Skip to main content


Weshalb Telegram kurioserweise eine Aura der Sicherheit umgibt, ist aus meiner Sicht nicht nachvollziehbar. Der Messenger ist keine sichere und datenschutzfreundliche Alternative zu WhatsApp.

# #

https://www.kuketz-blog.de/telegram-sicherheit-gibt-es-nur-auf-anfrage-messenger-teil3/

2 people reshared this

der einzige Unterschied ist dass es bei Facebook schon leaks gab, bei Telegram sind mir keine nennenswerte bekannt.
Ja Telegram verkauft sich halt gerne als Sicher, ist es natürlich nicht, aber viele fallen auf das Marketing herein.

Für mich hat Telegram andere Vorteile, vorallem das Arbeiten damit auf mehreren Devices macht verdammt viel Spass und dann auch noch die Bots die mir anzeigen wann die Spülmaschine fertig ist etc.

Größtenteils nutze ich Telegram nur noch als ziemlich coolen Push Service.
@oliver

Die Vorteile, die ihr aufzählt*, bietet Element/Matrix genauso - aber eben mit Verschlüsselung

*
- von mehrere Geräten, egal ob Smartphone Tablet oder Desktop auf die Konversationen zugreifen
- Bots
- implizites Backup
- alternative Clients auf verschiedensten Betriebssystemen

@musicmatze @kuketzblog
Wusste bisher nicht das Element/Matrix auch Bots anbieten. Gibt es dafür irgendwo eine Beschreibung / Doku zu?
Bots bei Matrix nutzen wie andere Nutzer einfach die Client-Server API:
https://spec.matrix.org/unstable/client-server-api/
Hier gibts weitere Hilfe dafür: https://matrix.org/docs/develop

Hier gibts z.B. ein paar angebotene Bots:
https://t2bot.io/

Über die Matrix-Telegram-Bridge kann man sogar Telegrambots einbinden.
Hätte natürlich schon einen gewissen Reiz die Benachrichtigungen des Smarthome über einen eigenen Matrix Server laufen zu lassen.
als ich mich vor einem Jahr damit beschäftigt habe, gab es bei Matrix Bots keine Möglichkeit E2E Encryption zu nutzen. Demnach macht es für Bots tatsächlich eher geringe Unterschiede.
naja, vor einem Jahr war E2EE by default und Cross Signing brandneu (*möglich* sollte es trotzdem gewesen sein: Bots nutzen keine andere API wie jeder andere Nutzer).

Die meisten Bots auf t2bot.io scheinen E2EE schon zu unterstützen:
https://t2bot.io/docs/encrypted-integrations/

Genauso wie sehr viele Bridges mittlerweile, z.B.: https://github.com/tulir
Gibt ja auch schon einen NodeRed Matrix Bot Node. Ich bezweifle aber das der E2E kann:

https://github.com/mlopezr/node-red-contrib-matrixbot
hat jemand von euch schonmal einen Bot selbst implementiert? Wenn ja, welche Sprache/Framework und wie schwer war das?

Mich interessiert insbesondere Ressourcenverbrauch und Anwendungsfall. Meiner wäre persönlicher Nutzen, Notifications für mein Heim-IOT das ich aufbauen will und evtl eine Art Bridge von Prometheus/Grafana zu Matrix (Alerting oder nur Reporting)
Besonders ressourcenaufwändig dürfte das nicht sein. Es sind nur REST-API calls. Python halt eher nicht... der Python-Server(!) ist ein ziemlicher Ressourcenfresser.
Aus Erfahrung kann ich leider nicht sprechen.

Es gibt jedenfalls ein Rust SDK mit Beispielbot:
https://github.com/matrix-org/matrix-rust-sdk/blob/master/matrix_sdk/examples/image_bot.rs
(auch aktiv, Fragen sind beim verlinkten Chatraum gut aufgehoben)

Matrix.org hat ein paar IoT bezogene Bots gelistet: https://matrix.org/iot/
Wo du schon erwähnst gibt es ggf. einen Matrix Server der nicht so ein ressourcen Fresser ist und ggf. auf kleinere Setups ausgelegt ist.
Dendrite (Beta) und Conduit (Alpha).
Ersteres ist definitiv nutzbar (läuft auch auf Smartphones für Matrix P2P), aber z.B. mangels Push Notification-Support, noch nichts für den breiten Einsatz.
Bei letzteren (zielt genau auf deine Anforderungen ab) am besten direkt nachfragen.

Construct gibts auch noch.

https://github.com/matrix-org/dendrite
https://conduit.rs/
https://github.com/matrix-construct/construct
Das mit dem Ressourcenfresser kann ich halt nicht nachvollziehen. Ich betreibe meinen eigenen Matrix Server seit über einem Jahr ohne Vorkommnisse.
@tuxflo @bjoerns @oliver @kuketzblog
halt, stimmt nicht ganz: Letztens hab ich ihn einmal neustarten müssen weil der RAM voll war. Nach einem Update war dann aber wieder alles gut, also würde ich behaupten dass das ein Bug war, also kein Normalzustand.
Ok, es kommt stark darauf an, was du mit deinem Server machst.
Bei vielen habe ich gehört, dass wenn sie Räume betreten, in welchen hunderte bis tausende verschiedene Server drin sind, der Server schon "etwas zu tun hat" 😁
Ich würde behaupten dass ich in bis zu 50 Räumen bin. Auch große.
@tuxflo @bjoerns @oliver @kuketzblog
Naja, Telegram hat richtig gute Apps und Matrix leider nicht.
Kann ich leider nicht beurteilen, leider gibt es unter meinen Kontakten zu wenig Matrix Nutzer als das ich es täglich nutzen würde.
Der einzig relevante Unterschied könnte sich daraus ergeben, mit wem die Daten geteilt werden.
Das greift zu kurz. Telegram hat noch mehr Daten als WhatsApp. Unter anderem auch die Inhaltsdaten, da die E2E-Verschlüsselung in Einzelchats nur optional ist und in Gruppenchats sogar gar nicht vorhanden.
Telegram ist für mich eher ein allumfassendes Forum als ein Messenger. Das händel ich auch so. Wie Forenbeiträge, darf jeder lesen.
So ist das auch okay. Aber die Bewerbung als »sichere« und datenschutzfreundliche Alternative zu WhatsApp finde ich kurios - das passt halt einfach nicht.
Dich wundert dass Werbung nicht die Wahrheit verspricht? 😀
Das Problem ist einfach, dass Telegram als sicherer und datenschuzfreundlicher Messenger beworben wird - der er nunmal nicht ist.

Es gibt sicherlich sinnvolle Anwendungszwecke und auch die Benutzerfreundlichkeit habe ich nicht angezweifelt. Aber wenn man einen sicheren und datenschutzfreundlichen Messenger sucht, dann ist Telegram ein Griff ins Klo. 😉
Wenn ich einer Nachbarschaftsgruppe per Weblink beitreten kann, ohne mich selbst zu offenbaren - und diese nutzen kann, ohne jegliche persönliche Informationen über mich an andere Gruppenmitglieder zu offenbaren, dann ist das Datenschutz, der sich im Alltag auszahlt und von dem wir in unseren Telegram-Gruppen in Leipzig zu Tausenden jeden Tag profitieren - und den gerade SIgnal nicht bietet.
Und u. a. hinsichtlich der Problematik etwaiger National Security Letter (Standort USA) erscheint mir Signal auch sicherheitstechnisch problematisch.
Ich kaue das nicht nochmal durch mit Signal.

Davon abgesehen ist das ein gewisser Datenschutz - gegenüber den Teilnehmern, aber nicht gegenüber dem Dienstleister.

Threema kann übrigens auch ohne Telefonnummer verwendet werden. 😉
Threema erscheint mir inzwischen auch auf zahlreichen Ebenen vertrauenswürdigsten. Jene Nutzung ohne Herausgabe der Rufnummer ist da ja gerade für Journalisten elementar, die für unzählige Leute erreichbar sein müssen.
Für mich persönlich ist es weniger ansprechend wegen der fehlenden unabhängigen Clients, aber das betrifft ja keine große Zielgruppe.
Und ja: Für Otto-Normalverbraucher:in halte ich den Datenschutz gegenüber Menschen in ihrem Umkreis, verbunden mit der Backup-Sicherheit durch Cloudhosting tatsächlich für relevanter, als den Datenschutz gegenüber Geheimdiensten, bei denen es meines Wissens obendrein kein Beispiel dafür gibt, dass jene die Verschlüsselung von Telegram geknackt haben. Gescheiterte Ermittlungsversuche in Drogen- und Missbrauchs-Gruppen sprechen Bände.
Ja hab ich nur gibt es dort kein einzigen aktiven Kontakt, das gleiche hatte ich bei Signal. Das eigentliche Dilemma ist die Marktmacht.
liegt einfach daran das die Allgemeinheit auf den Schutz der persönlichen und anvertrauten Daten einen Rotz gibt und zu geizig ist einmalig 4.00€ zu investieren.
Das mi der Sichtbarkeit der Telefonnummer ist aber schon pikant. Ein Messenger welcher Datenschutz auf seiner Fahne hat, sollte so etwas aber verbergen. Was nützt mir die bestmögliche Verschlüsselung der Gesprächsdaten wenn meine personenbezogenen Daten aber frei ersichtlich sind und das für Gruppenmitglieder die nicht einmal persönlich kenne. Wie hat es dann Signal auf die berühmte Liste geschafft?
Danke für die aufschlussreiche Meinung
seit wann schreibt mir Threema oder Signal die Verwendung des OS vor. Es gibt doch für Android,iOS Client Version. Und für die Computer Nutzung gibt es WebAlternativen. Daher verstehe ich Ihre Aussage nicht. Bei der ungefragten Weitergabe der Telefonnummer in Signal bin ich jedoch konform. Das empfinde ich ebenfalls als ein ganz großes Problem.
ich nutze sowohl # als auch #. Und denke mal entscheidend ist der Einsatzzweck. Signal ist der private Messenger und Telegram der Öffentliche. Ich schreibe und Teile nichts privates über Telegram. Das liegt auch daran, dass ich ihn gar nicht als Messenger im klassischen Sinne verstehe. Man kann auch problemlos Telegram mit # austauschen, aber da die meisten Channel sowieso verknüpft sind ist es wiederum egal bzw. Geschmackssache.
Das ist auch okay und gut so. Mir stößt nur sauer auf, dass Telegram immer wieder als sichere und datenschutzfreundliche Alternative angepriesen wird - was es nicht ist.
Das ist sicher so korrekt.
Was Verbreitung und Komfort betrifft so ist es als Alternative zu US hosted Lösungen geeignet. Naiv wie ich bin meine ich, das Telegram weniger Risiken birgt als ein Signal. Letztlich aufgrund der US Rechtslage.
Naja, bei aller berechtigter technischer Kritik. Der Vergleich Postkarte ist schlicht falsch. Dein Vertrauen in eine Firma sich gegen das Recht stellen zu können halte ich für naiv.
@_FLUX_ @Mike Kuketz :mastodon: ok 😁 aber welches Recht müssen sie denn nun erfüllen das deutsche Recht oder das des Emirates Dubai? Mit letzterem kenn ich mich noch wesentlich schlechter aus als mit ersterem ;)
Gut Metaphern hinken immer, vielleicht diese besonders, deutlich sollte dabei werden, mit Telegram verschickte Nachrichten sind nicht sicher (kein E2E, keine Ahnung was auf dem Server passiert, etc. genauer siehe im Kuketz blog den du ja lobst ;) ).
Wie wir z.B. bei CMB-Analytica gesehen haben schafft es nichtmal Facebook sich mit seinen guten Anwälten an EU-Recht zu halten wie sollte es also Telegram schaffen?
Ich schicke als steile These hinterher: Wenn alles so läuft wie es soll, muss ich mich bei Signal und Threema nicht auf irgendein Recht verlassen, die Kommunikation ist vertraulich (Zero-Knowledge-Prinzip, besonders bei Signal).
@_FLUX_ @Mike Kuketz :mastodon: du solltest schon genau lesen, ich sagte das eine schlecht, das andere schlechter. Ich rate von beidem ab!
Und wenn wir schon beim genau lesen sind, ja whatsapp schlecht, aber ein quäntchen scheinen sie dann Telegram doch voraus zu haben: "Polizei und Geheimdienste sind sehr wohl in der Lage, verschlüsselte Kommunikation beliebter Messenger mitzulesen, ganz ohne Staatstrojaner. Das Bundeskriminalamt hat schon vor fünf Jahren Inhalte bei Telegram abgehört. Seit drei Jahren geht das auch bei WhatsApp." Ich will dich nicht "dissen" aber wenn du ein Argument machst und die Quelle genau das Gegenteil stützt, dann zeugt das nicht gerade von Medienkompetenz. Das hättest du dann vielleicht einfach lassen sollen ;) nichts für ungut.
Der für viele einfach zugängliche (web-)Client, mit Chatarchiv in der Cloud und einfacher Registrierung ist schon lange als Einfallstor für Überwachungsmaßnahmen bekannt.
Die Aussage von Netzpolitik bzgl. Telegram kann man getrost in die Tonne kloppen. Denn in den Fällen war der Verzicht der Betroffenen auf die 2-Faktoren-Authentifizierung ("stille SMS") das Einfallstor. Hier wurde das Schloss nicht geknackt, es wurde schlichtweg für die Behörden offen gelassen.
? - Hm, mein Post bezog sich auf Zitat:
"Auch wenn ich es selbst nicht gerne mag würde ich im Sinne einer sicheren Kommunikation sogar so weit gehen, dass selbst Whatsapp besser ist.."
Ich habe letztes mal offensichtlich zu kurz zitiert- sorry.
@_FLUX_ @Mike Kuketz :mastodon: schon klar und in deiner Quelle steht das Zitat (siehe oben) das Telegram und Whatsapp durch den Zugriff durch deutsche Dienste gefährdet sind.
@Mike Kuketz :mastodon: @_FLUX_ Wegen mir müssen wir das aber nicht weiter ausführen. Das beide nicht wirklich geeignet sind sollte allen Privacy-sensiblen Personen klar sein denke ich ;)
LG
PS: Dein Blog ist echt klasse- danke
Ergänzung: Telegram macht keinen Hehl darum, dass er Zentralisiert und unverschlüsselt ist. Das sollte nur jedem klar sein. Die Kampagne, dass er besonders Sicher sein soll, nur weil man explizit Chats als "geheim" einstellen kann ist mir allerdings auch ein Dorn im Auge, das ist ein völlig falsches Versprechen. Dennoch bietet Telegram eine Menge Komfort, ist sehr stabil und wäre da ein wenig mehr "Signal" drin, wäre es der beste Messenger der Welt.
Whatsapp zwingt dich dazu, die Black Box zu installieren. Damit bin ich gezwungen Android bzw nen Apfel zu verwenden.
Telegram kann man auch ohne die offizielle App nutzen. Ich benutze es fast immer per xmpp-Transport.
Aber stimmt schon - sicher ist das nicht. Den Anspruch habe ich auch nicht.
Ich benutze Jabber.
Die Antwort ist ganz einfach: Telegram ist sehr verbreitet, unsicher, ein Silo, dubios, bequem, funktional der Beste, unauffällig und Pavel spielt seine Rolle perfekt. Moxie (Signal) mag niemand. Matrix wird am Ende das Rennen gewinnen.
Von allen ehemaligen Mailsystemen ist nix geblieben was nicht RFC822 folgt.

Von den Messengern werden ebenfalls nur die bleiben, die XMPP "sprechen".

@kuketzblog
@Ralf Hersel @Mike Kuketz :mastodon: Vielleicht macht es auch # bzw. # da dies auch sehr etabliert ist.
This entry was edited (3 months ago)

Roland Häder reshared this.

Einmal angenommen, ich wäre inzwischen Telegram abgeneigt - wohin sollte ich denn meine Kontakte, die einen Komfort erwarten (Kontakte über Telefonbuch finden) und denen Datenschutz wichtig ist (andere Gruppenteilnehmer:innen sehen Rufnummer nicht)? Da bleibt doch im Zweifel eigentlich nur Threema - welches viele nicht nutzen werden, die überhaupt keine Apps erwerben. Zudem fehlt mir da die Option, es ordentlich an Desktop & Tablet zu nutzen. Oder Quicksy, welches ich gerne nutzen würde, aber für nicht IT-affine leider nicht entsprechend einladend ist wie WhatsApp & Telegram.
Für mich läuft das darauf hinaus, dass ich meine Telegram-Kontakte über die Bedeutung der 2FA sowie der optionalen E2E-Kommunikation aufkläre.
@Oliver also ich würde Signal und Threema empfehlen, wenn es um eher Standardnutzerinnen geht, da hast eine einfache Oberfläche mit gut abgeklopfter Crypto. Perfekt sind keine von beiden, das ist Telegram jedoch auch nicht. Wobei sie sich ganz gut ergänzen.
Einen Beginn kann man machen indem man selbst eine Gruppen auf diesen Plattformen macht, sofern alle da sind die man braucht. Threema habe ich schon öfter verschenkt, z.B. an die Familie oder im Tausch gegen ein "Frei-Bier" an Freunde gegeben. Meine Miete konnte ich bisher trotzdem zahlen ;) das ist aber natürlich eine individuelle Entscheidung.
Signal ist keine Option, da nicht nur ich viele Gruppen (Stadtteilhilfe, Vereine, Parteiarbeit) nutze, in denen die Offenlegung der Telefonnummer von Mitgliedern nicht akzeptabel wäre. Dass man Apps auf Android auch verschenken kann, wusste ich gar nicht. Das werde ich dann wirklich mal in Angriff nehmen für ein paar Leute. Danke für den Tipp!
Das Problem mit der Telefonnummer habe ich auch. Dies ist auch ein Grund welchen ich hier sehr skeptisch sehe.
@Oliver schade das es dann rausfällt, gerade in ehrenamtlichen Gruppen ist oft schwierig zu überzeugen finde ich, die Leute sind ja schon in ihrer Freizeit beim Engagement.
Bei IOS kenn ich mich nicht aus, Threema für Android kann auch einfach per shop.threema.ch kaufen und verschenken, ob es im Store diese Funktion auch gibt, kann ich dir gar nicht sicher sagen. Wenn das da jetzt Affiliatelinks gäbe ;D
von Telegramm Befürwortern höre oft das ausgesetzte Preisgeld für einen erfolgreichen Hack
Hallo Herr Kuketz, gibt es auf Ihrer Instanz noch freie Slots? Muss auf Grund der Schließung meiner jetzigen eine neue suchen.