c't 3003: Warum man Telegram für persönliche Kommunikation nicht benutzen sollte
Viele halten Telegram für sicherer als WhatsApp. c't 3003 erklärt, warum das Quatsch ist.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
- Jan-Keno Janssen
Telegram wird häufig als sicherere Whatsapp-Alternative beworben. Warum das völliger Humbug ist, zeigt das c't-3003-Video.
Transkript des Videos:
In diesem Video gebe ich euch mindestens einen sehr guten Grund, warum Telegram definitiv unsicherer ist als andere Messenger. Ich versuche das Ganze so einfach und verständlich wie möglich zu halten. Und ich gebe euch natürlich auch Empfehlungen, was ihr stattdessen benutzen solltet.
Ich habe bei c't in den letzten Jahren schon mehrere sehr ausführliche Messenger-Tests gemacht und habe dabei mehrere Sachen gelernt: Messenger haben sehr laute Fan-Girls und -Boys, man kriegt also grundsätzlich in Kommentaren aufs Maul, wenn man irgendwelche bewertende Aussagen macht. Außerdem habe ich gelernt: Irgendwie wollen alle weg von Whatsapp, aber am Ende klappt's nicht wegen Opa, Tante oder Handarbeitsgruppen-Freunden. Und noch eine wichtige Erkenntnis: Will man alle Messenger im Detail und objektiv vergleichen, kann man sich dafür mehrere Wochen eingraben und bekommt dann sehr, sehr viele Ergebnisse – und hat dann immer noch nicht die wirklich essenziellen Unterschiede herausgearbeitet. In diesem Video mache ich es deshalb mal anders als im c't Magazin: Ich fokussiere mich nur auf die grundsätzlichen Unterschiede und grabe mich nicht in funktionale Details ein. Wer dennoch im Klein-Klein die Funktionen vergleichen will, kann jetzt auf Pause drücken: Hier ist die komplette Tabelle aus unserem Messenger-Test in c't-Ausgabe 8/2021 -- das ist ein paar Monate her, es könnten sich kleine Details verändert haben, aber nichts Grundlegendes.
In diesem Video werde ich auf Telegram, Signal, Whatsapp, Facebook Messenger und Threema eingehen, weil das hierzulande die populärsten sind. Ja, ich weiß, es gibt auch noch Ginlo, Element beziehungsweise Matrix, Wickr, Wire und andere Messenger -- aber wir konzentrieren uns auf diejenigen, die zumindest ansatzweise das Potenzial haben, das Quasi-Monopol von Whatsapp zu brechen. Weil ist ja klar: Der tollste Messenger bringt nix, wenn es niemanden zum messengen gibt.
Und damit wir uns die Arbeit leicht machen können, fange ich mal mit einem ganz grundsätzlichen Argument an: Jeder Messenger, der sich über die Ausspielung von personalisierter Werbung finanziert; fällt für mich raus – einfach, weil Messenger für sehr intime und persönliche Kommunikation eingesetzt werden und sich das für mich einfach mit Werbung beißt. Vor allem, weil es ja Alternativen gibt. Der Facebook Messenger hat sich damit also schon mal disqualifiziert – nicht nur wegen der Werbung, sondern auch weil der Facebook-Mutterkonzern Meta in den letzten Jahren von allen Silicon-Valley-Riesenfirmen wohl mit den meisten problematischen Praktiken aufgefallen ist.
Auch Whatsapp gehört zu Meta beziehungsweise Facebook, allerdings eiert Whatsapp seit Ewigkeiten sehr seltsam rum, was Werbung angeht. Seit Jahren heißt es, man will mit Werbung anfangen, hat das aber immer noch nicht so richtig getan. Ebenfalls intransparent: Welche Daten fließen wo hin? Von Instagram zum Quest-VR-Headset zu Whatsapp und zurück? Nicht nur das Bundeskartellamt hat deshalb eine Untersuchung eingeleitet, auch Datenschutzbeauftragte im ganzen Land kritisieren Whatsapp. Also: Von c't 3003 gibts definitiv keine Rose für Whatsapp oder Facebook Messenger.
Bleiben Telegram, Signal und Threema. Gerade Telegram habe ich jetzt in letzter Zeit häufig als sicherere und bessere Alternative zu Whatsapp erwähnt gehört. Spoiler: AUF GAR KEINEN FALL IST DAS SO. Erstmal disqualifiziert meine gerade schon erwähnte Keine-Werbung-in-Messengern-Regel Telegram, denn seit kurzen gibt es bei Telegram nämlich erstmals Anzeigen. Erstmal nur in Kanälen mit über 1000 Abonnenten, nicht in der 1:1-Kommunikation, aber trotzdem. Immerhin will Telegram keine Nutzerdaten auswerten, sondern nur die Themen der Channel -- also, wenn es in einem Kanal um Gesundheit geht, gibts Werbung für Impfungen. ["LOL" einblenden.] Was dabei ein bisschen peinlich ist: Telegram schreibt in er FAQ: "Hinzu kommt, dass Telegram kein Messenger ist, um Gewinn zu erzielen. Kommerzielle Interessen werden also niemals unserem Anliegen, einen Messenger für alle anzubieten, im Wege sein."
So, jetzt aber das Killerargument gegen Telegram: Anders als alle hier bislang erwähnten Messenger sind Nachrichten in Telegram nicht standardmäßig Ende-zu-Ende verschlüsselt. Was das ist? Ganz einfach eigentlich: Jede Nachricht, die ich auf meinem Gerät schreibe, wird dort verschlüsselt und macht sich dann verschlüsselt auf die Reise durchs Internet -- wird sie irgendwo abgezapft, kann man sie nicht lesen. Entschlüsselt wird sie erst da, wo sie ankommen soll, nämlich auf dem Gerät der Person, für die die Nachricht bestimmt ist.
Telegram kann zwar Ende zu Ende verschlüsseln, man muss das aber manuell einschalten und es hat dann auch ganz viele Nachteile: Zum Beispiel klappt die Verschlüsselung nicht in Gruppen und die verschlüsselten Nachrichten tauchen auch gar nicht in der Telegram-Browser-Webapp auf – ich kriege das also im Zweifel gar nicht mit, wenn ich gerade am Rechner sitze (da gucke ich ja nicht aufs Handy).
Das bedeutet also im Umkehrschluss: Eine undefinierbare Menge von Menschen kann theoretisch die Kommunikation von normalen Nachrichten in Telegram mitlesen. Telegram sagt das durch die Blume auch in der FAQ: Auf die Frage "Was ist, wenn ich paranoider als normale Nutzer bin?" heißt es: "Telegram bietet besonders geheime Chats, welche auf einer Ende zu Ende-Verschlüsselung basieren und keine Spuren auf unserem Servern hinterlassen." Sprich: Alle nicht geheimen Chats hinterlassen Spuren auf den Telegram-Servern. Und zwar nicht zu knapp, schaut mal hier: Ich habe jetzt gerade eben den Telegram-Desktop-Client frisch installiert -- so, und jetzt logge ich mich mit meiner Telefonnummer ein; und zack, habe ich sofort Zugriff auf jeden Chat und jedes jemals gesendete Foto. Ich kann hier unter "Einstellungen / Erweitert / Daten exportieren" alles herunterladen, was Telegram so an Kommunikation von und mit mir auf den Servern hat. Bäm – das sind lockere 5,8 GByte, ich benutze das schon ein bisschen länger.
Das Ding ist: Diese Server-Speicher-Funktion macht Telegram wahnsinnig praktisch, ich muss nicht wie bei den anderen Messengern mit irgendwelchen Backups herumhantieren, die dann auch zum Beispiel nicht zwischen Android und iOS austauschbar sind -- sondern das ist alles auf dem Server und sofort da, auch wenn mir mein Handy versehentlich in den Mixer fällt. Allgemein ist Telegram Usability-mäßig mein Lieblings-Messenger; man kann zum Beispiel superschnell Umfragen machen, Bots basteln, das ist alles total super. ABER: Das Ding ist sicherheitsmäßig ein absoluter Albtraum, weil halt wirklich alles irgendwo lesbar auf Servern liegt. Telegram verwendet zwar eine Transportverschlüsselung, also so, dass die Daten auf ihrer Reise hin und her niemand so leicht abschnorcheln kann; aber sie liegen halt so auf Servern, auf die Telegram oder andere Menschen Zugriff haben. Um das Problem drückt sich Telegram in der FAQ auch wortreich herum; da ist dann die Rede von "unterschiedlichen Schlüsseln und Servern in unterschiedlichen Ländern und mehreren Gerichtsbeschlüssen".
Das Ding ist aber halt: Wäre das Zeug einfach konsequent Ende zu Ende verschlüsselt, wie das bei allen anderen relevanten Messengern einfach Standard ist, könnten die Server sogar allesamt beschlagnahmt werden; man könnte mit den Daten nichts anfangen, weil hart verschlüsselt. Tja, bei Telegram halt nicht. Und ja, wie schon gesagt, ich weiß, dass es die manuelle Funktion für geheime Chats gibt. Aber die geht zum Beispiel in dem von mir vor allem genutzten Szenario nicht, nämlich in Freunde-, Familie- und Nachbarschaftsgruppen. Und wer hätte es gedacht: Sogar WhatsApp, was ja aus etlichen Gründen zurecht als problematisch gilt, verschlüsselt Gruppenchats standardmäßig.
Also zum Abschluss zu Telegram: Das ist ein sehr komfortabler Messenger, der aber tunlichst nicht für private, intime Dinger verwendet werden sollte. Sondern vielleicht zum Verabreden für Pokemon Go oder über für ein bisschen Smalltalk... Äh, ok, also mit den diversen Kanälen fang ich vielleicht besser gar nicht an. Ich will mich hier auf die technischen Aspekte konzentrieren.
Bleiben also noch Signal und Threema: Die verkaufen beide keine Werbung und keine Nutzerdaten, sind sauber Ende-zu-Ende-verschlüsselt – beide kriegen auf jeden Fall das c't-3003-Gütesiegel. Signal ist kostenlos (das finanziert sich über Spenden), Threema kostet 3,99 Euro. Weil es (leider) erstaunlich viele Menschen gibt, die für Software nicht bezahlen wollen und deshalb nicht mal eine Zahlungsquelle im App-Store hinterlegt haben, traue ich Signal das größere Verbreitungspotenzial zu; wenn ich eines von beiden empfehlen müsste, würde ich mich deshalb für Signal entscheiden. Edward Snowden übrigens auch, und der kennt sich ja ein bisschen mit IT-Sicherheit aus.
Signal läuft seit den letzten Updates RICHTIG geschmeidig; es hat alle Features, die ich mir von einem Messenger wünsche und ja, das ist auch der Kommunikationskanal, den das 3003-Team für die Videoplanung hier verwendet. Hardliner kritisieren bei Signal häufig, dass US-amerikanische Server genutzt werden. Aber das halte ich für nicht sonderlich problematisch, weil ja alles Ende-zu-Ende verschlüsselt ist. Das einzige, was ich mir noch wünschen würde: Dass der Account nicht zwingend an die Telefonnummer geknüpft ist. Das kann Threema besser. Aber wie schon gesagt: Signal oder Threema – kann man beides gut benutzen, von den anderen sollte man versuchen, wegzukommen. Zumindest, wenn ihr darüber wirklich privat kommunizieren wollt.
c't 3003 ist der YouTube-Channel von c't. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t magazin. Redakteur Jan-Keno Janssen und die Video-Producer Johannes Börnsen und Şahin Erengil veröffentlichen jede Woche ein Video.
(jkj)