Aktualisierungen im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy Handbuch

Telegram bietet viele Social Features und ist als "zensurresistente Twitter Alternative" populär geworden (z.B. bei Protesten in Hongkong und Belarus 2020). Für vertrauliche Kommunikation ist Telegram eher weniger geeignet als Signal App oder Threema aber für den kleinen "Hausgebrauch" besser als WhatsApp, wenn man einige Hinweise beachtet.

Telegram ist kostenlos nutzbar. Entwicklung und Betrieb wurden bisher aus dem Vermögen von Pavel Durov finanziert. Aber das Vermögen von P. Durov ist nicht unendlich und Telegram versucht, mit Premium Features eigene Einnahmen zu erwirtschaften, um die Unabhängigkeit zu sichern.

Im deutschen Mainstreams werden oft zwei unterschiedliche Varianten von Telegram beschrieben, die schwer zu unterscheiden sind. Das "gute" Telegram steht nur in Diktaturen wie Belarus, Iran o.ä. für Oppositionelle zur Verfügung, um regierungskritischen Protest zu artikulieren. In Deutschland gibt es leider nur das "böse" Telegram, dass von Regierungskritikern verwendet wird, um…


Die Registrierung eines Account erfordert ein Smartphone mit der orginalen Telegram App vom Anbieter (kein Open Source Klone für die Registrierung) und eine Telefonummer, die eine SMS empfangen kann. Diese Telefonummer wird zur Account-ID! Es muss nicht die Telefonnummer sein, die zu dem Smartphone gehört. Aber es sollte ein Nummer sein, die man selbst kontrolliert.

Bei fragment.com kann man eine +888-… Telefonummer als Telegram-ID kaufen und mit der Kryptowährung TONS bezahlen. Besonders einprägsame Nummern werden versteigert. Eine zufällige +888-… Nummer bekommt man für 9 TONS. Diese Nummern werden nicht via SMS verifiziert.

Die versprochene "Anonymität" der +888-… Nummern sollte man nicht überbewerten. Sie gilt nicht gegenüber dem Betreiber, da Telegram auch die IP-Adressen während der Nutzung speichert (und an Behörden weitergibt). Außerdem müsste man für starke Anonymität alle Transaktionen in der Kryptowährung TONS anonymisiert durchführen, was aufwendig ist.


Nach der Registrierung kann man einen pseudonymen Benutzernamen festlegen und außerdem die Anzeige der eigenen Telefonnummer beim Gegenüber verbieten.

Man kann das Pseudonym an Kommunikationspartner weitergegeben statt der Telefonnummer. Das schützt vor Stalking (beim Casual Dating o.ä.) aber es bietet im Gegensatz zu Threema keine Anonymität gegenüber dem Betreiber oder Schutzt vor staatlicher Repression. Die Zuordnung des Pseudonyms zum Account bzw. zur Telefonnummer wird auf Telegram Servern gespeichert.

Da Telegram bei Terrorismusverdacht mit Behörden kooperiert, ist ein pseudonymer Benutzername kein Sicherheitsfeature für politische Aktivisten, die mit staatlicher Verfolgung rechnen müssen.

If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant authorities.

Wenn ein Angreifer eine Vermutung hat, zu welcher Gruppe von Personen ein Pseudonym gehört, könnte er bis zu 1.000 Telefonnummern in sein Adressbuch eingeben. Wenn die Telefonnummer beim Angreifer im Adressbuch steht, wird sie bei ihm auch in Chats unter dem Benutzernamen angezeigt und über die Adressbuch-API kann der Angreifer den Namen herausfinden.


Außerdem sollte man die zweistufige Bestätigung für das Hinzufügen neuer Geräte aktivieren. Damit verhindert man (staatliche) Angriffe, welche die Multi-Device Unterstützung exploiten.

Die zweistufige Registrierung aktiviert man in den Einstellungen unter "Privatsphäre und Sicherheit". Es wird ein zusätzliches Passwort für die Registrierung von Desktop Clients festgelegt. Dieses Passwort sollte man nicht verlieren, da man irgendwann das Smartphone wechseln wird. (Man könnte es in einem verschlüsselten Passwortspeicher wie KeepassXC speichern.) 


Den Zugriff auf das Adressbuch zum Finden von neuen Kontakten kann in den Einstellungen unter "Privatsphäre und Sicherheit" deaktiviert werden und ist DRINGEND empfehlenswert.

Wenn man den Zugriff auf das Adressbuch erlaubt, werden zusammen mit der Telefon­nummer auch die Namen aus dem Adressbuch auf die Telegram Server hochgeladen. Über eine API können Dritte diese Informationen abfragen und es könnte evtl. peinlich sein, wenn Dritte erfahren, dass man irgendwo unter der Bezeichnung "Schnuckel­schneckchen" gespeichert wurde.

A. Navalny hat die inverse Suche nach Namen anhand von Telefonummern im Dez. 2020 demonstriert. Er hat die Telefon­nummer eines Co-Travellers bei einem Telegram Bot eingegeben und als Antwort wurde u.a. "FSB Vladimir Alexandrovich Panyaev" angezeigt - echt peinlich für den FSB.

Eine inverse Suche um den Inhaber einer Telefonnummer zu ermitteln, ist kein besonderes Feature von Telegram sondern auch in Telefonbüchern möglich. Allerdings findet man dort nur Personen bzw. Firmen, die gefunden werden möchten. Gegen die inverse Suche bei Telegram gibt es wenig Schutz und es betrifft nicht nur Telegram Nutzer sondern alle, die ein Telefon oder Smartphone benutzen und einen Telegram Nutzer kennen, der sein Adressbuch dort hochgeladen hat.


Das Einrichten eines Backups wie bei Threema entfällt, da Telegram als Cloud Messenger arbeitet. Die Nachrichten liegen auf den Telegram Servern (und der Betreiber hat Zugriff auf die Chats).

In den FAQ begründet Telegram diese Design Entscheidung. Als Nutzergruppe wird der Massenmarkt anvisiert und diesen Nutzern muss man die Möglichkeit geben, bei Verlust oder Wechsel des Smartphone die Chat Daten wiederherzustellen. Ein (möglicherweise unverschlüsseltes) Backup in der Google Cloud oder iCloud wie bei WhatsApp bis 2018 war für Telegram keine Option. Daher hat sich Telegram selbst als Cloud und Live-Backup als hinreichend vertrauenswürdig definiert.

Features von Telegram

Für 1:1 Chats kann die Ende-zu-Ende Verschlüsselung aktiviert werden (nicht für Gruppen­chats). Um einen "geheimen Chat" zu starten öffnet man einen Kontakt und tippt auf den Menübutton.

Die "geheimen Chats" werden nicht in der Cloud gespeichert sondern (unverschlüsselt!) auf dem Smartphone. Die unverschlüsselte Speicherung von verschlüsselter Kommunikation ist seit Jahren als "Mannings Bug" bekannt. Ein Angreifer mit physischem Zugriff auf das Smartphone kann die geheimen Chats auslesen. Elcomsoft oder Cellbrite liefern die nötigen Tools.

In einigen Blogs (z.B. bei [Mer]Curius) wird behauptet, das Telegram eine selbstentwickelte Krypto einsetzen würde. Das ist Bullshit. Telegram verwendet RSA2048, SHA256 und AES-IGE. Der Countermode IGE für AES ist keine Erfindung von Telegram sondern ist seit 2006 in der kryptografischen Literatur beschrieben. AES-IGE wurde entwickelt, um Schwächen von AES-CBC auszubügeln. Das gesamte Protokoll MTProto 2.0 wurde analysiert (PDF) und für gut befunden.


Die Audio- und Videotelefonie ist immer Ende-zu-Ende verschlüsselt. Auch dabei kommt MTProto 2.0 zum Einsatz. Zur Verifizierung der Verschlüsselung werden oben vier Emojis angezeigt. Wenn beide Seiten die gleichen Emojis sehen, ist die Verschlüsselung sicher.

Um in Android 14+ verschlüsselte Telegram Anrufe so einfach annehmen zu können wie normale Telefonanrufe, muss man Vollbildbenachrichtigungen auf dem Sperrbildschirm zulassen. In den Android Einstellungen findet man die Option unter "Apps → Telegram → Benachrichtigungen".


Telegram Gruppen können bis zu 200.000 Miglieder enthalten. Teilnehmer mit Admin Status können mit einem Klick ein Telefonkonferenz mit den Gruppenteilnehmern starten und kontrollieren, wer sprechen darf. Teilnehmer können mit "Handzeichen" auf sich aufmerksam machen.

Es gibt keine Ende-zu-Ende Verschlüsselung für Telegram Gruppenchats. Trotzdem ist das Mitlesen für externe Dritte ohne Unterstützung des Betreibers nicht trivial, wie die Versuche des BKA bei der Infiltrierung rechtsextremer Gruppenchats zeigen.

Hinweis: Wenn man den Zugriff auf das Adressbuch für Telegram blockiert hat, muss man Bekannte zuerst zur Telegram Kontaktliste hinzufügen, bevor man sie in eine Gruppe einladen kann.


Telegram Kanäle sind eines der besondern Social Media Features des Messengers. Man kann diese Kanäle nutzen, um einem breiten Publikum seine Meinung vorstellen oder um Millionen Follower bei Protesten zu informieren. Man ist dabei nicht auf 200 Zeichen beschränkt.

Kanäle können auch Audiostreaming senden, so dass man eine Radiokanal oder Live Talks ähnlich wie bei der Clubhouse App anbieten kann. Die Audiostreams können aufgezeichnet werden.

Im Unterschied zu Gruppen bleiben die passiven Teilnehmer (Leser bzw. Zuhörer) in einem Kanal anonym. Man kann nicht sehen, wer einem Kanal folgt. Nur die Anzahl der Follower wird angezeigt.

Für die steigende Verbreitung der Telegram Kanäle als Social Media Tool zur Mobilisierung von (mehr oder weniger großen) Massen gibt es mehrere Gründe. Ein Grund ist, dass Telegram von Mio. Menschen für die Kommunikation genutzt wird und sie sind mit dem Tool vertraut sind.


Sperrungen/Zensur bei Kanälen, Bots und Gruppen gibt es auch bei Telegram. Der Dienst gilt allgemein als zensur-resistent und ist staatlich schwer kontrollierbar. Es ist aber kein rechtsfreier Raum. Kanäle, Bots und Gruppen werden auf drei Ebenen zensiert, gelöscht oder gesperrt. 

  1. Telegram sperrt jeden Monat 15.000 - 20.000 Kanäle und Bots, die dem Telegram Abuse gemeldet werden und eindeutig als Terror- und Hasspropagenda, Kinderpornografie, Spam oder gefakte Userkennungen eingeordnet werden können.

    Im Jan. 2021 wurden beispielsweise 19.672 Kanäle und Bots gesperrt, im Dez. 2021 waren es 23.082. Tagesaktuellen Zahlen über gesperrte Kanäle werden vom isiswatch bot publiziert.

    Europol vertritt die Einschätzung (2018), dass Telegram sich erfolgreich bemüht, Terror- und Hasspropaganda sowie Aufrufe zu Straftaten zu entfernen.

    Wenn man (zufällig) illegale Inhalte findet, kann man sie mit wenigen Klicks an das Telegram Abuse Team melden. Im Menü oben rechts im Kanal tippt man auf "Melden" und kann danach angeben, warum man den Kanal (oder Bot) meldet.

  2. Google und Apple haben bei den Telegram Apps, die aus dem Play Store oder App Store weitere Möglichkeiten, Kanäle oder Gruppen zu zensieren und machen auch davon Gebrauch. Apple ist z. B. ein bisschen prüde, und sperrt auf den iPhones alles, was pornografisch ist:

    Außerdem werden von Google & Apple Telegram Kanäle und Gruppen in den Smartphones Apps gesperrt, die als Fake News o.ä. klassifiziert werden aber von Telegram als freie Meinungsäußerung eingestuft und nicht gelöscht werden.

    Um diese Sperren in den Smartphone Apps zu umgehen, gibt es mehrere Möglichkeiten:

    • Für Android Smartphones gibt es Telegram FOSS im F-Droid Store und auf der Telegram Webseite ein APK zum Download, in denen Google nichts zensieren kann.
    • Für iPhones gibt es leider keine alternative Apps ohne Apples Zensureingriffe. Einige Eingriffe gelten nur für bestimmte Länder und man könnte es mit einem VPN versuchen.
    • Außerdem könnte man sich auf dem PC oder Laptop Telegram Desktop installieren. Dort können Google und Apple ebenfalls nichts zensieren.

      Nach dem Download und dem Installieren bzw. Entpacken startet man die Desktop App und scannt den QR-Code mit der Telegram App auf dem Smartphone ("Einstellungen - Geräte - Desktop verknüpfen"), um die Desktop App mit dem Smartphone zu koppeln.

      Hinweis: geheime, Ende-zu-Ende verschlüsselte 1:1 Chats kann man nur mit der Smartphone App lesen.

    • Wenn man die Desktop App nicht installieren will, könnte man ein Webinterface von Telegram benutzen. Mit WebK und WebZ gibt es zwei Varianten zur Auswahl.

      Beide Versionen funktionieren nicht mit den empfohlenen Browsereinstellungen für Spurenarmes Surfen und ein Webinterface ist generell weniger sicher als eine Desktop App.

    • Unverschlüsselten Kanäle kann man auch im Browser lesen: https://t.me/s/<Kanalname>.
  3. Staatliche Zensur ist bei Telegram ebenfalls möglich. Dabei kooperiert Telegram mit den Behörden des Landes und sperrt auf deren Wunsch Kanäle, die lokale Gesetze des Landes verletzten, für die Nutzer mit einer Telefonnummer, die mit der jeweiligen Landeskennung beginnt.

    Diese Sperrungen sind seit Feb. 2022 in Deutschland für einige Kanäle des veganen Kochs aktiv und können nicht mit Telegram Desktop, Telegram FOSS oder VPNs umgangen werden.

    Als Grund für die Sperrung der Kanäle des veganen Kochs wurden Morddrohungen genannt. Ok - jeder weiß, wer der vegane Koch ist und wo er sich aufhält. Wenn er für seine Straftaten nicht zur Verantwortung gezogen wird, ist nicht Telegram dafür verantwortlich sondern…

    (Schamhaftes Verstecken der Straftat durch Zensur ist ein Eingeständis der Schwäche und Unfähigkeit des Rechtsstaates bei der Durchsetzung geltenden Rechts.)

    Seit 04. März 2022 sperrt Telegram die Kanäle von russischen Nachrichtenmedien für Nutzer mit Telefonnummern aus der EU aufgrund einer Verordnung der EU.

    Die juristischen Grundlagen für diese Verordnung, die Provider zur Zensur ausländischer Medien zwingt, sind zumindest fragwürdig (nach Meinung von Juristen). Ohne Diskussion im Parlament werden Grundrechte der EU-Menschenrechtscharta und des deutschen Grundgesetzes außer Kraft gesetzt, die einen unzensierten Zugang zu Informationen garantieren sollten.

    (Zentralisierte System sind anfällig für Zensur. Dezentrale Strukturen wären robuster, sind aber kaum populär.)

  4. Vollständige Blockade von Telegram gibt es bisher nur in echten Diktaturen wie Iran, Saudi Arabien, Belarus oder China. Unseren Bundesinnenminnsterin spielt auch gedanklich mit der Möglichkeit, Telegram staatlich zu blockieren, was die Reichweite des Messenger fraglos etwas einschränken könnte aber aus mehreren Gründe eine völlig blödsinnige Idee ist:

    • Man löst gesellschaftlich-soziale Probleme nicht mit der Sperrung eines Messengers.

    • Deutschland und andere EU Staaten haben technisch nicht die Möglichkeiten, Telegram ernsthaft zu stören. Die Technik dafür werden ISPs aus Kostengründen nicht installieren.

    Um eine Blockade von Telegram auf Netzwerkebene in einigen Ländern zu umgehen, kann man ein paar Euro für einen VPN Provider investieren oder man nutzt die in Telegram eingebaute Anti-Zensur Technik MTProxy bzw. SOCKS Proxy. Die Proxys aktiviert man in den Einstellungen unter "Daten und Speicher - Proxy". Eine Liste von MTProxys findet man z.B. im Telegram Kanal MTProtoProxies, den man auch im Browser öffnen kann.


RSS Feeds sind ein Relikt aus der Bronzezeit des Internet aber immernoch praktisch. Man muss nicht ständig die vielen Blogs abklappern, für die man sich interessiert, sondern abonniert die RSS Feeds der Blogs und wird bei aktuellen Veröffentlichungen benachrichtigt.

Es gibt mehrere Möglichkeiten, RSS Feeds in Telegram zu verarbeiten. Die einfachste Methode zum Lesen von RSS Feeds ist es, den Feed Reader Bot zu verwenden. Bei kostenloser Nutzung werden die Feeds alle 3h aktualisiert, für Premium Nutzer alle 20min und bei Elite Nutzern noch schneller.


Telegrams Nearby ist ein Social Feature, das man eher bei Dating Apps wie Tinder vermuten würde. Man kann unter "Kontakte → Leute in der Nähe finden" nach Personen und lokalen Gruppen suchen, die ihren Standort für diese Funktion freigegen haben, um gefunden zu werden.

In den naheliegenden Gruppen bieten fliegende Händler meistens Drogen an und bei den Leuten in der Nähe gehört ein erheblicher Teil zum horizontalen Gewerbe (mein Eindruck aus Berlin).

Wenn man selbst seinen Standort für die Leute in der Nähe freigibt, dann können Leute in der Umgebung auch den Standort ermitteln. Telegram zeigt nur die Entfernung an, aber mittels Triangulation (ein paar Meter nach rechts gehen und dann nach links) kann man den Standort interpolieren. Für Heise.de ist das ein Security Bug aber Telegram kommentierte:

People in the Nearby section intentionally share their location, and this feature is disabled by default. It's expected that determining the exact location is possible under certain conditions.
 

Telegram Bots sind ein weiteres, populäres Feature des Messengers. Ein Bot ist ein Chatpartner, der auf simple Kommando reagieren kann oder automatisiert Informationen liefert. Es ist keine grandiose, neue Erfindung, das gab es schon im letzten Jahrhundert bei IRC, aber aktuell sind Bots vor allem bei Telegram wieder populär geworden.

Ein einfaches, simples Beispiel für eine Demonstration ist der Bot der ARD Tagesschau:

  1. Einen Bot findet man über die Suche nach Kontakten in der Telegram App oder als Link auf Webseiten und man startet einen Chat, wie mit jedem anderen Chatpartner.
  2. /start ist das erste Kommando, das jeder Bot kennt und bei Beginn des Chats ausführt. Es zeigt eine kurze Einführung und am unteren Rand Buttons für weitere Kommandos:
  3. /help ist ein weiteres Kommando, das jeder Bot kennen muss und dass man ihm immer schicken kann, wenn man nicht weiter weiß: Dieser einfache Bot versteht also die Kommandos "/news", "/push" und "/feedback", die unter der Hilfe auch als Buttons angeboten werden, damit man sie nicht abtippen muss.

Der Bot der ARD Tagesschau ist ein sehr einfaches Beispiel. Es gibt wesentlich ausgefeiltere Bots, die komplette Shopsysteme emulieren inklusive Auswahl aus den Angeboten, Bewertung der Verkäufer, Bezahlung usw. In den Shops kann man auch Dinge finden, die illegal sind (Drogen, gefälschte Dokumente, Waffen…) man muss nur suchen und darf nicht auf Fakes hereinfallen.

Es bildet sich ein neues Darknet ähnlich wie bei den illegalen Marktplätzen auf Tor Onion Services, welches allerdings auch zukünftig von der Policy der Telegram Betreiber abhängig ist. 

Die Sicherheit illegaler Handelsplätze für Drogen oder Waffen ist bei Telegram wesentlich geringer als im Darknet (beispw. Tor Onion Services), da ein zentraler Ansprechpartner als Betreiber existiert, der bei echter Kriminalität durchaus mit der Strafverfolgung kooperiert.

Im Okt. 2020 wurden mehrere Chat Kanäle der Drogenszene mit mehr als 8.000 Nutzern vom BKA über­nommen. Die Chatverläufe konnten analysiert werden, es gab mehrere Festnahmen. Danach hat das BKA folgende Seite in den übernommenen Kanälen anzeigen lassen:


Telegram Passport wurde 2018 als Ende-zu-Ende verschlüsselter Cloud Speicher eingeführt. Man kann Dokumente hochladen (Ausweis­kopie, Führer­schein… o.ä.) Diese Dokumente können von einem Web­dienst angefragt werden und der Nutzer hat die Möglichkeit, die angeforderten Daten mit wenigen Klicks via Telegram zu verschicken. (In Deutschland ist das ein eher unüblicher Vorgang.)

Außerdem kann Telegram Passport als Identity Provider für den Login genutzt werden: