Test durch Telekom-Tochter Bundesamt ließ Video-App TikTok auf Sicherheitsrisiken prüfen

Wegen Sicherheitsbedenken wird in vielen Ländern über TikTok diskutiert. Wie der SPIEGEL erfuhr, hatte auch das Bundesamt für Sicherheit in der Informationstechnik die chinesische App bereits im Fokus.
Von Max Hoppenstedt
"Aufbau unverschlüsselter Verbindungen", eine Telekom-Tochter prüfte die TikTok-App auf Schwachstellen

"Aufbau unverschlüsselter Verbindungen", eine Telekom-Tochter prüfte die TikTok-App auf Schwachstellen

Foto: Dado Ruvic/ REUTERS

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach SPIEGEL-Informationen die iOS-Version der Kurzvideo-App TikTok auf Risiken prüfen lassen. Das BSI beauftragte dafür die Telekom-Tochter T-Systems, die die Prüfung der zum chinesischen Konzern ByteDance gehörenden App im Februar dieses Jahres durchführte.

Man habe den "Aufbau unverschlüsselter Verbindungen" gefunden, sagte ein Sprecher. Teile des Datenverkehrs zwischen App und Servern seien nicht verschlüsselt gewesen, was Datenabflüsse und Manipulationen möglich machen könne.

Das Problem mit dem unverschlüsselten Datenverkehr, der über unsichere http-Verbindungen lief, sei inzwischen behoben, heißt es auf Nachfrage von TikTok. Zumindest in den USA und Europa werde der Datenverkehr mit dem sichereren https-Standard geschützt. In anderen Ländern, in denen die App verfügbar ist, nutzt sie aber demnach offenbar weiterhin http-Verbindungen.

Risiko durch veraltetes Verbindungsprotokoll

http-Verbindungen erleichtern es Hackern erheblich, Daten abzufangen oder zu manipulieren, wenn sie sich Zugang zum Netzwerk oder zur Verbindung eines Nutzers verschafft haben. Im Falle von TikTok könnten Hacker so Nutzern falsche Videos vorspielen oder Videodaten abfangen. Der http-Standard wird aufgrund seiner Anfälligkeit für Angriffe in weiten Teilen des Netzes nicht mehr genutzt.

TikTok kämpft seit Längerem mit dem Vorwurf, nicht genug für die Sicherheit seiner Nutzer zu tun. Die US-Regierung sieht TikTok gar als Gefahr für die nationale Sicherheit, Außenminister Mike Pompeo stellte die App zuvor bereits als Spionagewerkzeug für die kommunistische Partei Chinas dar. In den USA wird schon seit Wochen über ein mögliches Verbot von TikTok gerungen, zuletzt verhandelte ByteDance mit Microsoft über einen Verkauf (mehr zum politischen Streit um TikTok lesen Sie hier ).

Theo Bertram, der bei TikTok fürs Verhältnis zu Europas Regierungen zuständig ist, sagte dem SPIEGEL am Donnerstag, TikTok sei "eine der am meisten begutachteten Apps, die es je gegeben hat, und wir begrüßen dies". "Wir haben nichts zu verbergen", so Bertram. "In sechs Monaten oder wann immer sich die Wogen geglättet haben, werden Sie sehen, dass TikTok transparenter ist, als wir Europäer es jemals von den Technologieunternehmen gefordert haben."

DER SPIEGEL 33/2020

Die dunkle Seite der Staatsmacht

Polizei, Bundeswehr, KSK: Wie rechts sind unsere Sicherheitskräfte?

Zur Ausgabe

BSI prüft Hunderte Apps, Details werden aber normalerweise nicht öffentlich

Dem BSI war durch die TikTok-Prüfung auch eine mittlerweile geschlossene Sicherheitslücke auf Seite der Server bekannt geworden. Der Hintergrund dazu ist eine Untersuchung des IT-Sicherheitsunternehmens Checkpoint, die eine solche Schwachstelle im Januar dieses Jahres öffentlich machte . Die Checkpoint-Forscher bestätigten, dass die Lücke in Zusammenarbeit mit TikTok geschlossen wurde.

Bei der Prüfung durch T-Systems ging es nicht um mögliche Datensammlungen in China, sondern um Fragen der IT-Sicherheit. Solche Prüfungen werden von T-Systems regelmäßig im Auftrag des BSI als Teil eines Rahmenvertrages durchgeführt. In den letzten Jahren seien 350 Applikationen untersucht worden, teilte das BSI mit. Die Inhalte dieser Prüfungen und auch Angaben dazu, welche Anwendungen getestet wurden, werden normalerweise nicht öffentlich.

Das BSI teilt seine Erkenntnisse den Bundesbehörden und der Bundesverwaltung zur internen Verwendung mit. Behörden sollen so das Risiko einer App grob einschätzen können, falls sie diese auf Diensthandys verwenden möchten. In Deutschland nutzt das Bundesgesundheitsministerium TikTok und informiert dort auf einem eigenen Kanal.

Eine weitere Prüfung der App sei momentan nicht geplant, erklärte das BSI.

"Keine größere Gefahr als andere Social-Media-Apps"

Auch andere Sicherheitsforscher beschäftigen sich mit Vorwürfen, TikTok sei eine Späh-App. "TikTok ist keine größere Gefahr für die IT-Sicherheit als andere große Social-Media-Apps", sagte der französische IT-Sicherheitsforscher Baptiste Robert dem SPIEGEL. Er hat den Datenfluss der aktuellen Version der TikTok-App vom Smartphone zu den Servern analysiert und laut eigenen Angaben zuvor vergleichbare Untersuchungen unter anderem bei den Apps von Facebook, Snapchat und TikTok durchgeführt. Seiner Ansicht nach ist TikTok keine Schadsoftware. "Das ist eine geopolitische Debatte und keine Debatte über IT-Sicherheit", sagt er.

In Zukunft werde die Frage sein, ob TikTok auf Hinweise von IT-Sicherheitsforschern schnell reagiere und die Lücken stopfe, so Robert. Den Fall der von den Checkpoint-Forschern gefundenen Sicherheitslücke sieht Robert als Beleg dafür, dass das Unternehmen Ergebnisse von IT-Sicherheitsforschern ernst nimmt.

Mehr lesen über

TikTok Facebook Datenschutz Instagram Microsoft Computersicherheit

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten