Die Aktualisierungen gibt es als
RSS-Feed  oder im Changelog.

Privacy Handbuch

icon Telegram ist ebenfalls kostenlos nutzbar, Entwicklung und Betrieb werden aus dem Vermögen von Pavel Durov finanziert. Die Standard­einstellungen sind auf maximale Benutzer­freundlichkeit optimiert, sie können aber privacy-freundlicher und sicherer angepasst werden.

Die Registrierung erfolgt mit einer Telefonnummer und erfordert ein Smartphone. Standard­mäßig werden Chats und Gruppenchats nicht Ende-zu-Ende verschlüsselt und Telegram arbeitet als Cloud Messenger. Im Gegensatz zu WhatsApp oder Matrix/Riot werden die Daten aber verschlüsselt gespeichert und die Schlüssel für den Zugriff in verschiedenen Rechen­zentren unter unterschiedlichen Jurisdikationen abgelegt, so dass die Techies keinen Zugriff auf die Daten haben und der Zugriff für Behörden nahezu unmöglich wird.

Nach der Registrierung kann man ein Pseudonym erstellen und muss nur dieses Pseudonym an Kommunikations­partner weiter­gegeben. Die Zuordnung des Pseudonyms zum Account bzw. zur Telefonnummer wird auf einem zentralen Telegram Server gespeichert. Im Gegen­satz zu Threema bietet ein Pseudonym keine Anonymität gegenüber dem Betreiber.

In den Einstellungen zur Privatsphäre kann man die Anzeige der eigenen Telefon­nummer beim Gegenüber verbieten. Das schützt gegen Stalking auf anderen Kanälen und kann ein bisschen Anonymität gegenüber Kommunikations­partnern oder in Gruppenchats bieten. Da Telegram bei Terrorismus­verdacht mit Behörden kooperiert, ist ein Pseudonym kein Sicherheits­feature für politische Aktivisten, die mit staatlicher Verfolgung rechnen.

If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant authorities.

Nach der Registrierung sollte man die zweistufige Bestätigung für das Hinzufügen neuer Geräte aktivieren. Es wurden bereits mehrfach staatliche Angriffe nach­gewiesen, welche die Multi-Device Unterstützung ausnutzten, um unbemerkt Chats mitzulesen, die nicht Ende-zu-Ende verschlüsselt waren. Die zweistufige Registrierung aktiviert man in den Einstellungen unter "Privatsphäre und Sicherheit". Es wird ein zusätzliches Passwort für die Registrierung von Desktop Clients für den Accout festgelegt.

Zweistufige Registrierung aktivieren

Für 1:1 Chats kann eine Ende-zu-Ende Verschlüsselung aktiviert werden (nicht für Gruppen­chats). Diese sogenannten "geheimen Chats" werden ausschließlich auf dem Smartphone gespeichert und nicht in der Cloud. Auch die Schlüssel liegen auf dem Smartphone. Ein Zugriff auf geheime Chats ist von den Desktop Clients oder via Web Client nicht möglich und sie werden beim Wechsel des Smartphones nicht synchronisiert.

Bei Einführung der Ende-zu Ende Verschlüsselung gab es 2013 für das Protokoll MTProto 1.0 viel Kritik von Krypto Experten. Mit dem aktuellen MTProto 2.0 wurden die Mängel beseitig. Die kryptografischen Basisalgorithmen für MTProto wurden nicht vom Telegram Team selbst entwickelt (wie öfters behauptet wird), sondern bereits einige Jahre vor Telegram in der Fachliteratur publiziert und diskutiert. Teilweise verwendet Telegram Kryptoalgorithmen, die seltener genutzt werden. Das betrifft beispielweise die Verwendung von AES mit dem Couter Mode IGE (AES-IGE) statt des häufig bevorzugtem AES-GCM. Aber es sind in der zivilen Kryptoanalyse keine Schwächen für diese Algorithmen bekannt.

Für besonders brisante Nachrichten in geheimen Chats bietet Telegram "selbst­löschende Nachrichten", die nach einer einstellbaren Zeit nach dem Lesen gelöscht werden.

Die Audiotelefonie mit Telegram ist immer Ende-zu-Ende verschlüsselt. Zur Verifizierung der Verschlüsselung werden oben rechts vier Emojis angezeigt. Wenn beide Seiten die gleichen Emojis sehen, ist die Verschlüsselung sicher.

Audio Verschlüsselung prüfen bei Telegram

Für Gruppenchats gibt es keine Ende-zu-Ende Verschlüsselung bei Telegram. Für einen externen Angreifer ist es trotzdem nicht trivial, unverschlüsselte Gruppen­chats zu beobachten. Es gibt zwei Möglichkeiten für einen externen Angreifer:

  1. Der Angreifer könnte dem Gruppenchat mit einem Pseudonym beitreten. (Diese Variante wurde von den Sicherheitskräften in Hongkong oft genutzt.)
  2. Der Angreifer könnte ein zusätzliches Gerät für einen Teilnehmer registrieren, der an einem Gruppenchat teilnimmt und der die zweistufige Bestätigung für das Hinzufügen neuer Geräte nicht aktiviert hat. (Diese Variante wurde vom BKA mehrfach gegen ultra-rechte Gruppierungen eingesetzt.)
Den Zugriff auf das Adressbuch zum Finden von neuen Kontakten ist optional und kann unter "Privatsphäre -> Daten­einstellungen" deaktiviert werden: 
Zugriff auf Adressbuch deaktivieren

Telegram Kanäle sind eines der besondern Social Media Features des Messengers. Man kann diese Kanäle nutzen, um einem breiten Publikum seine Meinung vorstellen oder um Millionen Follower bei Protesten zu informieren. Im Gegensatz zu Twitter ist man dabei nicht auf 200 Zeichen beschränkt und man kann auch anonym gegenüber Dritten bleiben.

(Die Beispiele zeigen wieder einmal den Dual-Use Charakter von Kommunikationsmitteln. Einerseits wünschen sich politische Aktivisten ein Kommunikationsmedium, das nicht staatlich kontrollierbar ist. Anderseits wird dieses Medium dann auch von Gruppen genutzt, die ... ähmm, also ... - oft jenseits der Legalität agieren?)

Für die steigende Verbreitung der Telegram Kanäle als Social Media Tool zur Mobilisierung von (mehr oder weniger großen) Massen gibt es mehrere Gründe. Einerseits wird Telegram von Mio. Menschen bereits für die tägliche Kommunikation genutzt und sie sind mit dem Tool vertraut. Anderseits ist Telegram sehr zensurresistent (technisch und inhaltlich).

Telegram Bots sind ein weiteres, populäres Feature des Messengers. Ein Bot ist ein Chat­partner, der auf simple Kommando reagieren kann oder automatisiert Informationen liefert. Es ist keine grandiose, neue Erfindung, das gab es schon im letzten Jahrhundert bei IRC, aber aktuell sind Bots vor allem bei Telegram wieder populär geworden.

Ein einfaches, simples Beispiel für eine Demonstration ist der Bot der ARD Tagesschau:

  1. Einen Bot findet man über die Suche nach Kontakten in der Telegram App oder als Link auf Webseiten und man startet einen Chat, wie mit jedem anderen Chatpartner.
  2. /start ist das erste Kommando, das jeder Bot kennt und bei Beginn des Chats ausführt. Es zeigt eine kurze Einführung und am unteren Rand Buttons für weitere Kommandos:
    Tagesschau Bot /start
  3. /help ist ein weiteres Kommando, das jeder Bot kennen muss und dass man ihm immer schicken kann, wenn man nicht weiter weiß:
    Tagesschau Bot Einstellungen
  4. Wie in der Hilfe zu sehen ist, bietet dieser Bot ein /push Kommando. Wenn man das Kommando schickt, bekommt man ein Menü zur Verwaltung der Benachrichtigungen.
    Tagesschau Bot Einstellungen

Der Bot der ARD Tagesschau ist ein sehr einfaches Beispiel. Es gibt wesentlich ausgefeiltere Bots, die komplette Shopsysteme emulieren inklusive Auswahl aus den Angeboten, Bewertung der Verkäufer, Bezahlung usw. In diesen Shops kann man auch Dinge finden, die nach dem Betäubungsmittelgesetz illegal sind, gefälschte Dokumente oder Waffen... man muss nur lange genug suchen und darf natürlich nicht auf Fakes hereinfallen. Es bildet sich ein neues Darknet ähnlich wie bei den illegalen Marktplätzen auf Tor Onion Services, welches allerdings auch zukünftig von der Policy der Telegram Betreiber abhängig ist.

Lizenz: Public Domain