Wie gefährlich ist TikTok?

Über TikTok wird seit einigen Monaten intensiv diskutiert. Die App wurde 1,5 Milliarden Mal installiert, besitzt rund 800 Millionen aktive Nutzer lockt Jugendliche aus aller Welt an. Die für kurze Musik- und Streichvideos bekannte Plattform macht offensichtlich großen Spaß. Spätestens seitdem in einer koordinierten Aktion US-Präsident Donald Trump düpiert wurde, ist klar, dass der Spaß auch die Mächtigen der Welt in Rage versetzen kann. Die Trump-Regierung prangert TikTok nun in Facebook-Werbeanzeigen an und fordert ein Verbot - angeblich aus Datenschutzgründen. Aber ist TikTok wirklich so gefährlich?

Drei große Kritikpunkte

TikTok ist laut Experten aus mehreren Gründen problematisch. Die größten Kritikpunkte: Die App sammelt sehr viele Daten über seine Nutzer. TikTok bzw. das Unternehmen dahinter, ByteDance, kann die verwerten, wie auch immer es möchte. Sie könnten etwa zum Anlegen von Persönlichkeits- und Bewegungsprofilen weiterverkauft werden. Die Daten könnten auch in die Hände der chinesischen Regierung gelangen. Das wird zwar bestritten, kann aber nicht ausgeschlossen werden. Die App soll außerdem zahlreiche Einfallstore für Hackerangriffe bieten. Damit könnten etwa Smartphones von Nutzern mit Schadsoftware infiziert werden.

"Datensammeldienst"

"TikTok ist ein Datensammeldienst, der als Social Network getarnt ist", lautet die Aussage eines anonymen Analysten namens "Bangorlol", der den Code von TikTok per Reverse Engineering in seine Bestandteile zerlegt hat. Sein Bericht wurde im April auf Reddit veröffentlicht. Darin aufgezeigt wird u.a., auf welche Informationen auf dem Smartphone TikTok zurückgreift: Details zur verwendeten Hardware wie IMEI-Nummer (Eindeutiges Identifikationsmerkmal eines Mobiltelefons), Prozessortyp, Bildschirmabmessungen, Bildschirmauflösung, Speicherverwendung etc.

Außerdem abgefragt wird, welche anderen Apps man am Smartphone installiert hat (inklusive gelöschter Apps), IP-Adressen von WLAN-Verbindungen, WLAN-Netzwerknamen, MAC-Adressen von Router und Smartphone. Ob das Smartphone gerootet oder per Jailbreak freigeschalten wurde, findet TikTok ebenso heraus. Abgefragt wird auch der eigene Aufenthaltsort mittels GPS, und zwar teilweise in kurzen Abständen (in bestimmten App-Versionen alle 30 Sekunden).

Analyse verhindern

Für Datenverbindungen wurde lange Zeit HTTP statt dem sichereren Protokoll HTTPS verwendet. Für die Anzeige von Links wurde die als unsicher geltende Technologie Webview verwendet. Zur Verschlüsselung von Daten wurde der ebensfalls als unsicher geltende Algorithmus MD5 verwendet. Das Verhalten von Nutzern wird auch mit Hilfe der Tracker von Appsflyer und Facebook beobachtet. Die App enthält verschiedene Schutzmechanismen, die ein Reverse Engineering verhindern sollen. Bangorlol schreibt, die App verändere ihr Verhalten, wenn sie erkenne, dass sie analysiert wird.

Der anonyme Aufdecker ist freilich nicht alleine. Analysen mehrerer Cybersicherheitsunternehmen, etwa Check Point, Zimperium, Mysk und Zimperium kommen zum gleichen Ergebnis. "Einige der Dinge hier werden sich ziemlich unangenehm anfühlen. Schnallt Euch an, Leute, das wird ein wilder Ritt", lautet die Einleitung eines TikTok-Berichts von Penetrum. "Nach umfassenden Nachforschungen haben wir erkannt, dass TikTok nicht nur eine massive Sicherheitslücke ist, die nur darauf wartet, ausgenutzt zu werden, sondern die Verbindungen zu China es zu einer sehr verwundbaren Datenquelle machen", heißt es am Ende.

Verbindungen zu China

Viele der für TikTok verwendeten Technologien machen die App zum leichten Angriffsziel für Hacker. Ein großer Teil der IP-Adressen, mit denen TikTok kommuniziert, sind aus China, genauer gesagt von Alibaba. Die Nutzungsbedingungen von Alibaba wiederum erlauben es dem Unternehmen, selbst persönlichste Daten weiterzuverkaufen oder auf sonstige Weise zu verwerten.

Die Verbindungen zur chinesischen Regierung kann niemand überprüfen, die Datensammelwut von TikTok übersteige jedenfalls das bei Apps übliche Maß bei Weitem, ist Bangorlol überzeugt: "Ich habe bereits die Apps von Instagram, Facebook, Reddit und Twitter einem Reverse Engineering unterzogen. Sie sammeln nicht annähernd so viele Daten wie TikTok und todsicher versuchen sie nicht so dreist zu verbergen, welche Daten gesendet werden. Es ist, wie wenn man ein Glas Wasser mit dem Ozean vergleicht."

Edgar Weippl von der Universität Wien, der wissenschaftliche Leiter des Information-Security-Forschungszentrums SBA Research, sieht die Angelegeneit nicht ganz so eindeutig: "TikTok sammelt viele Nutzerdaten. Das machen aber andere Apps auch. Man kann solche Daten dazu nutzen, um Einfluss auf politische Entwicklungen in anderen Ländern zu nehmen. Das wird China gerne unterstellt. Google und Facebook haben auch viele Informationen über einzelne Nutzer. Die werden halt eher als die Guten gesehen. Ihnen unterstellt man maximal, dass sie aus den Daten Geld machen wollen."

Zensur von Inhalten

Die Anschuldigungen hat TikTok bisher nur halbherzig zu entkräften versucht. Ein dabei oft vorgebrachtes Argument lautet, dass die von den Sicherheitsexperten analysierten App-Versionen nicht die aktuellsten waren. Aufgedeckte Probleme, etwa das erst im März bekannt gewordene Auslesen der Zwischenablage von Smartphones durch die TikTok-App (auch andere Apps taten dies ohne ersichtlichen Grund), seien umgehend behoben worden. Dem Vorwurf der Verbindungen zu China sei mit Verweis auf Serverstandorte in den USA und Singapur begegnet worden. Seit Juni ist außerdem ein US-Amerikaner CEO von ByteDance. Für vertrauenerweckend halten viele Experten die App deswegen noch lange nicht.

Neben den technischen Punkten wird vor allem beanstandet, wie TikTok Beiträge moderiert. Kritische Beiträge zur chinesischen Politik wurden in der Vergangenheit etwa "zufällig" gelöscht. Das war etwa einer Nutzerin geschehen, die ein Video als Make-up-Tutorial tarnte, darin aber über die Unterdrückung der Uiguren-Minderheit in China sprach. Der Fall sorgte weltweit für Aufsehen. TikTok-Moderatoren wurden außerdem laut durchgesickerten internen Dokumenten dazu angehalten, die Verbreitung der Postings von Nutzern, die als hässlich, arm oder behindert kategorisiert wurden, zu unterdrücken.

Fazit

TikTok kann für Nutzer sehr unterhaltsam sein, ist aber auch eine eindeutige Datenkrake. Mit den gesammelten Informationen kann man genaue Persönlichkeitsprofile anlegen und dank GPS-Tracking sogar Bewegungsanalysen erstellen. In der Vergangenheit wurden gravierende Sicherheitsmängel festgestellt. Der Umstand ist umso besorgniserregender, weil dadurch Daten von Kindern und Jugendlichen gefährdet sind. Die Moderationsregeln von TikTok sind dubios. Es scheint klar, dass die Betreiberfirma ByteDance eine genaue Vorstellung davon hat, welche Nutzerinhalte in den Vordergrund gerückt werden sollen und welche man lieber in der Versenkung verschwinden lässt.

Ob TikTok tatsächlich Verbindungen zur chinesischen Regierung hat - egal, ob freiwillig oder erzwungen - kann kaum überprüft werden. Genausowenig kann gesagt werden, ob TikTok so viele Daten sammelt, um daraus Gewinn zu schlagen oder zum Geheimdienst-Informant zu werden. Die bei TikTok aufgefundenen Sicherheitslücken könnten einfach der rasanten Expansion der App geschuldet sein. "Unternehmen wie TikTok sind wahrscheinlich eher auf unglaubliches Wachstum fokussiert und darauf, neue Funktionen für ihre Nutzer zu bauen, als auf Sicherheit zu achten", zitiert die New York Times den Sicherheitsforscher Christoph Hebeisen von Lookout.

Gerade der Umstand, dass die App einige Schwachstellen bei Cybersicherheit aufweist, andererseits aber eine genauere Analyse absichtlich erschwert, lässt die App in den Augen einiger Sicherheitsexperten aber sehr dubios erscheinen. Laut Edgar Weippl sei das Auffinden und rasche Beheben von Schwachstellen bei Mobil-Apps ganz normal. Um Bedenken auszuräumen, müsste TikTok bzw. ByteDance aber transparenter machen, welche Daten gesammelt werden und wofür sie verwendet werden. "Außerdem müsste es Opt-Out-Möglichkeiten geben, damit manche Daten auf Wunsch nicht gesammelt werden."