Bericht: Tiktok liest mit

18. April 2023 um 14:04
letzte Aktualisierung: 19. April 2023 um 06:35
image
Foto: Unsplash+

Die Cybersecurity-Organisation NTC hat die Social-Media-App unter die Lupe genommen. Bemängelt werden etwa fehlende End-to-end-Verschlüsselung und der Abfluss von Daten.

Die USA haben es vorgemacht, die EU ist nachgezogen und die Schweiz beobachtet die Lage. Was derzeit bei einer Vielzahl an Regularien in der Technologiebranche der Fall ist, gilt auch für Tiktok. Die chinesische Social-Media-App steht in der westlichen Welt immer wieder wegen Sicherheitsrisiken und Spionagevorwürfen in der Kritik.
Nun hat das Nationale Testinstitut für Cybersicherheit (NTC) die App einen Monat lang auf technische Aspekte rund um den Schutz der Privatsphäre analysiert und einen Bericht dazu veröffentlicht. Die Untersuchung fand in Absprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) statt. Insgesamt wurden 300 Arbeitsstunden investiert, um herauszufinden, welche Sicherheitsrisiken sich hinter der App verstecken
Die Analyse zeigt, dass die App über weitreichende und potenziell pro­ble­ma­tische Systemberechtigungen verfügt, die für die Benutzerüberwachung missbraucht werden könnten. Relativierend heisst es dazu aber auch: "Das beobachtete Verhalten entspricht grundsätzlich den Erwartungen an eine Social-Media-App." Dennoch sollen auffallend häufig Positionsdaten an die Backend-Server des Mutterkonzerns Bytedance gesendet werden.
Unbekannte Daten fliessen ab
Dazu gebe es aber noch weitere konzeptionelle Risiken, schreibt das NTC. So sind Nachrichten, die über die App versendet werden, nicht End-to-end verschlüsselt. Daher können sowohl Bytedance als auch Betreiber der Tikok-Infrastruktur private Chatverläufe einsehen oder gar modifizieren. Die Organisation empfiehlt deshalb, andere Kanäle für den Austausch von sensitiven Daten zu verwenden.
Des Weiteren wurde festgestellt, dass ein kleiner Teil der Kommunikation mit den Tiktok-Backend-Servern verschlüsselt wird. Der genaue Inhalt dieser Daten ist zwar analysierbar, bedingt aber einen gewissen Aufwand. Diesen hat das NTC nicht betrieben. Ob gewisse Informationen zum chinesischen Konzern abfliessen, sei möglich, aber nicht gesichert, heisst es.
Die Organisation empfiehlt den Einsatz der App aufgrund der Untersuchung – insbesondere im geschäftlichen und behördlichen Kontext – kritisch zu hinterfragen. Das gilt aber auch für alle anderen Social-Media-Apps.
Update 19. April: Korrektur zur verschlüsselten Kommunikation eingefügt. Wir haben zuerst geschrieben, diese sei nicht analysierbar. Das ist falsch. Es bedingt nur grossen Aufwand. Für dieses Missverständnis entschuldigen wir uns.

Loading

Mehr erfahren

Mehr zum Thema

image

BSI musste Microsoft juristisch zu Auskünften zwingen

Die deutsche Security-Behörde wollte mehr zum E-Mail-Hack vom letzten Jahr wissen. Microsoft lieferte unbefriedigende Antworten.

publiziert am 17.5.2024
image

Behörden schalten grosses Hacker-Forum aus

Auf Breachforums wurden zuletzt die Datensätze von Dell und Europol verkauft. Beteiligt an der internationalen Aktion war auch die Kantonspolizei Zürich. In der Schweiz wurden Server sichergestellt.

publiziert am 16.5.2024
image

Epic führt zu Datenschutzdiskussionen am Inselspital

Der Berner Datenschützer äussert sich zum Einsatz des US-Klinik-Informationssystems Epic am Inselspital. Es führt zu einem Paradigmenwechsel, bei dem das Spital nachjustieren musste.

publiziert am 16.5.2024 1
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024