Eines verbindet Internetnutzer in der Ukraine und in Russland: ihre Affinität zu Telegram. Das war schon bisher so, durch die russische Invasion kommt dem Messenger aber eine noch stärkere Bedeutung zu. In Gruppen wird über die aktuellen Geschehnisse diskutiert, in den bis zu mehrere hunderttausend Personen umfassenden Kanälen die Öffentlichkeit auf dem Laufenden gehalten – und zum Teil auch zum Handeln aufgefordert.

So nutzt etwa auch die ukrainische Regierung Telegram, um ihre Botschaften zu verbreiten. Jene Hacktivisten, die seit Tagen russische Seiten angreifen, organisieren sich zum Teil ebenfalls hier. In Russland ist Telegram wiederum nach der Sperre großer Plattformen wie Facebook einer der letzten verbliebenen Wege, sich Informationen jenseits der staatlichen Propaganda zu besorgen.

Sicher? Eher nicht

So weit, so gut. Das Problem dabei: Telegram mag viele Vorzüge haben, Sicherheit gehört leider nicht dazu. So gibt es etwa für Gruppenchats gar keine Ende-zu-Ende-Verschlüsselung. Bei Einzelchats ist so eine Option zwar vorhanden – aber eben nicht von Haus aus aktiviert.

Nicht bloß ein Detail

Doch warum ist das – jenseits der Kanäle, die ohnehin oft offen zugänglich sind – überhaupt relevant? Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die Chats tatsächlich nur von den Teilnehmern auf ihren Endgeräten eingesehen werden können. Deren Fehlen heißt, dass theoretisch Dritte mit Zugriff auf die Server von Telegram all diese Chats einsehen könnten.

Nun kann man natürlich darauf verweisen, dass sich Telegram bisher – zumindest öffentlich – gegen die Herausgabe von Nutzerdaten gesperrt hat. Doch das ist eben nicht der einzige Weg, über den jemand mit genügend Interesse an die Daten kommen könnte. Denkbar wäre etwa, dass ein Telegram-Mitarbeiter Daten auf Aufforderung von außen weitergibt; oder aber es gelingt Hackern, in die Server einzubrechen und dort mitzulesen.

Vertrauensfrage

Dazu ist so etwas natürlich auch immer eine Frage des Vertrauens. Ob da Telegram mit seinem eher seltsamen Firmenkonstrukt mit Hauptsitz in Dubai ganz oben angesiedelt ist, darf bezweifelt werden. Zumindest hat sich der aus Russland stammende Gründer Pawel Durow zuletzt angesichts des Ukraine-Kriegs über seinen Telegram-Kanal zu Wort gemeldet, und versichert, dass sein Unternehmen keine Daten weitergeben werde. Das habe er schon im Jahr 2013 abgelehnt, als der russische Geheimdienst FSB Daten über ukrainische Nutzer von dem ebenfalls von ihm gegründeten sozialen Netzwerk VK wollte, und die Konsequenzen getragen. Er verlor seine Firma und musste infolge Russland verlassen.

Ein simpler Ratschlag

Vertrauen ist aber das Eine, eine echte Ende-zu-Ende-Verschlüsselung etwas anderes. Immerhin garantiert nur letztere, dass man dem Server-Betreiber gar nicht vertrauen muss. Insofern lautet der einfachste Ratschlag, die eigene Telegram-Nutzung auf die Verwendung von Kanälen zu beschränken. Einzel- und Gruppengespräche sind bei ganz auf Sicherheit fokussierten Konkurrenten wie Signal wesentlich besser aufgehoben.

Dieses hat zwar auch so seine Nachteile – allen voran die Verbindung der Identität mit der Telefonnummer –, in Summe schützt Signal die Privatsphäre trotzdem besser. Zumal der sichere Messenger auch sonst erheblich weniger Metadaten sammelt, als es Telegram tut.

Das scheint sich übrigens angesichts der aktuellen Lage bereits herumgesprochen haben, jedenfalls hat die Signal-Nutzung in der Ukraine seit Kriegsbeginn massiv zugenommen. Und auch in Russland befindet sich der Open-Source-Messenger mittlerweile unter den derzeit am meisten heruntergeladenen Apps.

Andere Alternativen

Wer sich mit Signal nicht anfreunden kann, für den gibt es natürlich noch weitere Alternativen, die ebenfalls in Hinblick auf die Sicherheit besser als Telegram sind. Und selbst das viel gescholtene Whatsapp ist aus einer Sicherheitsperspektive noch immer besser als Telegram, immerhin werden hier wirklich alle Chats Ende-zu-Ende-verschlüsselt.

Schadensbegrenzung

Doch zurück zu Telegram: Wenn es wirklich unbedingt dieser Messenger für Einzelgespräche sein muss, dann empfiehlt sich die Nutzung der "Geheimen Chats". Dabei werden die Daten sehr wohl Ende-zu-Ende-verschlüsselt, wenn auch Experten gewisse Zweifel an der Zuverlässigkeit der Verschlüsselung von Telegram hegen. Allerdings muss man fairerweise sagen, dass es bisher keine Belege dafür gibt, dass sie geknackt wurde. Für Gruppenchats gibt es diese Option leider nicht, hier müssen die Nutzer also mit der Speicherung der Inhalte auf den Servern des Betreibers leben, wenn sie Telegram nutzen.

Zeitablauf

Um so wichtiger ist die Aktivierung eines zweiten Features: des automatisch Zeitablaufs. Ein solcher sorgt dafür, dass sich die Nachrichten bei allen Geräten nach einer gewissen Zeit selbst zerstören, also automatisch wieder gelöscht werden. Und Daten, die nicht mehr da sind, können später auch nicht mehr eingesehen werden – so simpel ist das.

Das geht bei Telegram auf zwei Wegen. In den "Geheimen Chats" lässt sich ein sogenannter "Selbstzerstörungs-Timer" einstellen, der alle Nachrichten nach einer gewissen Zeit entfernt. Der Zeitraum kann zwischen einer Sekunde und einer Woche frei gewählt werden.

Geht auch bei Gruppen – ein bisschen

Bei Gruppenchats gibt es etwa Ähnliches, es ist aber besser versteckt. Wer im Menü rechts oben auf den Punkt "Verlauf leeren" geht, bekommt ein Menü präsentiert. In diesem kann dann die automatische Löschung aktiviert werden.

Wie wichtig diese Feature vor allem für Aktivistinnen und Aktivisten ist, zeigt die aktuelle Situation eindrücklich. Bei Protesten in Moskau hat die russische Polizei von Demonstrierenden die Herausgabe der Smartphones verlangt, um die Nachrichten durchzusehen – und nur jene wieder gehen zu lassen, die keine verdächtigen Nachrichten in ihrer Liste hatten. Nun wäre es natürlich – je nach Situation – auch möglich, die Nachrichten manuell zu löschen. Ein automatischer Zeitablauf – für Aktionen am besten mit einem sehr kurzen Zeitrahmen – sorgt aber dafür, dass man sich keine Gedanken über solche Dinge machen muss.

Zudem verschwinden die Nachrichten dann auch bei sämtlichen Teilnehmern. Immerhin reicht der Zugriff auf das Gerät eines einzelnen Users, um die Nachrichten von dutzenden Teilnehmern eines Gruppenchats nachlesen zu können. Ein klitzekleines Problem gibt es im konkreten Fall aber: Telegram lässt bei Gruppenchats keinen kürzeren Zeitablauf als 24 Stunden zu – das dürfte für das beschriebene Szenario zu lang sein. Hier folgt dann wieder der dezente Hinweis auf Alternativen.

Kontosicherheit ist essenziell

Apropos "eine Person reicht": Für die Vertraulichkeit eines Chats ist es natürlich unerlässlich, dass sich niemand einschleicht. Insofern ist der Schutz des eigenen Kontos essenziell. Dabei empfiehlt sich die Aktivierung der Zwei-Faktor-Authentifizierung (2FA), die bei Telegram allerdings etwas anders als gewohnt funktioniert.

Für den Login in ein Telegram-Konto reicht normalerweise die Eingabe des an eine bestimmte Telefonnummer via SMS geschickten Codes. Bei der Aktivierung der 2FA wird dann zusätzlich auch noch ein frei wählbares – und zur Erinnerung möglichst langes – Passwort abgefragt, was Angreifern das Leben erheblich schwerer macht. Mit modernen 2FA-Verfahren wie der Nutzung eines FIDO-kompatiblen Hardware-Keys kann das zwar nicht mithalten, aber es bleibt das Beste, was Telegram derzeit bieten kann – und darum geht es schlussendlich in diesem Artikel.

Die Aktivierung von Zwei-Faktor-Authentifizierung ist heutzutage generell anzuraten, immerhin nimmt die Zahl der Attacken auf Nutzerkonten auch jenseits militärischer Konflikte zu. Besonders dringlich ist sie natürlich für all jene, die Teil von besonders verwundbaren Gruppen sind – also etwa Aktivistinnen oder auch Journalisten. Praktisch verpflichtend ist dieser Schritt aber für all jene, die bei Telegram besondere Verantwortung übernehmen, also etwa Kanäle verwalten. (Andreas Proschofsky, 11.3.2022)