Spähattacke? Das ist dran an der Daten-Kritik an Tiktok

    Handy-Spähattacke?:Das ist dran an der Daten-Kritik an Tiktok

    von Peter Welchering
    |

    Tiktok sammelt Nutzerdaten. Sicherheitsforscher haben das untersucht. Deren Analyse sei zu oberflächlich, wird eingewandt. Klar ist aber: Handy-Nutzer sind schon lange gläsern.

    Das Logo der Social-Media-App Tiktok.
    Welche Daten erhebt Tiktok?
    Quelle: Kiichiro Sato/AP/dpa/Archivbild

    Über das Video-Netzwerk Tiktok wird wieder intensiver diskutiert. Vor gut einer Woche berichtete der Spiegel über eine Analyse des Quell-Codes der Video-App, die das IT-Sicherheitsunternehmen "Internet 2.0" vorgenommen hatte.

    Tiktok weiß, wo ein Smartphone gerade ist

    Die Tiktok-App greife auf die im Smartphone gespeicherten Telefonkontakte und auf Kalenderdaten zu. Sogar der aktuelle Aufenthaltsort des Smartphones werde getrackt.
    Diese Analyse ist dann wiederum von Hackern der Gruppe "Zerforschung" heftig kritisiert worden. Die Kritik sei zu pauschal. Die Nutzer müssten den Zugriff auf Telefon- und Kalenderdaten freigeben. Basis der Analyse seien Ergebnisse von öffentlich zugänglichen Prüf-Tools. Die würden nur Hinweise liefern, welche Stellen man sich genauer anschauen müsste. Das sei aber keine genaue Analyse.

    • Die Experten des IT-Sicherheitsunternehmens "Internet 2.0" hatten angegeben, den Quellcode der Tiktok-App analysiert zu haben. Nun hält Tiktok den aber gerade geheim.
    • Der zweite analytische Blick ergibt dann, dass sich die "Internet-2.0"-Experten die Tiktok-Apps Anfang Juli aus den App-Stores heruntergeladen haben. Dabei handelt es sich um ausführbaren Maschinencode.
    • Der ist für den Menschen nicht lesbar. Deshalb haben sie den Maschinencode zurückübersetzt. Denn geschrieben werden solche Apps von Programmierern in einer für Menschen verständlichen Programmiersprache.
    • So entsteht Quellcode. Der wird dann in Maschinenbefehle übersetzt. Und dieser Maschinencode wird von den App-Stores auf die Smartphones überspielt.
    • Beim Re-Engineering versucht man, den Maschinencode, also das, was aus den App-Stores heruntergeladen wurde, in den Quellcode rückzuübersetzen. Aus den Maschinenbefehlen werden also wieder in einer Programmiersprache geschriebene Anweisungen.
    • Wie gut nun diese Rückübersetzung war, die die "Internet-2.0"-Experten vorgenommen haben, wissen wir nicht. Außerdem wissen wir nicht, wo die von den Experten veröffentlichten Code-Abschnitte im Gesamt-Programm stehen.

    Tiktok-Konzern spielt die Datensammelei herunter

    In dasselbe Horn stößt der chinesische Konzern Bytedance, der Tiktok betreibt. Die Menge der von den Smartphone-Besitzern gesammelten Daten sei nicht außergewöhnlich. Andere Apps würden sogar noch mehr Daten sammeln.
    Die Debatte scheint ein wenig verfahren. Tatsächlich entspricht die Datensammelei von Tiktok den Spähaktionen, die auf Plattformen kommerzieller sozialer Medien üblich sind. Facebook sammelt noch mehr persönliche Daten seiner Nutzerinnen und Nutzer.

    Daten bis ins kleinste Detail erhoben - inklusive intimer Geheimnisse

    Auch Google setzt Werkzeuge ein, um das Online-Verhalten von Internet-Nutzern ständig auszuwerten. Darüber wird schon seit vielen Jahren diskutiert. Die Dokumentarfilmer Hans Block, Moritz Riesewieck und Cosima Terrasse haben das Leben einer Konditorin nur anhand der von Google erhobenen Daten bis in kleinste Details rekonstruiert - inklusive intimer Geheimnisse, die kein Fremder wissen sollte.

    • Datenschützer stehen Google, Facebook & Co. schon von Berufs wegen etwas skeptisch gegenüber. Immerhin debattieren die Datenschützer in Deutschland seit 2021 endlich breiter über Alternativen zu den Services der Internet-Riesen.
    • "Fediversum", das ist ein Kunstwort, das sich aus den Begriffen "federation" und "universum" zusammensetzt. Das Konzept für eine solche Alternative zu Google & Co. ist schon recht alt: 2008 wurde mit dem sozialen Netzwerk "identi.ca" und der Software "GNU social" ein erster Testballon gestartet. Aber erst zehn Jahre später nahm das Projekt dann Fahrt auf. 2018 wurde der Mikroblogging-Dienst "Mastodon" nämlich Teil des Fediversum. "Mastodon" bietet eine Alternative zum Kurznachrichtendienst Twitter. Und genau danach suchten Netzaktivisten intensiv.
    • Inzwischen gibt es solche "Fediversum"-Angebote auch als Alternative zu Youtube und Instagram. "Peertube"-Plattformen bieten zum Beispiel ganz ähnliche Funktionen wie Youtube. Nur werden bei "Peertube" keine Nutzerdaten gesammelt und zu Profilen verdichtet.
    • Das gilt auch für "Pixelfed", den "Fediversum"-Dienst, der eine Alternative zu Instagram ist.
    • Das zugrundeliegende Konzept fürs "Fediversum" sieht vor, dass ein Benutzerkonto für einen Dienst wie etwa "Peertube" auf einer beliebigen Plattform oder Instanz angelegt wird und die Nutzerin sich anschließend mit Anwendern auf anderen Instanzen beziehungsweise Plattformen austauschen kann, ohne auf diesen fremden Instanzen ein eigenes Konto einrichten zu müssen.
    • Die "föderierten Inhalte" der angeschlossenen Plattformen stehen also allen offen und werden auf alle angeschlossenen Instanzen verteilt. Wer also auf einer bestimmten "Peertube"-Instanz ein Benutzerkonto eröffnet, kann nicht nur auf die Videos zugreifen, die von dieser Instanz gehostet werden, sondern auf alle Videos aller über das Kommunikationsprotokoll "ActivityPub" verbundenen "Peertube"-Instanzen.

    Dass auch Tiktok auf sehr persönliche Anwender-Daten zugreift, hat die Untersuchung von "Internet 2.0" noch einmal bestätigt - trotz aller methodischen Schwächen. Auch diese Einsicht ist nicht neu. Ende 2019 hat das israelische Sicherheitsunternehmen "Checkpoint" im Rahmen einer Analyse von Sicherheitslücken von Tiktok herausgefunden, dass persönlichste Daten von Tiktok-Anwendern getrackt wurden.

    Gesammelte Daten für Wahl von Donald Trump genutzt

    Ob diese Daten nun an Server weitergeschickt werden, deren Internetprotokoll-Adresse darauf hinweist, dass sie in China stehen, oder an Server, die in den USA stehen, macht für den Smartphone-Nutzenden nicht den großen Unterschied. Wichtig ist, dass diese Nutzer-Daten aufbereitet und zu Profilen verdichtet werden.
    Für diese persönlichen Profile interessieren sich Datenhändler weltweit. Sie verkaufen Unternehmen dann Kampagnen mit personalisierter Werbung für bestimmte Zielgruppen, zum Beispiel Jugendliche. Jared Kushner, Schwiegersohn des Ex-Präsidenten der USA, Donald Trump, hat mit solchen Daten äußerst erfolgreich digitales politisches Direktmarketing betrieben und Trump damit ins Weiße Haus gebracht.

    Infos über Schwangerschaft werden gesammelt

    Derzeit interessieren sich amerikanische Regierungsbehörden für eine Auswertung solcher Daten hinsichtlich einer Schwangerschaft. So sollen Schwangere überwacht und Schwangerschaftsabbrüche verhindert werden. Mit Daten, die Apps wie Tiktok erheben, kann sogar künftiges Verhalten von Menschen ziemlich präzise vorausberechnet werden.
    Und tatsächlich wird in den meisten Fällen von datensammelnden Apps dieser Art die Zustimmung der Nutzerin oder Nutzers für die Datensammelei eingeholt. Viele Menschen überblicken nicht, welche Daten sie dann preisgeben.
    Oft willigen Social-Media-Nutzer zähneknirschend in solche Überwachungspraktiken ein, weil sie in einem sozialen Netzwerk dabei sein wollen. Hier hilft nur eines: Alternative soziale Medien nutzen, die Datenschutz garantieren. Diese alternativen Dienste sammeln keine persönlichen Daten ihrer Nutzerinnen und Nutzer.

    Messenger und Datenschutz
    :Auch WhatsApp-Alternativen nicht immer sicher

    Messenger sind ausgesprochen beliebt. Doch die Nutzer suchen sichere Alternativen zu WhatsApp. Wie sicher sind Telegram, Threema, Signal und Co. in Sachen Datenschutz?
    von Peter Welchering
    Die Threema-App ist auf einem Smartphone-Bildschirm neben der WhatsApp-App zu sehen.