Messenger

Telegram: Ein Messenger, bei dem viele Fragen offenbleiben

4. April 2014
  • Messenger

Weiter geht es in unserer ausführlichen Messenger-Testserie mit Telegram, einer App, die noch recht jung ist und, ähnlich wie Threema, mehr Sicherheit verspricht. Besonders im spanisch-sprachigen Raum ist Telegram sehr beliebt, zumindest zwitscherten die Entwickler das kürzlich. Am 24. März 2014 twitterten die Entwickler außerdem, dass Telegram die 35 Mio. Nutzermarke erreicht hat. Nicht schlecht dafür, dass die App erst vor kurzem das Licht der mobilen Welt erblickt hat – schlecht ist allerdings, dass die App Fragen aufwirft, die sich nicht beantworten lassen.

Telegram: Validierungscode ohne Validierung

Messenger-Test_2Ähnlich wie Threema will Telegram alles, was an WhatsApp positiv hervorzuheben ist, übernehmen und alles negative besser machen. So hat sich die Optik der App sehr an WhatsApp gehalten: Bisherige WhatsApp-User finden sich schnell zurecht. Die App ist offiziell für iOS und Android erhältlich, inoffiziell auch für Windows, Mac, Linux und Windows Phone – teilweise sind die inoffiziellen Versionen noch in der Alpha-/ Beta-Phase. „Inoffiziell“ heißt: Über eine API können Drittanwendungen mit dem Netzwerk kommunizieren. So lässt sich Telegram tatsächlich plattformübergreifend nutzen, und zwar sowohl auf dem Smartphone als auch auf dem Tablet und am Rechner. Das gibt einen dicken Pluspunkt, denn vergleichen wir das mit Threema, ist die Verbreitung von Telegram wesentlich umfangreicher.

Die Installation ist kinderleicht: Auf seiner Website verlinkt Telegram alle Quellen zu offiziellen und inoffiziellen Versionen. Folgen Sie den Anweisungen Ihres App-Stores und schon ist die App installiert. Öffnen Sie die App, werden Sie aufgefordert, Ihre Handynummer einzugeben. Per SMS erhalten Sie postwendend einen Code. Nun geben Sie Ihren Vornamen, optional auch Ihren Nachnamen an. Ihre Namenseingabe können Sie später jederzeit in den Einstellungen ändern. Die App ist eingerichtet, wir starten sie für unseren Test. An dieser Stelle tauchte für uns die erste Frage auf: Wozu haben wir den Validierungscode zugesendet bekommen, wenn wir ihn nirgends eingeben mussten? Die App lässt sich einfach starten, ohne dass eine Eingabe nötig wäre. Nach einiger Recherche im Web finden wir keine Antwort auf diese Frage.

Wer WhatsApp kennt, kennt Telegram

Messenger-Test_3Wäre es möglich, WhatsApp und Telegram aufeinander zu packen, wäre schnell klar: Die beiden ähneln sich optisch wie ein Ei dem anderen. Die Farbgestaltung ist bei Telegram etwas frischer, ansonsten nehmen sich die beiden Messenger nichts. Das gilt auch für die Handhabung: Komplett identisch zeigen sich Kontaktübersicht, Chatansicht und das Starten von neuen Unterhaltungen. Auf der Telegram-Website und in der Twitter-Bio ist zu lesen, dass Telegram die weltweit schnellste Messaging-App sei. Das lassen wir einfach so stehen, ohne die Geschwindigkeit der Nachrichtenübertragung mit anderen Messengern zu vergleichen.

Videos und Bilder können mit einer sehr angenehmen Größe von bis zu 1 GB versendet werden – diese Großzügigkeit fanden wir weder bei WhatsApp noch bei Threema, wo noch immer die Aussage zur maximalen Versandgröße fehlt. Seit dem 21. März 2014 können Sprachnachrichten versendet werden, das Versenden von Dokumenten und dem eigenen Standort sind ebenfalls möglich, Emoticons sind mittlerweile selbstverständlich. Sie können offene und geheime Gruppenchats mit bis zu 200 Mitgliedern führen, Inhalte zwischen verschiedenen Geräten synchronisieren, ähnlich wie bei SnapChat sind sich selbstvernichtende Nachrichten möglich und der Status einer Nachricht wird angezeigt: Ist die Nachricht beim Server angekommen, sehen Sie ein Häkchen, wurde die Nachricht gelesen, sehen Sie zwei Häkchen. Etwas schade finden wir, dass es Telegram nicht erlaubt, den eigenen Online-Status zu verbergen – hier hatte jüngst sogar WhatsApp unter Android nachgebessert.

Wer steckt hinter Telegram?

Telegram ist komplett kostenfrei. Weder eine Downloadgebühr wie bei Threema noch Abokosten wie bei WhatsApp fallen an. Man kommt nicht umhin, sich zu fragen, wie sich die App finanziert. In den FAQ wollen die Entwickler diese Frage wie folgt beantworten: Bei kommerziell ausgerichteten Unternehmen würden Gewinne die Wertigkeit eines Projekts beeinflussen: Je mehr, umso besser. Telegram hingegen sei ein nichtkommerzielles Projekt, man beabsichtige nicht, Gewinne zu generieren. Deshalb werde es nie Anzeigen oder Investitionen von Dritten geben. Telegram würde man auch nicht verkaufen wollen; man kreiere mit Telegram keine Börse für Userdaten, sondern eine Messaging-App für User. Pavel Durov, einer der beiden Entwicklerbrüder, habe die App mit einer „großzügigen Spende“ unterstützt, sodass Telegram aktuell über genügend finanzielle Mittel verfüge. Sollte dieses Geld nicht ausreichen, wolle man die User bitten zu spenden oder einige eher unwichtige Funktionen kostenpflichtig machen.

Pavel und sein Bruder Nikolai Durov stammen aus Russland, sie sind die Gründer von Russlands größtem Social Network vk.com. Als Telegram im August 2013 für iOS startete, titelte die Nachrichtenagentur Reuters: „Russia’s Zuckerberg launches Telegram, a new instant messenger service„. Dass Pavel Durov nicht am Hungertuch nagt, zeigt auch die Tatsache, dass Telegram eine Prämie von 200.000 US-Dollar bietet, sollte es einem Hacker gelingen, ein Schlupfloch ausfindig zu machen.

Merkwürdigkeiten in Telegrams Verschlüsselung

Messenger-Test_4Kommen wir zum Thema Sicherheit bei Telegram, tauchen neue Fragen und Merkwürdigkeiten auf. Telegram arbeitet mit MTProto, einem Protokoll, das Nikolai Durov entwickelt hat. Laut Telegram-FAQ kam es Durov beim Entwickeln auf eine gesunde Mischung aus Sicherheit und High-Speed sowie Zuverlässigkeit an. Telegram verwendet zwei Arten der Verschlüsselung: Server-Client und Client-Client. Basierend auf 256 Bit-AES-Verschlüsselung, RSA 208 und Diffie-Hellman-Schlüsselaustausch, verspricht Telegram, bei der sicheren Kommunikation zu helfen, aber auch nichts gegen Dritte unternehmen zu können, die Zugang zu Ihrem Device haben. Klingt logisch und ähnlich wie bei Threema. Aber: Kryptografie-Experten sind nicht sonderlich begeistert von der hauseigenen Lösung. Die Bausteine seien veraltet und angreifbar. In den Hacker News diskutierten die Macher von Telegram mit Moxie Marlinspike, dem Entwickler von TextSecure – leider ist die Diskussion für Krypto-Laien kaum nachvollziehbar. Erfahrene User können sich gerne mal durch die erweiterten FAQ klicken, in denen die Durov-Brüder Stellung zu einigen Vorwürfen nehmen; schade, dass das in sehr aggressivem und unangenehmem Tonfall stattfindet.

Mit dem Wechsel in einen privaten Chat geht man von der Client-Server-Verschlüsselung über zur Client-zu-Client-Verschlüsselung. Sie können sich das wie einen „Inkognito-Modus“ vorstellen. In diesem privaten Chat können Sie die Selbstzerstörung Ihrer Nachrichten einstellen. Klicken Sie auf das Bild Ihrer Kontaktperson und wählen Sie die Option „neuer geheimer Chat“ aus. Ihnen wird ein Verschlüsselungscode angezeigt, der allerdings eher eine Spielerei ist. Wenn Sie mit Ihrem Chatpartner unsinniger Weise gerade in einem Café zusammensitzen, können Sie die Schlüssel auf Ihren beiden Devices vergleichen, ansonsten ist der Code allerdings unnötig. Die Ende-zu-Ende-Verschlüsselung müssen Sie in den Einstellungen der App aktivieren; bei Gruppenchats können Sie nur die Client-Server-Verschlüsselung nutzen. Die Server des Dienstes finden sich weltweit: In London arbeitet der Server für Europa, in Singapur der für Asien, in San Francisco der für amerikanische User.

Telegram: Teilweise quelloffen, teilweise intransparent

Teile von Telegram sind quelloffen. Die Entwickler stellen in ihren FAQ in Aussicht, künftig weitere Codebrocken zu veröffentlichen. Telegram und WhatsApp haben in Bezug auf den Datenschutz mehr gemeinsam als Telegram und Threema: Die App bedient sich an den Adressbucheinträgen ohne Zustimmung des Nutzers oder der von betroffenen Personen, wenngleich die Datenschutzrichtlinien versprechen, den User erst zu fragen. In unserem Test blieb eine solche Frage aus. Fraglich scheint auch, wie Telegram mit den Daten einer Person umgeht, die ihr Profil löschen will: Über eine Deaktivierungsseite lassen sich Profile deaktivieren – in unseren Augen ein seltsamer Ausdruck; „löschen“ wäre eindeutiger.

Was passiert mit den eigenen Daten nach der Deaktivierung eines Profils? Telegram erklärt, Nachrichten, Gruppen und Kontakte werden komplett gelöscht. Bei Nachrichten läuft das übrigens so ab: Wenn Sie eine Nachricht löschen, verbleibt diese noch auf den Telegram-Servern. Löscht Ihr Gesprächspartner diese Nachricht auch, wird sie vom Server gelöscht. Sich selbstzerstörende Nachrichten werden gelöscht, sobald der Countdown, der mit dem Lesen einer Nachricht durch beide Gesprächspartner aktiviert wird, abgelaufen ist. Da solche Nachrichten nur in geheimen Chats mit Ende-zu-Ende-Verschlüsselung möglich sind, liegen diese Nachrichten auch nicht auf den Servern. Geheime Nachrichten sind nicht in der Cloud verfügbar, sondern ausschließlich auf dem Sender- und Empfängergerät. Sind solche Nachrichten gelöscht, sind sie also wirklich weg und nicht wiederherstellbar. Auf der Website von Telegram ist kein Impressum einsehbar. Die Datenschutzrichtlinien und die FAQ sind in den Sprachen englisch, russisch und spanisch verfügbar.

Sicherheitslücke in Telegram wurde sofort gestopft

Telegram arbeitet insgesamt zuverlässig; als Telegram von einem Zuwachs von knapp 2 Mio. User twitterte, wurden neue Serverkapazitäten angekündigt. Um die Sicherheit ihres eigenen Verschlüsselungsprotokolls unter Beweis zu stellen, hatten die Gebrüder Durov einen Hackerwettbewerb ausgelobt, bei dem die oben schon erwähnten 200.000 US-Dollar für das Finden von Schwachstellen gewinkt haben. Kaum geschehen, kritisierten Experten, dass Angreifer nicht genügend Zugriff auf die Daten erhielten; das Protokoll könne man so nicht ausreichend testen. Einem russischen Entwickler gelang es dennoch, eine Schwachstelle ausfindig zu machen, die Man-in-the-middle-Attacken zuließ. Er gewann das halbe Preisgeld und die Lücke wurde umgehend von den Entwicklern geschlossen. Auf einen Jugendfilter verzichtet Telegram genauso wie auf XMPP.

Messenger-Test_5In unserem Test schneidet Telegram schon mal besser ab als WhatsApp. Das hauseigene Protokoll wirft allerdings Fragen auf, der Datenschutz ist unzureichend und die Verschlüsselungsparameter geben keinen ausreichenden Schutz. Positiv hervorzuheben ist die optionale Ende-zu-Ende-Verschlüsslung in den privaten Chats, die auch selbstzerstörende Nachrichten ermöglichen. Dass theoretisch Dinge versprochen werden, die praktisch nicht eingehalten werden, ist kritisch zu beurteilen, insbesondere was den ungefragten Zugriff aufs Adressbuch betrifft. Unsinnig erschienen uns der Validierungscode, den man nicht einmal benötigt, und der Verschlüsselungscode, mit dem sich zwei Chatpartner gegenseitig ihre Schlüssel zeigen können, wenn sie sich gegenüberstehen. Das sind Features, die Sicherheit vortäuschen, wo es keine gibt. Weiter erscheint auch das Zukunftsmodell fragwürdig: Ausschließlich aus Liebe zum Messenger-User eine App zu finanzieren, wirkt unrealistisch, und ob Userspenden oder kostenpflichtige Features die App nach der Anfangsspende einer der Entwickler tragen können, wirkt fraglich. Eine enorme Flexibilität, die kostenfreie Nutzung und die einfache Bedienung hingegen sind Pluspunkte.

Zusammenfassung Telegram

  • Verbreitung: offiziell: iOS & Android. Inoffiziell: Windows, Mac, Linux, Windows Phone. Smartphone, Tablet, Rechner.
  • Einschränkungen: keine
  • Installation: einfach
  • Einrichtung: einfach, aber mit unnützem Validierungscode
  • Optik/ Bedienbarkeit: genau wie WhatsApp, umfangreicher Funktionsumfang
  • Flexibilität: Fotos & Videos mit bis zu 1 GB, Sprachnachrichten
  • Kosten: kostenlos
  • Orga/ Land hinter dem Service: Pavel & Nikolai Durov, Russland
  • Verschlüsselung: Ende-zu-Ende-Verschlüsselung einstellbar, aber eigens entwickeltes Protokoll, das viele Kritiken einstecken muss.
  • Quellcode: teilweise offen, weitere Codes sollen künftig veröffentlicht werden
  • Datenschutz: App greift ungefragt aufs Adressbuch zu. Gelöschte Nachrichten werden laut Telegram auch auf den Servern gelöscht.
  • AGB: intransparent, nicht in deutscher Sprache verfügbar, theoretische Datenschutzrichtlinien widersprechen praktischen Tests
  • Zuverlässigkeit: sehr gut
  • Sicherheitsprobleme: Schwachstelle, die für Man-in-the-middle-Attacken ausgenutzt werden konnte, wurde gestopft
  • Jugendfilter: nicht vorhanden
  • Datenspeicherung: Daten auf weltweit verstreuten Servern (für Europa in London) gespeichert. Beim Deaktivieren des Profils werden Daten gelöscht, bei geheimen Chats gar nicht erst gespeichert.
  • XMPP: nein
  • Finanzierung: durch eine Spende einer der Entwickler. In Zukunft eventuell Spenden von Usern oder durchs Integrieren kostenpflichtiger Features.

Weiter aktuelle Artikel zu diesem Thema im Web:



14 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es 14 Reaktionen

  1. Vorsicht vor Telegram! WhatsApp-Alternative gilt als Unsicher - Androidmag.de | 9. April 2014

    […] Quelle: PSW-Group […]

    9. April 2014 @ 11:15
  2. Messenger-Dienste: Wie wichtig sind uns unsere Daten? | medienMITTWEIDA | 23. April 2014

    […] haben. Der Messenger gilt für viele zwar als sicher, aber ein vor Kurzem veröffentlichter Test der PSW-Group lässt dies […]

    23. April 2014 @ 06:01
  3. Maximilian | 3. Juni 2014

    Letztendlich sollte jedem Nutzer klar sein, dass kein Messenger eine absolute Sicherheit der Daten bietet, egal ob dieser Telegram, Threema oder Whatsapp heißt. Wer damit tatsächlich ein Problem hat, sollte sich komplett von dieser Form der Kommunikationen distanzieren. Nur so kann man Problemen aus dem Weg gehen.

    3. Juni 2014 @ 11:17 Antworten
  4. Bianca Wellbrock | 3. Juni 2014

    Danke für deine Meinung, Maximilian.
    Wir stimmen dem teilweise zu: XMPP-/ Jabber-basierende Ansätze sind zwar in ihrer Verbreitung noch nicht optimal, setzen allerdings auf dezentrale Strukturen, was für eine hohe Sicherheit sorgt und die Überwachung aufgrund der Struktur sehr aufwendig bis kaum realisierbar werden lässt.
    Allerdings wird tatsächlich jede Online-Kommunikation irgendwo online verarbeitet und selbst Open Source-XMPP-Clients könnten Hintertüren haben, die bislang übersehen wurden – siehe SSL-Gau mit Heartbleed. Natürlich sichert es am meisten, gar nicht online zu kommunizieren, aber das kann kaum die Lösung sein.
    Man sollte die größtmögliche Sicherheit fordern dürfen und können; geht man als Verbraucher bewusst mit diesem Medium um, kann man Online-Kommunikation entsprechend nutzen.

    3. Juni 2014 @ 15:19 Antworten
  5. Michael Eckel | 15. Juni 2014

    […] Wozu haben wir den Validierungscode zugesendet bekommen, wenn wir ihn nirgends eingeben mussten? […]
    […] Nach einiger Recherche im Web finden wir keine Antwort auf diese Frage. […]

    Auf der Suche nach einer Antwort wird man im Quellcode auf der GitHub-Projektseite fündig (https://github.com/DrKLO/Telegram).

    Es gibt dort eine Komponente „SmsListener“ (https://github.com/DrKLO/Telegram/blob/master/TMessagesProj/src/main/java/org/telegram/messenger/SmsListener.java), die im Hintergrund auf eingehende SMS lauscht. Sobald eine SMS empfangen wird, wird der Nachrichtentext nach dem Validierungscode durchsucht. Wird ein solcher gefunden, wird er automatisch in das Code-Eingabefeld eingetragen und der „Weiter“-Knopf anschließend – sozusagen virtuell – betätigt (https://github.com/DrKLO/Telegram/blob/master/TMessagesProj/src/main/java/org/telegram/ui/LoginActivitySmsView.java).

    Kurz gesagt: Telegram erkennt die SMS mit dem Validierungscode von selbst.

    Anmerkung: Die App benötigt zu diesem Zweck natürlich die Android-Berechtigung, um lesend auf SMS zugreifen zu dürfen (android.permission.RECEIVE_SMS). Ob man das möchte, sei dahin gestellt. Denn potentiell könnte die App damit alle (!) SMS lesen, sowohl bereits gespeicherte als auch zukünftige. Über die Tatsache, dass für ein Quäntchen mehr an Komfort eine so weitreichende Berechtigung verlangt wird, kann man sicher streiten. Zur Beruhigung kann ich jedoch sagen, dass zum jetzigen Zeitpunkt ausschließlich an der oben genannten Codestelle SMS gelesen werden; und auch nur zum Zwecke der Validierungscodeerkennung. Das ist das tolle an Open Source: man kann (einfach) nachschauen 😉

    15. Juni 2014 @ 00:42 Antworten
    • Bianca Wellbrock | 17. Juni 2014

      Vielen Dank, Michael, für die Ergänzungen – das sind interessante Hintergrundinfos!
      In der Tat ließe sich darüber streiten, inwieweit eine solch (theoretisch) weitreichende Berechtigung sinnvoll erscheint dafür, den Code nicht manuell eingeben zu müssen – uns wäre im Test die manuelle Eingabe insofern lieber gewesen, als dass wir uns dann gar nicht die Frage hätten stellen müssen. Schön, dass Sie sie beantworten konnten 🙂

      17. Juni 2014 @ 18:00 Antworten
  6. WIlliam | 10. August 2015

    Also ich finde Telegram gut das der cloud chat nicht ganz sicher ist ist ja wohl klar es ist abhängig von dem gerät inwieweit man datenschutz einstellungen treffen kann aber immer einstellbar… : = . Das sie ein Preisgeld aussetzen und dann die Fehlerbeheben sollte von ehrlichkeit überzeugen und ich finde auch das Resultat des END zu End geheimchats ist gut. Es ist ja für den Alltag und dort Eine einfache Form zu kommunizieren und dateien zu schicken was unendlich optimiert wurde siehe #changelog

    10. August 2015 @ 12:35 Antworten
  7. WIlliam | 10. August 2015

    Als erstes für den Alltag einstellungen ist alles möglich wer wirklich will je nach gerät oder über api kontrolliert den Datenschutz. Es ist nicht unglaublich sicher aber mit allen Funktionen und herlicher arbeit der entwickler #changelog gut. Hier auf der Seite ist etwas Scheiße !!! Ich habe mein Kommentar verfasst den Captcha Code falsch eingegeben und mein kompletter text wurde gelöscht. ( Mozilla Firefox ) u gotta use the session right : =

    10. August 2015 @ 12:41 Antworten
    • Tulinska | 10. August 2015

      Hallo,

      vielen Dank für dein Feedback zu Telegram. Wir werden intern prüfen warum dein Kommentar nicht gespeichert wurde.

      10. August 2015 @ 16:51 Antworten
  8. Sabine | 3. Januar 2016

    Auf der Suche nach einer Antwort auf die Frage, wie man einen versehentlich gelöschten Chatverlauf bei telgram wiederherstellen kann, bin ich hier „gelandet“. Es scheint nicht zu gehen – oder????

    3. Januar 2016 @ 13:07 Antworten
    • Bianca Wellbrock | 4. Januar 2016

      Hallo Sabine,

      wir haben auch etwas nachgeforscht; leider scheint das tatsächlich nicht zu gehen. Du kannst jedoch ‚Titanium Backup‘ installieren, sodass du künftig gerüstet bist und via Backup Wiederherstellungen gehen sollten.

      Viele Grüße vom PSW GROUP Redaktions-Team

      4. Januar 2016 @ 07:48 Antworten
  9. Philipp W. | 2. November 2016

    Hallo,
    wollt ihr nicht mal diesen uralten Artikel aktualisieren? Hab echt Kopfschmerzen bekommen, da sehr viele falsche Infos vorhanden sind. Hier mal ein paar (bei weitem nicht alle):

    „1 GB“ = 1,5 GB laut telegram.org

    „Datenspeicherung: Daten auf weltweit verstreuten Servern (für Europa in London) gespeichert“:
    Amsterdam für EU, da reicht eine kurze Nachfrage beim Support.

    „AGB intransparent“
    Ihr meint die für Normalnutzer geschrieben Nutzungsbedinungen unter telegram.org/privacy. Habt ihr eine einfachere irgendwo im Netz entdecken können? Bitte gerne um Links.

    „Quellcode: teilweise offen“
    App Quellcodes sind komplett öffentlich. Zusammen mit https://core.telegram.org/mtproto kann man die E2E Verschlüsselung prüfen und verifizieren. Servertrauen nicht notwendig.

    „Orga/ Land hinter dem Service: Pavel & Nikolai Durov, Russland“ was ist denn das für ein Unsinn?
    (https://telegram.org/faq/de#f-wer-sind-die-personen-hinter-telegram) nach eurer Logik wäre dann Whatsapp = Ukraine, da der Gründer Ukrainer ist.

    „Merkwürdigkeiten in Telegrams Verschlüsselung“:
    Was genau ist da denn merkwürdig? Nur weil bekannte Fanboys der US-Regierung lieber auf Verschlüsselungen setzen, die vom NSA empfohlen werden? Finde es seriöser, wenn man einen anderen Weg geht und scheinbar ist es ja doch nicht so unsicher oder wurden die 300,000 Dollar schon mal ausgezahlt? https://telegram.org/blog/cryptocontest

    Würde mir so einen reisserischen Artikel über Whatsapp mal wünschen. Wo bleibt der Aufschrei, daß Whatsapp *angeblich* verschlüsselt, man es aber nicht prüfen kann, da die App closed source ist. ) Ach ja, Moxie Marlinspike behauptet ja, daß es sicher ist. Dann muß es wohl stimmen. Wie sehr man dem Mann trauen kann, kann man hier fein nachlesen: https://medium.com/@wireapp/axolotl-and-proteus-788519b186a7#.mknziiob6

    2. November 2016 @ 23:06 Antworten