Zum Inhalt springen
Datenschutz bei TikTok

Sicherheit und Datenschutz bei TikTok

TikTok ist einer der beliebtesten Social-Media Plattformen. Weltweit nutzen mittlerweile ca. 1 Mrd. Menschen den chinesischen Dienst. Doch wie steht es um die Sicherheit und um den Datenschutz bei TikTok? In diesem Blog-Beitrag schauen wir uns TikTok genauer an.

TikTok: Nutzerzahlen und Vertrauen

Laut einer Schätzung nutzen mittlerweile ca. 86% der Deutschen Social-Media-Angebote. Bei der Aufschlüsselung der konkret verwendeten Dienste fällt auf, dass eine recht junge Plattform bereits unter den Top-5 der beliebtesten Social-Media Angebote mitmischt und bspw. schon Twitter, Snapchat und Telegram überholt hat. Die Rede ist von TikTok. TikTok ist eine chinesische Social-Media Plattform, welche die Möglichkeit bietet, kurze Videoclips mit diversen Effekten und Filtern zu veröffentlichen. Diese kann entweder als Web-Anwendung angesteuert oder per App auf dem Handy aufgerufen werden. Bei einer Umfrage aus diesem Jahr geben 33% der Befragten an, dass sie TikTok regelmäßig nutzen. 2021 waren es noch 26%. In Anbetracht der Tatsache, dass allerdings bereits 89% der Deutschen die Plattform schon kennen und TikTok damit eine der bekanntesten Social-Media Angebote ist, ist davon auszugehen, dass die Nutzerzahlen noch weiter steigen dürften. Weltweit kann TikTok bereits 1 Mrd. Nutzer vorweisen.

Interessant an der Beliebtheit ist allerdings, dass bei einer Umfrage aus 2020 nur 2% der Befragten TikTok als vertrauenswürdig einstuften. Dies könnte mit dem sog. Privacy Paradox zusammenhängen, also, dass Datenschutz uns allen zwar wichtig ist, wir aber oftmals konträr dazu handeln. Oder aber, die Umfrage hat das Kern-Klientel von TikTok nicht berücksichtigt. Schaut man sich die Verteilung der Nutzer an, wird schnell deutlich, dass die Plattform vor allem bei jungen Menschen sehr beliebt ist. Allein ca. 30% aller Nutzer weltweit sind zwischen 13-17 Jahre alt. Weitere ca. 38% sind zwischen 18-24 Jahre alt. Fragt man nun genau diese Alterspanne, zeigt sich ein ganz anders Bild. Bei einer Umfrage aus 2021 gaben 55% der befragten 12-19-jährigen an, dass sie TikTok in puncto Datenschutz als sicher einstuften. 15% gingen sogar davon aus, dass die Plattform sehr sicher ist. Anlass genug sich die Sicherheit des Dienstes mal genauer anzuschauen.

Datenschutz bei TikTok

Umfangreiches Datensammeln

Zuallererst ist dabei relevant, welche Daten TikTok eigentlich verarbeitet. Eine Untersuchung zeigte diesbezüglich, dass bei der Nutzung von TikTok eine Werbe-ID erhoben wird (meist von Google oder Apple). Dies geschieht auch, wenn man die App/Seite besucht, ohne in einem Account eingeloggt zu sein. Hinzukommt, dass TikTok ebenso einzigartige Fingerprints erstellt und mit dem Gerät verknüpft. Alle Aktivitäten auf der Plattform (Benutzerkonto, welches Gerät wird genutzt, Standort, IP-Adresse, welche Videos wurden geschaut und wie lang, Chats, welche Suchbegriffe wurden eingegeben, welche Kanäle wurden abonniert) werden dann diesem Fingerprint zugeordnet. Eine weitere Untersuchung legt sogar nahe, dass auch der Kalender, Kontakte, andere laufende Anwendungen, Wi-Fi-Netze, die Telefonnummer und sogar die Seriennummer der SIM-Karte erhoben wird.

Daneben fanden Analysten bei Apple heraus, dass TikTok bei iOS-Nutzern auch alles aus dem Clipboard auslas. Alles, was Nutzer auf ihren Apple-Geräten kopierten, war damit für TikTok einsehbar. Nach Bekanntwerden besserte die Plattform dies aus und gab an, dass dies lediglich eine Maßnahme war, um Spammer zu identifizieren.

Keylogger im InAppBrowser

Vor kurzem wurde nun ergänzend noch festgestellt, dass der InAppBrowser von TikTok Tastenschläge auf Third-Party Webseiten auswerten kann. Sobald man auf der Plattform einen Link anklickt, wird dieser nämlich nicht mit dem eigenen bevorzugten Browser geöffnet, sondern mit einem in der App integrierten Browser von TikTok. Bei eben diesem integrierten Browser scheint eine Art Keylogger implementiert zu sein. Mit diesem kann TikTok theoretisch auf allen angesteuerten Webseiten auswerten, welche Eingaben dort stattfinden. Theoretisch könnten davon Passwörter und Bankdaten betroffen sein. Laut eigener Angaben trackt TikTok entsprechende Eingaben auf Third-Party Webseiten nicht. Allerdings ist nun erwiesen, dass sie dies theoretisch tun könnten.

Einsatz von Third-Party Tracker

Erschwerend kommt noch hinzu, dass viele der Daten wahrscheinlich nicht nur für interne Verarbeitung gedacht sind. Eine Auswertung zeigt, dass TikTok zusammen mit YouTube die meisten Tracker im Bereich Social-Media einsetzt. Während YouTube allerdings hauptsächlich 1st Party-Tracker einsetzt (10 von 14 Tracker), setzt TikTok hauptsächlich 3rd Party-Tracker ein (13 von 14 Tracker). Das bedeutet, dass YouTube die Tracker-Daten hauptsächlich für interne Auswertungen etc. nutzen, wohingegen TikTok viele Daten an Dritte übermittelt. Beispielsweise werden viele Daten an Facebook und Appsflyer (eine große Marketing Firma) übermittelt. Was all die Empfänger mit den Daten dann anstellen, ist kaum noch nachzuvollziehen.

Datensicherheit bei TikTok

Manipulation von Links

Auch in puncto Sicherheit von Daten ist TikTok kein unbeschriebenes Blatt. TikTok bietet die Möglichkeit sich einen Download-Link zuschicken zu lassen. Bereits 2019 wurde festgestellt, dass eben jene Links manipuliert werden konnten. Der Link konnte böswillig so angepasst werden, dass mit Klicken des Links bestimmte Aktionen ausgelöst wurden. So konnten bspw. Videos auf einem Account gelöscht oder hochgeladen sowie eigentlich private Videos auf öffentlich gestellt werden. Ebenso konnten Daten der Nutzer, bspw. Zahlungsmethode, Mailadresse, Geburtstag und noch mehr, durch dieses Vorgehen abgegriffen werden. Mittlerweile hat TikTok die Schwachstelle behoben. Potenziell könnten vorher allerdings bereits 800 Mio. Nutzer weltweit und 5,5 Mio. Nutzer in Deutschland Opfer von der Schwachstelle geworden sein.

Manipulation von CDN-Servern

2020 folgte dann eine weitere Schwachstelle. Um Inhalte weltweit darstellen zu können nutzt TikTok ein sog. Content Delivery Network (CDN). Ein CDN ist ein geografisch verteiltes Netz von Proxy-Servern und ihren Datenzentren. Ziel ist es, eine hohe Verfügbarkeit und Leistung zu gewährleisten. Dafür findet eine räumliche Verteilung des Dienstes relativ zu den Endnutzern statt. In TikToks CDN fand aus Performancegründen eine Übermittlung der Videos etc. per http und nicht per https statt. Das bedeutet, dass die Plattform Dateien unverschlüsselt versendet hat. Forscher haben dies ausnutzen können, um falsche Videos auf Accounts anzuzeigen.

So konnten bspw. auf Geräten, die im selben Netzwerk eingeloggt waren, ein Video auf dem WHO-Account angezeigt werden, welches behauptete, dass Händewaschen Krebs auslöst. Dies war möglich, indem Anfragen von Geräten im Netzwerk an manipulierte Server geschickt wurden, welche sich als offizielle TikTok CDN tarnten und dann falsche Inhalte anzeigten. Erst seit kurzem nutzt TikTok auch https, um Daten verschlüsselt zu versenden. Damit ist die Sicherheitslücke auch nicht mehr existent.

Zugang zu Accounts

Allerdings kam 2020 noch eine Schwachstelle ans Licht. TikTok bietet die Möglichkeit einen Link im Profil zu hinterlegen. Beim Anklicken wird der Link mit dem bereits erwähnten integrierten Browser in der App geöffnet. Dabei wird eine Web-Anfrage an den jeweiligen Webserver übermittelt, damit die Webseite aufgerufen werden kann. Im Header einer solchen Anfrage befindet sich ein sogenannter User Agent, der bspw. enthält welches Betriebssystem und welcher Browser genutzt wird.

Allerdings können neben dem User Agent auch noch weitere Informationen in so einem Header enthalten sein. Bei TikTok waren Sitzungsinformationen zum genutzten Account enthalten. Darunter war auch ein Schlüssel, der bei jedem Login in der App oder auf der Website für den angemeldeten Nutzer generiert wird. Mit diesem Schlüssel identifiziert sich der Nutzer beim Server. Wer über diesen Schlüssel verfügt, hat also vollen Zugriff auf den Account. Lange Rede, kurzer Sinn: Die Schlüssel konnten abgegriffen werden, womit schlussendlich Zugang zu Accounts erhalten wurde.

Angst vor Spionage

All diese Erkenntnisse zu TikTok führen zu Sicherheitsbedenken. Besonders besteht die Sorge, dass TikTok von der chinesischen Regierung zu Spionagezwecken missbraucht wird. Ein Mitglied vom Hacker-Kollektiv Anonymous bezeichnete TikTok darum als chinesische Spyware. Andere sorgen sich darum, dass der Dienst zur gezielten Massenmanipulation oder Verbreitung von Desinformation verwendet werden könnte. TikTok verneint allerdings jegliche Einflussnahme seitens der chinesischen Regierung.

Reaktionen auf TikTok

Mit all den Datenschutz- und Datensicherheits-Bedenken ist es nicht verwunderlich, dass bereits einige staatliche und private Einrichtungen auf TikTok reagiert haben. So untersagte die US-Army bspw. die Installation von TikTok auf Militär-Smartphones. Trump wollte TikTok sogar komplett verbieten. Biden ist davon abgewichen, hat aber eine Überprüfung ausländischer Apps angeordnet. Ebenso verlangte Amazon kurzzeitig, dass Angestellte TikTok von Geräten löschen sollten, mit denen sie Unternehmensmails aufrufen. Aufgrund von Sicherheitsbedenken bannte Wells-Fargo TikTok von Firmengeräten einiger Angestellte sogar komplett. Auch das deutsche Gesundheitsministerium prüft seit 2020, ob TikTok bedenklich sein könnte. Ob die Prüfung bereits beendet ist bzw. zu welchem Ergebnis die Prüfung gekommen ist, ist allerdings nicht bekannt. Derzeit besteht der Account des Gesundheitsministerium noch.

Auch bei Aufsichtsbehörden ist TikTok nicht unbekannt. So musste der direkte Vorgänger der Plattform, musica.ly, in den USA eine Strafe in Höhe von 5,7 Mio. Dollar bezahlen. Grund dafür war, dass der Social-Media-Dienst Daten von (unter) 13-jährigen verarbeitete, womit gegen die Datenschutzvorgaben zum Schutz von Kindern verstoßen wurde. In Großbritannien sind infolgedessen ähnliche Untersuchungen gestartet. Auch in der EU wird die Plattform nun genauer unter die Lupe genommen.

Fazit: Sicherheit und Datenschutz bei TikTok

TikTok fällt durch Sicherheitslücken und fragwürdige Datenschutzpraktiken auf. Allerdings ist dies grundsätzlich auch mit anderen Tech-Anbietern wie bspw. Facebook oder Google zu vergleichen. Speziell sind aber die vielen 3rd Party-Tracker, etliche bedenkliche Sicherheitslücken und die Möglichkeit des Keylogging. Ebenso besonders ist die Herkunft aus China und die damit verbundene Sorge, dass die CCP Einfluss auf den Dienst ausüben oder diesen gar nutzen könnte, um zu manipulieren und desinformieren. Aus Datenschutz-Gründen sollte darum von einer Nutzung von TikTok abgesehen werden.

Um noch mehr zu TikTok zu erfahren, können wir wärmstens die Podcast-Episode der Klugschwätzer² zu der Thematik empfehlen. Dabei wird dann auch noch über mögliche Zensur und Einflussnahme gesprochen.


Du interessierst dich für datenschutzrechtliche Themen? Dann schau doch bei unseren anderen Beiträge vorbei. Hier haben wir bspw. einen Beitrag darüber, ob Microsoft 365 DSGVO-konform ist.

Sollte dir der Blog-Beitrag gefallen haben, folge uns am besten auf InstagramFacebookLinkedIn oder XING, um immer informiert zu bleiben.

Weitere Artikel

Aufgeklappter Laptop mit dem Text "NIS2 und ISO 27001" auf dem Bildschirm
IT

NIS2 durch ISMS nach ISO 27001 erfüllen?

NIS2 und ISO 27001: Ein praktischer Abgleich zur Umsetzung der NIS2-Richtlinie in der Praxis Einen Überblick über NIS2 und dessen Systematik hatten wir bereits im letzten Blog-Beitrag gegeben. Die NIS2-Richtlinie

Weiter lesen...
Laptop mit Schloss als Sinnbild für den Cyber Resilience Act
Datenschutz

Cyber Resilience Act

Die EU hat Ende letzten Jahres einen Entwurf für ein Cybersicherheits-Regelwerk vorgestellt: Der Cyber Resilience Act. Die Anforderungen sollen für Produkte mit digitalen Elementen gelten und sicherere Hardware- und Softwareprodukte

Weiter lesen...