Spionageverdacht bei Tiktok: Schweizer Testinstitut sieht Risiken beim Einsatz auf Diensthandys Die Bundesverwaltung hat die chinesische Video-App Tiktok prüfen lassen. Ein Verbot auf Diensthandys wie bei der Europäischen Kommission gibt es nicht. Aber es bestehen Bedenken.

Die Bundesverwaltung hat die chinesische Video-App Tiktok prüfen lassen. Ein Verbot auf Diensthandys wie bei der Europäischen Kommission gibt es nicht. Aber es bestehen Bedenken.

 

Bild: unsplash

Seit Anfang Jahr steht die Handy-App Tiktok wegen Sicherheitsbedenken in der Diskussion. Verbirgt sich hinter den populären Kurzvideos chinesische Spionage? Die EU-Kommission, die USA und weitere Staaten wollen sichergehen und haben Tiktok auf den Diensthandys ihrer Beamten verboten. Grund dafür war ein Bericht darüber, dass Mitarbeiter von Tiktok auf Standortdaten von amerikanischen Nutzern, unter ihnen auch zwei Journalisten, zugegriffen hatten.

Die Tiktok-Verbote bei mehreren Behörden hat auch die Schweizer Bundesverwaltung auf den Plan gerufen. Sie hat in den letzten Wochen interne Abklärungen vorgenommen, eine externe technische Untersuchung veranlasst und sich mit den EU-Behörden ausgetauscht, wie die Bundeskanzlei auf Anfrage mitteilt. Das Resultat: kein Verbot, aber neue Empfehlungen.

Die Mitarbeiter der Bundesverwaltung sollen Social-Media-Apps wie Tiktok generell zurückhaltend einsetzen, empfiehlt die Bundeskanzlei. In einem neu erstellten Merkblatt zum Thema heisst es: «Geben Sie den Apps so wenig Rechte wie möglich.»

Video-Apps wie Instagram und Tiktok benötigen, wenn man selbst Videos erstellen möchte, den Zugriff auf Kamera und Mikrofon. Mit diesen Berechtigungen lässt sich das Gerät aber theoretisch auch für Spionagezwecke nutzen. Heikel ist auch die Übermittlung von Kontakt- und Standortdaten, wofür die Nutzer ebenfalls eine Berechtigung erteilen müssen.

Testinstitut sieht mehrere Risiken bei Tiktok

Dass die Nutzung von Tiktok nicht gefahrlos ist, zeigt der technische Bericht des Nationalen Testinstituts für Cybersicherheit (NTC) in Zug, der am Dienstag veröffentlicht wurde. Diese «Cyber-Empa» – eine private Institution, gegründet auf Initiative des Kantons Zug – hat auf Anregung der Bundesverwaltung eine vertiefte Prüfung von Tiktok vorgenommen.

Die Empfehlung des NTC klingt deutlich schärfer als jene der Bundesverwaltung: Der Einsatz von Tiktok sei besonders «im geschäftlichen und im behördlichen Kontext kritisch zu hinterfragen». Der Einsatz solle «auf das erforderliche Minimum beschränkt» werden. Oder anders gesagt: im Zweifel lieber Finger weg.

Zu den «hohen Risiken», welche das NTC festgestellt hat, gehört, dass Tiktok die Kontaktdaten an den chinesischen Mutterkonzern Bytedance übermittelt. Mit diesem Vorgang, der vermutlich gegen europäische und schweizerische Datenschutzbestimmungen verstösst, können Nutzer ihre Bekannten und Freunde auf Tiktok finden. Der Konzern erhält aber auch sensitive Daten wie Namen, Adressen und Telefonnummern aus dem Bekanntenkreis der Nutzer.

Ebenfalls hochproblematisch ist, dass Tiktok auf dem iPhone bei jedem Start den genauen Standort des Geräts abfragt und diese Information an Bytedance übermittelt. Zusätzlich verbindet sich die App – auch wenn sie nur im Hintergrund läuft – einmal pro Stunde mit dem Bytedance-Server, wodurch sich aufgrund der IP-Adressen ein ungefähres Bewegungsprofil der Nutzer ergibt.

Bei ihren Anfragen an den Bytedance-Server schickt die Tiktok-App zudem verschlüsselte Informationen mit, die pro Abfrage bis zu 600 Zeichen lang sein können. Da die Daten verschlüsselt sind, kann das NTC keine Angaben dazu machen, welche Informationen verschickt werden. Es gebe jedoch keine Hinweise darauf, dass es sich um Kamera- oder Mikrofonaufnahmen handelt.

Trotz den Risiken, die das NTC in seiner Prüfung festgestellt hat, verzichtet die Bundesverwaltung auf ein Verbot. Die geschäftlichen Daten würden auf den Diensthandys in einer isolierten Umgebung, einer sogenannten Sandbox, bearbeitet, so das Argument der Bundeskanzlei. Damit seien diese sensitiven Informationen vor dem Zugriff der Tiktok-App geschützt.

Sandbox auf dem Handy schützt nur begrenzt

Dieser Schutz ist jedoch begrenzt. Auf die Standortdaten des Diensthandys oder auf private Kontakte kann die Tiktok-Anwendung trotzdem zugreifen. Auch Kamera und Mikrofon sind durch die Sandbox nicht geschützt. Der Bund vertraut also stark darauf, dass seine Angestellten in Eigenverantwortung Tiktok nicht oder nur mit den nötigen Einschränkungen nutzen.

Die Sicherheitsbedenken gegenüber Tiktok haben einen politischen Hintergrund. Auch andere Social-Media-Applikationen wie Instagram oder Whatsapp verlangen den Zugriff auf Kamera und Mikrofon oder sammeln Daten, die sie an zentrale Server übermitteln. Sie sind deshalb ebenfalls ein potenzielles Sicherheitsrisiko.

Bei der chinesischen Tiktok-App sind die Befürchtungen einer staatlichen Einflussnahme grösser, als dies in Bezug auf amerikanische Software der Fall ist. So verpflichtet das Gesetz über die Nachrichtendienste in China alle Organisationen und Personen dazu, die Geheimdienste auf Geheiss hin zu unterstützen. Der Staat kann zudem über sogenannte goldene Aktien auch direkten unternehmerischen Einfluss ausüben.

Besonders gross sind diese Bedenken in den USA, wo Ende März gar der CEO von Tiktok zur Anhörung vor einem Kongressausschuss antraben musste. Bei Demokraten und Republikanern herrschte die Meinung vor, dass Tiktok nur ein Vehikel Pekings zur Überwachung und zur Beeinflussung der öffentlichen Meinung sei. Es gibt zahlreiche Stimmen, die ein generelles Verbot der Video-App fordern.

Als erster Gliedstaat hat Montana vergangene Woche ein solches allgemeines Verbot von Tiktok beschlossen. Das Gesetz sieht vor, dass App-Stores von Anbietern wie Google oder Apple die chinesische Video-App nicht mehr anbieten dürfen. Die Nutzung von Tiktok wird aber nicht bestraft.

Dass die Schweiz derzeit kein Tiktok-Verbot für Bundesangestellte vorsieht, kann sich noch ändern. Wenn nötig, könnten jederzeit «einzelne Apps aus Sicherheitsgründen verboten werden», schreibt die Bundeskanzlei. Das Nationale Zentrum für Cybersicherheit beobachte die Entwicklung weiterhin sehr aufmerksam, um bei Bedarf rasch reagieren zu können.

Lukas Mäder, «Neue Zürcher Zeitung»

Das könnte Sie auch interessieren: