In unserer zweiten Testrunde von unserem gro\u00dfen Messenger-Test 2021 stehen sich heute Signal und Telegram gegen\u00fcber. W\u00e4hrend Signal von Gr\u00f6\u00dfen wie Edward Snowden empfohlen wird, steht der Telegram-Messenger immer h\u00e4ufiger in Kritik. Wir schauen uns heute an, welcher Messenger mehr \u00fcberzeugt. Neben Berechtigungen und der Usability der Messenger gehen wir unter anderem wieder detailliert auf die AGB sowie auf die Sicherheit von Signal und Telegram ein. Im Fazit vergeben wir in der diesj\u00e4hrigen Testrunde anschlie\u00dfend Punkte f\u00fcr die einzelnen Kategorien.<\/p>\n
Als wir Signal zuletzt im Jahr 2016 getestet<\/a> hatten, gefiel uns, was wir sahen: Die Funktionalit\u00e4t war gut, der offene Quellcode erlaubte es, die Verschl\u00fcsselung nachzupr\u00fcfen. Berechtigungen forderte der Signal-Messenger in 2016 viele, jedoch gelang den Entwicklern der Spagat zwischen Bequemlichkeit und Sicherheit.<\/p>\n Signal l\u00e4sst sich kostenfrei installieren und nutzen. Nutzende mit Android- oder iOS-Devices k\u00f6nnen den Messenger installieren. Ist Signal auf dem Mobilger\u00e4t installiert, l\u00e4sst sich der Messenger auch auf dem Desktop verwenden (Signal Desktop). Versionen existieren f\u00fcr Windows, macOS und dank einer Debian-basierten Distribution auch f\u00fcr Linux.<\/p>\n Wie uns bereits im Messenger-Test aus 2016 auffiel, m\u00f6chte Signal doch recht viele Berechtigungen:<\/p>\n Das sind nicht wenige Berechtigungen, die sich jedoch mit der Funktionalit\u00e4t des Messengers erkl\u00e4ren lassen. So haben Nutzende etwa die M\u00f6glichkeit, Signal auch als SMS-Tool zu verwenden, sodass der Zugriff auf SMS logisch nachvollziehbar ist. SMS und MMS werden dann \u00fcber die Internetverbindung des Ger\u00e4ts gesendet, sodass sich Nutzende SMS-Geb\u00fchren sparen k\u00f6nnen. Dennoch zeigte uns Threema, dass auch weniger Berechtigungen f\u00fcr einen funktionsreichen Messenger machbar sind, sodass Signal hier zwei von drei m\u00f6glichen Punkten einf\u00e4hrt.<\/p>\n Kontakte k\u00f6nnen auf verschiedenem Wege in den Signal-Messenger kommen: M\u00f6chten Nutzende dem Messenger keinen Zugriff aufs Telefonbuch spendieren, lassen sich Kontakte manuell eingeben. Die Alternative ist der Zugriff auf die Kontakte. Dabei werden alle gespeicherten Telefonnummern einwegverschl\u00fcsselt, also gehasht, auf die Signal-Server \u00fcbertragen. Mit dem sogenannten Contact Discovery werden Nutzenden jene Kontakte angezeigt, die ebenfalls Signal verwenden.<\/p>\n Da die Telefonnummer als Identifier nicht sonderlich datenschutzfreundlich ist \u2013 und die Telefonnummer der Registrierung nicht mit der Nummer des verwendeten Ger\u00e4ts \u00fcbereinstimmen muss \u2013 nutzt Signal seit 2017 das sogenannte Private-Contact-Discovery<\/a>. Der Telefonnummern-Hash-Abgleich erfolgt in einem Bereich des Speichers (SGX-Enklave; Software Guard Extensions<\/a>), in dem au\u00dferhalb dieses Prozesses kein anderer lesend oder schreibend zugreifen darf.<\/p>\n Der Vorteil dieses Vorgehens ist, dass die Signal-Server nicht mitbekommen k\u00f6nnen, welche Telefonnummern sich in welchem Adressbuch welches Ger\u00e4ts befinden. Der Nachteil ist jedoch, dass jede Schutzma\u00dfnahme fr\u00fcher oder sp\u00e4ter unterlaufen werden kann. Und so gelang es Forschenden der Universit\u00e4t Birmingham j\u00fcngst<\/a> mithilfe eines 30 Dollar-Ger\u00e4ts zum Kontrollieren der CPU-Spannung, die SGX-Enklave auszuhebeln.<\/p>\n Damit sich Nutzende wirklich sicher sein k\u00f6nnen, mit dem gew\u00fcnschten Gespr\u00e4chspartner zu kommunizieren und nicht mit unerw\u00fcnschten Dritten, ist es sinnvoll, Kontakte zu verifizieren. Signal bietet zu diesem Zwecke eine Authentifizierung durch Fingerprints (ein Code bzw. eine Zeichenfolge). Um Kontakte zu verifizieren, tippen Sie in ge\u00f6ffneten Chats auf den Kontaktnamen ganz oben und w\u00e4hlen dann \u201eSicherheitsnummer anzeigen\u201c. Diese Sicherheitsnummer kann nun mit der auf dem Ger\u00e4t der Gespr\u00e4chspartner verglichen werden; alternativ l\u00e4sst sich der QR-Code scannen. Mit der Schaltfl\u00e4che \u201eAls verifiziert markieren\u201c best\u00e4tigen Nutzende die Verifikation.<\/p>\n Signal kann alles, was es f\u00fcr einen Messenger braucht: Text- und Sprachnachrichten, Medien- und Dateiversand in allen g\u00e4ngigen Formaten, Sprach- und Videotelefonate, Sticker einschlie\u00dflich dem Erstellen von Sticker-Sets sowie Gruppen sind mit an Bord. Die Bedienung ist kinderleicht und genauso intuitiv wie bei WhatsApp. Dass mit Signal Payments<\/a> nun auch eine Bezahlfunktion integriert werden soll, kann als praktisches Funktions-Update verstanden werden \u2013 oder als Erh\u00f6hung der Angriffsfl\u00e4che durch zus\u00e4tzlichen Code, sodass Cyberkriminelle den Messenger als neues Ziel ausmachen k\u00f6nnten.<\/p>\n Den Bewertungen in den App Stores zufolge l\u00e4uft der Signal-Messenger relativ zuverl\u00e4ssig: Mit 4,5 Sternen werten die iOS-, mit 4,4 Sternen die Android-Nutzenden. Im Play Store von Google finden sich gelegentliche Hinweise auf Ausf\u00e4lle \u2013 von derlei Bewertungen ist jedoch kein Messenger befreit, zu kleineren Ausf\u00e4llen kann es immer mal kommen. In unserem Test (unter Android) lief Signal zuverl\u00e4ssig.<\/p>\n Das Signal-Team spricht auf der Signal-Website<\/a> davon, dass \u201eein unerwarteter Fokus auf Privatsph\u00e4re\u201c liegt. Gr\u00fcnder des Messengers, der einst TextSecure hie\u00df, ist Krypto-Legende Moxie Marlinspike<\/a>. Seine Ende-zu-Ende-Verschl\u00fcsselung (Signal-, ehemals Axolotl-Protokoll) wurde erstmals bei TextSecure, sp\u00e4ter auch in abgewandelter Form bei WhatsApp, Conversations, Wire und anderen Messengern eingesetzt. Die Krypto-Szene sieht das Signal-Protokoll als \u201eGoldstandard\u201c an. Im Jahre 2013 entwickelte Marlinspike zusammen mit Trevor Perrin das Protokoll und zuletzt wurde es im August 2017 formal untersucht<\/a>. Der Signal-Client ist quelloffen ist und steht unter GPLv3-Lizenz; selbiges gilt f\u00fcr den Server unter AGPLv3-Lizenz (s. GitHub<\/a>).<\/p>\n S\u00e4mtliche Kommunikationsinhalte \u2013 also Anrufe, Nachrichten in jedweder Form sowie Dateien \u2013 werden Ende-zu-Ende-verschl\u00fcsselt, und zwar ohne Zutun der Nutzenden, sodass auch weniger versierte Nutzende Privatsph\u00e4re leicht umsetzen k\u00f6nnen. Perfect Forward Secrecy (PFS<\/a>) wird unterst\u00fctzt, sodass Inhalte aufgrund des Session-Keys auch im Nachhinein nicht entschl\u00fcsselt werden k\u00f6nnen.<\/p>\n Sicherheitsforschende der Ruhr-Universit\u00e4t Bochum stie\u00dfen 2018 auf eine L\u00fccke<\/a> innerhalb der Konzeption der Gruppenchats: Angreifende, denen die Gruppen-ID und Telefonnummer eines Gruppenmitglieds bekannt war, konnten sich selbst zu Gruppen hinzuf\u00fcgen und damit auch die verschl\u00fcsselten Nachrichten der Gruppe lesen. Signal erkl\u00e4rte daraufhin<\/a>, dass dies nicht unentdeckt von den anderen Gruppenmitgliedern bliebe, die informiert w\u00fcrden und dann entsprechend reagieren k\u00f6nnten.<\/p>\n Beim Thema Sicherheit ist auch der generelle Datenhunger von Interesse. W\u00e4hrend wir bei WhatsApp bem\u00e4ngelt haben, dass es kein eindeutiges Finanzierungskonzept f\u00fcr die App gibt, jedoch ein kommerzielles Interesse an Daten, haben wir bei Threema die transparente Finanzierung durch Download-Geb\u00fchren gelobt, sodass die kommerzielle Nutzung von Daten kein Ansinnen sein kann. Auch der Signal-Messenger hat ein Finanzierungskonzept, verlangt dabei jedoch keine Download-Geb\u00fchren: Betrieben wird der Messenger von einer gemeinn\u00fctzigen Stiftung, die ihrerseits durch private Spendengelder, Fonds oder Preisgelder finanziert wird<\/a>. Dass das Projekt zum Teil auch durch Beh\u00f6rden der US-Regierung (Open Technology Fund; USAGM<\/a>) finanziert wird, st\u00f6\u00dft immer wieder auf Kritik. Brian Acton gr\u00fcndete als WhatsApp-Mitgr\u00fcnder im Jahr 2018 die Signal Foundation und investierte gleich 50 Millionen US-Dollar.<\/p>\n Signal zeigt sich \u2013 wie auch schon Threema \u2013 transparent, was Beh\u00f6rdenanfragen angeht. Wie die Signal-Macher mitteilen<\/a>, w\u00fcrde man bei Beh\u00f6rdenanfragen lediglich das Datum teilen, an dem der Account eingerichtet wurde, und wann dieser Account zuletzt mit dem Signal-Server verbunden war. Anders als bei Threema ist die Angabe einer Telefonnummer bei der Registrierung leider notwendig, sodass eine anonyme Nutzung des Dienstes nicht m\u00f6glich ist. Da Signal selbst die Telefonnummern jedoch nur in verschl\u00fcsselter Form erh\u00e4lt, lebt der Anbieter ein hohes Ma\u00df an Datensparsamkeit.<\/p>\n Apropos Datensparsamkeit: In Bezug auf Metadaten probiert sich Signal am Zero-Knowledge-Prinzip. Hei\u00dft: Die Betreibenden sind versucht, keine Informationen dar\u00fcber, wer wann mit wem kommuniziert, zu speichern. Zuweilen ist das Speichern von Metadaten jedoch unabdingbar, beispielsweise f\u00fcrs Zustellen von Nachrichten. In diesen F\u00e4llen sollen Techniken eingesetzt werden, die es erschweren oder verunm\u00f6glichen, Informationen aus den Daten abzuleiten. Mit diesen Ma\u00dfnahmen setzt Signal dieses Zero-Knowledge-Prinzip um:<\/p>\n Metadaten k\u00f6nnen also auch bei Signal nicht g\u00e4nzlich verschwinden. Jedoch machen es die genannten Ma\u00dfnahmen schwer bis unm\u00f6glich, Metadaten in sinnvoller Form zu nutzen. All das hat jedoch Grenzen: Die beginnen da, wo Signal auf Hyperscaler (Amazon, Google, etc.) setzt. Denn leider erfolgt bei Signal jedwede Kommunikation<\/a> \u00fcber die Tech-Giganten Cloudflare, Amazon, Microsoft und Google. Gegen die \u00dcbertragung der IP-Adresse an diese US-Giganten n\u00fctzt auch das Zero-Knowledge-Prinzip von Signal wenig. W\u00fcnschenswert w\u00e4re es, wenn die Signal Foundation ihre eigenen Server hosten w\u00fcrde. Jedoch bevorzugt Moxie Marlinspike den zentralisierten Ansatz, wie er in einem Beitrag aus 2016 erkl\u00e4rte<\/a>.<\/p>\n Bei der Einrichtung von Signal werden Nutzende gebeten, eine Signal-PIN einzurichten. Diese dient dem Schutz der Account-Daten, also der Einstellungen, des Profils sowie der Kontakte. Die PIN erm\u00f6glicht die Datenwiederherstellung auf einem neuen Ger\u00e4t, falls Nutzende kein Backup verwenden k\u00f6nnen. In den Einstellungen l\u00e4sst sich unter \u201eDatenschutz\u201c eine siebent\u00e4gige Registrierungssperre aktivieren. Diese verhindert das Verkn\u00fcpfen neuer Ger\u00e4te mit der eigenen Rufnummer ohne Zustimmung der Nutzenden. Nach Ablauf der sieben Tage wird die Telefonnummer f\u00fcr neue Clients freigegeben.<\/p>\n Ebenfalls in den Datenschutz-Einstellungen befindet sich die Option \u201eInkognito-Tastatur\u201c. Mit dieser verhindern Nutzende, dass die eingegebenen Texte im W\u00f6rterbuch \u2013 und damit h\u00e4ufig auch in Clouds \u2013 gespeichert werden. M\u00f6chten Nutzende verhindern, dass Gespr\u00e4chsteilnehmende erfahren, wann die Nachrichten gelesen wurden und wann getippt wird, lassen sich die Lesebest\u00e4tigung sowie die Tipp-Indikatoren deaktivieren. Zum Verschleiern der IP-Adresse, jedoch mit der M\u00f6glichkeit eingeschr\u00e4nkter Anrufqualit\u00e4t, l\u00e4sst sich die Option \u201eAnrufe immer indirekt\u201c aktivieren. In der Folge werden Anrufe \u00fcber die Signal-Server geleitet.<\/p>\n Nutzende haben die M\u00f6glichkeit, selbstzerst\u00f6rende Nachrichten zu versenden. Diese Nachrichten werden nach einer vordefinierten Zeit automatisch gel\u00f6scht, wobei die Zeit erst nach dem Lesen der Nachricht l\u00e4uft. Hundertprozentigen Schutz liefert diese Option nicht: Gespr\u00e4chspartner k\u00f6nnten Screenshots von Unterhaltungen anfertigen.<\/p>\n Der Signal-Messenger hatte bislang nur wenige Schwachstellen, die fix geschlossen wurden. Nutzende k\u00f6nnen nach der Einrichtung automatische Backups erstellen lassen, die verschl\u00fcsselt lokal gespeichert werden.<\/p>\n Insgesamt macht Signal beim Thema Sicherheit eine ausgezeichnete Figur \u2013 gerade der Zero-Knowledge-Ansatz und das Signal-Protokoll tragen dazu bei. Auch die Tatsachen, dass die EU-Kommission Signal f\u00fcr die eigenen Mitarbeitenden empfiehlt<\/a>, oder dass Edward Snowden den Messenger empfohlen hat<\/a>, spricht f\u00fcr ein hohes Ma\u00df an Sicherheit.<\/p>\n Die Nutzungsbedingungen sowie die Datenschutzrichtlinie<\/a> sind schnell gefunden, liegen jedoch ausschlie\u00dflich in englischer Sprache vor. Darin erfahren wir zun\u00e4chst, dass Nutzende den Nutzungsbedingungen zustimmen, indem die Apps, Dienste oder die Website installiert oder genutzt werden. Mindestens 13 Jahre m\u00fcssen Nutzende sein, um die Dienste verwenden zu d\u00fcrfen \u2013 jedoch k\u00f6nne das Mindestalter je nach Heimatland auch h\u00f6her sein.<\/p>\n Wir sto\u00dfen auf die Information, dass Signal \u201epers\u00f6nliche Daten oder Inhalte in keiner Weise \u2013 niemals\u201c verkauft, vermietet oder anderweitig monetarisiert. Sollte ein Konto aufgrund eines Versto\u00dfes gegen die geltenden Bedingungen von Signal deaktiviert werden, sind Nutzende nicht berechtigt, ohne die Erlaubnis von Signal ein neues Konto zu er\u00f6ffnen.<\/p>\n Im Bereich \u201eKeeping Your Account Secure\u201c erfahren wir, dass Signal \u201enicht die M\u00f6glichkeit [hat], auf Ihre Nachrichten zuzugreifen.\u201c Nutzende sind selbst f\u00fcr die Ger\u00e4te- und Konto-Sicherheit verantwortlich. Am Ende der Nutzungsbedingungen lesen wir, dass diese Bedingungen jederzeit durch Deinstallieren der Signal-App beendet werden k\u00f6nnen. Unter der Adresse privacy@signal.org lassen sich Fragen zu den Nutzungsbedingungen stellen. Signal formuliert diese Nutzungsbedingungen schn\u00f6rkellos und eindeutig; Kritikpunkte sind uns- bis auf die englische Sprache – nicht ins Auge gefallen.<\/p>\n In der Datenschutzerkl\u00e4rung lesen wir von den Sicherheitsfeatures, die wir weiter oben beschrieben haben. Weiter erkl\u00e4rt Signal, dass auf den verwendeten Servern \u201ezus\u00e4tzliche technische Informationen gespeichert [werden], darunter zuf\u00e4llig generierte Authentifizierungstoken, Schl\u00fcssel, Push-Token und anderes Material, das zum Aufbauen von Anrufen und Senden von Nachrichten erforderlich ist. Signal beschr\u00e4nkt diese zus\u00e4tzlichen technischen Informationen auf das f\u00fcr den Betrieb der Dienste erforderliche Minimum.\u201c Hier zeigt sich also erneut das Zero-Knowledge-Prinzip. Im weiteren Verlauf konkretisiert die Datenschutzerkl\u00e4rung weitere Sicherheitsfeatures und welche Einstellungen Nutzende vornehmen k\u00f6nnen, um den Datenschutz bzw. die Sicherheit weiter zu erh\u00f6hen.<\/p>\n Es folgt der Absatz \u201eInformationen, die wir teilen k\u00f6nnten\u201c. Darin lesen wir, dass Signal mit Dritten zusammenarbeitet, um einige der Dienste bereitstellen zu k\u00f6nnen. \u201eBeispielsweise senden unsere Drittanbieter einen Best\u00e4tigungscode an Ihre Telefonnummer, wenn Sie sich f\u00fcr unsere Dienste registrieren\u201c, wird ein Beispiel angef\u00fchrt. \u201eDiese Anbieter sind an ihre Datenschutzrichtlinie gebunden, um diese Informationen zu sch\u00fctzen\u201c, hei\u00dft es weiter. Zus\u00e4tzlich werden F\u00e4lle aufgez\u00e4hlt, in denen Signal Nutzerdaten weitergeben muss \u2013 etwa wenn Beh\u00f6rden dies fordern (s. oben) oder um Rechte geltend zu machen. Derartige Formulierungen entsprechen dem Standard und decken alle Eventualit\u00e4ten ab.<\/p>\n Am Ende der Datenschutzerkl\u00e4rung erfahren wir, dass die Richtlinie und die Nutzungsbedingungen jederzeit angepasst werden k\u00f6nnen, au\u00dferdem werden Kontaktinformationen gegeben. Insgesamt zeigt sich auch die Datenschutzerkl\u00e4rung kurz, knackig und aufs Wesentliche reduziert. W\u00e4ren diese Rechtstexte auf deutscher Sprache verf\u00fcgbar, g\u00e4be es hier die volle Punktzahl.<\/p>\n Signal hat sich in unserem Test ausgezeichnet geschlagen: Im Bereich der Einstiegsh\u00fcrden \u00fcbertrumpft der Messenger sogar WhatsApp und Threema. In Sachen Kompatibilit\u00e4t und Berechtigungen gab es kleine Punktabz\u00fcge. Gleichauf mit WhatsApp und Threema liegt Signal in der Nutzerfreundlichkeit: Alle drei Messenger erhalten fast volle Punktzahl. Bei der Sicherheit pendelt sich Signal zwischen unseren vorigen Testkandidaten ein: Von der Verschl\u00fcsselung, der Datenspeicherung und den generellen Schutzmechanismen waren wir begeistert. Die Server jedoch und die englische Sprache in den Rechtstexten f\u00fchrten zu Punktabzug. Mit insgesamt 30 von 36 m\u00f6glichen Punkten kommt Signal auf 2,5 Sterne und damit erst mal auf den zweiten Platz \u2013 hinter Threema, gefolgt von WhatsApp.<\/p>\n Auch Telegram haben wir zuletzt im Jahre 2016 getestet<\/a> \u2013 mit einem Ergebnis, mit dem unsere Testenden nicht gerechnet hatten: Telegram schnitt noch schlechter ab als WhatsApp, viel zu viele Fragen lie\u00df der Messenger offen. F\u00fcnf Jahre sind vergangen und wir sind sehr gespannt, was sich getan hat!<\/p>\n Im Januar meldete einer der Macher, Nikolai Durow, auf seinem Telegram-Kanal<\/a>, die Telegram-App sei weltweit die meist heruntergeladene Mobilapp und die Nutzerzahlen h\u00e4tten 500 Millionen pro Monat \u00fcberstiegen. Nach diversen Umz\u00fcgen, \u00fcber die wir bereits in vorangegangenen Testberichten geschrieben haben, sitzt Telegram heute in Dubai<\/a>. Die russischen Br\u00fcder und Telegram-Gr\u00fcnder Nikolai und Pawel Durow gr\u00fcndeten mit vk.com ebenfalls das russische Facebook-Pendant. Nach wie vor l\u00e4sst sich Telegram mit allen Plattformen kostenfrei nutzen; Mobil- und Desktop-Apps stehen genauso bereit<\/a> wie Web- und inoffizielle Apps.<\/p>\n Die Berechtigungen, die Telegram einfordert, halten sich in etwa die Waage mit denen, die Signal m\u00f6chte:<\/p>\n Bei Telegram registrieren sich Nutzende \u00fcber eine Telefonnummer, welche jedoch nicht die des Ger\u00e4ts selbst sein muss. Ist die im Anschluss erfolgende Verifizierung \u00fcber Anruf oder SMS erledigt, haben Nutzende die Wahl, das Adressbuch zum Abgleich an die Telegram-Server zu \u00fcbermitteln. Mit Zugriffserlaubnis auf gespeicherte Kontakte lassen sich also andere Nutzende finden. Wer dies nicht m\u00f6chte, kann alternativ auch einen Nutzernamen anlegen und so den Kontakt zu anderen Teilnehmenden suchen. Jedoch funktioniert diese Variante nur mit Haken: Auch ohne die Nummer zu kennen, k\u00f6nnen Nutzende nun Nachrichten schicken. Ohne Benutzernamen sch\u00fctzt man sich also vor Kontakt mit unbekannten Dritten. Somit ist die Angabe einer Telefonnummer f\u00fcr die Nutzung des Messengers nicht zwingend notwendig, f\u00fcr das Registrieren jedoch schon.<\/p>\n Um sicherzugehen, dass Gespr\u00e4chsteilnehmende diejenigen sind, f\u00fcr die sie sich ausgeben, l\u00e4sst sich mit Telegram eine Authentifizierung durchf\u00fchren. Basierend auf einem Bild bzw. einer Zeichenfolge entsteht so ein einzigartiger Fingerabdruck, durch den die Authentifizierung des Gegen\u00fcbers durch einen Vergleich des Bildes bzw. der Zeichenfolge m\u00f6glich ist.<\/p>\n Telegram bietet \u2013 wie jeder Messenger \u2013 die M\u00f6glichkeit, Text- und Sprachnachrichten zu versenden. Videoanrufe sind auch in Gruppen m\u00f6glich und die App l\u00e4sst sich auf verschiedenen Ger\u00e4ten parallel nutzen. 200.000 Teilnehmende haben Platz in Gruppen, Kan\u00e4le lassen sich abonnieren und der Dateiversand funktioniert mit bis zu 2 GB. Selbstzerst\u00f6rende Nachrichten l\u00f6schen sich nach einiger Zeit automatisch, ihren Namen k\u00f6nnen Nutzende ausblenden lassen, um anonym zu kommunizieren. Bestimmte Aufgaben k\u00f6nnen von Bots erledigt werden, Foto- und Videobearbeitungstools sind genauso mit an Bord wie eine offene Sticker- bzw. GIF-Plattform, Sticker selbst und Emojis. Damit hat Telegram die in unserem Test bislang umfangreichste Feature-Liste.<\/p>\n Bedienen l\u00e4sst sich Telegram genauso leicht wie unsere anderen bisher getesteten Messenger. Das Plus an Funktionalit\u00e4t k\u00f6nnte f\u00fcr weniger versierte Nutzende wom\u00f6glich etwas zu viel des Guten sein, ist jedoch einfach Geschmackssache. In unserem Test kommen wir gut zurecht und auch in den Bewertungen in den App Stores existieren kaum Negativ-Kommentare zum grunds\u00e4tzlichen Handling.<\/p>\n Im Google Play Store vergeben knapp 9 Millionen Nutzende 4,4 Sterne. Kritisiert werden die Datensammelwut sowie einige einzelne Funktionsst\u00f6rungen. Insgesamt jedoch zeugen die Bewertungen von der Zufriedenheit der Nutzenden und von einer hohen Zuverl\u00e4ssigkeit des Telegram-Messengers. Bei iTunes werten mehr als 9.000 Nutzende mit insgesamt 4 Sternen; die Meinungen \u00e4hneln denen der Android-Nutzenden.<\/p>\n Telegram wirbt mit Privatsph\u00e4re und m\u00f6chte mit Ende-zu-Ende-Verschl\u00fcsselung der Nachrichteninhalte eine \u201eabh\u00f6rsichere\u201c Kommunikation erreichen. Mittel zu diesem Zweck ist die Eigenentwicklung des MTProto-Protokolls<\/a>, welches immer wieder im Fokus der Kritik von Krypto-Experten steht. Auch wir haben diese Eigenentwicklung in den vergangenen Tests kritisiert. Im Mai 2017 f\u00f6rderte ein Sicherheitsaudit \u2013 ver\u00f6ffentlicht durch das Massachusetts Institute of Technology<\/a> \u2013 diverse Schw\u00e4chen in der Protokoll-Version 1.0 zutage. Wenngleich die Entwickler mit der Version 2.0 des MTProto-Protokolls auf die dargelegten Schw\u00e4chen reagierten, liegt f\u00fcr diese Version kein offizielles Audit vor.<\/p>\n Anders als bei allen bisher getesteten Messengern ist die implementierte Ende-zu-Ende-Verschl\u00fcsselung bei Telegram standardm\u00e4\u00dfig nicht aktiv; Chats werden nur zwischen Endger\u00e4t und Server verschl\u00fcsselt. Die Telegram-Macher erkl\u00e4ren in ihrer Datenschutzerkl\u00e4rung, dass Chats auf den Servern verschl\u00fcsselt gespeichert werden. Allerdings sind die Daten von Telegram einsehbar \u2013 und das gilt auch f\u00fcr Cyberkriminelle, wenn es ihnen gelingt, Zugang zu den Servern zu erhalten. Um sich vor diesem Szenario zu sch\u00fctzen, ist es notwendig, dass Nutzende die Funktion \u201eGeheime Chats\u201c aktivieren. Diese Geheimchats funktionieren jedoch ausschlie\u00dflich zwischen zwei Nutzenden, nicht innerhalb von Gruppen oder Kan\u00e4len.<\/p>\n Wie bereits in vorigen Tests bem\u00e4ngelt, sind die zentralen Server von Telegram \u00fcberall in der Welt verteilt. Da Telegram \u2013 wie die Macher erkl\u00e4ren<\/a> \u2013 \u201eein einheitlicher Cloud-Dienst\u201c ist, landen auch alle Gespr\u00e4che in der Cloud \u2013 einschlie\u00dflich Backups (au\u00dfer geheime Chats), die zwar automatisch stattfinden, deren Schl\u00fcssel jedoch beim Anbieter liegt.<\/p>\n Recht schweigsam geht Telegram mit der Thematik der Metadaten um, in der Datenschutzerkl\u00e4rung finden sich jedoch Hinweise. Wir erfahren beispielsweise zur Speicherung der Kommunikationsinhalte in der Cloud, dass diese dauerhaft gespeichert werden. Sie werden erst dann gel\u00f6scht, wenn Nutzende Nachrichten oder ihre Accounts l\u00f6schen. In der Folge kann es passieren, dass Dritte bei Neuvergabe einer bei Telegram registrierten Telefonnummer alle Informationen zum gespeicherten Account erhalten. Da hilft es nur, den Account zu \u00fcbertragen oder zu l\u00f6schen, bevor die Nummer gewechselt wird. Telefonnummern k\u00f6nnen auch auf andere Weise missbraucht werden: Mithilfe der Telefonnummer von Nutzenden l\u00e4sst sich deren Online-Status \u00fcberwachen<\/a>.<\/p>\n Wer den Telefonbuchabgleich nutzt, Telegram also die Berechtigung gibt, auf die Kontakte zuzugreifen, l\u00e4sst es zu, dass Telegram s\u00e4mtliche Nummern inklusive Vor- und Nachnamen der Kontakte dauerhaft auf den Servern speichert. Das geschieht nicht etwa gehasht, sondern im Klartext. In den Privatsph\u00e4re- & Sicherheits-Einstellungen lassen sich \u00fcbermittelte Kontakte unter \u201eKontakte\u201c und \u201eSynchronisierte Kontakte\u201c wieder vom Server l\u00f6schen. Anders als bei anderen Messengern ist es bei Telegram nicht m\u00f6glich, den \u201eGelesen\u201c-Status von Nachrichten zu deaktivieren.<\/p>\n Die Google Play-Version des Messengers arbeitet laut Exodus<\/a> mit Tracking-Diensten zusammen, w\u00e4hrend die F-Droid-Version frei ist von Trackern. Diese trackingfreie Version funktioniert \u00fcbrigens ohne propriet\u00e4re Google-Bibliotheken. W\u00e4hrend die Telegram-Server propriet\u00e4r<\/a> sind, ist der Client Open Source<\/a>.<\/p>\n Aktuelle Untersuchungen<\/a> der ETH Z\u00fcrich sowie des Royal Holloway College der University of London zeigen, dass Telegram Sicherheitsprobleme hat. Forschende, mitunter Igors Stepanovs, erkl\u00e4rten, man habe Telegram informiert und der Dienst habe die L\u00fccken geschlossen. Wenngleich die Sicherheitsl\u00fccken theoretischer Natur waren, haben sich diverse schwache Bereiche gezeigt:<\/p>\n Angreifende h\u00e4tten die Nachrichtenreihenfolge manipulieren k\u00f6nnen \u2013 laut Stepanovs ein praktisch m\u00f6glicher Angriff, der jedoch nicht als gef\u00e4hrlich einzustufen sei. Eine zweite L\u00fccke erm\u00f6glichte den Forschenden nachzuvollziehen, welche Nachrichten verschl\u00fcsselt vorlagen. Zwar sei es nicht m\u00f6glich gewesen, Nachrichten zu entschl\u00fcsseln, jedoch erh\u00f6he sich durch diese L\u00fccke die Wahrscheinlichkeit f\u00fcr erfolgreiche Angriffe. Das folgende Szenario sch\u00e4tzte Stepanovs am gef\u00e4hrlichsten ein: Angreifende k\u00f6nnten sich theoretisch w\u00e4hrend des Austauschs des geheimen Schl\u00fcssels zwischen Server und Client als Man-in-the-middle in die Kommunikation zwischen Nutzenden und Server einschleichen. Die Forschenden sch\u00e4tzen diesen Angriff als schwer realisierbar ein.<\/p>\n Dem Datenschutz und der Sicherheit weniger zutr\u00e4glich ist es f\u00fcr gew\u00f6hnlich, wenn Dienste sich f\u00fcr Monetarisierung \u00f6ffnen \u2013 zu interessant werden dann Meta- und Inhaltsdaten. Bislang gibt es keine Werbung auf Telegram, sondern nur gesponserte Posts; einem Telegram-Beitrag von Pawel Durov<\/a> zufolge wird sich das jedoch \u00e4ndern.<\/p>\n Die Nutzungsbedingungen<\/a> von Telegram sind zwar die mit Abstand k\u00fcrzesten, die uns je untergekommen sind, jedoch sind sie leider in englischer Sprache gehalten. Melden sich Nutzende bei Telegram an, stimmen sie der Datenschutzrichtlinie und den Nutzungsbedingungen zu. In diesen lesen wir das G\u00e4ngige: Illegale Inhalte jedweder Art d\u00fcrfen durch den Service nicht verbreitet werden. Au\u00dferdem m\u00fcssen EU-Nutzende mindestens 16 Jahre alt sein, um Telegram zu nutzen.<\/p>\n Die Datenschutzerkl\u00e4rung<\/a> f\u00e4llt deutlich umfangreicher aus \u2013 und ist ebenfalls in englischer Sprache gehalten. Einige der Inhalte haben wir weiter oben im Bereich \u201eSicherheit\u201c bereits wiedergegeben. Wir erfahren, welche \u201ezwei grundlegenden Prinzipien\u201c die Durov-Br\u00fcder mit Telegram verfolgen: \u201eWir verwenden Ihre Daten nicht, um Ihnen Werbung zu zeigen.\u201c \u2013 Das k\u00f6nnte sich bald \u00e4ndern, wie oben dargelegt. \u201eWir speichern nur die Daten, die Telegram ben\u00f6tigt, um als sicherer und funktionsreicher Messenger-Dienst zu funktionieren.\u201c Angesichts fehlender L\u00f6schkonzepte f\u00e4llt es uns schwer, diesem Satz gro\u00dfen Glauben zu schenken.<\/p>\n Nutzende aus dem EWR finden in der Telegram UK Holdings Ltd einen Ansprechpartner f\u00fcr alle Fragen in Bezug auf die Verarbeitung personenbezogener Daten. Die Datenverarbeitung st\u00fctzt Telegram auf berechtigte Interessen: Einerseits die \u201eBereitstellung effektiver und innovativer Dienste\u201c, andererseits, \u201eum Betrug oder Sicherheitsprobleme\u201c zu verhindern.<\/p>\n Es folgt der Absatz \u201eWelche personenbezogenen Daten wir verwenden\u201c. Zun\u00e4chst geht es um grundlegende Kontodaten, die genutzt werden, um den Telegram-Account zu erstellen. Es wird erkl\u00e4rt, dass Nutzername \u2013 sofern gew\u00e4hlt \u2013 und Profilbilder grunds\u00e4tzlich \u00f6ffentlich sind, Telegram jedoch nicht auf korrekte Angaben besteht; der Nutzername und das Geburtsdatum m\u00fcssen also beispielsweise nicht den Tatsachen entsprechen. Die E-Mail-Adresse wird, wenn sie angegeben ist, ausschlie\u00dflich zur Passwort-Wiederherstellung genutzt. \u201eKein Marketing- oder \u201eWir vermissen dich\u201c-Bullshit\u201c, verspricht Telegram.<\/p>\n Telegram erkl\u00e4rt nachfolgend die Tatsache, dass der Dienst cloudbasiert ist, verweist auf geheime und \u00f6ffentliche Chats. F\u00fcr weniger versierte Nutzende finden sich im Folgenden wertvolle Informationen zum Datenschutz: Etwa dass Standortdaten beim Teilen des Standorts im Chat wie andere \u00f6ffentliche bzw. geheime Chats behandelt werden. Oder dass der Live-Standort oder die \u201eMich sichtbar machen\u201c-Funktion aktiviert bleiben, bis sie deaktiviert werden \u2013 auch wenn die App geschlossen ist, werden Nutzende also in der N\u00e4he angezeigt. Dass diese Funktionen aktiviert bzw. deaktiviert werden m\u00fcssen, ist f\u00fcr viele Nutzende genauso wichtig zu wissen wie die Tatsache, dass nur geheime Chats verschl\u00fcsselt sind.<\/p>\n Der n\u00e4chste Absatz handelt vom Schutz der personenbezogenen Daten. Wir erfahren, dass die Daten von Nutzenden aus dem EWR oder Gro\u00dfbritannien in Rechenzentren in den Niederlanden gespeichert werden \u2013 das ist, entgegen der Tests der Vorjahre, endlich eine konkrete Aussage. Es handelt sich um von Drittanbietenden bereitgestellte Rechenzentren mit Servern und Netzwerken, die sich im Besitz von Telegram befinden. \u201eDaher geben wir Ihre personenbezogenen Daten nicht an solche Rechenzentren weiter\u201c, hei\u00dft es in der Datenschutzerkl\u00e4rung.<\/p>\n Im Punkt 5.2. \u201eSicherheit\u201c lesen wir: \u201eTelegram hat auch mehr als 400 Millionen Nutzende, was es zu einem lukrativen Ziel f\u00fcr Spammer macht. Um die Sicherheit Ihres Kontos zu verbessern [\u2026], erfassen wir m\u00f6glicherweise Metadaten wie Ihre IP-Adresse, von Ihnen verwendete Ger\u00e4te und Telegram-Apps, den Verlauf der \u00c4nderungen des Benutzernamens, etc. Falls gesammelt, k\u00f6nnen diese Metadaten maximal 12 Monate aufbewahrt werden.\u201c Hier st\u00fcrzt sich Telegram also pl\u00f6tzlich in den Konjunktiv: M\u00f6glicherweise k\u00f6nnten Metadaten bis maximal ein Jahr gesammelt werden. Da sind die Metadaten-Philosophien von Threema und Telegram \u00fcberzeugender.<\/p>\n Wenig \u00fcberzeugt auch der Part \u201eSpam und Missbrauch\u201c: Zum Verhindern von Spam, Missbrauch sowie Verst\u00f6\u00dfen \u201ek\u00f6nnen unsere Moderatoren Nachrichten \u00fcberpr\u00fcfen, die ihnen von ihren Empf\u00e4ngern gemeldet wurden. [\u2026] Wir k\u00f6nnen auch automatisierte Algorithmen verwenden, um Nachrichten in Cloud-Chats zu analysieren [\u2026].\u201c<\/p>\n Erneut kommt das Thema Metadaten ins Spiel: Telegram erlaubt sich das Speichern \u201eeiniger aggregierter Metadaten [\u2026], um Features zu erstellen, die auf allen Ihren Ger\u00e4ten funktionieren.\u201c Au\u00dferdem \u201ek\u00f6nnen [die Telegram-Macher] einige aggregierte Daten dar\u00fcber nutzen, herauszufinden, wie Sie Telegram verwenden, um n\u00fctzliche Funktionen zu entwickeln.\u201c Nachfolgend lesen wir, dass Telegram Daten von Nutzenden nicht f\u00fcr Werbe-Targeting oder andere kommerzielle Zwecke verwendet. Das k\u00f6nnte sich \u00e4ndern, wenn Telegram mit der Monetarisierung startet.<\/p>\n Gesponserte Nachrichten existieren bereits, jedoch ausschlie\u00dflich in den \u00f6ffentlichen Kan\u00e4len. Dazu verspricht Telegram, Nutzerdaten weder zu speichern noch zu analysieren. Anzeigen oder gesponserte Nachrichten sollen also nicht personalisiert sein.<\/p>\n Die Datenschutzerkl\u00e4rung wechselt zum Thema Bots. Nach der Erkl\u00e4rung, was Bots sind, folgt eine Aufz\u00e4hlung jener Daten, die Bots erhalten k\u00f6nnen, wenn Nutzende mit ihnen interagieren: Neben den Nachrichten, die an die Bots gesendet werden, k\u00f6nnen Metadaten anfallen, wenn Nutzende vom Bot bereitgestellte Links klicken. M\u00f6glicherweise wei\u00df ein Bot, der in derselben Gruppe ist wie Sie, dass auch Sie Gruppenmitglied sind.<\/p>\n Ab der Telegram-Version 4.0 steht Nutzenden die Zahlungsplattform f\u00fcr Bots zur Verf\u00fcgung. Telegram selbst \u201everarbeitet keine Zahlungen von Nutzenden und verl\u00e4sst sich stattdessen auf verschiedene Zahlungsanbieter auf der ganzen Welt. [\u2026] Weder Telegram noch die H\u00e4ndler auf der Plattform haben Zugriff auf diese Informationen.\u201c Nutzende werden gebeten, sich mit den Datenschutzrichtlinien der Zahlungsanbieter auseinanderzusetzen. Nach ausf\u00fchrlichem Abstandnehmen von der Kenntnis von Zahlungsdaten von Nutzenden setzt sich die Datenschutzerkl\u00e4rung weiter mit dem Teilen von Nutzerdaten auseinander.<\/p>\n Telegram erlaubt sich, personenbezogene Daten von Nutzenden mit der Muttergesellschaft (Telegram Group Inc, Sitz auf den Britischen Jungferninseln) und Telegram FZ-LLC zu teilen. Dieses Gruppenmitglied sitzt in Dubai und stellt die Dienste bereit. Standardvertragsklauseln der Europ\u00e4ischen Kommission sind die Basis, auf der konzernintern Daten ausgetauscht werden. Bei Beh\u00f6rdenanfragen kann Telegram die IP-Adresse und Telefonnummer an zust\u00e4ndige Beh\u00f6rden geben. Derartige Beh\u00f6rdenanfragen werden im halbj\u00e4hrlich erscheinenden Transparenzbericht<\/a> ver\u00f6ffentlicht, sollen aber laut Datenschutzerkl\u00e4rung bislang noch nicht vorgekommen sein.<\/p>\n Die Datenschutzerkl\u00e4rung gibt anschlie\u00dfend Auskunft \u00fcber die Rechte, die Nutzenden zustehen. Wenngleich die Formulierung \u201eunter bestimmten Umst\u00e4nden\u201c in der Telegram-Datenschutzerkl\u00e4rung etwas seltsam anmutet, gibt die DSGVO Nutzenden diese Rechte auch ohne bestimmte Umst\u00e4nde. Das L\u00f6schen des Telegram-Accounts k\u00f6nnen Nutzende \u00fcber die Deaktivierungsseite<\/a> vornehmen. S\u00e4mtliche Nachrichten, Medien, Kontakte und alle weiteren Daten, die in der Telegram-Cloud lagern, werden dann gel\u00f6scht.<\/p>\n Nachrichten von Nutzenden verbleiben, wie oben ausgef\u00fchrt, erst mal in der Cloud. L\u00f6scht ein Nutzender die Nachricht aus dem Nachrichtenverlauf, verbleibt \u201eeine Kopie als Teil des Nachrichtenverlaufs Ihres Gespr\u00e4chspartners auf dem Server\u201c. L\u00f6scht der Gespr\u00e4chspartner die Nachricht ebenfalls, verschwindet auch die Nachrichtenkopie auf dem Server. Optimiert wird dieser Vorgang ab Version 5.5: Jede Partei kann \u201ealle Nachrichten in Einzelchats, sowohl gesendete als auch empfangene, f\u00fcr beide Seiten l\u00f6schen.\u201c Und: \u201eJede Partei kann sich auch entscheiden, den gesamten Chatverlauf f\u00fcr beide Parteien zu l\u00f6schen.\u201c<\/p>\n Ebenfalls wichtig zu wissen: \u201eWenn Sie Telegram nicht mehr verwenden und mindestens 6 Monate lang nicht online gehen, wird Ihr Konto standardm\u00e4\u00dfig zusammen mit allen Nachrichten, Medien, Kontakten und allen anderen Daten, die Sie in der Telegram-Cloud speichern, gel\u00f6scht.\u201c In den Einstellungen haben Nutzende die M\u00f6glichkeit, den Zeitraum einzustellen, wann der inaktive Account gel\u00f6scht werden soll. Die Datenschutzerkl\u00e4rung von Telegram endet mit dem \u00dcblichen: \u00c4nderungen sind jederzeit m\u00f6glich, au\u00dferdem sind Kontaktm\u00f6glichkeiten und weiterf\u00fchrende Links aufgef\u00fchrt.<\/p>\n Insgesamt zeigen sich die Rechtstexte aufschlussreich, die englische Sprache kann jedoch zu Sprachbarrieren f\u00fchren und in der Datenschutzerkl\u00e4rung finden sich diverse schwammige Formulierungen, die das Verst\u00e4ndnis erschweren. \u201eAggregierte Metadaten\u201c und Informationen sowie die Analyse von Cloud-Chats durch Algorithmen sind Inhalte, die kritisch betrachtet werden m\u00fcssen. Immerhin gibt es Aussagen zum Server-Standort und der ganzen Infrastruktur.<\/p>\n Telegram ist ein nicht uninteressanter Messenger, bietet er doch eine Vielzahl spannender Funktionen. Allerdings zeigen sich Defizite in Sachen Sicherheit und Privatsph\u00e4re. F\u00fcr Einsteiger:innen, die einen sicheren Messenger suchen, ist Telegram nicht geeignet, da zu viele Konfigurationen notwendig sind, um Telegram halbwegs sicher nutzen zu k\u00f6nnen. Profis in Sachen Sicherheit hingegen bietet der Messenger einfach zu wenig Privatsph\u00e4re.<\/p>\n Bei den Einstiegsh\u00fcrden konnte Telegram punkten wie noch kein anderer Messenger in der diesj\u00e4hrigen Testrunde: Mit 11 von 12 m\u00f6glichen Punkten; Abzug gab es lediglich aufgrund der F\u00fclle der Berechtigungen. Volle Punktzahl gab es bei der Usability: Die Featureliste ist lang, die Bedienung einfach und die Zuverl\u00e4ssigkeit hoch. Doch in Sachen Sicherheit st\u00fcrzt der Messenger ab: Lediglich 5 von 15 m\u00f6glichen Punkten konnten wir hier vergeben. Unterm Strich erzielte Telegram bei unserem Messenger-Test 25 von 36 m\u00f6glichen Punkten und landet mit 2,1 Sternen knapp vor WhatsApp auf dem vorl\u00e4ufig vorletzten Platz.<\/p>\nKontakte und Berechtigungen<\/h3>\n
\n
\n
\n
\n
\n
\n
\n
Usability von Signal<\/h3>\n
Die Sicherheit von Signal<\/h3>\n
\n
AGB & Datenschutzrichtlinie bei Signal<\/h3>\n
Fazit Signal<\/h3>\n
Messenger-Test 2021: Telegram im Test<\/h2>\n
Kontakte und Berechtigungen<\/h3>\n
\n
\n
\n
\n
\n
Usability von Telegram<\/h3>\n
Die Sicherheit von Telegram<\/h3>\n
AGB & Datenschutzrichtlinie bei Telegram<\/h3>\n
Fazit Telegram<\/h3>\n