Texas ist diese Woche der fünfte US-Bundesstaat, der die TikTok-App auf staatlichen Geräten verbietet, weil Bedenken bestehen, dass die Social-Media-App sensible Daten von Benutzergeräten sammelt und möglicherweise der chinesischen Regierung zur Verfügung stellt.
Die Frage ist nun, ob private Unternehmen ähnliche Einschränkungen für die Nutzung der beliebten Social-Media-App auf Geräten implementieren werden, mit denen Mitarbeiter auf Unternehmensdaten und -anwendungen zugreifen.
Inakzeptables Risiko
Der Gouverneur von Texas, Greg Abbott, sagte am Mittwoch, er habe allen staatlichen Behörden befohlen, TikTok mit sofortiger Wirkung auf allen staatlich ausgestellten Geräten zu verbieten. Abbott sagte, er habe auch jeder staatlichen Behörde bis zum 15. Februar 2023 Zeit gegeben, ihre eigenen Richtlinien bezüglich der Verwendung von TikTok auf persönlichen Geräten von Mitarbeitern umzusetzen – vorbehaltlich der Genehmigung durch das Texas Department of Public Safety.
"TikTok sammelt riesige Datenmengen von den Geräten seiner Benutzer – einschließlich wann, wo und wie sie Internetaktivitäten durchführen – und stellt diese Fundgrube potenziell sensibler Informationen der chinesischen Regierung zur Verfügung“, sagte Abbott und wiederholte Bedenken, die viele andere kürzlich geäußert haben.
Abbott zeigte auf Chinas 2017 Nationales Geheimdienstgesetz, das chinesische Unternehmen und Einzelpersonen verpflichtet, bei staatlichen Geheimdienstaktivitäten zu helfen, und eine kürzliche Warnung von FBI-Direktor Christopher Wray darüber Verwendung von TikTok bei Beeinflussungsoperationen, als Gründe für seine Entscheidung.
Abbotts Anordnung kam nur einen Tag, nachdem der Gouverneur von Maryland, Larry Hogan, eine Anordnung erlassen hatte Notfallrichtlinie Verbot der Verwendung von TikTok und anderen chinesisch und russisch beeinflussten Produkten auf staatlich ausgegebenen Geräten, unter Berufung auf das „inakzeptable“ Cybersicherheitsrisiko, das sie für den Staat darstellten.
Seine Bestellung gilt für Produkte von TikTok, Huawei Technologies, ZTE Corp., Tencent Holdings einschließlich WeChat, Alibaba-Produkte einschließlich AliPay und Kaspersky. Die Richtlinie von Hogan verlangt von allen Behörden des Staates Maryland, diese Produkte innerhalb von 14 Tagen aus den staatlichen Netzwerken zu entfernen und netzwerkbasierte Beschränkungen zu implementieren, die den Zugriff auf diese Dienste verhindern.
Wie Abbott auch Hogan zitiert Wrays Warnung über TikTok, das in seiner Erklärung eine nationale Sicherheitsbedrohung darstellt, sowie eine kürzlich erschienene Bericht von NBC News über chinesische Hacker, die Millionen von Dollar an COVID-bezogenen Vorteilen stehlen.
Die drei anderen Staaten, die ähnliche Richtlinien zu ähnlichen Anliegen erlassen haben, sind Süddakota, South Carolina und Nebraska. Darüber hinaus haben das US-Verteidigungsministerium, das Außenministerium und das Heimatschutzministerium alle TikTok auf staatlich ausgestellten Geräten verboten. In diesem Juli Mitglieder des Senate Select Committee on Intelligence schickte einen Brief an den Vorsitzenden der Federal Trade Commission und forderte die Agentur auf, die angeblich irreführenden Praktiken von TikTok in Bezug auf seine Datenschutzpraktiken zu untersuchen.
Bedenken steigen trotz der Zusicherungen von TikTok
Die wachsende Zahl von Verboten der Verwendung von TikTok auf staatlichen und bundesstaatlichen Geräten und Netzwerken wird sicherlich andere Landesregierungen, Bundesbehörden und private Unternehmen dazu ermutigen, die Sicherheits- und Datenschutzauswirkungen der Nutzung der Social-Media-App abzuwägen.
In einer Senatsanhörung Anfang dieses Jahres Vanessa Pappas, COO von TikTok, behauptete dass TikTok in China nicht funktioniert und die App dort nicht verfügbar ist. Sie hat das Unternehmen als in den USA eingetragen und mit den US-Gesetzen konform beschrieben. Obwohl TikTok Mitarbeiter in China hat, hat das Unternehmen eine strenge Zugriffskontrolle darüber, auf welche Daten diese Mitarbeiter zugreifen können und wo TikTok die Daten speichert, sagte Pappas aus. Anfang dieses Jahres gab das Unternehmen außerdem bekannt, dass es eine Initiative mit dem Namen gestartet hat Projekt Texas entwickelt, um das Vertrauen in die Sicherheitsvorkehrungen zu stärken, die das Unternehmen zum Schutz von US-Benutzerdaten und nationalen Sicherheitsinteressen eingeführt hat und noch treffen wird. TikTok speichert jetzt 100 % der US-Benutzerdaten in den USA in der Cloud-Umgebung von Oracle und arbeitet mit Oracle zusammen, um fortschrittliche Datensicherheitskontrollen zu implementieren, sagte TikTok-CEO Shou Zi Chew damals.
In einem per E-Mail an Dark Reading gesendeten Kommentar äußerte sich TikTok-Sprecher Jamal Brown enttäuscht über die jüngsten Entwicklungen. „Wir glauben, dass die Bedenken hinter diesen Entscheidungen größtenteils durch Fehlinformationen über unser Unternehmen geschürt werden“, sagt Brown. „Wir freuen uns, weiterhin konstruktive Treffen mit staatlichen Entscheidungsträgern zu haben, um unsere Datenschutz- und Sicherheitspraktiken zu besprechen. Wir sind enttäuscht, dass viele staatliche Behörden, Ämter und Universitäten TikTok nicht mehr nutzen können, um Gemeinschaften aufzubauen und mit Wählern in Kontakt zu treten.“
Trotz dieser Zusicherungen gibt die Tatsache, dass ein in China ansässiges Unternehmen namens ByteDance Ltd TikTok besitzt und dass die chinesische Regierung zumindest einen Teil der Anteile an einer ihrer Tochtergesellschaften besitzt, für viele weiterhin Anlass zur Sorge. Aktuelle Berichte über Bedrohungsakteure, die die Plattform nutzen Malware zu verteilen haben nichts geholfen.
„Die spezifische Situation, dass TikTok seinen Sitz in China hat und chinesischem Recht unterliegt, das der Kommunistischen Partei Chinas (KPCh) Zugriff auf Benutzerdaten gewähren kann, lässt viele Menschen innehalten“, sagt Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber.
Auch Social-Media-Anwendungen wie TikTok können für Unternehmen problematisch sein. „Sie sind sehr beliebt, besonders bei den Generationen, die mit Social Media aufgewachsen sind“, sagt er. Es ist völlig vernünftig, dass Organisationen einschränken, welche Apps auf ihren von der Organisation bereitgestellten Geräten installiert werden, und ihren Mitarbeitern empfehlen, sie nicht auf persönlichen Systemen zu installieren, die sie für den Zugriff auf Unternehmenssysteme verwenden, sagt Parkin.
Auf von Organisationen bereitgestellten Geräten wäre ein Verbot von TikTok absolut durchsetzbar, sagt er. Aber das gleiche würde nicht für private und nicht verwaltete Geräte gelten, stellt er fest. „Die Organisation kann die Anforderungen festlegen, aber ihre Durchsetzung wird sowohl ethisch als auch rechtlich viel schwieriger“, sagt Parkin.
Patrick Tiquet, Vizepräsident für Sicherheit und Architektur bei Keeper Security, sagt, dass die schnelle Verbreitung von BYOD-Richtlinien und verteilten Remote-Arbeitsumgebungen zu einem exponentiellen Anstieg des Risikos für Endpunkte und Anwendungen sowohl für öffentliche als auch für private Unternehmen beigetragen hat. „Dies bringt Unternehmen in eine prekäre Situation, da sie den Komfort und die Kosteneinsparungen von BYOD-Richtlinien mit dem erheblichen Cybersicherheitsrisiko abwägen müssen“, sagt Tiquet. „Das Sperren bestimmter Apps mag wie ein einfacher und unkomplizierter Ansatz zur Gewährleistung der Sicherheit erscheinen, aber mit einer BYOD-Richtlinie ist es schwierig, sie durchzusetzen.“
