Oft wird Telegram als die freie alternative zu WhatsApp empfohlen. Auch wenn der Messenger nicht zu Facebook gehört, weist er dennoch sicherheitstechnische und datenschutztechnische Mängel auf. Im folgenden wollen wir zeigen, welche Mängel Telegram hat, und warum wir von dessen Einsatz abraten.

Alle Nachrichten, Bilder und Videos welche über Telegram verschickt werden, werden unverschlüsselt bei Telegram gespeichert. Zudem wird das gesamte Adressbuch des Smartphones mit Telegram synchronisiert und dadurch wird gleich ein ganzes Kontaktnetzwerk offengelegt. Bei einem Wechsel der Telefonnummer werden auch eure ganzen Telegram-Kontakte über eure neue Nummer informiert. Die Daten, die Telegram anhäuft, kann die Firma lesen, auswerten, weiterverkaufen, etc. Was die Firma mit den Daten anstellt, darüber hat der Benutzer keine Kontrolle mehr.

„Aber es gibt doch die Geheimen Chats!“, heißt es oft wenn es um die Verschlüsselung bei Telegram geht. Die Geheimen Chats sind schlecht verschlüsselt. Dies fanden Sicherheitsforscher bereits im Jahr 2015 heraus.¹ Zudem lassen sich in Telegram Gruppen-Chats gar nicht verschlüsseln. Alle Nachrichten liegen unverschlüsselt auf dem Smartphone und können von einem Angreifer direkt auf dem Gerät ausgelesen werden.

Eine Grundvoraussetzung für sichere Software ist, dass der Quellcode öffentlich einsehbar ist. Nur so kann sichergestellt werden, dass sich keine Hintertüren in der Software befinden. Der Quellcode von Telegram liegt beim Client nur zum Teil offen. Der Quellcode des Servers steht gar nicht zur Verfügung.

Das BKA hat im Jahr 2015 auch recht leicht die faschistische Gruppe „Oldschool Society“ (OSS) abhören können.² Sie haben eine SMS mit dem Authentifizrungs-Code für Telegram abgefangen und einem Neonazi unbemerkt ein weiteres Gerät hinzugefügt, somit lagen dann dem BKA alle Chats des Nazis offen. Sensible Daten sollten nie per SMS verschickt werden. Das gilt z.B. auch für TAN-Nummern beim online Banking. SMS sind unverschlüsselt und lassen sich entsprechend leicht mitlesen.

Aber was ist die bessere Alternative? Diese Frage ist nicht so leicht zu beantworten. Smartphones sind generell sehr unsichere Geräte, da kaum Hersteller die Geräte zeitnah und langfristig mit Sicherheitsupdates versorgen. Außerdem forschen sie ihre Nutzer aus, aber dazu vielleicht in einem späteren Artikel mehr.
Conversations hat eine gute Verschlüsselung, ist unabhängig von der Telefonnummer benutzbar, und die Server-Infrastruktur ist dezentral. Somit kann auch kein Staat einfach ein Kommunikationsnetzwerk blockieren, wie es kürzlich im Iran passiert ist.³


Sehr interessant ist auch der Messenger Briar. Dieser hat auch eine gute Verschlüsselung und braucht gar keinen Server. Die Nachrichten werden direkt von Gerät zu Gerät verschickt. Er kann auch Nachrichten ohne Internet verschicken. Das läuft dann über Bluetooth, WLAN, NFC, etc. Wenn z.B. ein Staat das Handynetz, oder gar das Internet abschaltet, besteht weiterhin eine Kommunikationsinfrastruktur. Die Nachrichten werden dann zwischen den Smartphones, auf denen die App installiert ist, weitergeleitet. Zurzeit befindet sich das Projekt noch in der Betaphase, deshalb ist von dessen Verwendung (noch) abzuraten.

-------
1 https://eprint.iacr.org/2015/1177.pdf
2 https://motherboard.vice.com/de/article/53dnv8/bka-telegram-hack-mitarbeiter-gericht-muenchen
3 https://www.heise.de/-3929047