Mit mehr als zwei Milliarden Installationen auf Android- und iOS-Geräten weltweit erfreut sich TikTok insbesondere bei jugendlichen Nutzern aktuell großer Beliebtheit. Datenschützer und Regierungsorganisationen sind dagegen weniger von der App begeistert und sehen in ihr ein Security-Risiko. Sie werfen dem Betreiber Bytedance vor, übermäßig viele Nutzerdaten zu sammeln, die er als chinesisches Unternehmen im Zweifelsfall auch den chinesischen Geheimdiensten zur Verfügung stellen müsse. Außerdem könne nicht ausgeschlossen werden, dass die chinesische Regierung ausländische TikTok-Nutzer durch den Zugriff auf den Algorithmus zur Videoauswahl manipuliert.

Verbieten oder Verkaufen

Als Konsequenz haben in den vergangenen zwei Wochen bereits das Weiße Haus, die Europäische Union, Kanada und andere Länder in Europa die Nutzung der TikTok-App durch ihre Mitglieder und Behörden verboten. Außerdem arbeitet US-Präsident Joe Biden Berichten zufolge wie sein Vorgänger Trump an einem Beschluss, den Kurzvideodienst in den USA komplett zu verbieten, wenn er weiter in chinesischem Besitz bleibt.

Wie das Wall Street Journal berichtet, hat der Ausschuss für ausländische Investitionen in den USA (Committee on Foreign Investment in the US, CFIUS) - eine behördenübergreifende Arbeitsgruppe des Bundes, die die nationalen Sicherheitsrisiken bei grenzüberschreitenden Investitionen überwacht - vor kurzem den Verkauf der chinesischen Anteile gefordert.

TikTok wiederum hält dagegen, dass eine Änderung der Eigentumsverhältnisse das Problem nicht löse. "Der beste Weg, Bedenken hinsichtlich der nationalen Sicherheit zu begegnen, ist der transparente, in den USA ansässige Schutz der Daten und Systeme von US-Nutzern", erklärte eine TikTok-Sprecherin gegenüber Reuters.

Mit Transparenzoffensive gegen den Bann

Um US-Nutzerdaten und -inhalte vor dem Zugriff oder der Beeinflussung durch die chinesische Regierung zu schützen, hatte sich TikTok bereit erklärt, den US-Betrieb abzuschotten und alle Daten innerhalb der US-Grenzen zu speichern. Im Rahmen des 1,5 Milliarden Dollar schweren Projekts soll zudem Oracle die Möglichkeit erhalten, auf den algorithmischen Code des Unternehmens zuzugreifen und Probleme für Regierungsinspektoren zu melden.

Im Rahmen eines ähnlichen Vorhabens namens Clover kündigte das Unternehmen nun an, die bestehenden Schutzmaßnahmen für die rund 150 Millionen europäischen TikTok-Nutzer zu verstärken, die Verwaltung der Daten an die Grundsätze der europäischen Datensouveränität anzugleichen. So will das Unternehmen zusätzlich zu dem europäischen Datacenter in Dublin noch zwei weitere errichten und bereits in diesem Jahr mit der lokalen Speicherung der Nutzerdaten beginnen.

Zudem ist eine externe Aufsicht durch einen unabhängigen europäischen Sicherheitspartner geplant, der die Datenkontrollen und Sicherheitsvorkehrungen von TikTok untersucht, den Datentransfer überwacht und unabhängige Verifizierungsprozesse bereitstellt, so das Unternehmen.

Von Geodaten bis zum Browser-Verlauf

Bleibt das Problem mit der Sammelwut von Nutzerdaten: Wie die Security-Experten von Pradeo herausgefunden haben, sammelt die TikTok-App jede Menge an personenbezogenen Daten, obwohl diese Informationen für ihren Betrieb nicht unbedingt erforderlich sind.

Prateo zufolge sammelt TikTok die folgenden Daten und sendet sie an ihre Server in den Vereinigten Staaten und Singapur.

• Geolokalisierung

• Identifikationsdaten: Name und Vorname, E-Mail- und Postanschrift, Telefonnummer, Altersgruppe, Geburtsdatum

• Mitteilungen

• Fotos und Videos

• Audio

• Kontaktliste

• Web-Browsing-Verlauf

• Informationen zur Geräteidentifikation

Die Mitarbeiter der ByteDance Group haben dann in den folgenden Ländern Zugriff darauf: Brasilien, Kanada, China, Israel, Japan, Malaysia, Philippinen, Singapur, Südkorea und die Vereinigten Staaten

Wegen dieser Sammelwut verorten die Security-Experten von Prateo TikTok daher auch in die Kategorie der Leakware oder Greyware. Der Begriff bezieht sich auf Anwendungen, die massiv Daten ihrer Nutzer sammeln und weitergeben, und wurde in diesem Jahr erstmals von Gartner in seinen Market Guide for Mobile Threat Defense aufgenommen.

Berechtigungen von Apps prüfen

Das Problem beim Versuch, TikTok zu regulieren oder gar zu verbieten, ist die große Popularität der App, schreibt Prateo. Die Company empfiehlt Privatpersonen daher, bei allen installierten Apps die geforderten Berechtigungen genau zu prüfen und gegebenenfalls die Zustimmung zu verweigern. Für Unternehmen sehen die Experten die Implementierung einer Mobile-Threat-Defense-Lösung als einzige Möglichkeit, die mit Leakware-Anwendungen verbundenen Risiken zu neutralisieren. So ergab erst kürzlich eine Untersuchung der App-Analyseplattform AppFigures, dass Tausende von Apps - von denen viele bereits auf den Dienst-Handys von Bundesbediensteten installiert sind - Code verwenden, der Daten an TikTok sendet.

Den Recherchen zufolge kommen Software Development Kits (SDKs) von TikTok in mehr als 28.000 Apps zum Einsatz. Dazu zählen so populäre Spiele wie Mobile Legends: Bang Bang, Trivia Crack und Fruit Ninja, Bildbearbeitungs-Apps wie VSCO und Canva, weniger bekannte Dating-Apps, Wetter-Apps, Wifi-Tools und eine große Auswahl von weiteren Apps aus jeder denkbaren Kategorie, berichtet Gizmodo.