Ein paar Jahre sind nun vergangen, seitdem wir ein Manifest gegen den Messenger Telegram veröffentlichten. Der Artikel erreichte viele Menschen, darunter auch Kritiker*innen unserer Position, der Messenger sei nicht sicher und sollte daher nicht benutzt werden. Nun möchten wir erneut darauf eingehen, warum wir Telegram immer noch nicht empfehlen können. In den drei Jahre unserer Erstveröffentlichung hat sich zwar einiges geändert und nicht alle Kritikpunkte an dem Messenger sind noch aktuell. Aber es gibt immer noch genug Unwägbarkeiten, mit der unsere Position argumentiert werden kann.

Was will Telegram? Die User wissen es nicht

Unser Hauptargument ist, dass die User*innen gar nicht wissen können, wer hinter dem Messenger eigentlich steckt, außer dem Gesicht der Operation, Pavel Durov. Die Webseite von Telegram hat immer noch kein Impressum, keine Adresse ist hinterlegt, es gibt keinen Ansprechpartner. Auch wenn wir niemals Whatsapp empfehlen würden, so wüsste man doch dort zumindest gegen wen man bei Datenmissbrauchsverdacht klagen kann. Wer steckt hinter Telegram und was sind die Interessen dieser Menschen an diesem kostenfreien Service? Wir finden, es sollte einem nicht egal sein, an wen man die eigenen Daten und Netzwerke weitergibt. Selbst wenn ein „GDPR-Bot“ angeblicherweise die Datenanfragen nach der DSGVO umfänglich beantworten soll.

Es ist immer noch nicht alles Open Source

Wir empfehlen Messenger, die komplett Open Source sind, also quelloffen. So können die Sicherheitsversprechen von der Community überprüft und verifiziert werden. Telegram hat nur einen Teil seines Codes veröffentlicht und vertröstet auf der eigenen Webseite in den FAQs seit Jahren, irgendwann wird schon alles veröffentlicht. Die ganzen Sicherheitsversprechen lassen sich also immer noch nicht überprüfen: Wird auf dem Server wirklich nichts gespeichert, wenn man den sicheren Modus (Ende-zu-Ende-Verschlüsselung) aktiviert hat? Keine Ahnung, denn serverseitig ist da gar nichts Open Soure.

Es ist immer noch nicht alles Ende-zu-Ende verschlüsselt

Seitdem Edward Snowden aufgedeckt hat, dass die Regierungen der westlichen Welt die gesamte Online-Kommunikation überwachen, ist das Thema der verschlüsselten Kommunikation bei vielen Menschen wichtig geworden. Gerade für politisch aktive Gruppen und Menschen und Journalist*innen ist eine verschlüsselte Kommunikation sehr wichtig. Wer Telegram benutzt, ist jedoch immer noch nicht auf der sicheren Seite. Standardmäßig wird die Kommunikation zwar vom Client (Smartphone) zum Server verschlüsselt, doch die Serverbetreiber von Telegram können jede Nachricht mit einem Schlüssel wieder entschlüsseln. 

Ende-zu-Ende-Verschlüsselung kann man zwar einstellen, allerdings nicht für Gruppenchats oder Kanäle. Sie funktioniert auch nicht in der WebApp. Die sicheren Kommunikationsmöglichkeiten sind also stark eingeschränkt und die hauptsächlichen Features von Telegram basieren alle auf unverschlüsselter Kommunikation.

Es wird immer noch keine verifizierte Verschlüsselung genutzt

Es existieren sichere, geprüfte Verschlüsselungsarten, nur nutzt Telegram leider keine davon sondern lieber eine Eigene. Das bedeutet auch, dass sie ganz alleine dafür verantwortlich sind, diese sicher zu halten und Sicherheitslücken zu finden und zu schließen. Warum haben sich die Betreiber von Telegram für dieses einzigartige Modell entschieden? Keine Ahnung, aber die Hilfe von anderen wollen sie dann doch und bieten seit neuestem Geld für das Finden und Melden von Sicherheitslücken. Warum so kompliziert, wenn es auch einfach und sicher gehen würde…

Deine Daten werden immer noch auf den Servern gespeichert

Das gesamte Telefonbuch und die nicht verschlüsselten Nachrichten werden auf den Servern gespeichert. Es sind zwar verschiedene Server in verschiedenen Ländern, nur ist das Argument, dass somit nicht gleich auf alle Daten zugegriffen werden kann wohl eher ein Scheinargument. Wenn die Geheimdienste es wollen, bekommen sie auch alle Daten. Sicherer ist es, die Daten gar nicht erst so lange cloudbasiert zu speichern, sondern sie einfach auf den individuellen Geräten zu belassen.

Aber ihr habt auch kein Impressum und außerdem…

Jaja, wir speichern aber auch keine Daten. Blackblogs.org speichert generell keine Daten der Webseitenbesucher*innen. Auch betreiben wir keinen Messenger. Die Quellen für diesen Artikel hier sind übrigens das FAQ von Telegram selbst und der englischsprachige Wikipedia-Artikel bzw. dessen Quellen.

Was kann ich dann benutzen, um sicher zu kommunizieren?

Wir empfehlen die Kommunikation via „Jabber“, das funktioniert dezentral und Ende-zu-Ende-verschlüsselt. Möchtet ihr eine App, die auf Telefonnummerbasis läuft, dann nehmt Signal. Der wird auch von Edward-Snowden empfohlen. Die basteln auch gerade an einem neuen Feature: Der Nutzung von Aliasen anstatt der Preisgabe der eigenen Telefonnummer.