Telegram: Ein Messenger, bei dem viele Fragen offenbleiben
Weiter geht es in unserer ausführlichen Messenger-Testserie mit Telegram, einer App, die noch recht jung ist und, ähnlich wie Threema, mehr Sicherheit verspricht. Besonders im spanisch-sprachigen Raum ist Telegram sehr beliebt, zumindest zwitscherten die Entwickler das kürzlich. Am 24. März 2014 twitterten die Entwickler außerdem, dass Telegram die 35 Mio. Nutzermarke erreicht hat. Nicht schlecht dafür, dass die App erst vor kurzem das Licht der mobilen Welt erblickt hat – schlecht ist allerdings, dass die App Fragen aufwirft, die sich nicht beantworten lassen.
Telegram: Validierungscode ohne Validierung
Ähnlich wie Threema will Telegram alles, was an WhatsApp positiv hervorzuheben ist, übernehmen und alles negative besser machen. So hat sich die Optik der App sehr an WhatsApp gehalten: Bisherige WhatsApp-User finden sich schnell zurecht. Die App ist offiziell für iOS und Android erhältlich, inoffiziell auch für Windows, Mac, Linux und Windows Phone – teilweise sind die inoffiziellen Versionen noch in der Alpha-/ Beta-Phase. „Inoffiziell“ heißt: Über eine API können Drittanwendungen mit dem Netzwerk kommunizieren. So lässt sich Telegram tatsächlich plattformübergreifend nutzen, und zwar sowohl auf dem Smartphone als auch auf dem Tablet und am Rechner. Das gibt einen dicken Pluspunkt, denn vergleichen wir das mit Threema, ist die Verbreitung von Telegram wesentlich umfangreicher.
Die Installation ist kinderleicht: Auf seiner Website verlinkt Telegram alle Quellen zu offiziellen und inoffiziellen Versionen. Folgen Sie den Anweisungen Ihres App-Stores und schon ist die App installiert. Öffnen Sie die App, werden Sie aufgefordert, Ihre Handynummer einzugeben. Per SMS erhalten Sie postwendend einen Code. Nun geben Sie Ihren Vornamen, optional auch Ihren Nachnamen an. Ihre Namenseingabe können Sie später jederzeit in den Einstellungen ändern. Die App ist eingerichtet, wir starten sie für unseren Test. An dieser Stelle tauchte für uns die erste Frage auf: Wozu haben wir den Validierungscode zugesendet bekommen, wenn wir ihn nirgends eingeben mussten? Die App lässt sich einfach starten, ohne dass eine Eingabe nötig wäre. Nach einiger Recherche im Web finden wir keine Antwort auf diese Frage.
Wer WhatsApp kennt, kennt Telegram
Wäre es möglich, WhatsApp und Telegram aufeinander zu packen, wäre schnell klar: Die beiden ähneln sich optisch wie ein Ei dem anderen. Die Farbgestaltung ist bei Telegram etwas frischer, ansonsten nehmen sich die beiden Messenger nichts. Das gilt auch für die Handhabung: Komplett identisch zeigen sich Kontaktübersicht, Chatansicht und das Starten von neuen Unterhaltungen. Auf der Telegram-Website und in der Twitter-Bio ist zu lesen, dass Telegram die weltweit schnellste Messaging-App sei. Das lassen wir einfach so stehen, ohne die Geschwindigkeit der Nachrichtenübertragung mit anderen Messengern zu vergleichen.
Videos und Bilder können mit einer sehr angenehmen Größe von bis zu 1 GB versendet werden – diese Großzügigkeit fanden wir weder bei WhatsApp noch bei Threema, wo noch immer die Aussage zur maximalen Versandgröße fehlt. Seit dem 21. März 2014 können Sprachnachrichten versendet werden, das Versenden von Dokumenten und dem eigenen Standort sind ebenfalls möglich, Emoticons sind mittlerweile selbstverständlich. Sie können offene und geheime Gruppenchats mit bis zu 200 Mitgliedern führen, Inhalte zwischen verschiedenen Geräten synchronisieren, ähnlich wie bei SnapChat sind sich selbstvernichtende Nachrichten möglich und der Status einer Nachricht wird angezeigt: Ist die Nachricht beim Server angekommen, sehen Sie ein Häkchen, wurde die Nachricht gelesen, sehen Sie zwei Häkchen. Etwas schade finden wir, dass es Telegram nicht erlaubt, den eigenen Online-Status zu verbergen – hier hatte jüngst sogar WhatsApp unter Android nachgebessert.
Wer steckt hinter Telegram?
Telegram ist komplett kostenfrei. Weder eine Downloadgebühr wie bei Threema noch Abokosten wie bei WhatsApp fallen an. Man kommt nicht umhin, sich zu fragen, wie sich die App finanziert. In den FAQ wollen die Entwickler diese Frage wie folgt beantworten: Bei kommerziell ausgerichteten Unternehmen würden Gewinne die Wertigkeit eines Projekts beeinflussen: Je mehr, umso besser. Telegram hingegen sei ein nichtkommerzielles Projekt, man beabsichtige nicht, Gewinne zu generieren. Deshalb werde es nie Anzeigen oder Investitionen von Dritten geben. Telegram würde man auch nicht verkaufen wollen; man kreiere mit Telegram keine Börse für Userdaten, sondern eine Messaging-App für User. Pavel Durov, einer der beiden Entwicklerbrüder, habe die App mit einer „großzügigen Spende“ unterstützt, sodass Telegram aktuell über genügend finanzielle Mittel verfüge. Sollte dieses Geld nicht ausreichen, wolle man die User bitten zu spenden oder einige eher unwichtige Funktionen kostenpflichtig machen.
Pavel und sein Bruder Nikolai Durov stammen aus Russland, sie sind die Gründer von Russlands größtem Social Network vk.com. Als Telegram im August 2013 für iOS startete, titelte die Nachrichtenagentur Reuters: „Russia’s Zuckerberg launches Telegram, a new instant messenger service„. Dass Pavel Durov nicht am Hungertuch nagt, zeigt auch die Tatsache, dass Telegram eine Prämie von 200.000 US-Dollar bietet, sollte es einem Hacker gelingen, ein Schlupfloch ausfindig zu machen.
Merkwürdigkeiten in Telegrams Verschlüsselung
Kommen wir zum Thema Sicherheit bei Telegram, tauchen neue Fragen und Merkwürdigkeiten auf. Telegram arbeitet mit MTProto, einem Protokoll, das Nikolai Durov entwickelt hat. Laut Telegram-FAQ kam es Durov beim Entwickeln auf eine gesunde Mischung aus Sicherheit und High-Speed sowie Zuverlässigkeit an. Telegram verwendet zwei Arten der Verschlüsselung: Server-Client und Client-Client. Basierend auf 256 Bit-AES-Verschlüsselung, RSA 208 und Diffie-Hellman-Schlüsselaustausch, verspricht Telegram, bei der sicheren Kommunikation zu helfen, aber auch nichts gegen Dritte unternehmen zu können, die Zugang zu Ihrem Device haben. Klingt logisch und ähnlich wie bei Threema. Aber: Kryptografie-Experten sind nicht sonderlich begeistert von der hauseigenen Lösung. Die Bausteine seien veraltet und angreifbar. In den Hacker News diskutierten die Macher von Telegram mit Moxie Marlinspike, dem Entwickler von TextSecure – leider ist die Diskussion für Krypto-Laien kaum nachvollziehbar. Erfahrene User können sich gerne mal durch die erweiterten FAQ klicken, in denen die Durov-Brüder Stellung zu einigen Vorwürfen nehmen; schade, dass das in sehr aggressivem und unangenehmem Tonfall stattfindet.
Mit dem Wechsel in einen privaten Chat geht man von der Client-Server-Verschlüsselung über zur Client-zu-Client-Verschlüsselung. Sie können sich das wie einen „Inkognito-Modus“ vorstellen. In diesem privaten Chat können Sie die Selbstzerstörung Ihrer Nachrichten einstellen. Klicken Sie auf das Bild Ihrer Kontaktperson und wählen Sie die Option „neuer geheimer Chat“ aus. Ihnen wird ein Verschlüsselungscode angezeigt, der allerdings eher eine Spielerei ist. Wenn Sie mit Ihrem Chatpartner unsinniger Weise gerade in einem Café zusammensitzen, können Sie die Schlüssel auf Ihren beiden Devices vergleichen, ansonsten ist der Code allerdings unnötig. Die Ende-zu-Ende-Verschlüsselung müssen Sie in den Einstellungen der App aktivieren; bei Gruppenchats können Sie nur die Client-Server-Verschlüsselung nutzen. Die Server des Dienstes finden sich weltweit: In London arbeitet der Server für Europa, in Singapur der für Asien, in San Francisco der für amerikanische User.
Telegram: Teilweise quelloffen, teilweise intransparent
Teile von Telegram sind quelloffen. Die Entwickler stellen in ihren FAQ in Aussicht, künftig weitere Codebrocken zu veröffentlichen. Telegram und WhatsApp haben in Bezug auf den Datenschutz mehr gemeinsam als Telegram und Threema: Die App bedient sich an den Adressbucheinträgen ohne Zustimmung des Nutzers oder der von betroffenen Personen, wenngleich die Datenschutzrichtlinien versprechen, den User erst zu fragen. In unserem Test blieb eine solche Frage aus. Fraglich scheint auch, wie Telegram mit den Daten einer Person umgeht, die ihr Profil löschen will: Über eine Deaktivierungsseite lassen sich Profile deaktivieren – in unseren Augen ein seltsamer Ausdruck; „löschen“ wäre eindeutiger.
Was passiert mit den eigenen Daten nach der Deaktivierung eines Profils? Telegram erklärt, Nachrichten, Gruppen und Kontakte werden komplett gelöscht. Bei Nachrichten läuft das übrigens so ab: Wenn Sie eine Nachricht löschen, verbleibt diese noch auf den Telegram-Servern. Löscht Ihr Gesprächspartner diese Nachricht auch, wird sie vom Server gelöscht. Sich selbstzerstörende Nachrichten werden gelöscht, sobald der Countdown, der mit dem Lesen einer Nachricht durch beide Gesprächspartner aktiviert wird, abgelaufen ist. Da solche Nachrichten nur in geheimen Chats mit Ende-zu-Ende-Verschlüsselung möglich sind, liegen diese Nachrichten auch nicht auf den Servern. Geheime Nachrichten sind nicht in der Cloud verfügbar, sondern ausschließlich auf dem Sender- und Empfängergerät. Sind solche Nachrichten gelöscht, sind sie also wirklich weg und nicht wiederherstellbar. Auf der Website von Telegram ist kein Impressum einsehbar. Die Datenschutzrichtlinien und die FAQ sind in den Sprachen englisch, russisch und spanisch verfügbar.
Sicherheitslücke in Telegram wurde sofort gestopft
Telegram arbeitet insgesamt zuverlässig; als Telegram von einem Zuwachs von knapp 2 Mio. User twitterte, wurden neue Serverkapazitäten angekündigt. Um die Sicherheit ihres eigenen Verschlüsselungsprotokolls unter Beweis zu stellen, hatten die Gebrüder Durov einen Hackerwettbewerb ausgelobt, bei dem die oben schon erwähnten 200.000 US-Dollar für das Finden von Schwachstellen gewinkt haben. Kaum geschehen, kritisierten Experten, dass Angreifer nicht genügend Zugriff auf die Daten erhielten; das Protokoll könne man so nicht ausreichend testen. Einem russischen Entwickler gelang es dennoch, eine Schwachstelle ausfindig zu machen, die Man-in-the-middle-Attacken zuließ. Er gewann das halbe Preisgeld und die Lücke wurde umgehend von den Entwicklern geschlossen. Auf einen Jugendfilter verzichtet Telegram genauso wie auf XMPP.
In unserem Test schneidet Telegram schon mal besser ab als WhatsApp. Das hauseigene Protokoll wirft allerdings Fragen auf, der Datenschutz ist unzureichend und die Verschlüsselungsparameter geben keinen ausreichenden Schutz. Positiv hervorzuheben ist die optionale Ende-zu-Ende-Verschlüsslung in den privaten Chats, die auch selbstzerstörende Nachrichten ermöglichen. Dass theoretisch Dinge versprochen werden, die praktisch nicht eingehalten werden, ist kritisch zu beurteilen, insbesondere was den ungefragten Zugriff aufs Adressbuch betrifft. Unsinnig erschienen uns der Validierungscode, den man nicht einmal benötigt, und der Verschlüsselungscode, mit dem sich zwei Chatpartner gegenseitig ihre Schlüssel zeigen können, wenn sie sich gegenüberstehen. Das sind Features, die Sicherheit vortäuschen, wo es keine gibt. Weiter erscheint auch das Zukunftsmodell fragwürdig: Ausschließlich aus Liebe zum Messenger-User eine App zu finanzieren, wirkt unrealistisch, und ob Userspenden oder kostenpflichtige Features die App nach der Anfangsspende einer der Entwickler tragen können, wirkt fraglich. Eine enorme Flexibilität, die kostenfreie Nutzung und die einfache Bedienung hingegen sind Pluspunkte.
Telegram: Alle Details im Überblick
- Verbreitung: offiziell: iOS & Android. Inoffiziell: Windows, Mac, Linux, Windows Phone. Smartphone, Tablet, Rechner.
- Einschränkungen: keine
- Installation: einfach
- Einrichtung: einfach, aber mit unnützem Validierungscode
- Optik/ Bedienbarkeit: genau wie WhatsApp, umfangreicher Funktionsumfang
- Flexibilität: Fotos & Videos mit bis zu 1 GB, Sprachnachrichten
- Kosten: kostenlos
- Orga/ Land hinter dem Service: Pavel & Nikolai Durov, Russland
- Verschlüsselung: Ende-zu-Ende-Verschlüsselung einstellbar, aber eigens entwickeltes Protokoll, das viele Kritiken einstecken muss.
- Quellcode: teilweise offen, weitere Codes sollen künftig veröffentlicht werden
- Datenschutz: App greift ungefragt aufs Adressbuch zu. Gelöschte Nachrichten werden laut Telegram auch auf den Servern gelöscht.
- AGB: intransparent, nicht in deutscher Sprache verfügbar, theoretische Datenschutzrichtlinien widersprechen praktischen Tests
- Zuverlässigkeit: sehr gut
- Sicherheitsprobleme: Schwachstelle, die für Man-in-the-middle-Attacken ausgenutzt werden konnte, wurde gestopft
- Jugendfilter: nicht vorhanden
- Datenspeicherung: Daten auf weltweit verstreuten Servern (für Europa in London) gespeichert. Beim Deaktivieren des Profils werden Daten gelöscht, bei geheimen Chats gar nicht erst gespeichert.
- XMPP: nein
- Finanzierung: durch eine Spende einer der Entwickler. In Zukunft eventuell Spenden von Usern oder durchs Integrieren kostenpflichtiger Features.
Vorsicht vor Telegram! WhatsApp-Alternative gilt als Unsicher - Androidmag.de | 9. April 2014
[…] Quelle: PSW-Group […]
9. April 2014 @ 11:15Messenger-Dienste: Wie wichtig sind uns unsere Daten? | medienMITTWEIDA | 23. April 2014
[…] haben. Der Messenger gilt für viele zwar als sicher, aber ein vor Kurzem veröffentlichter Test der PSW-Group lässt dies […]
23. April 2014 @ 06:01