Technische Sicherheitsanalyse der Mobile App «TikTok»
Der Verdacht auf mögliche Sicherheitsrisiken bei der Verwendung der App „TikTok“ des chinesischen Herstellers ByteDance hat dazu geführt, dass diese App in zahlreichen Ländern auf Behördengeräten verboten worden ist. Auch die EU-Kommission sowie das Europäische Parlament haben Anfang 2023 ein Verbot der App auf Diensthandys ihrer Mitarbeitenden erlassen. Die Schweizer Behörden und Unternehmen müssen sich ebenfalls die Frage stellen, wie sie mit den möglichen Risiken bei der Verwendung der App umgehen sollen. Das Nationale Testinstitut für Cybersicherheit NTC hat auf Anregung des Nationalen Zentrums für Cybersicherheit (NCSC) die Initiative ergriffen und die App „TikTok“ getestet.
Das Nationale Testinstitut für Cybersicherheit NTC testet, was sonst nicht getestet wird. So hat das NTC auf Anregung des Nationalen Zentrums für Cybersicherheit (NCSC) die Initiative ergriffen, die App „TikTok“ des chinesischen Herstellers ByteDance einer technischen Sicherheitsanalyse zu unterziehen.
Bei der Analyse wurde auf möglichst realitätsnahe Testbedingungen ohne besondere Schutzmassnahmen geachtet. Der Schutz der personenbezogenen Daten und Sicherheitsrisiken standen im Mittelpunkt der Überprüfung. Ziel war es, das Risiko einer möglichen Überwachung und Spionage bei der Nutzung von „TikTok“ auf Android oder iOS-Geräten abzuschätzen. Der Schutz vor Manipulation, Zensur und politischer Meinungsbeeinflussung war nicht Gegenstand der Analyse. Ebenso konnten im Rahmen des Zeitbudgets von rund 40 Personentagen weder technische Langzeitbeobachtungen noch sämtliche Softwarekomponenten detailliert analysiert werden.
Die Tests des NTC haben gezeigt, dass das Verhalten der App „TikTok“ grundsätzlich den Erwartungen an eine Social‐Media‐App entspricht. Es wurden keine Hinweise auf eine Überwachung der Nutzer gefunden. Dennoch wäre dies aufgrund der weitreichenden Berechtigungen, die der Benutzer der „TikTok“ App erteilen kann, technisch möglich. Ausserdem könnten unter bestimmten Umständen Schwachstellen aktiviert oder durch Updates entstehen.
Auffällig ist, dass häufig Positionsdaten versendet werden. Zudem werden die über „TikTok“ versendeten Chatnachrichten nicht Ende-zu-Ende verschlüsselt. Hingegen wurde festgestellt, dass ein Teil der Kommunikation mit dem TikTok-Backend-Server, dessen Inhalt nicht bekannt ist, zusätzlich verschlüsselt wird.
Nutzer sollten daher der App „TikTok“ keine oder immer nur eingeschränkte Berechtigungen einräumen, die App nach der Nutzung schliessen, Kontaktdaten niemals mit der App teilen und für geschäftliche und vertrauliche Kommunikation andere Kanäle nutzen.
Zusammenfassend empfiehlt das Nationale Testinstitut für Cybersicherheit NTC, den Einsatz der «TikTok» App, insbesondere auf Geräten, die im geschäftlichen und behördlichen Kontext verwendet werden, kritisch zu hinterfragen. Dies gilt grundsätzlich für alle Apps, die mit weitreichenden Berechtigungen ausgestattet sind und im geschäftlichen und behördlichen Kontext nur von begrenztem Nutzen sind.
Medienmitteilungen zum Download: