Die USA haben es
vorgemacht, die EU ist
nachgezogen und die Schweiz
beobachtet die Lage. Was derzeit bei einer Vielzahl an Regularien in der Technologiebranche der Fall ist, gilt auch für Tiktok. Die chinesische Social-Media-App steht in der westlichen Welt immer wieder wegen Sicherheitsrisiken und Spionagevorwürfen in der Kritik.
Nun hat das Nationale Testinstitut für Cybersicherheit (NTC) die App einen Monat lang auf technische Aspekte rund um den Schutz der Privatsphäre analysiert und einen Bericht dazu veröffentlicht. Die Untersuchung fand in Absprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) statt. Insgesamt wurden 300 Arbeitsstunden investiert, um herauszufinden, welche Sicherheitsrisiken sich hinter der App verstecken
Die Analyse zeigt, dass die App über weitreichende und potenziell problematische Systemberechtigungen verfügt, die für die Benutzerüberwachung missbraucht werden könnten. Relativierend heisst es dazu aber auch: "Das beobachtete Verhalten entspricht grundsätzlich den Erwartungen an eine Social-Media-App." Dennoch sollen auffallend häufig Positionsdaten an die Backend-Server des Mutterkonzerns Bytedance gesendet werden.
Unbekannte Daten fliessen ab
Dazu gebe es aber noch weitere konzeptionelle Risiken, schreibt das NTC. So sind Nachrichten, die über die App versendet werden, nicht End-to-end verschlüsselt. Daher können sowohl Bytedance als auch Betreiber der Tikok-Infrastruktur private Chatverläufe einsehen oder gar modifizieren. Die Organisation empfiehlt deshalb, andere Kanäle für den Austausch von sensitiven Daten zu verwenden.
Des Weiteren wurde festgestellt, dass ein kleiner Teil der Kommunikation mit den Tiktok-Backend-Servern verschlüsselt wird. Der genaue Inhalt dieser Daten ist zwar analysierbar, bedingt aber einen gewissen Aufwand. Diesen hat das NTC nicht betrieben. Ob gewisse Informationen zum chinesischen Konzern abfliessen, sei möglich, aber nicht gesichert, heisst es.
Die Organisation empfiehlt den Einsatz der App aufgrund der Untersuchung – insbesondere im geschäftlichen und behördlichen Kontext – kritisch zu hinterfragen. Das gilt aber auch für alle anderen Social-Media-Apps.
Update 19. April: Korrektur zur verschlüsselten Kommunikation eingefügt. Wir haben zuerst geschrieben, diese sei nicht analysierbar. Das ist falsch. Es bedingt nur grossen Aufwand. Für dieses Missverständnis entschuldigen wir uns.