht um Fakten kümmern, dürfte wohl auch dieser Bericht und seine Feststellungen nichts an der Telegramm-Nutzung gerade durch diese Gruppen ändern... ;)
21254
Melden
Zum Kommentar
57
VW verrät Startdatum und Preis für sein erstes wirklich günstiges Elektroauto
VW will seine Auswahl bei den E-Autos um einen Kleinwagen erweitern. Der ID.1 soll 20'000 Euro kosten. Nun nennt Volkswagen erstmals den Starttermin für den Einstiegs-Stromer.

Volkswagen will 2027 erstmals ein Elektroauto für 20'000 Euro auf den Markt bringen. «Der Arbeitstitel ist ID.1 und das Fahrzeug ist für 2027 geplant», sagte Markenchef Thomas Schäfer am Donnerstag bei der Jahrespressekonferenz. Mit dem Kleinwagen wolle man das Elektro-Portfolio nach unten abrunden und «bezahlbare Elektromobilität für alle» anbieten, so Schäfer.

Den Termin habe man daher bewusst ein Jahr nach dem für 2026 geplanten ID.2all für unter 25'000 Euro gelegt.

Zur Story