DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Worauf ist beim Einsatz von Tik-Tok zu achten?

Tik-Tok mit Tücken

TikTok. Die derzeit wohl erfolg­reichste App für Video­clips, welche nicht länger als 15 oder wahl­weise 60 Sekunden dauern, können auf TikTok vom Anwender erstellt und im sozialen Netzwerk der Plattform ver­breitet werden. Das Start-Up gehört zum chi­ne­si­schen Tech­­no­­logie-Konzern Byte­Dance und wurde 2016 vom Gründer Zhang Yiming auf­gebaut. Während die Ziel­gruppe zunächst Kinder und Jugend­liche waren, nutzen mitt­ler­weile auch Unter­nehmen das neue Netzwerk für eigene Werbezwecke.
Doch die aktuelle Kritik an der App TikTok als „Daten­krake Made in China“ ist zwi­schen­zeitlich laut und aus der Bericht­erstattung nicht mehr weg­zu­denken. Neben mög­lichen Daten­schutz­ver­stößen werden auch Vor­würfe im Zusam­menhang mit Sicher­heits­lücken der App, frag­wür­digen Mode­ra­ti­ons­prak­tiken (z. B. Zensur von Homo­se­xua­lität, Men­schen mit Behin­derung, Alko­hol­konsum) und auch Des­in­for­ma­tionen (Fake-News) genannt.
Mehrere euro­päische Länder haben gegen TikTok bereits ein Ver­fahren eröffnet um zu unter­suchen, ob sich das Unter­nehmen an die Regeln der Daten­­schutz-Grun­d­­ver­­­ordnung hält. Dies mit beson­deren Augenmerk auf die Ver­ar­beitung per­so­nen­be­zo­gener Daten von Kindern. Auch das deutsche Bun­desamt für Ver­fas­sungs­schutz und der Bun­des­be­auf­tragte für Daten­schutz plä­dieren dafür, mit dieser App äußerst vor­sichtig umzu­gehen, da sie daten­schutz­rechtlich sehr kri­tisch zu bewerten sei.
Es sei zudem nicht sicher, welche Zugriffs­mög­lich­keiten der chi­ne­sische Staat auf Daten von aus­län­di­schen Nutzern hat. Gesetzlich ist es den chi­ne­si­schen Behörden erlaubt, Unter­nehmen zur Koope­ration zu ver­pflichten, sollte die nationale Sicherheit bedroht sein. Wann diese Sicherheit jedoch bedroht ist, ent­scheidet die chi­ne­sische Regierung selbst. In diesem Zusam­menhang ist es somit nicht abwegig, wenn auch TikTok ver­pflichtet werden könnte, Daten herauszugeben.
Und die Liste der ver­ar­bei­teten Daten in der Daten­schutz­er­klärung TikToks ist lang. Das Pro­gramm fragt mas­senhaft Daten ab, von der Hard­ware­kon­fi­gu­ration des mobilen End­geräts, bis hin zu anderen instal­lierten Apps oder dem Namen des ver­wen­deten WLANs und teil­weise auch den per GPS ermit­telten Standort. Dass ver­schiedene Apps Daten sammeln, um dem Anwender per­so­na­li­sierte Werbung aus­zu­spielen, ist längst kein Geheimnis mehr. Bedenklich ist aber, dass TikTok auch die IMEI-Nummer (Inter­na­tional Mobile Equipment Identity), eine 15-stellige Nummer, über die ein Gerät ein­deutig iden­ti­fi­ziert werden kann, trackt. Ein solches Tracking ermög­licht unter anderem eine beinahe lückenlose Fest­stellung dessen, was seit Inbe­trieb­nahme des Geräts instal­liert wurde. Eben­falls bleibt es in diesem Zusam­menhang fraglich, warum es für TikTok relevant ist, die Bild­schirm­auf­lösung oder den jewei­ligen SIM-Pro­­­vider aus­lesen zu können.
Auch für Unter­nehmen kann die App ein mög­liches Sicher­heits­risiko dar­stellen. Viele Mit­ar­beiter nutzen mobile End­geräte, welche neben dem Unter­neh­mens­einsatz vom Mit­ar­beiter auch privat genutzt werden können. Auch wenn Dienst­handys mitt­ler­weile zu einem wesent­lichen Bestandteil im Geschäfts­alltag geworden sind, fehlt Unter­nehmen jedoch häufig die nötige Auf­merk­samkeit und man­gelndes Fach­wissen im Bereich IT-Security.
So wurde erst vor kurzem bekannt, dass TikTok bei iPhone-Nutzer:Innen Inhalte des Clip­boards aus­ge­lesen hat, welche in die Zwi­schen­ablage kopiert wurden. Über das Aus­lesen des Clip­boards könnten sen­sible, private und sicher­heits­re­le­vante Infor­ma­tionen wie Kom­mu­ni­ka­tionen, Daten zu Accounts und Pass­wörter abfließen. Das Unter­nehmen beteuerte, dass dies an einer ver­al­teten Software Deve­lo­pment Kit gelegen habe, welche aus­ge­tauscht wurde. Jedoch fiel Beta-Testern der iPhone-Betriebs­­­system-Version iOS 14 auf, dass das Clip­board wei­terhin von TikTok aus­ge­lesen wird. TikTok begründete das Aus­lesen in diesem Fall mit der Bekämpfung von Spam­ver­halten. Befinden sich sen­sible Fir­men­daten auf dem Handy des Mit­ar­beiters, besteht die Gefahr, dass diese Daten unbe­merkt und unge­wollt im Datentopf Chinas landen. TikTok kün­digte dies­be­züglich an, dies zukünftig zu ändern und eine neue Version der App ein­zu­reichen – welche mög­li­cher­weise sen­siblen (Unternehmens-)Daten bereits aus­ge­lesen wurden, ist nicht bekannt.
Dennoch hat TikTok ange­sichts des wach­senden Inter­esses der Behörden Gegen­maß­nahmen ergriffen. Inmitten der Corona-Pan­­demie trug sich der chi­ne­sische Konzern Ende April erstmals ins Lob­by­re­gister der EU ein. Wei­terhin ver­pflichtete sich TikTok zu frei­wil­ligen Maß­nahmen gegen Des­in­for­mation. Mit diesen Schritten möchte der Konzern zeigen, dass er sich an die euro­päi­schen Spiel­regeln hält.
Ob man den Beteue­rungen des Unter­nehmens dieses Mal Glauben schenken darf, wird die Zukunft zeigen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mag­dalena Nowak

Mag­dalena Nowak stu­dierte Wirt­schafts­recht (LL.M.) an der Tech­ni­schen Hoch­schule in Nürnberg und befasste sich während Ihrer Mas­ter­arbeit „Daten­schutz­recht­liche Her­aus­for­de­rungen für die ver­netzte Auto­mo­bilwelt“ intensiv mit Daten­schutz und den Her­aus­for­de­rungen der Umsetzung der DS-GVO in der Praxis. Seit 2019 ist sie als Daten­schutz­re­fe­rentin in der Stabs­stelle „Service Quality Management“ beim Bereichs­vor­stand Service und Ver­trieb der DATEV eG tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.