Handydisplay mit der App von Telegram
ORF.at/Carina Kainz
Messenger

Mehrfach bedenklicher Telegram-Boom

Dem Messenger-Dienst Telegram haftet seit Jahren ein dubioses Image an, aktuell macht die App vor allem aufgrund ihrer Beliebtheit in verschwörungstheoretischen Kreisen von sich reden. Grund dafür ist mitunter, dass Telegram als besonders sicher gilt – doch das ist laut Sicherheitsexperten ein Trugschluss.

Telegram hatte in den sieben Jahren seit seinem Start viele fragwürdige Labels: Die App gilt als Drehscheibe für Extremisten aller Art, ist laut Studien Rückzugsort für Kleinkriminelle und in ihren tiefen Ecken eine Mischung aus Schwarzmarkt und Raubkopier-Mekka. Andererseits wird Telegram auch in repressiv regierten Staaten für Kommunikation und Protest genutzt, und zahlreiche Userinnen und User vertrauen der App als Alltagsmessenger, weil sie mit besonderer Sicherheit wirbt.

Zuletzt verbreitete sich Telegram nicht unwesentlich, weil die App im Kreis von Verschwörungstheoretikern und Coronavirus-Demos gerne verwendet wird – unter anderem, weil dort den anderen Plattformen Zensur vorgeworfen wird. Im deutschsprachigen Raum ist die Bekanntheit zuletzt gewachsen, weil auch (semi-)prominente Verschwörungstheoretiker wie Xavier Naidoo, Attila Hildmann und Michael Wendler sich auf Telegram zurückzogen, um dort teils höchstgradig krude Thesen unter das Volk bringen – garniert mit Eigenwerbung und zahlreichen Emojis.

Telegram-Gruppe von Attila Hildmann
ORF.at/Carina Kainz
Paradebeispiel für Verschwörungstheorien auf Telegram: Attila Hildmann

Großes Potenzial, kaum Regeln

Dass das so gut funktioniert, liegt an der besonderen Architektur der App. Wer eine Botschaft hat, für den ist Telegram fraglos interessant: Jeder kann einen Kanal gründen und Nachrichten an eine theoretisch unbegrenzte Zahl an Menschen schicken. Auch in geschlossenen Gruppen können immer noch bis zu 200.000 User posten – auf WhatsApp liegt das Limit bei 256. Dazu bietet die App allerhand praktische und lustige Features, angefangen von Videoanrufen bis hin zu einem wahren GIF- und Sticker-Feuerwerk.

Zudem lässt Telegram User weitgehend schalten und walten, wie sie wollen. Das Unternehmen blockiert laut eigenen Angaben – auf öffentlichen – Kanälen nur illegale Inhalte, beispielsweise Urheberrechtsverletzungen sowie terroristische Kanäle. Ansonsten werde man „keinesfalls Nutzer daran hindern, auf friedliche Weise alternative Meinungen zum Ausdruck zu bringen“, heißt es in den F.A.Q. Daher wird Telegram auch bei Pro-Demokratie-Protesten eingesetzt, zuletzt etwa in Hongkong, Weißrussland und Thailand. Dieses Image als Underdog-Plattform wird auch von Telegram und dem milliardenschweren Gründer Pawel Durow aktiv kultiviert – er gilt als russischer Dissident. Mehrere staatliche Versuche der Regulierung von Telegram sind bereits gescheitert.

Experten sehen Verschlüsselungsmanko

Jedenfalls zeigen sich viele Menschen auf Telegram äußerst redefreudig – das wohl auch, weil die App sichere Kommunikation mit viel Privatsphäre verspricht. Doch gerade diese Behauptung wird von Security-Fachleuten immer wieder erheblich infrage gestellt. „Um sich im Internet sicher auszutauschen, wäre eine Ende-zu-Ende-Verschlüsselung der Standard“, spricht Florian Skopik vom Center for Digital Safety & Security des Austrian Institute of Technology (AIT) gegenüber ORF.at einen der großen Kritikpunkte an Telegram an.

Eine solche Verschlüsselung sorgt dafür, dass nur Sender und Empfänger Nachrichten lesen können. Bildhaft gesprochen: Wer dazwischenfunkt, sieht nur Datenmüll, weil er den Schlüssel nicht besitzt. Das gilt auch für den Chat-Betreiber.

Demonstranten in Bangkok
AP/Sakchai Lalit
Auch Pro-Demokratie-Proteste – hier in Thailand – werden über Telegram organisiert

Ende-zu-Ende-Verschlüsselung gilt im Messenger-Bereich de facto als Standard. Doch Telegram setzt eine solche Verschlüsselung nicht grundsätzlich ein – stattdessen muss explizit ein nicht unbedingt offensichtlicher „geheimer Chat“ aktiviert werden, an dem sich nur zwei Personen beteiligen können. Nutzt man diesen „geheimen Chat“ nicht, werden bei Telegram alle Chats, Medien und sogar nicht versendete Nachrichten auf den Servern des Unternehmens gespeichert, wie zuletzt eine Analyse des Magazins Heise Security gezeigt hat. Dadurch können diese auch von Telegram durchsucht und ausgewertet werden, wodurch das Unternehmen leicht personalisierte Werbung schalten könnte.

Schlüssel bleibt bei Telegram

Wie Telegram im Hintergrund tatsächlich verschlüsselt, weiß keiner. Versichert wird aber, dass die Daten auf den Servern sicher sind. Sie würden „in mehreren Rechenzentren rund um den Globus gespeichert, die von verschiedenen juristischen Personen verteilt auf mehrere Gerichtsbarkeiten gesteuert werden“. Die entsprechenden Schlüssel würden zerlegt sowie niemals an derselben Stelle wie die Daten gespeichert, die sie schützen sollen.

Doch die Krux bleibt laut Skopik, dass durch diesen Modus Operandi eben nicht nur Sender und Empfänger Zugriff auf die Daten haben, sondern auch Telegram selbst. Der Schlüssel bleibt immer bei dem Unternehmen, wie es diesen einsetzt, bleibt Telegram überlassen. Der User muss darauf vertrauen, dass mit seinen Daten pfleglich umgegangen wird. Und freilich besteht theoretisch auch das Risiko, dass die notwendigen Schlüssel Telegram abhandenkommen und von Dritten verwendet werden.

Modus ermöglicht komfortable Features

Telegram macht aus der fehlenden Ende-zu-Ende-Verschlüsselung auch keinen Hehl, viel mehr sieht das Unternehmen darin einen Vorteil: Der Verzicht ermöglicht es, dass man auf mehreren Geräten gleichzeitig chatten und große Datenmengen teilen kann, was etwa bei Filesharing eine Rolle spielt. Zudem würde die Ende-zu-Ende-Verschlüsselung als Sicherheitsmaßnahme bei anderen Messengern ohnehin ausgehebelt, wenn von den Chats ein Back-up gemacht werde. Dieses wird etwa bei WhatsApp unverschlüsselt gespeichert, beim Synchronisieren landen sie in Cloud-Services von Firmen wie Google und Apple.

„Sicherheit ist der natürliche Feind der Anwendbarkeit“, so Skopik dazu. Telegram habe sich mit seinem Design für eine bessere Nutzbarkeit, was etwa die gleichzeitige Nutzung eines Accounts auf mehreren Geräten betrifft, und gegen Ende-zu-Ende-Verschlüsslung entschieden, und das sei „aus Security-Sicht durchaus problematisch“. Auch das Design sei nicht auf Sicherheit ausgelegt, andernfalls wäre die derzeit nur optionale Ende-zu-Ende-Verschlüsselung standardmäßig aktiv.

Skopik glaubt aber auch, dass mehr Sicherheit Telegram durchaus in die Bredouille bringen könnte – gerade bei seinem Alleinstellungsmerkmal: „Die großen Gruppenchats haben auch Auswirkungen auf die technische Gestaltung. Eine Ende-zu-Ende-Verschlüsselung wäre zwar möglich, aber es ist einfacher, es so umzusetzen, wie Telegram das derzeit macht.“ Auch die Möglichkeit, zukünftig personalisierte Werbung zu schalten könnte für Telegram ein Motivator sein, die Chats auf den Servern zu speichern.

Messenger will gut gewählt sein

Grundsätzlich empfiehlt Skopik, bei der Wahl des Messengers über die eigenen Anforderungen und die Strukturen im Hintergrund einer App nachzudenken: „Wer sind die Betreiber? Wo stehen die Rechenzentren? Wem gehört die Infrastruktur? Und würde es mich stören, wenn Nachrichten von mir abgefangen würden?“

Als Beispiel nennt er WhatsApp und Signal – die eine App gehört bekanntlich zum kaum kontrollierbaren Konzern Facebook, hinter Signal steht hingegen eine transparent agierende, gemeinnützige Stiftung. Auch bei Telegram bleiben Fragen zu den Akteuren offen – verwiesen wird offiziell nur auf Pawel Durow und seinen Bruder Nikolaj, die sich als „digitale Nomaden“ und Verfechter der Redefreiheit platzieren. Bekannt ist außerdem, dass ein komplexes Firmengeflecht hinter Telegram steht und der Hauptsitz in Dubai ist.

Der Appell des Experten: Nutzerinnen und Nutzer sollten reflektiert über die Wahl des Messengers nachdenken und berücksichtigen, dass Daten einen großen Wert haben. Das gilt gerade jetzt, wo aufgrund von Lockdown und Pandemie noch einmal mehr digital kommuniziert wird. Skopik mahnt etwa dazu, im Homeoffice Vorsicht walten zu lassen, wenn man berufliche Infos über Messenger austauscht.