Telegram

Telegram gewährt teilweise Anonymität/Pseudonymität und kontrolliert die erstellten Gruppen i.d.R. nicht. Daher sind Querdenker, Rechtsradikale und andere unangenehme Zeitgenossen dort gerne unterwegs und verbreiten alternative Fakten.

• Telegram has a Nazi problem 🇬🇧 (Rest of World, 1/2021)
  "Telegram wurde entwickelt, um pro-demokratische Aktivisten zu unterstützen, aber laxe Inhaltsrichtlinien haben es zu einer Anlaufstelle für Extremisten gemacht."

Telegram bietet minimalen Datenschutz, da dem Betreiber sämtliche Vor- und Nachnamen, Telefonnummern und sonstige Metadaten bekannt sind. In der Vergangenheit wurden diese mutmaßlich nicht weitergegeben.

Wenn Du Dein Adressbuch für Telegram freigibst, und Dich mit einem anderen Gerät (z.B. Telegram Desktop) in Telegram anmeldest, erhält dieses Gerät auch dein komplettes Adressbuch. Dieses ist im Klartext auf den Telegram-Servern gespeichert und kann daher auch von den Betreibern eingesehen werden.

Es gibt Transport- und Ende-zu-Ende-Verschlüsselung. Telegram ist zwar transportverschlüsselt mit TLS, aber leider nur E2EE wenn Du einen 1:1 Chat aufmachst und verschlüsselst, der dann aber auch nur auf dem Handy funktioniert. Verschlüsselte Gruppenchats sind (Stand 1/2021) nicht möglich.

Signal oder Threema sind daher besser, da diese Messenger standardmäßig sowohl Direktchats mit Einzelpersonen als auch Gruppenchats mit Ende-zu-Ende-Verschlüsselung absichern. Matrix bietet die Möglichkeit zur Verschlüsselung von Gruppenchats ebenfalls, diese muss aber aktiviert werden.

Die End-to-End-Verschlüsselung von Telegram ist mit einem selbst entwickelten symmetrischen Verschlüsselungsprotokoll namens MTProto umgesetzt. Dieses hat einige Kritiker, da Seitenkanalangriffe im Bereich des Möglichen liegen und es sicherere Verfahren gibt, die keine Eigenentwicklungen sind. Die Implementierung von MTProto bietet weitere Fallstricke.

• Security Analysis of End-to-End Encryption in Telegram (Lee, Choi, Kim and Kim, 2017)
  "Es gibt viele fragwürdige Entscheidungen beim Entwurf des kryptografischen Protokolls, z. B. SHA-1, dessen Kollisionen bereits 2005 festgestellt wurden, angepasste KDF¹, nicht standardisierter Padding-Algorithmus und der IGE-Modus, der keine Authentizität bietet."
• On the CCA (in)security of MTProto (Jakobsen, Orlandi. 9/2015)
  "Unsere wichtigste Entdeckung ist, dass das in Telegram verwendete symmetrische Verschlüsselungsverfahren - bekannt als MTProto - nicht IND-CCA-sicher² ist, da es möglich ist, jeden beliebigen Chiffretext in einen anderen Chiffretext zu verwandeln, der die gleiche Nachricht entschlüsselt."
• Telegram App Store Secret-Chat Messages in Plain-Text Database (Zimperium, 2015)
• Why the MProto encryption challenge terms are ridiculous (Moxie Marlinspike, 2013)

Der Quellcode für den Telegram-Client ist unter telegram.org/apps verlinkt und auf Github veröffentlicht.

Der Code für den Server ist allerdings nicht veröffentlicht. Man kann Telegram (Stand 1/2021) mit offiziell veröffentlichtem Quellcode nicht auf einem eigenen Server betreiben.

Pawel Walerjewitsch Durow hat unter Anderem einen Abschluss in psychologischer Kriegsführung und Propaganda an einer russischen Universität. Er hat das soziale Netzwerk VKontakte mitentwickelt und geführt, ist allerdings nicht mehr Teil des Unternehmens.

Er lebt außerhalb Russlands und hat anscheinend keine Intention, wieder zurückzukommen.

• Deswegen ist Telegram keine Alternative zu Whatsapp – Signal und Threema aber schon (SWR3, 1/2021)
• Telegram: »Sicherheit« gibt es nur auf Anfrage (Mike Kuketz, 3/2020)
  Vor- und Nachteile auf einen Blick:
  • Positiv:
    • Über Telegram Web-Version kann über einen Browser (am Desktop) gechattet werden
    • Austausch von Nachrichten ist ohne die Preisgabe einer Telefonnummer möglich
    • Vollständig ohne Google-Konto bzw. proprietäre Google-Bibliotheken nutzbar
    • Verschlüsselte Sprachanrufe möglich (keine Video-Telefonie)
    • Client ist quelloffen und der Quellcode damit einsehbar
  • Negativ:
    • Standardmäßig ist die Ende-zu-Ende-Verschlüsselung für Chats nicht aktiv und für Gruppen-Chats sogar überhaupt nicht vorgesehen
    • Kaum Angaben zur Speicherung und den Umgang mit Metadaten
    • Serverseitige Infrastruktur ist nicht quelloffen bzw. Open-Source
    • Datenschutzerklärung lediglich in englischer Sprache verfügbar
    • Attraktiv für Strafverfolgungsbehörden und Geheimdienste, da »normale« Nachrichten und auch die Verknüpfung zu den Kontakten den Betreibern von Telegram grundsätzlich im Klartext zugänglich sind
    • Speicherung von Kontaktdaten (Telefonnummer, Vor- und Nachname) auf den Telegram-Servern ohne die Zustimmung betroffener Personen
    • Telefonnummer für die Registrierung am Dienst notwendig
    • Nachrichten werden unverschlüsselt auf dem Gerät gespeichert
    • Beinhaltet laut Exodus zwei Tracking-Dienste (Google Firebase Analytics, HockeyApp), die in Apps, bei denen sensible Inhalte ausgetauscht werden, nichts verloren haben
• Telegram: Sicherheit und Datenschutz in der Kritik: Was ist dran? (WinTotal, 5/2019)
• EU setzt Telegram auf Piraterie-Watchlist (Telepolis, 12/2020)