Warum du den Messenger Telegram auf keinen Fall benutzen solltest

Leider gibt es viele Messenger, die keinen Wert auf Datenschutz legen aber wegen eines einzigen Features, z.B. der Ende-zu-Ende-Verschlüsselung als vermeintlich vertrauenswürdig dargestellt werden. Hier ein paar Argumente, warum wir Telegram für absolut unsicher halten!

Die Verschlüsselung ist unsicher und Datenschutz ist nicht vorhanden:

Alle Nachrichten, Videos, Bilder etc. die darüber verschickt werden, werden im Klartext auf den Servern des Betreibers dauerhaft gespeichert.

Gleiches gilt für alle Telefonnummern, die du gespeichert hast sowie die dazugehörigen Kontaktnamen. Du legst also dein gesamtes Netzwerk offen!

Wenn du deine Telefonnummer wechselst und deine alte neu vergeben wird, erhält der neue Besitzer deiner alten Nummer Zugriff auf dein Telegram-Profil und auf deine Chathistorie.

Der Messenger ist intransparent: Der Telegram-Server, bzw. dessen Software, ist nicht quelloffen, womit die Sicherheits-Versprechen der Betreiber nicht nachgeprüft werden können.

Die Verschlüsselung ist unsicher: Die Schlüssel werden nicht zufällig generiert, sondern basieren auf der Nachricht selbst. So ist ein Knacken der Verschlüsselung wahrscheinlicher möglich, als bei anderen Messengern. Die verwendete Hashfunktion wurde von der NSA entwickelt und gilt mittlerweile als gebrochen – also unsicher!
Aber auch wenn die Nachrichten verschlüsselt verschickt werden – sie werden unverschlüsselt auf den Benutzergeräten gespeichert. Hat ein*e Angreiferin also Zugriff auf das Smartphone, kennt er*sie auch die komplette Chathistorie.

Die Authentifizierung eines neuen Gerätes via SMS ist hoch gefährlich. Das BKA hat diese Sicherheitslücke laut Medienberichten schon öfter angewendet und unter anderem so die Neonazigruppierung „Old School Society“ aufgedeckt. Das BKA hat einfach für einen Nutzer ein neues Gerät hinzugefügt und dann die SMS zur Bestätigung abgefangen, sodass der Nutzer nichts davon mitbekommen hat. Danach hatte das BKA Zugriff auf alle vorherigen und natürlich auch auf alle zukünftigen Chats.

Die Betreiber und die Unternehmensstrukturen sind dubios:

Telegram wurde von den Brüdern Nikolai und Pawel Durow gegründet, die bereits das meistgenutzte russische soziale Netzwerk Vk.com gegründet hatten. Dieses VK-Netzwerk wird von faschistischen und nazistischen Gruppierungen auf der ganzen Welt zur Vernetzung und Propaganda benutzt. Zwar sind die Brüder an VK nicht mehr beteiligt, jedoch arbeiten Mitarbeiter von Telegram wohl im gleichen Gebäude wie die Kreml-nahen VK-Mitarbeiter.

Die Gründer behaupten, die Telegram-Betreiber seien ein unabhängiges Non-Profit Unternehmen in Berlin. Allerdings gibt es auf der Website kein Impressum und Recherchen haben ergeben, dass es in Berlin keine Adresse für das Unternehmen gibt. Gefunden wurden nur Briefkasten-Firmen, z.B. auf den Seychellen.

Es ist also nicht bekannt, wer die Server, auf denen so viele private Informationen dauerhaft gespeichert werden, betreibt.

Versuche also, alle Daten von den Telegram-Servern zu löschen:

Lösche alle Chats und bringe auch alle Chatpartner*innen dazu, die Chathistorie vollständig zu löschen. Angeblich werden diese dann auch vom Server der Betreiber gelöscht.

Sichere dir dein Telefonbuch z.B. auf deinem PC oder in einem Cloudspeicher ab und lösche es dann von deinem Smartphone. Angeblich werden die Kontakte dann auch vom Telegram-Server entfernt.

Lösche deinen Account bei Telegram und deinstalliere die App von deinem Smartphone. Nun kannst du dein Telefonbuch wieder auf dein Smartphone laden.

Wechsel den Messenger! Conversations z.B. kann man sogar unabhängig von der Telefonnummer benutzen.

13 thoughts on “Warum du den Messenger Telegram auf keinen Fall benutzen solltest”

  1. Unterschied zu Signal etc.

    1) Signal verschlüsselt alle Nachrichten Ende zu Ende bei gleichzeitiger Funktion von Desktop Client. (Hier wäre sogar WhatsApp sicherer als Telegram.

    2) Signal speichert lediglich den Zeitraum der Accountgenerierung und des letzten Kontaktes zum Server. Siehe https://signal.org/bigbrother/eastern-virginia-grand-jury/

    Da es (kostenlose) anonyme wegwerfnummern zu Haufe gibt, stellt Signal wohl die beste Abwägung aus Sicherheit und Nutzbarkeit. Wer in noch sensibleren Bereichen arbeitet muss wohl Jänner mit OTR Funktionalität nutzen und einige Zusatzregeln beachten.

  2. Also was die Fragen nach den Quellen angeht, so habt ihr natürlich recht. Wir hatten den Text zuerst auf Papier veröffentlicht und da war schlicht und ergreifend kein Platz für Quellenangaben. Wir werden diese noch nachreichen! Aber mal so: das Meiste findet ihr auf wikipedia.

    Was die dubiosen Strukturen angeht und woher wir dann glauben was wissen zu wollen: Wer soviele persönliche Daten sammelt, sollte transparent mit dessen Speicherung und Weiterverwendung angehen. Das machen die Telegram-Betreiber absichtlich nicht. Und das kritisieren wir. Wir legen einen hohen Maßstab an Datensicherheit an und so lange wir von einem zentralistisch agierenden Anbieter nicht wissen, was damit passiert, so lange müssen wir davon ausgehen, dass die Daten nicht sicher sind. Das alles gespeichert wird ist ein Gerücht, ja. Aber das kann jede*r selbst nach recherchieren.

    Zu „Das ist alles nicht neu, wo ist der Unterschied zu Signal etc.“: Wir verweisen am Ende des Artikels nicht zufällig auf Conversations/Chatsecure. Die Kritikpunkte sind bei den meisten Instant-Messengern die gleichen und wir werden sie auch noch hier in einem Artikel veröffentlichen. Auch für uns ist das Thema nicht neu, auch wir diskutieren darüber seit Jahren. Aber für einige Leute ist es neu, die kennen die Kritik noch nicht. Und es gibt auch einige Leute, die sich nicht gleich nen Informatik-Vortrag rein ziehen wollen, sondern einfach nur wissen wollen „kann ich diesen bestimmten Messenger nutzen oder nicht“. Und an diese Leute richtet sich unser Artikel dazu.

    Metadaten: Jo, es gibt aber Möglichkeiten der sicheren Kommunikation, die bis zu einem bestimmten Maße anonymisiert bzw. pseudonomysiert ist. Daher unsere Empfehlung für Conversations ( wo man z.B. unabhängig von der eigenen Telefonnummer miteinander chatten kann).

    Und zu Xabber: Frisst den Akku, haben wir daher verworfen.

  3. Hej,
    könnt ihr den Artikel vielleicht um Links oder andere Quellenangaben ergänzen? Das würde es wesentlich leichter machen, Nachfragen zu klären und Unklarheiten oder Spekulationen zu vermeiden.
    Dieser Teil zum Beispiel:
    «Wenn du deine Telefonnummer wechselst und deine alte neu vergeben wird, erhält der neue Besitzer deiner alten Nummer Zugriff auf dein Telegram-Profil und auf deine Chathistorie.»

    Eine Kontaktmöglichkeit zu euch anzugeben, wäre auch richtig gut.

    Vielen Dank!

  4. Woher weiß Autor*in, der/die nichts über die Firma ausfindig machen kann und die propietäre Software sowie die Server nicht einsehen kann, dass
    – alle Daten auf dem Server gespeichert werden
    – alle Daten, die man löscht auch auf Servern wieder gelöscht werden?

    Ratlos…

  5. Sorry aber der Artikel hier bringt halt fast überhaupt nichts. Der Titel ist viel zu reißerisch. Wo ist der Unterschied zwischen Signal, Whatsapp, Telegram und anderen Clients? Warum ist gerade Telegram jetzt das „Übel“? Die Kritik kommt mir da einfach zu kurz. Das Software die zentral und nicht open ist, blöd ist sollte nicht am Beispiel Telegram festgemacht werden, sondern generell und gesondert thematisiert werden. Und ja, irgendwelchen ominösen Russen gehört das – na und? Sind die unseriöser als Zuckerberg oder andere IT-Dienstleister? Und dann am Ende wirds richtig absurd. „Angeblich“ würden die Chats gelöscht werden – das steht im Kontrast zu dem am Anfang aufgebauten Misstrauen ggü. Telegram. Also werden sie es oder nicht? Wenn Telegram Daten auf seinen Servern speichert, werden die sicherlich gelöscht werden, wenn ich lokal auf dem Handy meinen Verlauf lösche … so funktioniert das glaube ich auch mit der Vorratsdatenspeicherung, oder? Dann das Nächste: ihr ratet den Menschen ihr Telefonbuch in die Cloud zu sichern? Wo ist denn da der Unterschied zu dem was Telegram macht? Und dann wieder dieses „angeblich“ …
    Am Ende dann der lapidare Hinweis auf Conversations.

    Weder Conversations noch XMPP werden menschliches Verhalten sicherer machen und da liegen nunmal die größten Fehler. Weder Conversations noch XMPP werden dein Handy sicherer machen wenn es von Cops ausgewertet wird oder abgehört wird (Softwarewanze auf dem Gerät!). Sollten wir nicht lieber daran arbeiten, dass Menschen begreifen das man nicht alles über sein Smartphone machen muss, statt ihnen irgendwelche Tools schlecht zu reden oder andere anzupreisen? Im Sinne der Aufklärung wäre es langfristig für uns wesentlich sinnvoller, wenn Menschen die Ideologie hinter Technologie verstehen und sich selbst reflektieren statt weiterhin Konsument und Untertan des Systems (aber mit sicherem Conversations!) zu sein!?

    Also aus meiner Sicher gibts solche Projekte wie dieses hier schon zu genüge. Es fehlt der gewisse Anspruch – alles andere wurde schon vor 5 Jahren diskutiert.

    Noch etwas: Euer Logo stellt meiner Meinung tatsächlich sehr gut die Vorstellung von Internet und Technik in der Gesellschaft dar. Wenigstens das ist gelungen.

  6. „Alle Nachrichten, Videos, Bilder etc. die darüber verschickt werden, werden im Klartext auf den Servern des Betreibers dauerhaft gespeichert.“

    Nur außerhalb Geheimer Chats. Man muss halt zwischen Bequemlichkeit (auch am Desktop chatten) und Sicherheit selbst wählen.

    „Wenn du deine Telefonnummer wechselst und deine alte neu vergeben wird, erhält der neue Besitzer deiner alten Nummer Zugriff auf dein Telegram-Profil und auf deine Chathistorie.“

    Falsch, standardmäßig werden nach einem Jahr Inaktivität alle Daten gelöscht (auf Wunsch auch schon nach einem Monat)

    „Die Authentifizierung eines neuen Gerätes via SMS ist hoch gefährlich. Das BKA hat diese Sicherheitslücke laut Medienberichten schon öfter angewendet und unter anderem so die Neonazigruppierung „Old School Society“ aufgedeckt.“

    Man hat aber die Möglichkeit ein Passwort als zusätzlichen Schutz einzusetzen. Also auch hier muss man halt selbst mitdenken.

    Der Rest ist tatsächlich etwas bedenklich, wobei die dubiose Struktur des Unternehmens den Ermittlungsbehörden das Ganze auch ein wenig erschweren dürfte.

    Ergänzen ließe sich außerdem, dass viele Metadaten wohl nicht verschlüsselt und daher mitgelesen werden können.

  7. Haben sie irgendwelche Quellen bezüglich Ihrer Informationen?

    Besonders zu:
    „Alle Nachrichten, Videos, Bilder etc. die darüber verschickt werden, werden im Klartext auf den Servern des Betreibers dauerhaft gespeichert.“
    Und zu:
    „Die verwendete Hashfunktion wurde von der NSA entwickelt und gilt mittlerweile als gebrochen – also unsicher!“

    Vielen Dank!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.