Auf „TikTok“ kursierenden Malware wird über Privatnachrichten verbreitet

[datensicherheit.de, 11.06.2024] Marco Eggerling, „Global CISO“ bei Check Point Software, warnt in seiner Stellungnahme vom 6. Juni 2024 vor der auf „TikTok“ kursierenden Malware, welche demnach über Privatnachrichten verbreitet wird und den Opfern ohne Download oder Anklicken einer Datei die Kontrolle über ihr Konto entziehen kann. Die Drahtzieher zielten auf Konten „mit hohen Follower-Zahlen und haben bereits Konten von Prominenten und großen Fernsehsendern gekapert“. Eggerling kommentiert den Sachverhalt und erklärt, wie man sich als Nutzer schützen kann.

Foto: Check Point Software

Marco Eggerling: In der heutigen digitalen Welt ist es unerlässlich, zusätzliche Sicherheitsmaßnahmen zu ergreifen!

TikTok drohe sogar ein flächendeckendes Verbot

In den letzten Jahren habe das Kurzvideo-Portal „TikTok“ mehrfach vor Sicherheitsherausforderungen gestanden – es drohe sogar ein flächendeckendes Verbot. Neueste Schlagzeilen berichteten nun von einer Hacker-Kampagne unbekannten Ursprungs, welche Konten mit „hohen Followerzahlen“ über Malware zu enteignen versuche.

Zahlreiche Nutzer – darunter auch prominente Persönlichkeiten und Kanäle bekannter Fernsehsender – berichteten, den Zugang zu ihren Konten verloren zu haben. „Dies geschieht offenbar allein durch das Öffnen einer ,Direct Message’ (DM), die schädlichen Code enthält“, so Eggerling. Dass nicht einmal das Zutun der Nutzer für diese Kompromittierungen erforderlich sei, erschrecke zusätzlich.

TikTok hat bereits Gegenmaßnahmen eingeleitet – doch auch Nutzer sollten selbst aktiv werden

Bei „TikTok“ habe man zwar bereits Gegenmaßnahmen eingeleitet, doch Eggerling rät: „Wer ein Konto besitzt, sollte umgehend die Zwei-Faktor-Authentifizierung (2FA) einrichten, bevor irgendwelche neuen Nachrichten öffnet werden!“ Laut aktuellen Berichten werde die Malware durch DMs innerhalb der „TikTok“-App übertragen, ohne dass ein Download, Klick oder eine Antwort erforderlich sei – das bloße Öffnen der Nachricht reiche aus. „Mit der Aktivierung der 2FA wird dem Login-Prozess allerdings ein zusätzlicher Sicherheitsschritt hinzugefügt, wodurch die momentan gemeldeten Kontoübernahmen verhindert werden können.“

Eggerling gibt nachfolgend einige Tipps, um sich vor der „TikTok“-Kompromittierung sowie unbefugtem Zugriff auf die eigenen Konten zu schützen:

Aktivierung der Verifizierungsfunktion bei „TikTok“
Gehen Sie auf die Sicherheitsseite von „TikTok“ und aktivieren Sie die „Log In With Verification Feature“! Dazu müssen Sie Ihre Telefonnummer angeben. Jedes Mal, wenn jemand versucht, sich in Ihr Konto einzuloggen, sendet „TikTok“ Ihnen ein Einmalpasswort (OTP) per SMS, das für den Login benötigt wird.

Verwendung von einem starken, einzigartigen Passwort
Ein Passwort mit Sonderzeichen oder besser noch, ein Passwort-Manager.

Verdächtige Aktivitäten sollten sofort gemeldet werden
Wem ungewöhnliche Aktivitäten auf dem eigenen Konto auffallen, sollte diese sofort an „support.tiktok.com“ melden.

„In der heutigen digitalen Welt, in der Cyber-Angriffe immer häufiger geschehen und dabei noch hinterhältiger werden, ist es unerlässlich, solche zusätzlichen Sicherheitsmaßnahmen zu ergreifen“, betont Eggerling. Auch, wenn dafür hin und wieder ein paar zusätzliche Klicks notwendig seien – diese lohnten sich. Denn die Aktivierung der Zwei-Faktor-Authentifizierung und die Befolgung grundlegender Sicherheitstipps könnten Nutzer wirksam vor bekannten und unbekannten Bedrohungen schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.03.2024
TikTok im Spannungsfeld zwischen Datenschutz und Geopolitik / Grundsätzliche Unterschiede in der Darstellung und Nutzung der TikTok-App in China einerseits und den USA andererseits

datensicherheit.de, 15.03.2024
TikTok: Drohendes Verbot in den USA / TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

datensicherheit.de, 05.04.2023
Dienstgeräte: TikTok-Verbot auch in Australien / Datenerhebungen bei TikTok deutlich umfangreicher als bei anderen Social-Media-Plattformen

Grundsätzliche Unterschiede in der Darstellung und Nutzung der TikTok-App in China einerseits und den USA andererseits

[datensicherheit.de, 22.03.2024] „Die Diskussion um ein mögliches Verbot von ,TikTok’ in den USA hat neue Höhen erreicht, nachdem das US-Repräsentantenhaus für eine Sperrung der App für Behördenmitarbeiter gestimmt hat“, so Marco Eggerling, „CISO EMEA“ bei Check Point Software Technologies, in seinem aktuellen Kommentar. Er erläutert hierzu: „Diese Debatte, die bereits 2020 unter der damaligen US-Regierung begann, rückt erneut ins Rampenlicht mit dem Argument, dass die Daten US-amerikanischer Nutzer durch die chinesische Regierung missbraucht werden könnten.“ Ein kritischer Aspekt dieser Auseinandersetzung auch mit geopolitischer Dimension sei die Sorge, dass ByteDance, das Mutterunternehmen von „TikTok“ mit Sitz in China, „aufgrund chinesischer Gesetze Zugang zu allen Informationen hat, die ,TikTok’ besitzt“.

Foto: Check Point

Marco Eggerling: Diskussion um TikTok wirft wichtige Fragen zur Balance zwischen Sicherheit, Datenschutz und Meinungsfreiheit auf…

Diskrepanz in der Wahrnehmung: Unterschiedliche Nutzung von TikTok in den USA und China

„Dieser Vorstoß, der Teil eines breiteren Gesetzes ist, ermöglicht es dem US-Handelsministerium, Websites und Dienste, die von ausländischen Unternehmen betrieben werden und Daten von über einer Million US-Bürgern missbrauchen, zu identifizieren und zu verbieten.“ Dieses Vorgehen unterstreicht nach Eggerlings Einschätzung die zunehmende Besorgnis über Datensicherheit und Privatsphäre-Schutz.

Ein weiteres Element in dieser Diskussion sei die unterschiedliche Nutzung von „TikTok“ in den USA und China. Eggerling führt hierzu aus: „Während ,TikTok’ in den USA überwiegend für Unterhaltungsinhalte genutzt wird, die häufig als schädlich für die Entwicklung von Kindern und Jugendlichen angesehen werden, fördert die chinesische Version der App, ,Douyin’, prosoziale Aktivitäten wie Bildung und Patriotismus und setzt Zeitlimits für die Nutzung durch Kinder.“

Zunehmende Kritik TikTok-Algorithmen, die möglicherweise gefährliche Inhalte fördern

Die Unterschiede in der Darstellung und Nutzung der „TikTok“-App in beiden Ländern (China und USA) seien bezeichnend. In einem Interview in der CBS-Sendung „60 Minutes“ habe der Technologieethiker Tristan Harris die unterschiedlichen Inhalte der Plattform erklärt: In China würden Nutzer unter 14 Jahren mit Inhalten wie wissenschaftlichen Experimenten, Museumsbesuchen und Bildungsvideos konfrontiert, während in den USA eine Karriere als „Social Media Influencer“ als erstrebenswert gezeigt werde. Diese Divergenz in den Inhalten werfe wichtige Fragen bezüglich der Verantwortung von Technologieunternehmen und der Regulierung von Social-Media-Plattformen auf.

Die anhaltende Untersuchung der potenziell schädlichen Auswirkungen von „TikTok“ auf die psychische Gesundheit von Kindern und Jugendlichen durch eine parteiübergreifende Gruppe von US-Generalstaatsanwälten zeige die Besorgnis der Behörden über die Rolle von „Social Media“ im Leben junger Menschen. Diese Untersuchungen und die zunehmende Kritik an den Algorithmen von „TikTok“, welche möglicherweise gefährliche Inhalte förderten, unterstrichen die Dringlichkeit, die Nutzung von „Social Media“ durch Kinder sorgfältig zu überwachen und zu regulieren.

2020 von CPR benannte TikTok-Schwachstellen waren verheerend

„Neben dieser gesellschaftlichen Frage, haben die Sicherheitsforscher von CPR Anfang 2020 in einem Blog über Schwachstellen in der App berichtet.“ Danach seien diese zwar von „TikTok“ geschlossen worden, „waren jedoch verheerend“. Die damals beschriebenen Lücken hätten es Angreifern ermöglicht, auf „TikTok“-Konten zuzugreifen, Inhalte sowie Videos zu löschen, nicht genehmigte Videos hochzuladen, private versteckte Videos öffentlich zugänglich zu machen oder persönliche Informationen offenzulegen.

Eggerling gibt abschließend zu bedenken: „Insgesamt wirft die Diskussion um ,TikTok’ wichtige Fragen zur Balance zwischen Sicherheit, Datenschutz und Meinungsfreiheit auf und fordert eine umsichtige Regulierung, die sowohl den Schutz der Nutzer als auch die Wahrung grundlegender Freiheiten gewährleistet.“

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2024
TikTok: Drohendes Verbot in den USA / TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

datensicherheit.de, 05.04.2023
Dienstgeräte: TikTok-Verbot auch in Australien / Datenerhebungen bei TikTok deutlich umfangreicher als bei anderen Social-Media-Plattformen

datensicherheit.de, 24.02.2023
EU-Kommision: Mitarbeiter haben TikTok-Verbot / Jüngste TikTok-Verbot Teil der Frage, wie viel chinesischer Einfluss auf die nationale Infrastruktur und das tägliche Leben als akzeptabel angesehen wird

TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

[datensicherheit.de, 15.03.2024] Laut einer Meldung von Arctic Wolf hat das US-Repräsentantenhaus am 13. März 2024 einen Gesetzesentwurf verabschiedet, der den chinesischen Eigentümer von „TikTok“ – ByteDance – per Gesetz dazu zwingen soll, diese Videoplattform zu verkaufen. Jetzt geht der Entwurf demnach an den US-Senat. Adam Marrè, „Chief Information Security Officer“ bei Arctic Wolf und ehemaliger FBI Special Agent sowie „Cyber Investigator“, kommentiert die Entwicklungen rund um „TikTok“ und deren möglichen Konsequenzen für die globale Internetwirtschaft.

Foto: Arctic Wolf
Adam Marrè: Effektivere Aufsicht über Apps in ausländischem Besitz könnte Verbot unnötig machen

Auswirkungen von TikTok auf Nationale Sicherheit befürchtet

„Die US-Gesetzgeber sind zu Recht besorgt über die Auswirkungen von ,TikTok’ auf die Nationale Sicherheit und haben die Notwendigkeit eines Eingreifens erkannt“, so Marrè in seinem Kommentar. Indes betont er, dass jedoch das Verbot einer sich in ausländischem Besitz befindlichen App „keine tragfähige langfristige Lösung“ sei, da es das eigentliche Problem nicht angehe – nämlich die die unregulierte Art und Weise, „wie Soziale Medien und Tech-Unternehmen Nutzerdaten sammeln, speichern und nutzen“. Solche Maßnahmen lösten nicht das grundlegende Problem, „mit dem Bürgerinnen und Bürger konfrontiert sind und das der Gesetzgeber nicht rechtzeitig in Angriff genommen hat: das Fehlen strenger Bundesgesetze zum Datenschutz“.

Obwohl „TikTok“ mit seinen ausländischen Verbindungen einzigartige Risiken mit sich bringe, bedeute dies nicht, dass „einheimische“ Tech-Unternehmen weniger invasiv oder sicherer im Umgang mit Daten seien – das Risiko sei hier nur weniger offensichtlich. Marrè erläutert: „Das Fehlen strenger Vorschriften für Datenverkäufe oder Manipulationen von Algorithmen bedeutet, dass jedes Unternehmen, ob im In- oder Ausland, User-Daten ausnutzen oder die öffentliche Meinung auf subtile Weise beeinflussen könnte.“ Zwar sei es richtig, sich mit den spezifischen Bedrohungen durch „TikTok“ zu befassen, aber als nachhaltige, umfassende Strategie seien solche Bemühungen unzureichend, da sie sich nicht mit den allgemeineren Datenschutz- und Sicherheitsbedenken der Tech-Branche befassten.

Statt eines TikTok-Verbots bessere Spielregeln für Internet-Giganten empfohlen

Der „Digital Services Act“ der EU – seit dem 17. Februar 2024 in vollem Umfang durchsetzbar – ziele darauf ab, einen sichereren Digitalen Raum zu schaffen, „in dem die Grundrechte der Nutzer geschützt sind und gleiche Wettbewerbsbedingungen für Unternehmen geschaffen werden“. Illegale Inhalte sollten auch leichter zu entfernen sein. Neben Online-Marktplätzen, Content-Sharing-Plattformen und ähnlichen Online-Auftritten sollten mit der Gesetzgebung auch Apps Sozialer Netzwerke reguliert werden.

„Einheitliche Regelungen, die für Anbieter aus allen Herkunftsländern gelten, könnten langfristig die effektivere Variante sein“, unterstreicht Marrè, warnt aber auch: „Allerdings nur, wenn die Regeln die allgemeine Meinungsfreiheit nicht zu sehr einschränken – wie Verbraucherschützer bereits mehrfach gewarnt haben – und die Einhaltung der Richtlinien kontrolliert und Verstöße geahndet werden können.“

TikTok oder Meta – Bedrohung durch TikTok doch noch stärker

Marrè erläutert: „Es geht nicht um den Kampf Meta gegen ,TikTok’ – bei beiden sind Bedenken angebracht. Ja, Social-Media-Plattformen wie ,facebook’ stellen ein erhebliches Risiko dar, weil sie umfangreiche Nutzerdaten sammeln, um die User auszunutzen und potenziell zu gefährden, aber sie könnten zumindest theoretisch durch US-Gesetze oder die Möglichkeit einer Regulierung eingeschränkt werden.“ „TikTok“ stelle jedoch eine erhöhte Bedrohung dar, da es jenseits solcher gesetzlichen Schutzmaßnahmen operiere. „Das Fehlen einer Aufsicht bedeutet, dass die App-Betreiber alle gesammelten Daten nutzen und ihren Algorithmus manipulieren können, um die öffentliche Meinung, vor allem unter Jugendlichen, auf subtile Weise und völlig ungestraft zu beeinflussen.“

Die Fähigkeit dieser Plattform zur verdeckten Beeinflussung der gesellschaftlichen Wahrnehmung in Verbindung mit der Möglichkeit, die immensen Mengen an detaillierten Daten, die sie sammelt, in einer Weise zu nutzen, die den Interessen der USA schadet, erhöht laut Marrè das Risiko zusätzlich. Sie operiere unter einer ausländischen Gerichtsbarkeit, welche dafür bekannt sei, Informationen zu ihrem Vorteil zu nutzen – und somit die Besorgnis über ihre unkontrollierte Macht noch verstärke.

TikTok-Verbot könnte internationale Beziehungen weiter belasten

Ein Verbot von „TikTok“ in den USA könnte aber weitreichende internationale Auswirkungen haben und insbesondere die Spannungen zwischen den USA und China bzw. dem Westen und Teilen Asiens verschärfen. Außerdem könnte dieses Verbot Vorbild für weitere westliche Nationen werden, es den USA gleichzutun. Ein solch gezieltes Verbot würde die Bereitschaft der USA und des Westens signalisieren, strengere Maßnahmen gegen die chinesische Technologiepräsenz zu ergreifen, „die sich auch auf andere chinesische Plattformen auswirken und die technologische Entkopplung zwischen den beiden Ländern bzw. Regionen verstärken könnten“.

Diese Maßnahme könnte die bereits angespannten Beziehungen weiter verschlechtern und zu einem breiteren geopolitischen Wettbewerb beitragen, bei dem die US-Maßnahmen als aggressive Schritte zur Eindämmung von Chinas technologischem und geopolitischem Einfluss wahrgenommen würden. Darüber hinaus spiegele der Fokus auf „TikTok“ die Besorgnis in den USA und im Westen wider, einen strategischen Vorteil gegenüber China zu verlieren, insbesondere im Technologiesektor.

Ein Verbot von TikTok könnte unheilvollen Präzedenzfall schaffen

Die weiterreichenden Auswirkungen eines Verbots könnten auch den globalen Handel, die Kommunikationsströme und den Zugang zu Informationen in Frage stellen und andere Länder im Gegenzug dazu veranlassen, ähnliche Beschränkungen für US-Unternehmen zu verhängen – „insbesondere angesichts der weltweiten Besorgnis über das unregulierte ,Daten-Ökosystem’ der USA“.

Es werde befürchtet, dass ein solcher Schritt einen Präzedenzfall schaffen und zu einem zunehmend fragmentierten Internet führen könnte, was den internationalen Datenfluss stören und den globalen digitalen Handel und die Kommunikation beeinträchtigen würde. Die Debatte um „TikTok“ berühre daher Themen, die weit über diese App selbst hinausgingen und Fragen nach dem Gleichgewicht zwischen Nationaler Sicherheit und globaler Internetwirtschaft aufwerfen würden.

TikTok-Verkauf an US-Unternehmen als möglicher Ausweg

Angesichts der großen Beliebtheit dieser App und der logistischen Herausforderungen bei der Umsetzung eines vollständigen Verbots wäre es für ByteDance, die Muttergesellschaft von „TikTok“, eine praktikablere Lösung, das im aktuellen Gesetzentwurf vorgesehene Verbot zu umgehen und seine US-Aktivitäten an ein US-amerikanisches Unternehmen zu veräußern. Die Umsetzung eines vollständigen Verbots von „TikTok“ sei mit erheblichen logistischen Herausforderungen verbunden. „Es ist davon auszugehen, dass ein Verbot die Nutzerbasis der App erheblich reduzieren würde. Damit fungiert das drohende Verbot indirekt als Druckmittel, um ByteDance dazu veranlassen, einen Verkauf des TikTok-Geschäfts in den USA zu erwägen.“

Außerdem müsse erwähnt werden, dass das Versagen des US-Kongresses bei der Regulierung inländischer Social-Media-Unternehmen den Weg für ausländische Organisationen geebnet habe, Apps wie „TikTok“ ohne Einschränkungen zu betreiben. Marrès Fazit: „Hätte der Kongress strenge, klare und robuste Vorschriften erlassen, die die Privatsphäre der Nutzer und Nutzerinnen schützen und ihnen die Kontrolle über die Erhebung, Speicherung und Verwendung persönlicher Daten ermöglicht, hätten wir eine effektivere Aufsicht über Apps in ausländischem Besitz und ein Verbot wäre mit höherer Wahrscheinlichkeit unnötig.“

Weitere Informationen zum Thema:

tagesschau, 13.03.2024
Drohendes Verbot in den USA / Repräsentantenhaus will TikTok-Verkauf erzwingen

Die Bundesregierung
Digital Services Act / Das Gesetz über digitale Dienste

Datenerhebungen bei TikTok deutlich umfangreicher als bei anderen Social-Media-Plattformen

[datensicherheit.de, 05.04.2023] „Es ist keine Überraschung, dass sich Australien den von den USA, dem Vereinigten Königreich und der Europäischen Kommission verhängten Verboten anschließt“, so Chris Vaughan, „VP Technical Account Management, EMEA“ bei Tanium, in seinem aktuellen Kommentar. Er führt aus: „Die Institutionen erkennen, dass die Nutzung von ,TikTok’ für Mitarbeiter und Bürger eine Vielzahl von Problemen mit sich bringen könnte, einschließlich Kampagnen, die darauf abzielen, die politischen Ziele von Gegnern zu fördern und die Spaltung der westlichen Gesellschaften zu vertiefen.“

Foto: Tanium

Chris Vaughan: Regierungen sollten Nutzung Sozialer Medien eindeutig mit größerer Priorität behandeln als zuvor!

Frage, ob ausreichende Trennung zwischen TikTok und chinesischer Regierung besteht

Die zugrundeliegende Besorgnis beziehe sich in erster Linie auf die Frage, „ob eine ausreichende Trennung zwischen ,TikTok’ und der chinesischen Regierung besteht, was jedoch schwer zu ermitteln ist“. Nur sehr wenige Menschen würden die Hintergründe kennen, wie die jüngste Aussage des „CEO“ von TikTok vor dem US-Kongress gezeigt habe. „Wir wissen allerdings, dass die chinesische Regierung in der Vergangenheit Cyber-Spionage betrieben und Informationen gesammelt hat, um ihre strategischen Ziele zu erreichen“, erläutert Vaughan.

Sie wüssten auch, dass die Nutzer durch die Annahme der „TikTok“-Bedingungen große Datenmengen preisgäben, „beispielsweise die Überwachung von Objekten, Landschaften und Gesichtszügen, die in den Videos erscheinen, sowie ihre Tastenanschlagmuster oder -rhythmen“. Diese Datenerhebungen seien deutlich umfangreicher als bei anderen Social-Media-Plattformen, was zu Bedenken geführt habe.

Spitze des Eisbergs: TikTok-Verbot auf staatlichen Geräten

Westliche Politiker müssten sich diesen Maßnahmen entgegenstellen und auf Regierungsebene entschieden dagegen vorgehen. Vaughan betont: „Sie können es sich nicht leisten, die Verantwortung den einzelnen Organisationen zu überlassen. Es bleibt abzuwarten, wie China auf die Verbote reagieren wird.“ Die Regierungen dürften sich aber durch diese Ungewissheit nicht davon abhalten lassen, Maßnahmen zur Gewährleistung der Nationalen Sicherheit zu ergreifen.

„Ich glaube, dass wir gerade erst die Spitze des Eisbergs sehen, was das Verbot von ,TikTok’ und anderen Social-Media-Plattformen auf staatlichen Geräten angeht. Unabhängig davon, ob die Menschen mit den einzelnen Verboten einverstanden sind, ist wichtig, dass die Regierungen die Nutzung Sozialer Medien eindeutig mit größerer Priorität behandeln als zuvor.“ Dies habe auch die Aufmerksamkeit der breiten Öffentlichkeit auf das Thema gelenkt, was ein weiterer zentraler Faktor sei.

Weitere Informationen zum Thema:

Frankfurter Allgemeine Zeitung, 04.04.2023
Tiktok-Verbot: Australien verbannt Tiktok

heise online, 04.04.2023
Australien verbietet Tiktok auf Regierungshandys / Australische Regierungsmitarbeiter dürfen auf ihren Diensthandys kein Tiktok mehr installiert haben – aus Sicherheitsgründen

Jüngste TikTok-Verbot Teil der Frage, wie viel chinesischer Einfluss auf die nationale Infrastruktur und das tägliche Leben als akzeptabel angesehen wird

[datensicherheit.de, 24.02.2023] Laut einer aktuellen Meldung von Tanium wurde für Mitarbeiter der EU-Kommision ein „TikTok“-Verbot ausgesprochen. Kürzlich habe bereits die US-Regierung sowohl auf bundesstaatlicher als auch auf föderaler Ebene Schritte unternommen, um „TikTok“ auf Geräten im Staatsbesitz zu verbieten – „daher ist es keine Überraschung, dass die EU dies nun ebenfalls umsetzt“, kommentiert Chris Vaughan, „VP Technical Account Management, EMEA“ bei Tanium.

Foto: Tanium

Chris Vaughan: Regierungsebene sollte entschieden dagegen vorgehen, anstatt die Verantwortung einzelnen Organisationen zu überlassen!

TikTok im Verdacht: kontinuierliche Sammlung von Daten

Vaughan führt aus: „Die Verantwortlichen erkennen allmählich, dass ein umfassenderer Ansatz erforderlich ist, um die Bürgerinnen und Bürger vor Social-Media-Kampagnen zu schützen, die darauf abzielen, ausländische politische Ziele zu fördern und die Spaltung der westlichen Gesellschaften zu vertiefen.“

Die Taktiken der chinesischen Geheimdienste seien auf längerfristige Ziele ausgerichtet und würden durch die kontinuierliche Sammlung von Daten vorangetrieben. „Die immense Sammlung von Nutzerdaten, zu denen inzwischen auch Handelsinformationen, biometrische Daten und andere Online-Aktivitäten gehören, liefert detaillierte Informationen über eine Vielzahl an Nutzern“, erläutert Vaughan.

TikTok-Kritiker fürchten wachsenden chinesischen Einfluss

Diese Daten könnten wiederum genutzt werden, um gezielte und oft personalisierte psychologische Einflusskampagnen gegen Einzelpersonen oder Gruppen von Bürgern durchzuführen. „Dies wurde in den letzten Jahren vermehrt bei Wahlen und anderen politisch brisanten Ereignissen beobachtet“, so Vaughan.

Das jüngste „TikTok“-Verbot sei Teil einer komplexen Frage, „wie viel chinesischer Einfluss auf die nationale Infrastruktur und das tägliche Leben als akzeptabel angesehen wird“. In den letzten Monaten habe die Besorgnis im Westen zugenommen, in deren Folge der Einsatz chinesischer Überwachungstechnologie eingeschränkt worden sei.

TikTok-Fall zeigt: Westliche politische Führer müssten Herausforderung direkt angehen

Es habe auch zahlreiche Berichte über chinesische Bemühungen gegeben, Politiker durch Lobbyarbeit und Spenden zu beeinflussen und die Öffentlichkeit über Soziale Medien und die gezielte Verbreitung von Desinformationen zu beeinflussen. „In der Vergangenheit war Russland der prominenteste Nutzer von Informationskampagnen, wie wir an den Aktivitäten im Zusammenhang mit den US-Wahlen 2016 und dem ,Brexit’-Referendum gesehen haben“, sagt Vaughan. China habe sich eher auf den Diebstahl Geistigen Eigentums konzentriert, welches es dann zu seinem eigenen Vorteil nutzen könne.

Es gebe jedoch Anzeichen dafür, dass sich die KPCh zunehmend auf Informations- und Einflusskampagnen konzentrieren werde, um ihre strategischen Ziele zu erreichen. Vaughans Fazit: „Alle Fälle dieser Art müssen von den westlichen politischen Führern direkt angegangen werden, die auf Regierungsebene entschieden dagegen vorgehen sollten, anstatt die Verantwortung einzelnen Organisationen zu überlassen.“

Weitere Informationen zum Thema:

zdf heute, Cedrik Pelka, 23.02.2023
Entscheidung der Kommission: TikTok-App auf EU-Diensthandys verboten

tagesschau, 23.02.2023
Mitarbeiter der EU-Kommission / TikTok-Verbot auf Diensthandys

heise online, 19.01.2023
Lebensgefährliche Videos: EU droht Tiktok mit Verbot / Tiktok unternehme zu wenig für den Schutz der (oft minderjährigen) User, kritisiert EU-Kommissar Breton

Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet

[datensicherheit.de, 01.07.2021] Offenbar hat ein Datenleck der Social-Media-Webplattform „Linkedin“ größere Ausmaße angenommen, als bislang vermutet. Check Point hat sich nach eigenen Angaben diesen Vorfall kurz angesehen und vermutet demnach stark – basierend auf der Erfahrung aus der Nachforschung zur App „TikTok“ – eine oft übersehene Tatsache dahinter: „Mangelhafte API-Sicherheit.“

Foto: Check Point

Oded Vanunu: Sieht so aus, als ob Hacker Daten über Linkedin-API erhielten

Bisher noch unbekannt, ob Linkedin-Daten von dem 2016 entstandenen Datenleck oder einem aktuellen Angriff stammen

Bereits im April 2021 sei über ein Datenleck bei „Linkedin“ berichtet worden, wobei die Informationen von 500 Millionen Mitgliedern zum Verkauf angeboten worden sein sollen. „Nun muss diese Zahl korrigiert werden: Nach Medienberichten sind in einem Hacker-Forum die Datensätze von 700 Millionen der ,Linkedin‘-Nutzer aufgetaucht – die Plattform zählt derzeit rund 756 Millionen Teilnehmer“, erläutert Oded Vanunu, „Head of Products Vulnerability“ bei der Check Point Software Technologies GmbH.
Unter den gestohlenen Einzelheiten über die Menschen befänden sich deren Namen, E-Mail-Adressen, Telefonnummern und Anschriften. „Kreditkarten-Daten sollen jedoch nicht dabei sein.“ Ob die Daten aus dem 2016 entstandenen Datenleck stammen oder aus einem erneuten Angriff, sei indes derzeit unbekannt.

Linkedin-Fall erinnert an TikTok

Vanunu führt aus: „Wir können jedoch sagen: Dieser Fall ähnelt unserer Nachforschung zur beliebten Handy-App ,TikTok‘. Dort waren wir in der Lage gewesen, die ,TikTok‘-API, also Schnittstelle, auszulesen und eine Datenbank mit Informationen über die Benutzer aufzubauen.“ Bezüglich „Linkedin“ sehe es so aus, „dass die Hacker jene Daten ebenfalls über die ,Linkedin‘-API erhalten haben, die sie also möglicherweise knackten“.
Beide Zwischenfälle untermauerten, dass API-Sicherheit sehr wichtig sei und ernstgenommen werden sollte, „während Unternehmer ihre Anwendung und IT-Infrastruktur einrichten“. Über Clouds laufende Anwendungen würden hauptsächlich mit einer sogenannten Kernanwendungslogik aufgebaut. „Dies heißt, dass sie mit vielen APIs verbunden ist, welche die Daten der Anwendung liefern. Wenn nun die APIs ungesichert bleiben, sind sie dem Risiko einer Attacke ausgesetzt, insbesondere dann, wenn es sich um API-Code-Schwachstellen handelt oder unbegrenzte API-Aufrufe durchgeführt werden“, so Vanunu. So etwas könne zu einem großen Datenleck führen, wie Check Point es bezüglich „TikTok“ berichtet habe und in diesem „Linkedin“-Fall erneut sehe.

Weitere Informationen zum Thema:

FAZ.NET, 30.06.2021
Leck bei sozialem Netzwerk? : Hacker bieten Daten zu 700 Millionen Linkedin-Nutzern an

RESTORE PRIVACY, Sven Taylor, 27.06.2021
New LinkedIn Data Leak Leaves 700 Million Users Exposed

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

[datensicherheit.de, 15.06.2021] Vor Kurzem habe TikTok seine Datenschutzrichtlinien in den USA angepasst und erlaube sich damit selbst das Sammeln biometrischer Daten der Nutzer. Zwar sei nicht klar, „in welchem Umfang TikTok davon tatsächlich Gebrauch machen wird“, jedoch könnten mit biometrischen Daten – im Gegensatz zu allgemeinen Daten – Nutzer eindeutig identifiziert werden. TikTok habe erklärt, „dass dort, wo es das Gesetz verlange, vor dem Einsatz der Technik vorab die Erlaubnis der Nutzer eingeholt werden soll“. Die Wahl, welche den Nutzern am Ende bleibe, sei jedoch begrenzt – entweder Akzeptieren oder den Dienst nicht mehr weiter nutzen. In seiner aktuellen Stellungnahme geht Shane McNamee, „Chief Privacy Officer“ bei Avast, auf diese Situation ein und erklärt nach eigenen Angaben unter Bezugnahme auf die Datenschutzgrundverordnung (DSGVO), „warum diese Änderung in Deutschland nicht so einfach möglich wäre“.

TikTok-Vorgehen in den USA angesichts der DSGVO kaum auf Deutschland zu übertragen

„Durch die Änderung seiner US-Datenschutzrichtlinien hat TikTok in Zukunft die Möglichkeit, biometrische Daten seiner US-Nutzer zu sammeln. Es ist jedoch eher unwahrscheinlich, dass dieses Vorgehen auch nach deutschem Recht erlaubt wäre“, so McNamee und erläutert: „Denn ,biometrische Daten zum Zweck der eindeutigen Identifizierung’ fallen unter eine besondere Kategorie personenbezogener Daten, die gemäß Artikel 9 der Datenschutzgrundverordnung (DSGVO) eine höhere Schutzpriorität haben.“
Die Verarbeitung dieser Daten sei verboten – es sei denn, es werde eine der in Artikel 9 genannten Voraussetzungen erfüllt. „Im Fall von TikTok wäre das am wahrscheinlichsten die ,ausdrückliche Zustimmung’ der Nutzer.“ Zudem müsste TikTok Transparenz über den genauen Zweck der Datenerhebung und -verwendung schaffen. Dazu zähle beispielsweise, „mit wem die Daten geteilt werden dürfen oder wie lange sie gespeichert werden“.

In der EU: TikTok müsste vorab Datenschutz-Folgenabschätzung durchführen

Darüber hinaus müsste TikTok womöglich eine Datenschutz-Folgenabschätzung (DPIA) durchführen, bevor eine biometrische Verarbeitung in der EU möglich wäre. McNamee führt aus: „So schreibt etwa Artikel 35 DSGVO vor, dass in Fällen, in denen die Verarbeitung von Daten – insbesondere unter Verwendung neuer Technologien – wahrscheinlich zu einem ,hohen Risiko für die Rechte und Freiheiten natürlicher Personen’ führt, vorab eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz der personenbezogenen Daten durchzuführen ist.“
Dieser DSGVO-Artikel weise außerdem darauf hin, dass eine Datenschutz-Folgenabschätzung insbesondere dann durchgeführt werden müsse, wenn es sich um eine „Verarbeitung besonderer Datenkategorien in großem Umfang“ handelt. Im sogenanntén Erwägungsgrund 91 werde die Verarbeitung biometrischer Daten zudem ausdrücklich als ein Vorgang genannt, der wahrscheinlich eine Datenschutz-Folgenabschätzung erfordere. McNamees Fazit: „Im Allgemeinen könnte TikTok Schwierigkeiten haben, die in Artikel 5 DSGVO festgelegten Grundprinzipien der Zweckbindung, dass Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden dürfen, zu erfüllen.“ Gleiches gelte für das Prinzip der Datenminimierung, „dass Daten dem Zweck angemessen sind und auf das notwendige Maß beschränkt werden“.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt

intersoft consulting
Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten

intersoft consulting
Art. 35 DSGVO Datenschutz-Folgenabschätzung

intersoft consulting
Erwägungsgrund 91 / Erforderlichkeit einer Datenschutz-Folgenabschätzung

Hacker konnten sämtliche Profil-Informationen und die Telefonnummer von Nutzern stehlen

[datensicherheit.de, 26.01.2021] Die Sicherheitsforscher von Check Point® Software Technologies Ltd. warnen vor einer neuen Schwachstelle in der App von TikTok. Hackern war es möglich über eine Sicherheitslücke in der Funktion Find Friends die Schutzfunktionen zu umgehen und auf die Profile von Nutzern zuzugreifen. Auf diese Weise konnten alle personenbezogenen Informationen, wie die einmalige Nutzer-ID, gestohlen werden – einschließlich der Telefonnummer – um eine Datenbank aufzubauen, die für Malware-Attacken genutzt werden kann. Bereits im Januar 2020 fanden die Experten von Check Point mehrere kritische Schwachstellen in der Applikation.

Check Point meldete die Lücke umgehend an TikTok und sie wurde bereits durch einen Fix geschlossen, der daher umgehend installiert werden sollte. Bis dahin aber war die Schwachstelle ausnutzbar und es ist wahrscheinlich, dass einige Nutzer bereits unbemerkt das Opfer von Hackern wurden.

Ablauf der Attacke:

1. Eine Liste von Geräten wird erstellt (mit Geräte-ID), die Anfragen an die TikTok-Server schicken.
2. Eine Liste von Session Tokens (jeder gültig für 60 Tage) wird erstellt, die für die Anfragen an die TikTok-Server genutzt werden.
3. Der Signatur-Mechanismus von TikToks http-Schutz wird umgangen durch Nutzung deren eigenen Dienstes. Dieser wird im Hintergurnd ausgeführt.
4. Zusammenführung aller Schritte durch Modifizierung von http-Anfragen, erneuter Signierung dieser und Nutzung der Session  Tokens sowie Geräte-IDs, um die Anfragen an TikToks Schutzmaßnahmen vorbeizuschmuggeln.

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies, Foto: Check Point

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies erklärt: „Dieses Mal war unser Ziel, den Schutz der Privatsphäre in TikTok zu erforschen. Wir waren neugierig, ob die TikTok-Plattform missbraucht werden kann, um an Nutzerdaten zu gelangen und tatsächlich: Wir waren in der Lage, mehrere Schutzmechanismen von TikTok zu umgehen. Die gefundene Schwachstelle ermöglichte es einem Angreifer, sensible Informationen zu stehlen, um eine Datenbank mit Benutzerdaten und den zugehörigen Telefonnummern aufzubauen. Ein Hacker, der über so viele empfindliche Informationen über eine Person verfügt, kann sehr gezielt und einfach eine Reihe von Angriffen ausführen, wie Spear-Phishing oder Social Engineering. Wir empfehlen daher allen Nutzern der TikTok-App: Geben Sie nicht mehr über sich preis, als nötig ist und aktualisieren Sie umgehend die Anwendung.“

TikTok selbst begrüßt die Zusammenarbeit mit Check Point: „Die Sicherheit und der Datenschutz der TikTok-Community haben für uns höchste Priorität. Wir schätzen daher die Arbeit von vertrauenswürdigen Partnern, wie Check Point, die uns helfen, potentielle Probleme zu identifizieren und zu beheben, bevor diese die Nutzer beeinträchtigen. Wir stärken außerdem weiterhin unsere Verteidigungsmaßnahmen: Sowohl durch die ständige Verbesserung interner Fähigkeiten, dazu gehört die Investition in Automatisierung, als auch durch die Zusammenarbeit mit Drittanbietern.“

Weitere Informationen zum Thema:

Check Point Software
TikTok fixes privacy issue discovered by Check Point Research

datensicherheit.de, 21.01.2021
Über Google auffindbar: Tausende gestohlene Passwörter

datensicherheit.de, 08.01.2020
TikTok-App: Check Point Research enthüllt Schwachstellen

Persönliche Informationen hätten gestohlen und Konten manipuliert werden können

[datensicherheit.de, 08.01.2020] Die weltweit sehr beliebte App „TikTok“ verzeichnet laut Check Point Research 800 Millionen Nutzer, davon 5,5 Millionen alleine in Deutschland. Sie gehöre zu den am schnellsten wachsenden Anwendungen. Nun hätten hauseigene Sicherheitsforscher Lücken in der Infrastruktur gefunden.

Foto: Check Point

Oded Vanunu: Angreifer hätten Inhalte auf Benutzerkonten manipulieren können…

E-Mail-Adressen und Kontaktdaten hätten ausgelesen werden können

Check Point Research, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd. Hat am 8. Januar 2020 mehrere Schwachstellen in der beliebten App „TikTok“ enthüllt.
Diese ermöglichten es Angreifern, Inhalte auf Benutzerkonten zu manipulieren und sogar vertrauliche, persönliche Informationen, die auf diesen Konten gespeichert sind, zu extrahieren – darunter E-Mail-Adressen und Kontaktdaten.

TikTok hauptsächlich von Jugendlichen und Kindern verwendet

„TikTok“ werde hauptsächlich von Jugendlichen und Kindern verwendet, „die diese App benutzen, um private (und oft sehr sensible) Videos von sich selbst und ihren Lieben zu teilen“, so Oded Vanunu, „Head of Product Vulnerability Research“ bei Check Point.
Die Untersuchung habe ergeben, dass ein Angreifer eine gefälschte SMS-Nachricht mit einem bösartigen Link an einen Benutzer senden könne. „Wenn der Benutzer auf den bösartigen Link klickte, konnte der Angreifer an das ,TikTok‘-Konto gelangen und dessen Inhalt manipulieren, wobei er Videos löschte, unautorisierte Videos hochlud und private oder ‚versteckte‘ Videos öffentlich machte.“

TikTok-Subdomain anfällig für XSS-Angriffe gewesen

Die Untersuchung habe auch ergeben, dass die „TikTok“-Subdomain „ads.tiktok.com“ anfällig für XSS-Angriffe gewesen sei. Dies sei ein Angriff, bei dem bösartige Skripte in ansonsten gutartige und vertrauenswürdige Websites eingeschleust würden.
Die Sicherheitsforscher von Check Point haben demnach diese Schwachstelle ausgenutzt, „um persönliche Informationen abzurufen, die auf Benutzerkonten gespeichert sind, einschließlich privater E-Mail-Adressen und Geburtsdaten“.

TikTok-Entwickler über aufgedeckte Schwachstellen informiert

Check Point Research hat nach eigenen Angaben die „TikTok“-Entwickler über die in dieser Untersuchung aufgedeckten Schwachstellen informiert. Inzwischen sei ein Fix veröffentlicht worden, „um sicherzustellen, dass die Benutzer die TikTok-App weiterhin ungefährdet nutzen können“.
Ihre neuen Untersuchungen zeigten, dass die auch beliebtesten Anwendungen immer noch gefährdet seien, warnt Vanunu. „Social-Media-Angriffe sind sehr gezielt auf Schwachstellen ausgerichtet, da sie eine gute Quelle für private Daten und eine große Angriffsfläche bieten. Böswillige Akteure geben große Mengen an Geld aus und unternehmen viele Anstrengungen, um in solche riesigen Anwendungen einzudringen. Dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen genutzte Anwendung geschützt wären.“

TikTok in über 150 Ländern erhältlich

„TikTok ist dem Schutz der Benutzerdaten verpflichtet. Wie viele Organisationen ermutigen auch wir verantwortungsbewusste Sicherheitsforscher dazu, Zero-Day-Schwachstellen privat an uns zu melden. Vor der öffentlichen Bekanntgabe stimmte Check Point zu, dass alle gemeldeten Probleme in der neuesten Version unserer App ‚gepatcht‘ wurden. Wir hoffen, dass diese erfolgreiche Lösung die zukünftige Zusammenarbeit mit Sicherheitsforschern fördert“, kommentiert Dr. Luke Deshotels aus dem TikTok-Sicherheitsteam.
„TikTok“ sei in über 150 Ländern erhältlich, werde weltweit in 75 Sprachen verwendet und sei mit über 800 Millionen Nutzern definitiv eine der am häufigsten heruntergeladenen Apps. Im Oktober 2019 sei „TikTok“ die am meisten heruntergeladene App in den Vereinigten Staaten gewesen und damit die erste chinesische App, welche einen solchen Rekord erreicht habe. In Deutschland seien es derzeit rund 5,5 Millionen Nutzer – mehr als in Großbritannien, Italien, Spanien oder Frankreich.

Weitere Informationen zum Thema:

<cp>r CHECK POINT RESEARCH, 08.01.2020
Tik or Tok? Is TikTok secure enough?

Check Point Software Technologies, Ltd. auf YouTube, 08.01.2010
Tik or Tok? Is TikTok Secure Enough? Check Point Reveals Vulnerabilities in TikTok