Der deutsche Techjournalist Jürgen Schmidt hat mit einer kritischen Analyse zur Telegram-App in ein Wespennest gestochen. Am vergangenen Freitag wurde sein Beitrag bei Heise Security veröffentlicht. Im Titel ist von einem «sicheren Datenschutz-Albtraum» für die Nutzer die Rede.
Schmidt schreibt, zwar setze sich Telegram in bestimmten Kreisen mehr und mehr als Synonym für «sicheren Chat» und «Chat mit Privatsphäre» durch. Doch schon ganz einfache Tests, die jeder selbst durchführen könne, zeigten, dass man sich bei der Nutzung des Messenger-Dienstes «quasi komplett nackig» mache.
Das beunruhigende Fazit des Autors, das viele erzürnte Reaktionen ausgelöst hat: WhatsApp sei sicherer als Telegram. (Was aber nicht heisst, dass man den zum Facebook-Konzern gehörenden Messenger nutzen sollte! Es gibt sinnvolle Alternativen. Dazu folgt weiter unten mehr.)
Es gibt mehrere. Jürgen Schmidt erklärt in dem bei heise.de veröffentlichten Beitrag, wie Telegram-User die zum Teil gravierenden Schwachstellen selber nachvollziehen können. Und er kritisiert die sogenannt «geheimen Chats».
Der Heise-Redaktor warnt:
Schmidt warnt:
Ja, zumindest was die von Jürgen Schmidt kritisierte unverschlüsselte Speicherung von Nutzerdaten auf dem Telegram-Server betrifft. Der Techjournalist schreibt, bei WhatsApp gebe es keine solchen zentralen Datenbanken mit allen Chats der Nutzer, «die man nur anzapfen müsste».
WhatsApp verschlüssele alle User-Nachrichten so, dass nur der echte Empfänger sie lesen könne (das wird bekanntlich als Ende-zu-Ende-Verschlüsselung bezeichnet).
Das gelte auch für «WhatsApp Web». Das zeige zwar ähnlich wie Telegram alle Chats im Browser-Fenster an. Aber diese Chat-Inhalte erhalte der Browser nicht von einem WhatsApp-Server übermittelt, sondern vom Smartphone.
Wenn man es ganz genau nehme, erhalte WhatsApp Web die Rohdaten vom WhatsApp-Web-Server, der als Zwischenstation fungiere, räumt Schmidt ein. Aber «Die Inhalte sind dabei so verschlüsselt, dass der Server sie nicht lesen kann.»
Allerdings sei nicht auszuschliessen, dass Geheimdienste über Sicherheitslücken trotzdem Zugriff auf die Daten hätten. Entsprechende «Hintertüren» dürften vorhanden sein.
Schwer zu sagen. Jedenfalls stellen sich viele Fragen, wobei die Verantwortlichen schwer zu erreichen sind.
Telegram-User können zumindest gewisse «Schwachstellen» über die App-Einstellungen beseitigen.
Unter «Privatsphäre und Sicherheit» lässt sich einstellen, ob man die Linkvorschau über den Telegram-Server haben will, wie ein Kommentator bei heise.de betont. Dies sei auch bewusst so gewollt von Telegram, «damit man das Gerät des Einzelnen als im Web lauschende Regierung nicht mit dem Aufruf einer Seite in Verbindung bringen kann».
Ein anderer User erklärt: Wenn man in einem verschlüsselten Chat einen Link eingebe, frage Telegram ausdrücklich nach, ob man die Linkvorschau aktivieren wolle und weise darauf hin, dass dies auf dem Server generiert würde.
Im FAQ auf der Website wird behauptet, Telegram habe noch nie Userdaten an Dritte weitergegeben.
Zum Schutz der User-Daten, die nicht durch eine Ende-zu-Ende-Verschlüsselung abgedeckt seien, verwendet Telegram gemäss eigenem FAQ eine Cloud-Infrastruktur. Die Chat-Daten würden in Datenzentren rund um den Globus gespeichert, die von verschiedenen juristischen Personen in verschiedenen Gerichtsbarkeiten kontrolliert würden. Dies soll Behörden den Zugriff auf die Daten angeblich erschweren.
Angesichts der schweren Vorwürfe wollte watson bei den Telegram-Verantwortlichen eine Stellungnahme einholen. Das Problem: Auf der Telegram-Website werden keine offiziellen Kontaktdaten angegeben. Man findet im FAQ lediglich Angaben, wie der Support über Twitter erreicht wird. Bei den Support-Teams handle es sich um Ehrenamtliche.
Wer vom Unternehmen eine schnelle Antwort wünscht, ist gezwungen, die Telegram-App zu installieren.
Wenn man diesen Rat befolgt, wird die Mitteilung angezeigt, dass der Support von Freiwilligen durchgeführt werde. Ein richtiges Impressum scheint nicht vorhanden zu sein.
Da ist vor allem Signal zu nennen. Eine Open-Source-Messenger-App, die von Edward Snowden empfohlen wurde.
Das sieht auch Jürgen Schmidt so:
Und aus der Schweiz gibts Threema. Dieser Messenger ist kostenpflichtig und wird unter anderem auch von der Bundesverwaltung zur sicheren Kommunikation genützt. In der Business-Ausführung wohlgemerkt, daneben bietet die Schweizer Entwicklerfirma eine Version speziell für Schulen an.
Im September kündigten die Entwickler an:
Was sich abschliessend sagen lässt: Von WhatsApp ist definitiv abzuraten, weil der einstmals unabhängige Dienst seit 2014 dem Facebook-Konzern gehört. Trotz Ende-zu-Ende-Verschlüsselung landen zumindest die Metadaten bei der amerikanischen Datenkrake und werden verwertet.
(P.S: Signal! Daumen hoch)
Step-by-step weg von den Datenkraken Facebook-Insta-Whatsapp, Google und Microsoft.