Tiktok-Verbot auf Diensthandys: „Uncool, aber sehr sinnvoll“

14. März, 2023

Aufgrund von Datenschutz- und Sicherheitsbedenken ist Tiktok in den USA und auch Europa unter Druck geraten. Die EU-Kommission und das EU-Parlament haben die App auf allen dienstlich genutzten Geräten bereits verboten. Weitere regierungsnahe Organisationen und Ministerien verschiedener Länder überprüfen ein mögliches Verbot – auch in Österreich. [1]

Profiling: Tiktok weiß mehr, als wir verraten

Tiktok erhebt von den App-Nutzern IP-Adressen, Standortdaten, Browsing-Historie, Netzwerkverbindungen und Geräteinformationen und hat zudem Zugriff auf die Zwischenablage, Kamera und das Mikrofon des Geräts. Dazu kommen die eigenen Account-Informationen wie Benutzername, Name und Geburtsdatum, eigene Inhalte, sämtliche Interaktionen mit anderen Nutzern sowie, wenn der Login über ein anderes Social-Media-Konto wie etwa Facebook erfolgt, auch Informationen aus diesen Konten.

„Die App vergisst nie“, warnt IKARUS-CEO Joe Pichlmayr davor, die Datenschutzbedenken zu unterschätzen: „Alles, was ich je angesehen, gesucht oder getan habe, wird gespeichert. Damit weiß der App-Betreiber bereits nach wenigen Wochen immens viel über mich. Hinzu kommt, dass gerade so erfolgreiche Apps wie Tiktok hervorragend Informationen von mir ergänzen können. Tiktok weiß recht schnell wer ich bin, wie alt ich bin, was mich interessiert – und kann meine Profildaten sehr einfach mit den Daten ähnlicher User, die meinem Alter, meinen Interessenlagen, meinem Verhalten usw. entsprechen, abgleichen. Das bedeutet, Tiktok kann auch Schlüsse über Themen ziehen, die ich selbst nie auf Tiktok konsumiert habe – ähnlich einem Puzzle, bei dem man das Motiv auch schon vor dem fertigen Bild erkennen kann.“

(Cyber-)Risiken durch Datensammlungen

All diese Bedenken beschränken sichnicht auf Tiktok allein, sondern gelten für viele andere Apps auch. Und sie betreffen nicht nur Dienstgeräte, sondern auch Privatgeräte – diese vielleicht noch mehr, da sie oft weniger geschützt sind als dienstliche.

Die Risiken durch Apps wie Tiktok bestehen in gezielten Social Engineering-Aktionen oder Cyber-Attacken, Identitätsdiebstahl, dem Ausnutzen von Standort-Profilen oder dem aktuellen Standort sowie dem Verkauf der erstellten Datenprofile an Dritte. Auch könnten Gespräche, Bild- und Videodateien oder sogar Passwörter aus einer 2-Faktor-App oder einem Passwortmanager gestohlen werden. Wird der Zugriff auf die eigenen Kontakte erlaubt, beispielsweise um Freunde auf der Plattform zu finden, kann man als Sprungbrett zum eigentlichen Primärziel schnell selbst ins Visier Cyberkrimineller geraten.

„Wenn die Aufgabe des Dienstnehmers nicht ist, Tiktok oder ähnliche Apps beruflich zu nutzen, haben solche Apps auf dem Diensthandy nichts verloren. Das ist zwar uncool und limitierend, aber gerade bei Dienstgeräten darf ich diese Einschränkungen auch erwarten“, findet Joe Pichlmayr: „Privat empfehle ich dringend die kritische Auseinandersetzung mit der Frage, welche Konsequenzen die Nutzung für mich, mein Umfeld oder auch meine Kinder haben kann.“

Tiktok & Co.: Schutz der eigenen Identität und des Umfelds

Erste Schritte, um das eigene Sicherheitsrisiko durch datensammelnde Apps zu reduzieren, sind daher die Bewusstseinsbildung über die realen Risiken und das kritische Hinterfragen der installierten Apps und ihrer Berechtigungen. Ein verantwortungsvoller und gezielter Umgang kann bereits zu einer deutlichen Gefahrenreduktion führen.

App-Berechtigungen können vom Benutzer aktiv eingeschränkt werden, um zu verhindern, dass Apps auf bestimmte Daten und Funktionen des Smartphones überhaupt zugreifen können. Auch VPN und Datenschutz-Apps können die individuelle Sicherheit erhöhen, indem Online-Aktivitäten verschlüsselt und die Daten vor unautorisiertem Zugriff geschützt werden. Einige Android-Hersteller bieten Sicherheits-Add-ons an, mit der Apps nur auf gezielt freigegeben Informationen des Telefons zugreifen können. Diese Funktionen müssen jedoch manuell angepasst bzw. überhaupt verwendet werden. Es bleibt das Risiko, doch unüberlegt Zugriffsrechte zu erteilen, wenn die Anwendung nicht richtig funktioniert oder die Beschränkungen zu großen Komforteinbußen führen.

Dienstgeräte und Unternehmensinformationen zentral absichern

Mobile Device Management (MDM) ist eine bewährte und einfache Lösung, um Unternehmensrichtlinien auf mobilen Dienstgeräten umzusetzen und den Zugriff auf Unternehmensdaten zu steuern. Das Monitoring der Geräte inkl. Updates und Patches sowie die Kontrolle, welche Apps erlaubt sind, liegt dabei zentral in der Hand der IT-Administration.

Geeignete MDM-Systeme ermöglichen außerdem, verschiedene Konfigurationsprofile einzurichten, das Gerät im Verlustfall aus der Ferne zu löschen sowie berufliche und private Daten strikt zu trennen. Unternehmen können damit die Cyberrisiken durch mobile Geräte drastisch reduzieren und individuell entscheiden, wie mit kritisch gesehenen Apps umgegangen werden soll.