Zum Zeitpunkt des Schreibens dieses Artikels, befand sich Pavel Durov, gegen den ein Strafverfahren eingeleitet wurde, gegen eine Kaution von 5 Millionen Euro auf freien Fuß, unter der Auflage, Frankreich nicht verlassen zu dürfen. Wie es dort letztlich ausgehen wird, ist noch sehr unklar. Klarer hingegen ist, dass die massive Aufmerksamkeit und Panik rund um Telegram einigen Betrügern jetzt schon in die Karten spielt und dass in den sozialen Medien viele fragwürdige Ratschläge darüber kursieren, was nun mit der App am besten zu tun sei. Unsere Einschätzung in Kurzform vorweg: Nutzer von Telegram sollten Ruhe bewahren und nur nach dem aktuellen Stand der Dinge handeln. Und nun in aller Ausführlichkeit zu dem, was wir mit heutigem Kenntnisstand empfehlen können…
Privatsphäre in Chats und die „Schlüssel für Telegram“
Vereinfacht gesagt, können die meisten Telegram-Chats nicht als vertraulich betrachtet werden – und das war auch schon immer so. Wenn Sie über Telegram vertrauliche Informationen ausgetauscht haben, ohne dafür sogenannte „geheime Chats“ zu verwenden, müssen Sie davon ausgehen, dass diese Informationen kompromittiert wurden. Mit diesen Empfehlungen können Sie ihr vertrauliche Kommunikation auf einen anderen Messenger verlegen.
Viele Nachrichtenportale gehen davon aus, dass die Hauptvorwürfe gegen Durov und Telegram darin bestehen, dass diese sich weigern, mit den französischen Behörden zusammenzuarbeiten und die „Schlüssel für Telegram“ bereitzustellen. Angeblich besitzt Durov eine Art kryptografischen Schlüssel, mit dem die Nachrichten der Benutzer entschlüsselt und gelesen werden können. Tatsächlich ist aber nur wenig darüber bekannt, wie die Telegram-Server wirklich funktionieren. Aus den zugänglichen Informationen kann man immerhin entnehmen, dass der Großteil der Korrespondenz auf Servern in minimal verschlüsselter Form gespeichert wird, und dass die zum Entschlüsseln notwendigen Schlüssel innerhalb derselben Telegram-Infrastruktur gespeichert werden. Die Entwickler behaupten zwar, Chats und Schlüssel in jeweils unterschiedlichen Ländern zu speichern, da aber alle Server miteinander kommunizieren, bleibt dennoch unklar, wie effektiv diese Sicherheitsmaßnahme in der Praxis tatsächlich ist. Abhilfe könnte es eventuell schaffen, die Server in einem Land zu beschlagnahmen und auszuwerten, aber darauf gehen wir hier nicht weiter ein. Die Ende-zu-Ende-Verschlüsselung, die bei anderen Messengern (wie WhatsApp, Signal und sogar Viber) der Standard ist, wird in Telegram als „geheimer Chat“ bezeichnet. Dieser ist recht tief im Menü verborgen und muss für ausgewählte persönliche Chats zwischen zwei Teilnehmern durch einen der Teilnehmer erst aktiviert werden. Alle Gruppenchats, Kanäle und gewöhnliche persönliche Chats sind hingegen nicht Ende-zu-Ende-verschlüsselt und können zumindest auf den Telegram-Servern gelesen werden. Darüber hinaus verwendet Telegram sowohl für seine geheimen Chats als auch für alles andere ein eigenes, nicht standardmäßiges Protokoll namens MTProto, das aber schwerwiegende kryptografische Schwachstellen enthält. Der Kreis an Personen, die zumindest theoretischen dazu in der Lage sind, Telegram-Korrespondenzen mitzulesen, vergrößert sich daher um:
- Administratoren von Telegram-Servern
- Hacker, die erfolgreich Telegram-Server angegriffen und Spyware installiert haben
- Dritte mit Zugriffsrechten, die von Telegram-Administratoren gewährt wurden
- Personen, die kryptografische Schwachstellen in Telegram-Protokollen entdeckt haben und teilweise oder vollständig (nicht geheime) Chats mitlesen können, indem sie den Datenverkehr der Benutzer abfangen
Löschen von Korrespondenzen
Bestimmten Kategorien von Benutzern wird die Löschung ihrer alten Telegram-Chats (z. B. berufliche Chats) empfohlen. Dieser Ratschlag ist zumindest insoweit fragwürdig, das die Einträge in den Datenbanken (in denen die Korrespondenz auf dem Server gespeichert wird) in den seltensten Fällen tatsächlich wirklich gelöscht werden – sie werden lediglich als solche gekennzeichnet. Darüber hinaus ist es sehr wahrscheinlich, dass Telegram wie andere große IT-Infrastrukturen auch ein robustes Backup-System einsetzt. Dies bedeutet, dass „gelöschte“ Nachrichten zumindest in den Datenbank-Backups weiterhin aufbewahrt werden. Unter Umständen könnte es sinnvoller sein, wenn beide Teilnehmer eines Chats (oder Gruppen-Admins) den Chat vollständig löschen, so dass die Daten zumindest theoretisch für keinen verbleibenden Chat-Teilnehmer mehr vorgehalten werden müssten. Aber auch in diesem Fall würde das Problem der Backups weiterhin bestehen bleiben.
Sicherungskopien von Korrespondenzen anlegen
Einige Beobachter äußern Bedenken, dass Telegram aus den App-Stores entfernt, blockiert oder anderweitig unbenutzbar gemacht werden könnte. Auch wenn dies eher unwahrscheinlich erscheint, gehört das Sichern wichtiger Korrespondenzen, Fotos und Dokumente nach wie vor zu den grundsätzlichen Maßnahmen digitaler Vorsorge.
Um ein Backup Ihrer wichtigen persönlichen Korrespondenzen anzulegen, müssen Sie die Telegram-App auf Ihrem Computer installieren (Download des offiziellen Clients), sich mit Ihrem Benutzerkonto anmelden und anschließend zu Einstellungen → Erweitert → Telegram-Daten exportieren navigieren.
In dem Pop-up-Fenster können Sie die zu exportierenden Daten auswählen (persönliche Chats, Gruppenchats – mit oder ohne Fotos und Videos), die Größenbeschränkungen für Downloads festlegen und das Datenformat angeben. Zur Verfügung stehen HTML, das in jedem Browser angezeigt werden kann, oder JSON, welches die automatisierte Verarbeitung durch Drittanbieter-Apps erleichtert.
Das Herunterladen der Daten auf Ihren Computer kann mehrere Stunden dauern und erfordert möglicherweise Dutzende oder sogar Hunderte von Gigabyte an freien Speicherplatz. Die Größe hängt davon ab, wie oft Sie Telegram verwenden und welche Exporteinstellungen Sie festlegen. Sie können das Exportfenster schließen, aber achten Sie darauf, die App selbst nicht zu beenden und den Computer nicht vom Internet oder vom Stromnetz zu trennen. Es wird zudem empfohlen, nur die Backup-Funktion des offiziellen Clients zu verwenden.
Zum Mythos der ungewollten Telegram-Löschung
Schauen wir uns zuerst iOS an. Die Entwickler aus Cupertino entfernen keine Apps von den Smartphones der Benutzer – selbst dann, wenn die entsprechenden Apps bereits aus dem App Store entfernt wurden. Darüber hinaus kursiert im Internet eine verbreitete Methode, die das Verhindern einer ungewollten Telegram-Löschung anhand der Bildschirmzeit-Einstellungen von iOS vorschlägt. Allerdings würde diese Methode Apple nicht wirklich daran hindern, Apps bei Bedarf von den Geräten zu löschen. Sie bewirkt nur, dass bestimmte Benutzer (wie Kinder) Apps nicht selbstständig löschen können. Es handelt sich hier also eher um eine Funktion zur Kindersicherung. Und mehr noch: Die Verhaftung von Durov hat erneut die alte falsche Behauptung befeuert, dass auf iPhones eine Remote-Löschung von Telegram stattgefunden hätte, was sowohl von Apple als auch von Telegram bereits im Jahr 2021 offiziell dementiert wurde.
Was Android angeht, so löscht Google normalerweise keine Apps – außer wenn es sich zu 100% um Schadsoftware handelt. Diese Garantien gelten zwar nicht für alle Betreiber mit eigenen Ökosystemen (Samsung, Xiaomi usw.), aber unter Android ist es vergleichsweise einfach, die Telegram-App direkt von der Telegram-Website zu installieren und so die Stores der Betreiber zu umgehen.
Verwendung alternativer Clients
Es existieren einige inoffizielle, funktionsfähige und legale Clients für Telegram und mit Telegram X ist sogar ein „offizieller alternativer Client“ verfügbar. Diese Clients basieren alle auf der Telegram-API und es ist unklar, ob sie zusätzliche Vorteile bringen oder die Sicherheit erhöhen. Die fünf beliebtesten alternativen Clients in Google Play sprechen zwar alle von „verbesserter Sicherheit“ – beziehen sich dabei aber nur auf Funktionen wie das Verbergen von Chats auf einem Gerät selbst.
Zudem kann es natürlich passieren, dass Sie sich statt eines funktionierenden Clients eine Schadsoftware herunterladen, die lediglich als alternativer Telegram-Client getarnt wurde. Wie bei vielen populären Apps machen Betrüger auch vor Telegram nicht halt. Wenn Sie die Verwendung alternativer Clients in Betracht ziehen, sollten Sie die folgenden Sicherheitsrichtlinien beachten:
- Laden Sie die Clients nur aus offiziellen App-Stores herunter.
- Überprüfen Sie vor der Installation, dass die App schon eine Weile existiert, über hohe Bewertungen verfügt und eine große Anzahl an Downloads vorzuweisen hat.
- Verwenden Sie auf allen Plattformen einen verlässlichen Antiviren-Schutz, z. B. Kaspersky Premium.
Spendenkampagnen für Durov und Verteidigung der Redefreiheit
Dieser Punkt steht zwar nicht in direktem Zusammenhang mit Telegram-Chats, aber soll an dieser Stelle auch auf Betrugsmaschen hingewiesen werden, bei denen angeblich Gelder für die Rechtsverteidigung von Pavel Durov gesammelt werden (als ob gerade er das nötig hätte…). In Wirklichkeit zielen die dahinterstehenden Betrüger darauf ab, Ihre Zahlungsinformationen oder in Crypto-Währungen gespendete Geldbeträge zu stehlen. Behandeln Sie solche Kampagnen mit äußerstem Misstrauen und überprüfen Sie, ob die mutmaßliche Organisation tatsächlich existiert und eine solche Kampagne auch wirklich durchführt. Weitere Informationen zu Wohltätigkeitsbetrug finden Sie in unserem gesonderten Artikel.