Telegram

Telegram wurde 2013 von den Brüdern Nikolai und Pawel Durow in Russland entwickelt,^[4] die bereits das meistgenutzte russische soziale Netzwerk Vk.com gegründet hatten.^[5] Benutzer von Telegram können Textnachrichten, Sprachnachrichten, Fotos, Videos und Dokumente austauschen sowie Sprach- und Videotelefonie zu anderen Telegram-Nutzern verwenden. Telegram wird auch als soziales Netzwerk angesehen.^[6] Telegram Messenger LLP (Personengesellschaft nach britischem/US-amerikanischem Recht) war nach eigenen Angaben ein unabhängiges Non-Profit-Unternehmen. Nikolai Durow schrieb das Protokoll MTProto, auf dem Telegram basiert. Sein Bruder Pawel bietet die finanzielle Basis;^[7]er soll in Berlin gelebt haben, als er 2013 Telegram gründete und die App veröffentlichte.^[8][9] Durow und seine Mitarbeiter sehen sich als digitale Nomaden.^[10]Das Entwicklerteam befindet sich laut Telegram-Website in Dubai, nachdem es Standorte wie Russland, Berlin, London und Singapur ausprobiert hatte.^[11] Laut eigenen Angaben steht es nicht im Zusammenhang mit Vk.com oder Russland.^[12] Die Süddeutsche Zeitung nennt als Adresse die Büros 2301 und 2303 in den Al Kazim Towers in Dubai.^[13] Die Telegram Messenger LLP war unter der Londoner Adresse eines Unternehmens registriert, das seinen Hauptsitz auf den Seychellen hat. Gesellschafter dieses Unternehmens sind zwei Firmen mit Sitz auf den Jungferninseln und in Belize.^[14][15] Laut einem Pressebericht von 2017 hat Telegram Angestellte im russischen St. Petersburg.^[16] Die Telegram Messenger LLP wurde jedoch im Januar 2019 von Pawel Durow aufgelöst.^[17]

Nutzerzahlen

Telegram meldete im Februar 2014, dass sich über fünf Millionen neue Nutzer registriert haben. Dies soll im direkten Zusammenhang zum Kauf von WhatsApp durch Facebook stehen.^[18] Ähnliches widerfuhr Telegram ein Jahr später, im Februar 2015, als ein Richter in Brasilien die landesweite Sperrung von WhatsApp anordnete. Telegram meldete innerhalb kürzester Zeit einen Zuwachs von über 2,5 Millionen Nutzern.^[19]Im Jahr 2016 lag Telegram mit fast 50 Millionen neuen App-Downloads vor Signal (3,62 Millionen) und Wickr (3,8 Millionen), aber hinter WhatsApp mit etwa 225 Millionen Downloads im selben Jahr.^[20]Infolge der WhatsApp-Übernahme durch Meta Platforms (zu dem Zeitpunkt Facebook Inc.) etablierte sich Telegram zudem als eine der erfolgreichsten Alternativen für alle gängigen Plattformen.^[21]

Im Mai 2015 gab Pawel Durow bekannt, dass Telegram 62 Millionen monatlich aktive Nutzer habe, die täglich 2 Milliarden Nachrichten versenden.^[22] Stand Februar 2016 hatte Telegram nach eigenen Angaben 100 Millionen monatlich aktive Nutzer und lieferte pro Tag 15 Milliarden Nachrichten aus.^[23] Im März 2018 gab das Entwicklerteam bekannt, die Anzahl von monatlich 200 Millionen Nutzern erreicht zu haben^[24] und am 24. April 2020 die 400-Millionen-Nutzer-Marke überschritten zu haben.^[25][26]Telegram gehört seither in Deutschland und weltweit zu den beliebtesten Messengern.^[27][28][29]Nach dem Sturm auf das US-Kapitol sperrten große IT-Konzerne die Server von Parler und anderen Diensten, über die dazu mobilisiert wurde. Nach dem Ereignis am 6. Januar 2021 und den unmittelbaren Sperren der Dienste meldeten sich binnen 72 Stunden mehr als 25 Millionen neue Nutzer bei Telegram an^[30]und war im Januar 2021 global die App mit den meisten Downloads.^[31][32] Im Oktober 2021 wurden 550 Millionen aktive Nutzer erreicht.Bis August 2021 wurde die App weltweit mehr als 1 Milliarde Mal heruntergeladen.^[33]Im Juni 2022 gab es weltweit mehr als 700 Millionen monatlich aktive Telegram-Nutzer.^[34][35]

Geschäftsmodell

Telegram ist eine für Nutzer kostenlose App und wird seit November 2021 durch Werbeanzeigen in den Kanälen finanziert.^[36][37]

Darüber hinaus wurde im Juni 2022 das Telegram-Premium-Abonnement eingeführt, welches gegen Entgelt verschiedene Funktionen und kosmetische Anpassbarkeiten innerhalb der App für die Laufzeit der Mitgliedschaft freischaltet.^[38]

Gleichzeitig sollen private Unterhaltungen sowie Gruppen dauerhaft frei von Werbung bleiben und die Gründer schließen eine kommerzielle Ausrichtung des Dienstes bzw. einen Verkauf des Unternehmens aus.^[39]

In diesen Abschnitten werden nur die Funktionen beschrieben. Infos zur Sicherheit sind ausführlich im Abschnitt Sicherheit zu finden.

Nutzerkonto

Die Anmeldung bei Telegram erfolgt über eine Rufnummer, die nicht die des Gerätes selbst sein muss. Die Telefonnummer wird anschließend via Kurzmitteilung (SMS) oder Anruf verifiziert. Zugelassen sind nur mobile Rufnummern (kein Festnetz); Dienste mit „Wegwerfnummern“ sind weitgehend ausgeschlossen. Beliebig viele Geräte können mit der gleichen Rufnummer angemeldet sein. Die dem Nutzerkonto zugehörige Nummer kann jederzeit geändert werden, dabei erhalten sämtliche Kontakte des Benutzers automatisch die neue Nummer. Darüber hinaus kann ein Benutzer einen Benutzernamen einrichten, der es ermöglicht, Nachrichten zu senden und zu empfangen, ohne die eigene Telefonnummer preiszugeben. Telegram-Konten können jederzeit manuell gelöscht werden, das Prozedere ist im Vergleich zu anderen Programmen bzw. Apps relativ einfach und funktioniert über die Website von Telegram.^[40] Alternativ kann man die Löschung des Accounts auch über die App (in den FAQ) vornehmen.^[41] Darüber hinaus wird der Account automatisch nach sechs Monaten Inaktivität gelöscht; dies kann aber in den Einstellungen vom Benutzer auf ein, drei oder zwölf Monate geändert werden.^[42]

Weboberfläche

Neben den Clients, die auf den betreffenden Geräten installiert werden können, stellt Telegram auch eine installationsfreie, offizielle Weboberfläche zur Verfügung.^[43] Diese ist in jedem aktuellen Webbrowser nutzbar, jedoch sind hier nur Cloud-basierte Chats möglich.^[44]

Social-Login

Eine Funktion für das Login auf Websites von Drittanbietern können Telegram-Nutzer seit Februar 2018 unter dem Namen „Telegram Login“ verwenden.^[45] Das Gateway sendet dafür den Telegram-Namen, den Benutzernamen auf der Website und das Profilbild des Nutzers an den Eigentümer der Website, während eine mögliche mit dem Telegram-Konto verbundene Telefonnummer verborgen bleibt. Das Gateway ist in einem Bot integriert, der mit der spezifischen Website-Domain des Entwicklers verknüpft ist.^[46]

Chats

In diesem Abschnitt werden nur die Funktionen beschrieben. Infos zur Sicherheit sind ausführlich im Abschnitt Sicherheit von Chats zu finden.

Cloud-basierte Chats

Die Inhalte von Standard-Chats werden auf den Servern des Betreibers gespeichert. So können Benutzer ihre Nachrichten und Dateien auf mehreren Geräten synchronisieren und abrufen; beispielsweise am Desktop, Tablet oder Smartphone. Die Daten werden erst dann aus der Cloud gelöscht, wenn alle an den jeweiligen Chats beteiligten Nutzerkonten gelöscht wurden. Dadurch können nach Defekt oder bei Wechsel des Endgeräts diese auf dem neuen Gerät erneut abgerufen werden.

Gruppen

Gruppen sind für den Austausch von Nachrichten mit Freunden und Familie oder die Zusammenarbeit in kleinen Teams gedacht. Gruppen erlauben bis zu 200.000 Mitglieder. Es gibt private und öffentliche Gruppen. Der Gruppenadministrator (Einrichter der Gruppe) kann festlegen, ob neue Mitglieder Zugriff auf Nachrichten haben, die vor Beginn ihrer Gruppenzugehörigkeit vorhanden waren. Administratoren können wichtige Nachrichten am oberen Bildschirmrand anheften oder auch Gruppenmitgliedern temporär oder dauerhaft bestimmte Rechte entziehen.^[47]

Kanäle

Am 22. September 2015 gab Telegram bekannt, dass „Kanäle“ die vorherigen „Verteilerlisten“ ablösen.^[48] Dabei handelt es sich um Chats, in denen nur die Kanalersteller und Kanaladministratoren Nachrichten schreiben können.^[47] Es gibt private und öffentliche Kanäle.^[48] Kanäle haben keinerlei Teilnehmerbegrenzung.^[47][48] Jeder, der den Link hat, kann ihm beitreten und kann den gesamten Nachrichtenverlauf bis zum ersten Tag in einem Kanal sehen.^[48] Die Mitglieder können nicht sehen, wer den Kanal abonniert hat.^[47] Öffentlich wird nur die Anzahl der Teilnehmer angezeigt. Für jede Nachricht wird die Anzahl derjenigen, die diese gelesen haben, angezeigt.^[48] Die Beiträge werden standardmäßig unter dem Kanalnamen eingestellt, d. h. wer den Beitrag eingestellt hat, ist nicht ersichtlich. Optional können Autoren des Kanals auch ihre „Nachrichten unterschreiben“.

Entwürfe

Nicht abgeschlossene Nachrichten werden in Cloud-basierten Chats und Gruppen als Entwürfe gespeichert und zwischen den Benutzergeräten synchronisiert. Der Entwurf bleibt in der Cloud bestehen, bis er gesendet oder entfernt wird.^[49]

Umfragen

Ab Dezember 2018 (App-Version 5.1 Android, iOS, macOS)^[50] kann man in Gruppen und Kanälen auch ohne Skriptprogrammierungen Umfragen einfügen, die von den Teilnehmern beantwortet werden können. Es werden die Anzahl der abgegebenen Stimmen sowie die prozentuale Verteilung der Antworten auf die bis zu zehn im Freitext formulierbaren Fragen im Chat gezeigt, nachdem man selbst abgestimmt hat. Seit der Version vom 23. Januar 2020 sind auch Mehrfachantworten und ein Quiz-Modus möglich, und man kann bei der Erstellung auswählen, ob die Stimmen anonym abgegeben werden oder nicht.

Bots

Telegram bietet seit dem 24. Juni 2015 außerdem eine umfangreiche API an, um eigene Bots zu erstellen.^[51] Mit verschiedenen Kommandos kann man diese im eigenen Chat oder auch in Gruppenchats steuern. Es lässt sich einstellen, ob Bots in Gruppenchats Leserechte auf alle Nachrichten haben oder nur auf solche, die Bot-Kommandos oder den Botnamen enthalten.^[52] Durch die Bot-Plattform sind viele kreative Bots entstanden. Im Januar 2016 wurde die Bot-Plattform um sogenannte Inline-Funktionen erweitert.^[53] Mit Inline-Funktionen ausgerüstete Bots können dann auch Funktionen in privaten Chats oder Gruppen ausführen, in denen sie nicht enthalten sind.

Sprachchats

Seit Dezember 2020 sind in Gruppen Sprachchats möglich. Dazu muss einmalig der Gruppenadmin diese Funktion aktivieren, danach kann jedes Gruppenmitglied dem Sprachchats jederzeit beitreten und verlassen.^[54]

Geheime Chats

Bei den optionalen „geheimen Chats“ werden die Mitteilungen und Dateien ausschließlich verschlüsselt auf den zwei Endgeräten der Nutzer gespeichert, von denen der Chat gestartet wurde; die Synchronisation über mehrere Geräte eines Benutzers hinweg ist nicht möglich.^[55] Es ist demnach ebenfalls nicht möglich, bei einem Defekt oder Wechsel des Smartphones diese auf das neue Gerät zu synchronisieren. Geheime Chats sind nur zwischen je zwei Nutzern möglich, nicht in Gruppen oder Kanälen und werden nicht von allen Clients unterstützt, insbesondere nicht von den offiziellen Desktop- und Web-Clients.

Videonachrichten

Seit Mai 2017 (App-Version 4.0 Android, iOS, macOS), bietet Telegram eine dedizierte Videohosting-Plattform namens „telescope“ an.^[56] Videos können bis zu einer Minute lang sein, werden in einem runden Rahmen dargestellt und in der Regel automatisch abgespielt, eine Option, die auch deaktiviert werden kann. Wenn sie in einem öffentlichen Kanal auf Telegram gesendet werden, werden sie auch bei telescope hochgeladen und veröffentlicht. Telegram-Videonachrichten und telescope-Videos, die in nicht öffentlichen Chats oder Gruppen gesendet werden, werden jedoch nicht veröffentlicht.

Sticker

Seit dem 19. Mai 2015 können Benutzer virtuelle Stickersammlungen erstellen und für Freunde veröffentlichen.^[57] Seit Januar 2016 ist es auch möglich, einzelne MP4-Videos ohne Ton direkt aus dem Sticker-Panel heraus zu schicken.^[58] Diese agieren wie Gif-Animationen. In dem Messenger gesendete GIFs werden automatisch in das wesentlich kleinere MP4-Format umgewandelt. Seit Juli 2019 stehen auch animierte Sticker zur Verfügung.^[59]

Standort

Standort senden

Der momentane Standort wird gesendet und kann vom Nutzer durch Anklicken auch in einer interaktiven Karte angezeigt werden.

Meinen Live-Standort teilen

Für wahlweise fünfzehn Minuten, eine oder acht Stunden können Telegram-Nutzer seit Oktober 2017 (App-Version 4.4 Android, iOS, macOS) ihren Standort in Chats pausenlos veröffentlichen.^[60] Bei Bewegungen des Nutzers wird dessen Standort ständig aktualisiert. Informieren sich in einer Gruppe mehrere Benutzer gegenseitig über ihre Standorte, sind diese für sie auf einer interaktiven Karte zu sehen. Das Veröffentlichen des eigenen Standorts kann jederzeit beendet werden.

Leute in der Nähe

Der eigene Standort kann optional für Menschen in der Nähe freigegeben werden. Dann kann nach lokalen Gruppen oder Personen gesucht werden, die ebenfalls ihren Standort freigegeben haben.

Sprach- und Videoanrufe

Ende März 2017 führte Telegram eigene Telefonate ein. Die Anrufe sind Ende-zu-Ende-verschlüsselt.^[61] Die Verbindung wird möglichst als Peer-to-Peer eingerichtet, andernfalls wird der dem Client am nächsten liegende Telegram-Server verwendet. Laut Zeitschrift connect gibt es ein künstliches neuronales Netzwerk, das daran arbeitet, verschiedene technische Parameter über den Anruf zu lernen, um eine bessere Qualität des Dienstes für zukünftige Anwendungen zu gewährleisten. Eine gesicherte, eindeutige Sprachverbindung kann über die Anzeige von gleichen Emojis bei den Gesprächspartnern verifiziert werden.^[62] Nach einem kurzen ersten Versuch in Westeuropa stehen jetzt in den meisten Ländern Sprachanrufe zur Verfügung.

Seit August 2020 ist auch Videotelefonie zwischen Android- und iOS-Geräten möglich, sie kann von der Profilseite eines Kontaktes gestartet werden, während der Sprachanrufe kann jeder Beteiligte die eigene Kamera zu- und abschalten.^[63] Die Videoanrufe werden Ende-zu-Ende-verschlüsselt.^[64]

Das Computer-Fachblatt c’t stuft Telegram als nicht sicher ein.^[65] Telegrams Sicherheit sowie die Vermarktung als „sicherer Messenger“ werden in Fachkreisen seit Jahren kritisiert, Telegrams Datenschutz sei ein „Albtraum“.^{[66][67][68][69]} Unter Verschlüsselungsexperten sei es seit Jahren „nicht umstritten, dass Telegram von allen gängigen Messengern die schlechteste Verschlüsselung einsetzt, wenn man sie denn zum Einschalten überhaupt findet.“^[68]

Verschlüsselung

Telegram nutzt seit App-Version 4.6 das selbst entwickelte Protokoll MTProto zur verschlüsselten Übertragung von Nachrichten zwischen Client und Server.^[70] Im Juli 2021 wurde eine Sicherheitslücke im Protokoll gefunden, die es Angreifern ermöglicht, gefälschte Nachrichten zu erstellen. Diese wurde seither vom Entwickler behoben.^[70] Seit MTProto 2.0 (mindestens ab 2018) nutzt Telegram sowohl für Client-Server- als auch für Client-Client-Übertragung SHA-256 als kryptologische Hashfunktion, um die unbefugte Manipulation von Nachrichten festzustellen.^[71][72][73]

Sicherheit von Chats

Grundsätzlich können Standard-Chats (Cloud-basierte Chats) nicht als „verschlüsselter Chat“ bezeichnet werden, da dies eine konsequente Ende-zu-Ende-Verschlüsselung voraussetzt. Diese ist jedoch nur optional (geheime Chats) und in Gruppenchats und Kanälen gar nicht möglich.^[70] Auch Nachrichten geheimer Chats werden mitunter (bei "Telegram macOS") im Klartext im Speicher des Endgerätes abgelegt.^[74] Wird dieses von einem Angreifer physisch in Besitz gebracht oder Schadsoftware installiert, kann auf diese Nachrichten zugegriffen werden.^[75]

Cloud-basierte Chats

Nachrichten und Medien in Gruppenchats, Kanälen und standardmäßigen (nicht-geheimen) Chats werden lediglich Client-Server-verschlüsselt, also zwischen Endgerät und Telgram-Server verschlüsselt übertragen. Während die Übertragung an den Betreiber verschlüsselt erfolgt, werden die Inhalte bei Empfang entschlüsselt und liegen im Klartext vor. Der Betreiber hat somit Zugriff auf sämtliche Nachrichteninhalte und Metadaten. Potenzielle Angreifer, die sich Zugang zum Server verschafft haben, können mittels eines Man-in-the-Middle-Angriffs Daten abfangen. Das zur Verschlüsselung verwendete, selbst entwickelte MTProto-Protokoll wird regelmäßig von Sicherheitsexperten kritisiert.^[76][67] Cloud-basierte Chats sind demnach nicht so sicher, wie die Vermarktung des Dienstes suggeriert.^[76][68][67]

Geheime Chats

Die Nachrichteninhalte werden mit der Geheimchat-Funktion zwischen den Endgeräten beider Chat-Teilnehmer Ende-zu-Ende-verschlüsselt übertragen und nur auf den beiden Clientgeräten unverschlüsselt gespeichert. Sie können zusätzlich nach einer vorgegebenen Zeitspanne (z. B. 30 Sekunden) von beiden Endgeräten gelöscht werden.^[77] Medieninhalte in geheimen Chats würden verschlüsselt und ohne Zuordnung zu Chat und Nutzern auf den Servern gespeichert.^[78] Schlüssel und Speicherort auf dem Server würden nur auf dem Clientgerät hinterlegt und seien betreiberseitig weder lesbar noch zuzuordnen. Durch regelmäßiges Löschen der Dateien auf den Servern sei es nicht unbegrenzt möglich, die Medien erneut herunterzuladen.

Da auch geheime Chats den Server zum Weiterleiten von Nachrichten benötigen (z. B. zum Bestimmen der IP-Adresse der Clients), können Angreifer, die Zugang zum Server haben, einen Man-in-the-Middle-Angriff durchführen. Um dies zu verhindern, bietet man Nutzern an, sich gegenseitig zu authentifizieren.^[79] Dazu vergleichen die Nutzer eine Art Fingerabdruck ihrer Schlüssel mittels eines Bildes.

Leute in der Nähe

Obwohl bei der „Nearby“-Funktion (englisch nearby ‚in der Nähe‘) lediglich die Entfernung in Metern angezeigt wird, lässt sich mittels Triangulation der genaue Standort einer Person ermitteln.^[80]

Nutzerkonto

Wenn ein Nutzer bei einem Rufnummernwechsel diese in Telegram nicht ändert bzw. bei Vertragsbeendigung sein Nutzerkonto nicht löscht, erhält – sobald die Rufnummer vom Mobilfunkbetreiber neu vergeben wird – der neue Besitzer der Rufnummer auch unwillentlich Zugang zu dessen Telegram-Konto inklusive aller Cloud-Chats. Dies kann umgangen werden, wenn der Nutzer seine Telefonnummer über die Einstellungen der App aktualisiert oder die zweistufige Bestätigung aktiviert hat.

Da ein alleiniger Einsatz von Kurzmitteilungen keine sichere Methode ist, einen Benutzer als legitim zu authentifizieren, können alle Messenger, die allein auf SMS aufsetzen, hierüber angegriffen werden.^[81] So ist es Hackern (durch eine Schwachstelle im Mobilfunk-Protokoll SS7) oder staatlichen Behörden (durch Zugriff auf den Mobilfunkbetreiber) möglich, sich in das Mobilfunknetz zu schalten und so die Authentifizierungsnachricht abzufangen. Darüber können sie sich dann beim Messenger-Dienst anmelden und dann alle Cloud-Chats (jedoch nicht die geheimen Chats) des Nutzers lesen.

Telegram weist daher seine Benutzer seit 2015 darauf hin, zusätzlich zur Telefonnummer ein Passwort zu setzen, wodurch diese Art des Angriffs verhindert wird, solange der Angreifer nicht noch zusätzlich Kenntnis des Passworts erlangt. Bei Benutzern, die kein zusätzliches Passwort gesetzt hatten, gelang 2016 staatlichen Behörden im Iran^[82] und Deutschland^[83][84] das Abfangen der Authentifizierungsnachricht, wodurch sie Zugang zu den Benutzerkonten erhielten.

Bots in Gruppen-Chats

Im Januar 2019 führten Sicherheitsforscher vor, dass Nachrichten aus Gruppen-Chats, in denen sich ein Bot befindet, von Außenstehenden abgegriffen werden können. Hierzu reichen die (zufällig generierte) Chat-ID der Gruppe und der API-Token des Bots. Diese sind mit gewissem Aufwand von außen abzugreifen, wenn es einem Angreifer gelingt, sich als Man-in-the-Middle zu platzieren und die TLS-Transportverschlüsselung der Kommunikation des Bots zu knacken. Mit diesen Informationen kann anschließend auf den gesamten Chat-Verlauf der Gruppe zugegriffen werden.^[85]

Telegram Passport

Mit Telegram Passport können Nutzer Dokumente in die Telegram-Cloud hochladen, durch welche ihre bürgerliche Identität zweifelsfrei festgestellt werden kann. Hintergrund ist, dass im Falle einer zukünftigen Einführung einer Telegram-Kryptowährung gesetzliche Auflagen zur Identifikation von Nutzern bestehen, ähnlich wie man zur Eröffnung eines Bankkontos Ausweisdaten vorweisen muss.

Telegram hat hierzu eine eigene Ende-zu-Ende-Verschlüsselung entwickelt, bei welcher die Nutzerdokumente, wie z. B. Scans von Personalausweis oder Führerschein, vom Nutzer selbst verschlüsselt werden und erst nach Verschlüsselung in die Cloud hochgeladen werden. Der Nutzer kann dann selbst entscheiden, ob und für welche Dritte er die Daten entschlüsselt.

Technisch wird hierzu aus einem vom Benutzer gesetzten Passwort ein Zwischenschlüssel generiert. Daraufhin wird per Zufallsgenerator der eigentliche Kryptoschlüssel zur Datenverschlüsselung generiert. Mit dem Zwischenschlüssel wird dann der eigentliche Kryptoschlüssel verschlüsselt. Dann kann der Kryptoschlüssel in die Telegram-Cloud hochgeladen werden, ohne dass die Betreiber diesen zum Entschlüsseln von Nutzerdokumenten verwenden können, da der Kryptoschlüssel ja mit dem Zwischenschlüssel verschlüsselt ist.

Der Co-Autor des NoiseSocket protocols Alexey Ermishkin weist darauf hin, dass die von Telegram entworfene Implementierung zur Verschlüsselung mehrere Schwachstellen enthalte.^[86] So wird SHA-512 zum Ableiten des Zwischenschlüssels genutzt. Mit etwas technischem Aufwand können jedoch per Brute-Force einfach alle möglichen Passwörter durchprobiert werden, um den Zwischenschlüssel zu erhalten.^[86] Beim Verifizieren des eigentlichen Kryptoschlüssels wird eine einfache Modulo-Rechnung verwendet, die sich ein Angreifer zunutze machen kann, um schneller Schlüssel durchzuprobieren, da er einfach alle Werte verwirft, die nicht dem Modulo-Wert entsprechen.^[86]

Sicherheits-Wettbewerbe

Am 19. September 2013 kündigte Telegram-Gründer Pawel Durow an, ein Preisgeld von 200.000 US-Dollar in Form von Bitcoin zu vergeben, falls die Verschlüsselung des Messengers geknackt werde.^[87][88][89] Dieser von Telegram gestartete Hack-Wettbewerb (vgl. Penetrationstest) wurde als Werbeaktion kritisiert, da unter den gegebenen Beschränkungen auch bereits vollständig gebrochene Verschlüsselungen einem Angriff standhalten würden.^[90][91][92]

Im Dezember 2013 wurde ein Betrag von 100.000 US-Dollar an einen russischen Hacker ausgezahlt, der auf eine Sicherheitslücke in der Implementierung der geheimen Chats hinwies.^[93] Aufgrund der oben genannten Kritik an den Wettbewerbsbedingungen wurde der Contest im November 2014 mit den eingeforderten Freiräumen wiederholt, sodass diesmal Hacker als vollwertige Clients oder Server agieren konnten.^[94] Zusätzlich wurde das Preisgeld auf 300.000 USD angehoben. Im Februar 2015 endete der Wettbewerb ohne Sieger.^[95]

Eigendarstellung

Telegram speichert nach eigenen Aussagen sämtliche Telefonnummern und auch die Kontaktnamen im Telefonbuch des Nutzers. Der Nutzer kann die Synchronisation von Kontaktdaten mit den Telegram-Servern dauerhaft unterbinden.^[78] Die iOS- und Android-Apps bieten die Möglichkeit, bereits synchronisierte Kontakte auf dem Server zu löschen.^[78] Solange der Nutzer die Synchronisation der Kontakte nicht deaktiviert, werden diese auf den Servern des Betreibers gespeichert.

Sämtliche Kommunikationsinhalte der Cloud-Chats werden auf den Servern des Betreibers hinterlegt. Die Daten werden laut Betreiber gelöscht, sobald alle an der Konversation beteiligen Nutzer die jeweiligen Nachrichten oder ihre Benutzerkonten löschen oder bei Inaktivität entsprechend persönlicher Konfiguration automatisch gelöscht werden.^[96]

Inhalte der geheimen Chats werden nicht auf den Servern gespeichert.^[78] Medien (Fotos, Videos oder Dateien) in geheimen Chats werden laut Betreiber verschlüsselt und ohne Zuordnung zum Chat und Nutzer auf den Servern gespeichert.^[78] Der Schlüssel und der Speicherort werden nur auf dem Client-Gerät hinterlegt. Um Speicherplatz zu sparen, werden diese Medien regelmäßig von den Servern gelöscht und können dann auch nicht mehr von den beteiligten Benutzern abgerufen werden.^[78]

Bei der Kontoerstellung muss der Nutzer seine Telefonnummer angeben. Eine Anmeldung durch die Eingabe einer E-Mail-Adresse ist nicht möglich. Beim einfachen Gerätewechsel oder dem Betrieb mehrerer Geräte wird ein neues Gerät üblicherweise mit einem Bestätigungscode verifiziert, der auf das Gerät mit der zuletzt aktiven Sitzung gesendet wird. Dies eröffnet beim Wechsel der Rufnummer einen gewissen Spielraum zum Missbrauch, solange die alte Telefonnummer nicht von einem neuen Nutzer für ein eigenes Telegram-Konto verwendet wird bzw. dieser durch einen optional möglichen SMS-Verifizierungscode das bestehende Konto übernimmt.

Testberichte unabhängiger Medien

In dem aktuellen Test der Stiftung Warentest mit Fokus auf Datenschutz (02/2022) vergleichen sie 30 Messenger-Apps. Im Gegensatz zum Schnelltest von 2014 kommt die Stiftung Warentest zu keinem kritischen Urteil, aber das Ergebnis ist nicht „wirklich besser“.^[97] So wird Telegram von Stiftung Warentest unter anderem deswegen nicht empfohlen, weil die App in der Kritik steht, strafbare Inhalte in vielen Fällen nicht zu löschen.^[98]

heise online nennt den Datenschutz von Telegram 2020 eine „Katastrophe“ und kritisiert insbesondere folgende Aspekte:^[99]

• Sämtliche Nachrichten aller nicht-geheimen Chats werden bereits beim Eintippen an die Server von Telegram gesendet und dort ständig abrufbar gespeichert.^[99]
• Das gesamte Chat-Archiv (inklusive der Entwürfe) aller nicht-geheimen Chats wird auf dem Server von Telegram gespeichert und kann dort von Beamten mit Durchsuchungsbefehl, Telegram-Mitarbeitern oder Hackern ausgelesen werden. Auch stehe einer Nutzung der Daten zu Zwecken personalisierter Werbung in Zukunft aus technischer Sicht nichts im Wege.^[99]
• Geheime (Ende-zu-Ende verschlüsselte) Chats sind mit einer Reihe von Einschränkungen verbunden und schwer zu finden, sodass diese kaum genutzt würden.^[99]

Die fehlende Nutzerfreundlichkeit der geheimen Chats sei ein eindeutiger Hinweis, dass ein Interesse seitens der Serverbetreiber bestehe, alle Nachrichten mitlesen zu können, heißt es in einem Bericht des SWR3 von 2020. Er resümiert: „Telegram ist der unsicherste Messenger, der derzeit herumgereicht wird, Sicherheit wird nur vorgegaukelt.“^[100]

Onlinestatus

Die standardmäßige Einstellung für „Privatsphäre und Sicherheit“ ist „Jeder“. Damit ist der aktuelle Onlinestatus (online oder offline) eines Benutzers für alle Telegram-Benutzer sichtbar, auch solche, die nicht zu den eigenen Kontakten gehören. 2015 wies ein schwedischer Softwareentwickler darauf hin, dass sich diese Informationen von Dritten allein anhand der Telefonnummer auslesen lassen, um zu verfolgen, mit wem und wie häufig ein potenzielles Opfer über die Anwendung kommuniziert.^{[101][102][103][104][105]} Eine 2017 veröffentlichte Sicherheitsanalyse des MIT demonstriert, wie der Onlinestatus eines Nutzers auf diese Weise sekundengenau und ohne dessen Kenntnis ausgelesen werden kann. Auf Grundlage der so gewonnenen Daten ließ sich daraufhin mit einer gewissen Wahrscheinlichkeit ermitteln, ob und wie häufig zwei Benutzer aus einer Versuchsgruppe miteinander kommunizieren.^[106]

Um dies zu verhindern, kann die Anzeige des Onlinestatus auf eine ungenaue vierstufige Anzeige (kürzlich, innerhalb einer Woche, innerhalb eines Monats, vor langer Zeit) eingestellt werden.^[107][108] Ist diese Einstellung aktiviert, so ist der aktuelle Online-Status (Online, Offline) eines Nutzers allerdings weiterhin für die Kontakte sichtbar, die gerade eine Nachricht im Einzelchat oder Gruppenchat von diesem Benutzer empfangen, deren private Nachrichten der Benutzer aktuell liest oder die dessen „tippt-gerade“-Status über einen Gruppenchat sehen können.^[109] Dies kann nicht deaktiviert werden.

Nachrichten werden mit einem „gelesen“-Status versehen, sobald sie der Empfänger geöffnet hat. Dieser kann den Status aber wieder auf „ungelesen“ setzen.^[110] Bei Gruppenchats werden Nachrichten mit einem „gelesen“-Status versehen, sobald sie von einem der Gruppenmitglieder geöffnet wurden.

Der Code der Telegram-Clients – nicht jedoch der Server – ist größtenteils öffentlich verfügbar und unter der GNU GPL lizenziert. Die serverseitige Infrastruktur von Telegram ist proprietär. Eine Überprüfung vieler Betreiberangaben, wie etwa die Sicherheit der Cloud-Chats und sonstiger auf den Servern gespeicherter Daten, wie Kontakte, ist daher nicht möglich.

Für den Server wird eine offene Programmierschnittstelle (API) angeboten. Darauf aufbauend wurden einige alternative Clients veröffentlicht,^[111] wie der Plus Messenger,^[112] der Anfang 2015 zunächst unter dem Namen Telegram Plus^[113] als unmittelbarer Nachfolger von WhatsApp Plus veröffentlicht wurde, sowie der Socializer Messenger von Samsung, der den Anfang 2015 eingestellten Dienst ChatON ersetzte. Angepasste Versionen („inoffizielle Versionen“) müssen ebenfalls den Quelltext zur Verfügung stellen.^[114]

Aufgrund der Vermarktung als vermeintlich^[76][68][67] sicherer Dienst wird Telegram unter anderem auch von Aktivistengruppen, Rechtsextremen^{[115][116][117]} und Terroristen verwendet,^{[118][119][120]} für Pump-and-Dump-Aktivitäten zu Kryptowährungen^[121][122] sowie für die Verbreitung von Kinderpornografie.^[123][124] Durch die Geheimchat-Funktion und die Möglichkeit, geschlossene Gruppen zu verwalten, wird die App als Drogen-Marktplatz genutzt und ist bei Verschwörungserzählern wie Attila Hildmann beliebt.^[125][126] Um terroristischen Missbrauch zu bekämpfen, arbeite Telegram mit internationalen Organisationen wie Europol zusammen.^[127][128]

Islamistische Organisationen

Am 18. November 2015 gab Telegram bekannt, 78 Kanäle gesperrt zu haben, die in Beziehung zum sogenannten Islamischen Staat stünden. Außerdem werde in Zukunft eine bessere Möglichkeit bereitgestellt, derartige öffentliche Inhalte in Telegram zu melden.^[129] Jedoch wird die App weiterhin von Unterstützern der Terrororganisation genutzt.^[130] Am 26. Dezember 2016 eröffnete Telegram einen offiziellen Kanal namens @ISISwatch auf der eigenen Plattform. Darin wurde gemeldet, dass pro Monat etwa 2000 Konten blockiert werden, die dem IS zugeordnet werden konnten.^[131] Nach einer Einschätzung von Europol bemüht sich Telegram erfolgreich, Gewalt, kriminelle Aktivitäten und Missbrauch auf der Plattform zu bekämpfen.^[128][127]

Rechtsextreme und Verschwörungsideologen

Rechtsextreme sowie als Verschwörungstheoretiker geltende Personen unterhalten eigene Gruppen auf Telegram. Ein Grund dafür ist die Möglichkeit, Nachrichten an mehrere Tausend Nutzer (nach Eigenangaben 200.000) gleichzeitig zu senden, die dafür nur die Gruppe des jeweiligen Senders abonnieren müssen. BuzzFeed News berichtete von verbreiteten Gewalt- und Umsturzfantasien sowie Untergangsszenarien.^[132] Telegram ist für Rechtsextreme attraktiv, da „dort praktisch nichts gelöscht“ und man nicht gesperrt werde. Man könne „dort Hakenkreuze posten, den Holocaust leugnen oder zum Genozid aufrufen“.^[133] Das Bundesamt für Verfassungsschutz stellte fest: „Insbesondere Anhänger der verfassungsschutzrelevanten Corona-Leugner-Szene nutzen die Plattform zur Verbreitung der eigenen Agenda sowie zur Mobilisierung für Demonstrationen und Veranstaltungen.“ Nutzer, welche wegen extremistischer Inhalte bei YouTube oder anderen sozialen Netzwerken gesperrt wurden, nutzen Telegram als Ausweichplattform. Auf Telegram wird auch zu Gewalt aufgerufen. Es gab Veröffentlichungen von Adressen von Politikern.^[134]

Im Februar 2022 sperrte Telegram sieben Kanäle des rechtsextremen Coronaleugners Attila Hildmann. Der Thinktank Center for Monitoring, Analyse und Strategie kritisierte dies als Feigenblatt und führte aus: „Weiterhin findet man täglich Mordaufrufe und Gewaltfantasien auf Telegram. Vermutlich wird sich das auch so schnell nicht ändern.“ Im Dezember 2021 ging Telegram gegen 25 einschlägige deutschsprachige Gruppen vor, so dass diese eingeschränkt zugänglich waren oder blockiert wurden. Im Januar 2022 ging Telegram bereits gegen 120 Gruppen vor.^[135]

Holocaustleugnung und Falschdarstellungen

Über die auf den Holocaust bezogenen Inhalte heißt es in einer am 14. Juni 2022 von der UNESCO veröffentlichten Studie laut Deutschlandfunk Kultur: „Der Anteil der öffentlich zugänglichen Telegram-Inhalte, die den Holocaust leugnen oder verzerrt darstellen, liegt laut Unesco bei 49 Prozent. Bei Inhalten auf Deutsch liegt der Anteil sogar bei mehr als 80 Prozent.“^{[136][137][138][139]}

Löschung strafbarer Inhalte

Dieser Abschnitt stellt die Situation in Deutschland dar. Bitte hilf uns dabei, die Situation in anderen Staaten zu schildern.

Deutschland

Hochrangige deutsche Politiker sind seit 2021 bemüht, den Messenger-Dienst Telegram stärker zu reglementieren. Das Bundesamt für Justiz und Thüringens Innenminister Georg Maier sehen in Telegram keinen reinen Messenger-Dienst, sondern eine soziale Plattform, für die das Netzwerkdurchsetzungsgesetz gelten müsste. Wie andere soziale Medien auch müsste deshalb Telegram u. a. strafbare Inhalte rasch löschen. Zudem müsste ein leicht zugänglicher Meldeweg für strafbare Inhalte eingerichtet werden und Zustellungsbevollmächtigte für Ersuchen deutscher Gerichte benannt werden. Da Telegram beides unterließ, kam es auch zu Bußgeldverfahren.^[134] Bundesjustizminister Marco Buschmann hatte Telegram außerdem mit Zwangsvollstreckung und strafrechtlicher Verfolgung auch außerhalb der EU gedroht.^[140]

Das Bundeskriminalamt unterhält eine Arbeitsgruppe zum Vorgehen gegen strafrechtlich relevante Inhalte auf Telegram. Diese kooperiert mit den Länderpolizeien und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT).^[141]

Staatliche Blockadebemühungen

Da die „normalen“ Nachrichten – nicht jedoch die „geheimen“ – und auch die Verknüpfung zu den Kontakten den Betreibern von Telegram prinzipiell im Klartext zugänglich sind, ist der Zugriff auf den Dienst für staatliche Akteure attraktiv. Um diesen zu erzwingen, versuchten russische Behörden Telegram zu blockieren. Außerdem gibt oder gab es aus Zensurgründen Blockaden im Iran, in Indonesien^[142] und in China^[143].

Russland

Telegram ist mit 30 Millionen Benutzern^[144] in Russland sehr populär. Dmitri Peskow, der Sprecher des russischen Präsidenten Putin, erwähnte 2017 in der Zeitung RBK, dass der Dienst auch in der Regierung Russlands genutzt werde: „Im Kreml benutzen wir Telegram für die interne Kommunikation“.^[145]

2018 versuchte Russland den Messengerdienst zu sperren, weil dieser nach dem Terrorangriff in Sankt Petersburg nicht bereit war die Datenentschlüsselung privater Chats zu übergeben. Kritiker halten das für ein vorgeschobenes Argument.^[145]

Nachdem die Plattform die Schlüssel nicht offenlegte erlaubte ein Gericht der Behörde am 13. April 2018 die Blockierung des Dienstes.^[146]

Daraufhin wechselte Telegram ständig die IP-Adressen, über die es seinen Datenverkehr abwickelt, und griff dabei auch auf Drittanbieter wie Amazon Web Services oder Google Cloud zurück. In der Folge wurden auch Websites wichtiger russischer Medien und Unternehmen blockiert, die ihre Angebote auf deren Dienste ausrichteten. Betroffen waren neben Amazon und Google unter anderem auch die VTB-Bank, die staatliche Videoagentur Ruptly, Odnoklassniki.ru, Spotify, Viber, Mastercard, SoundCloud, FIFA und diverse Online-Spieleplattformen; zuletzt auch gezielt Google-Dienste wie Gmail oder die Google-Suche.^[147] Die Aufsichtsbehörde Roskomnadsor hatte dabei auch Teile ihrer eigenen Website blockiert.^[148]Die Behörde richtete eine Hotline ein, bei der sich Betroffene melden können, wenn ihre Internetdienste in Mitleidenschaft gezogen wurden. Gegenüber der Zeitung Wedomosti äußerte sich der Leiter der Behörde Alexander Scharow, dass man sich in einem Rüstungswettlauf mit den Entwicklern befände.^[149]

Insgesamt wurden knapp 19 Millionen IP-Adressen gesperrt, nach Betreiberangaben ohne nennenswerten Rückgang des Messengerbetriebs in Russland.^[148] Blockaden wurden unter anderem durch verschlüsselte VPN-Verbindungen oder Proxyserver umgangen.

Telegram-Mitbegründer Pawel Durow bedankte sich bei den russischen Telegram-Nutzern für die Unterstützung und Treue sowie: „Danke, Apple, Google, Amazon, Microsoft, dass ihr euch nicht an der politischen Zensur beteiligt habt.“^[150] In den russischen Appstores der bekannten Anbieter ist Telegram trotz Aufforderung zur Entfernung weiterhin verfügbar; innerhalb weniger Tage hat sich die Benutzerzahl verdoppelt. Nach Angabe der Behörden habe man lediglich 30 Prozent der Benutzer „aussperren“ können. Organisationen wie Amnesty International oder die American Civil Liberties Union forderten Unternehmen wie Amazon und Google auf, dem Druck der russischen Behörden nicht nachzugeben.^[151] Die russischsprachige in Lettland ansässige Website Meduza berichtet von Verlusten in Milliardenhöhe für die russische Wirtschaft,^[152] da die Blockaden zu Ausfällen von Onlinespeichern, Geolokalisierung, E-Payment-Diensten, Bankdienstleistungen, KI-Systemen, mobilen Apps sowie Kundendiensten führten.^[153]

Auch kam es zu ersten Schadenersatzklagen. Otschir Mandschikow, PR-Chef der russischen Suchmaschine Yandex, kritisierte: „Der Versuch, Telegram zu blockieren, ist zu einem unerwarteten Schlag gegen das ganze Ru-Net geworden“ und forderte für den russischen Markt eine offene Konkurrenz. „Insbesondere Unfreiheit und fehlende Auswahl für die User halten wir für die gefährlichsten Folgen der Blockade.“^[154] Etwa acht- bis zehntausend Personen protestierten am 30. April 2018 auf dem Sacharow-Platz in Moskau gegen die Blockierungsversuche der Behörde.^[155][156]

Im Juni 2020 gab die Medienaufsicht Roskomnadsor die letztlich gescheiterten Versuche auf, Telegram in Russland zu blockieren.^[157]

Iran

Zuletzt, nach vorübergehenden Blockaden im Januar 2018,^[158] sollte nach den Protesten Anfang 2018 laut einer staatlichen Nachrichtenagentur Irans Telegram Mitte April gesperrt werden. Unter Berufung auf Alaeddin Borudscherdi, Vorsitzender des Parlamentsausschusses für nationale Sicherheit und Außenpolitik, wurde „auf höchster politischer Ebene entschieden“. Die App solle durch den lokalen, weitaus unbeliebteren Dienst Soroush ersetzt werden. Aus Sicht der nationalen Sicherheit hätte Telegram bei den jüngsten politischen Krisen „eine destruktive Rolle“ gespielt.^[159] Die Regierung von Präsident Hassan Ruhani wie auch das Kommunikationsministerium sprechen sich gegen eine Blockade aus.Telegram hat derzeit im Iran mehr als 40 oder sogar 50 Millionen Nutzer, Soroush laut unbestätigten Angaben dagegen nur 5 Millionen,^[160] die Nowaja gaseta schrieb: Telegram sei das Internet im Iran, es sei gleichbedeutend mit dem Internet selbst; der Verkehr auf Telegram mache 40 Prozent des gesamten digitalen Verkehrs aus, auch weil andere Dienste wie Facebook und Twitter gesperrt sind.^[161] Nach Angaben der iranischen Nachrichtenagentur Tasnim hat die iranische Justizbehörde das Verbot Ende April 2018 offiziell angeordnet.^[162]

Brasilien

Im März 2022 ordnete der Oberste Gerichtshof in Brasilien die landesweite Sperrung von Telegram an, nachdem es sich mehrfach richterlichen Anordnungen zur Sperrung von Benutzerkonten mit Falschnachrichten widersetzt hatte. Das Gericht gab Apple, Google und brasilianischen Telefonunternehmen fünf Tage, um Telegram auf ihren Plattformen zu sperren. Voraussetzung für eine erneute Freischaltung ist das Einhalten der richterlichen Anordnungen, die Zahlung offener Geldstrafen und eine Benennung eines Telegram-Repräsentanten in Brasilien.

Neben einem Haftbefehl gegen einen Bolsonaro-nahen Blogger, der Falschmeldungen verbreitet, hat der Oberste Gerichtshof Brasiliens eine Untersuchung angeordnet, um aufzuklären, ob der regierende rechtsextreme Jair Bolsonaro über offizielle Kommunikationskanäle Falschinformationen verbreitet. In Brasilien ist Telegram 2022 auf 53 % der Mobiltelefone installiert und ein wichtiger Kanal für den Rechtsextremisten, der an der Präsidentschaftswahl im Oktober 2022 teilnahm.^[163][164]

• Liste von mobilen Instant-Messengern