Zum Hauptinhalt springen

Ressourcen

NACHRICHTENÜBERSICHT

Hickory Dickory Dock: Datenschutz-Probleme plagen TikTok weltweit

Tanzen Ihre Daten nach einem anderen Rhythmus?

April 24, 2023

Von Rodman Ramezanian - Global Cloud Threat Lead

TikTok, das während der Coronavirus-Pandemie mit kurzen Videoclips für Lacher sorgte, hat das aufmerksamkeitsstarke Kurzvideoformat übernommen und seinen Platz unter den beliebtesten Social Media-Apps gefestigt. Aber genau wie andere ausländische Apps, die viral gehen, wird auch das chinesische Unternehmen TikTok immer wieder wegen seiner Datenerfassung und Datenschutzpraktiken kritisch beäugt. Diesmal sind es jedoch nicht nur die Vereinigten Staaten, die die Alarmglocken läuten lassen.

Unter Berufung auf eine Bedrohung der "Souveränität und Integrität" schließt sich Australien einer Handvoll globaler Regierungen an, darunter Indien, das Vereinigte Königreich, die Vereinigten Staaten, Kanada und viele Länder in Europa, die fordern, dass die TikTok-App von den Mobiltelefonen aller Beamten entfernt werden soll. Regierungen beginnen, die Risiken von TikTok ernster zu nehmen, aber tun Unternehmen und Nichtregierungsorganisationen mit über 1 Milliarde monatlich aktiven Nutzern das Gleiche?

Laut dem Center for Internet Security"enthalten die Daten, die TikTok von den Nutzern sammelt, sensible Informationen und werden oft ohne das ausdrückliche Wissen des Nutzers erhoben". Zu diesen Daten gehören unter anderem "Gerätemarke und -modell, Betriebssystemversion, Mobilfunkanbieter, Browserverlauf, App- und Dateinamen und -typen, Tastendruckmuster oder -rhythmen, drahtlose Verbindungen und Geolokalisierung. TikTok geht sogar so weit, andere persönlich identifizierbare Informationen (PII) wie Alter, Bild, persönliche Kontakte und andere Daten zu sammeln, die über die integrierte Single Sign-On (SSO) Funktion gesammelt werden.

In Anbetracht der Tatsache, dass die App "den Inhalt von [Nachrichten] und Informationen darüber, wann [Nachrichten] gesendet, empfangen und/oder gelesen werden", sammeln kann, und insbesondere angesichts der jüngsten Anhörung des TikTok-CEO im Kongress, die dem gesamten Dialog weitere Substanz verleiht, ist es leicht zu verstehen, warum große Organisationen und Unternehmen auf der ganzen Welt TikTok zunehmend misstrauisch gegenüberstehen und ihre Besorgnis über den Schutz der gesammelten persönlichen und Unternehmensdaten zum Ausdruck bringen.

Wie kommt es zu diesen Verstößen?

Während soziale Medien schon immer verschiedene Sicherheitsrisiken mit sich brachten, einschließlich der Anfälligkeit für Phishing und Betrug, ist die Verwischung der Grenzen zwischen der privaten und der geschäftlichen Nutzung der Geräte, auf denen TikTok installiert ist und genutzt wird, ein Hauptanliegen von Regierungen, Unternehmen und anderen großen Organisationen gleichermaßen.

Darüber hinaus ist das Potenzial für Datenmissbrauch durch externe und interne Parteien ein großes Problem. Dies ist darauf zurückzuführen, wie sehr Online-Plattformen und -Dienste miteinander verflochten sind, mit gemeinsamen Authentifizierungs-Tokens, Single Sign-On-Integrationen, Datenportabilität und mehr. Die Folgen eines möglichen Datendiebstahls und -missbrauchs könnten schwerwiegend sein, insbesondere angesichts der weit verbreiteten Nutzung von Web- und Cloud-Diensten.

Die Frage ist, wie viele Organisationen sich genug um Sicherheitsbedrohungen kümmern, um ein TikTok-Verbot zu unterstützen, und wie viele sich der Risiken, die sie eingehen, gar nicht bewusst sind.

Wie bei jeder Bedrohung aus dem Internet, der Cloud oder von mobilen Geräten ist es für Sicherheitsteams wichtig, die wichtigsten Risikofaktoren zu kennen und zu verstehen. Wie geht TikTok mit Daten um? Wie identifiziert und authentifiziert es Benutzer und Geräte sicher? Welche Art von Datenverkehr und Inhalten kann über den Dienst geteilt und konsumiert werden? Wo sind die Präsenzpunkte des Dienstes und was bedeutet das für die Risikobereitschaft eines Unternehmens?

Bei der heutigen Vielzahl von Benutzern, Geräten, Standorten, geschäftlichen Anforderungen und vielem mehr ist es manchmal schwierig, den Zugang zu bestimmten Diensten über Nacht explizit zu sperren. Es spricht viel für die Aufklärung der Benutzer und die Einführung von Sicherheitsleitplanken in Fällen, in denen ein Unternehmen Dienste nicht auf einen Schlag sperren möchte.

Skyhigh Security befasst sich mit diesem Thema, indem er zahlreiche Risikoattribute aufzeigt, die von Sicherheitsanalysten berücksichtigt werden müssen, wenn Benutzer sich in den turbulenten Gewässern rund um TikTok als Plattform und Dienst bewegen. Dazu gehören Risikoattribute, die sich auf die Daten selbst, den Benutzer/das Gerät, den Dienst, die Geschäftspraktiken des Unternehmens, rechtliche Fragen und die Cybersicherheit beziehen.

Von dort aus können die Sicherheitsteams mit der Einführung von Datensicherheitskontrollen beginnen, wie z.B. der Begrenzung/Sperrung von Logins, Uploads und/oder Downloads, der Drosselung der Datenbandbreite, der Einführung von benutzerdefinierten Webseiten zur Aufklärung der Benutzer und anderen Maßnahmen, um nicht nur den Datenabfluss von Geräten auf die TikTok-Plattform einzudämmen, sondern auch den Fluss sensibler Daten besser zu kontrollieren, damit diese nicht auf die Geräte der Benutzer gelangen, die möglicherweise andere fragwürdige Online-Dienste nutzen, die Daten missbrauchen könnten.

Was kann man tun?

Verwenden Sie Skyhigh Security?

  • Nutzen Sie die Skyhigh Cloud Registry, um einen proprietären und standardisierten Risikoalgorithmus zu verwenden.
  • Nutzen Sie Regeln zur Aktivitätskontrolle, um Kriterien für akzeptable Benutzeraktivitäten wie Anmeldung, Upload und/oder Download auf verwalteten Geräten zu definieren.
  • Implementieren Sie Schatten-/Web-Richtlinien an Orten, an denen TikTok bereits verboten ist, und beginnen Sie, den Zugang an anderen Orten zu beschränken und zu kontrollieren.
  • Passen Sie die globale Risikogewichtung Ihres Unternehmens über zahlreiche Kategorien von Risikoattributen an.
  • Erstellen und weisen Sie Servicegruppen auf der Grundlage bestimmter Merkmale zu, z. B. Praktiken der Datenverarbeitung, globale Präsenzpunkte, jüngste Sicherheitsverletzungen und mehr.
Rodman Ramezanian

Über den Autor

Rodman Ramezanian

Global Cloud Threat Lead

Rodman Ramezanian verfügt über mehr als 11 Jahre Erfahrung in der Cybersicherheitsbranche und ist als Enterprise Cloud Security Advisor verantwortlich für technische Beratung, Enablement, Lösungsdesign und Architektur bei Skyhigh Security. In dieser Funktion konzentriert sich Rodman Ramezanian hauptsächlich auf die australische Bundesregierung, das Verteidigungsministerium und Unternehmen.

Rodman ist spezialisiert auf die Bereiche Adversarial Threat Intelligence, Cyberkriminalität, Datenschutz und Cloud-Sicherheit. Er ist ein vom Australian Signals Directorate (ASD) anerkannter IRAP-Assessor und besitzt derzeit die Zertifizierungen CISSP, CCSP, CISA, CDPSE, Microsoft Azure und MITRE ATT&CK CTI.

Rodman hat eine ausgeprägte Leidenschaft dafür, komplexe Sachverhalte in einfachen Worten zu formulieren und so dem Durchschnittsbürger und neuen Sicherheitsexperten zu helfen, das Was, Warum und Wie der Cybersicherheit zu verstehen.

Höhepunkte des Angriffs

  • Social-Media-Apps sind tief in den Daten und den Geräten verankert, auf denen sie installiert sind - dieselben Geräte, die heutzutage sowohl für private als auch für geschäftliche Zwecke genutzt werden.
  • TikTok eröffnet, wie alle Apps, potenziell den Zugang zum gesamten Mobiltelefon eines Nutzers. Anwendungen für Mobiltelefone können ein glaubwürdiges Potenzial für den Zugriff auf andere Dinge auf dem Gerät bieten - in diesem Fall die Daten, die darauf gespeichert sind.
  • TikTok kann auch auf Informationen aus anderen Anmeldequellen oder solchen, die mit dem Profil eines Nutzers verknüpft sind, zugreifen und diese sammeln. Dazu können persönliche und/oder unternehmenseigene Google-, Facebook-, Twitter- oder andere Dienste gehören, die zur Authentifizierung von Benutzern bei TikTok verwendet werden.
  • Mit der zunehmenden Verbreitung von BYOD (Bring Your Own Device) verschwimmt die Grenze zwischen privater und geschäftlicher Nutzung. Die gleichen besorgniserregenden Anwendungen koexistieren weiterhin mit riesigen Mengen an Unternehmensdaten, die scheinbar in die falschen Hände geraten.
  • Jetzt, da die Regierungen weltweit TikTok auf den Geräten von Regierungsmitarbeitern verbieten, werden auch Unternehmen und andere Organisationen aufgefordert, die Nutzung von TikTok als Plattform und Service zu überdenken.