TikTok, das während der Coronavirus-Pandemie mit kurzen Videoclips für Lacher sorgte, hat das aufmerksamkeitsstarke Kurzvideoformat übernommen und seinen Platz unter den beliebtesten Social Media-Apps gefestigt. Aber genau wie andere ausländische Apps, die viral gehen, wird auch das chinesische Unternehmen TikTok immer wieder wegen seiner Datenerfassung und Datenschutzpraktiken kritisch beäugt. Diesmal sind es jedoch nicht nur die Vereinigten Staaten, die die Alarmglocken läuten lassen.
Unter Berufung auf eine Bedrohung der "Souveränität und Integrität" schließt sich Australien einer Handvoll globaler Regierungen an, darunter Indien, das Vereinigte Königreich, die Vereinigten Staaten, Kanada und viele Länder in Europa, die fordern, dass die TikTok-App von den Mobiltelefonen aller Beamten entfernt werden soll. Regierungen beginnen, die Risiken von TikTok ernster zu nehmen, aber tun Unternehmen und Nichtregierungsorganisationen mit über 1 Milliarde monatlich aktiven Nutzern das Gleiche?
Laut dem Center for Internet Security"enthalten die Daten, die TikTok von den Nutzern sammelt, sensible Informationen und werden oft ohne das ausdrückliche Wissen des Nutzers erhoben". Zu diesen Daten gehören unter anderem "Gerätemarke und -modell, Betriebssystemversion, Mobilfunkanbieter, Browserverlauf, App- und Dateinamen und -typen, Tastendruckmuster oder -rhythmen, drahtlose Verbindungen und Geolokalisierung. TikTok geht sogar so weit, andere persönlich identifizierbare Informationen (PII) wie Alter, Bild, persönliche Kontakte und andere Daten zu sammeln, die über die integrierte Single Sign-On (SSO) Funktion gesammelt werden.
In Anbetracht der Tatsache, dass die App "den Inhalt von [Nachrichten] und Informationen darüber, wann [Nachrichten] gesendet, empfangen und/oder gelesen werden", sammeln kann, und insbesondere angesichts der jüngsten Anhörung des TikTok-CEO im Kongress, die dem gesamten Dialog weitere Substanz verleiht, ist es leicht zu verstehen, warum große Organisationen und Unternehmen auf der ganzen Welt TikTok zunehmend misstrauisch gegenüberstehen und ihre Besorgnis über den Schutz der gesammelten persönlichen und Unternehmensdaten zum Ausdruck bringen.
Wie kommt es zu diesen Verstößen?
Während soziale Medien schon immer verschiedene Sicherheitsrisiken mit sich brachten, einschließlich der Anfälligkeit für Phishing und Betrug, ist die Verwischung der Grenzen zwischen der privaten und der geschäftlichen Nutzung der Geräte, auf denen TikTok installiert ist und genutzt wird, ein Hauptanliegen von Regierungen, Unternehmen und anderen großen Organisationen gleichermaßen.
Darüber hinaus ist das Potenzial für Datenmissbrauch durch externe und interne Parteien ein großes Problem. Dies ist darauf zurückzuführen, wie sehr Online-Plattformen und -Dienste miteinander verflochten sind, mit gemeinsamen Authentifizierungs-Tokens, Single Sign-On-Integrationen, Datenportabilität und mehr. Die Folgen eines möglichen Datendiebstahls und -missbrauchs könnten schwerwiegend sein, insbesondere angesichts der weit verbreiteten Nutzung von Web- und Cloud-Diensten.
Die Frage ist, wie viele Organisationen sich genug um Sicherheitsbedrohungen kümmern, um ein TikTok-Verbot zu unterstützen, und wie viele sich der Risiken, die sie eingehen, gar nicht bewusst sind.
Wie bei jeder Bedrohung aus dem Internet, der Cloud oder von mobilen Geräten ist es für Sicherheitsteams wichtig, die wichtigsten Risikofaktoren zu kennen und zu verstehen. Wie geht TikTok mit Daten um? Wie identifiziert und authentifiziert es Benutzer und Geräte sicher? Welche Art von Datenverkehr und Inhalten kann über den Dienst geteilt und konsumiert werden? Wo sind die Präsenzpunkte des Dienstes und was bedeutet das für die Risikobereitschaft eines Unternehmens?
Bei der heutigen Vielzahl von Benutzern, Geräten, Standorten, geschäftlichen Anforderungen und vielem mehr ist es manchmal schwierig, den Zugang zu bestimmten Diensten über Nacht explizit zu sperren. Es spricht viel für die Aufklärung der Benutzer und die Einführung von Sicherheitsleitplanken in Fällen, in denen ein Unternehmen Dienste nicht auf einen Schlag sperren möchte.
Skyhigh Security befasst sich mit diesem Thema, indem er zahlreiche Risikoattribute aufzeigt, die von Sicherheitsanalysten berücksichtigt werden müssen, wenn Benutzer sich in den turbulenten Gewässern rund um TikTok als Plattform und Dienst bewegen. Dazu gehören Risikoattribute, die sich auf die Daten selbst, den Benutzer/das Gerät, den Dienst, die Geschäftspraktiken des Unternehmens, rechtliche Fragen und die Cybersicherheit beziehen.
Von dort aus können die Sicherheitsteams mit der Einführung von Datensicherheitskontrollen beginnen, wie z.B. der Begrenzung/Sperrung von Logins, Uploads und/oder Downloads, der Drosselung der Datenbandbreite, der Einführung von benutzerdefinierten Webseiten zur Aufklärung der Benutzer und anderen Maßnahmen, um nicht nur den Datenabfluss von Geräten auf die TikTok-Plattform einzudämmen, sondern auch den Fluss sensibler Daten besser zu kontrollieren, damit diese nicht auf die Geräte der Benutzer gelangen, die möglicherweise andere fragwürdige Online-Dienste nutzen, die Daten missbrauchen könnten.
Was kann man tun?